Rigsrevisionen kritiserer igen manglende beskyttelse af forskningsdata på AU og andre universiteter

Aarhus Universitet og fire andre større danske universiteter beskytter ikke forskningsdata i tilstrækkelig grad mod ukendt it-udstyr. Sådan lyder det i et nyt notat fra Rigsrevisionen, der følger op på en beretning om universiteternes beskyttelse af forskningsdata, som stammer fra 2019. 

”Selv om universiteterne har implementeret forskellige initiativer, konstaterer Rigsrevisionen, at ingen af de fem universiteter har nedbragt risikoen i tilstrækkelig grad. I lyset af den høje trussel fra cyberspionage og cyberkriminalitet mod danske universiteter finder Rigsrevisionen det utilfredsstillende, at universiteterne ikke har sikret, at forskningsdata er tilstrækkeligt beskyttet mod risikoen ved at tillade ukendt IT-udstyr. Det drejer sig primært om, at ingen af de fem universiteter fuldt ud har blokeret deres netværk mod brug af ukendt IT-udstyr,” lyder det i konklusionen fra Rigsrevisionen.

"Universiteterne er forsinkede med 1-5 år"

Forløbet begyndte i 2018, da Rigsrevisionen tog initiativ til at undersøge universiteternes beskyttelse af forskningsdata. Det drejede sig om Aarhus Universitet (AU), Københavns Universitet (KU), Aalborg Universitet (AAU), Syddansk Universitet (SDU) og Danmarks Tekniske Universitet (DTU). Her fandt revisionen en række sikkerhedsbrister i forhold til ukendt IT-udstyr. Siden blev der fulgt op i 2022 og 2023, hvor universiteterne var kommet i mål med sikkerheden i forhold til tre eller fire ud af seks risikofaktorer. De sidste tre faktorer har Rigsrevisionen nu fulgt op på. 

Det drejer sig om, hvorvidt universiteterne tillader, at forskere tager eget udstyr med, om de blokerer deres netværk mod ukendt hardware eller IT-udstyr, og om de tillader, at forskere har lokaladministratorrettigheder på deres computere. 

På det sidste punkt er AU kommet i mål, eftersom AU har inddraget permanente lokaladministratorrettigheder og implementeret et værktøj til at tildele forskere tidsbegrænsede lokaladministratorrettigheder på både Windows-pc’er og Mac-computere, skriver Rigsrevisionen.

For AU går kritikken derfor på de to øvrige punkter. Ud over SDU tillader universiteterne fortsat, at forskere tager eget udstyr med, og de kompenserende foranstaltninger – som Rigsrevisionen noterede i 2023 – reducerer ”ikke fuldt ud” risikoen herved. 

AU havde i 2023 blokeret sit netværk mod ukendt hardware eller IT-udstyr, men det viste sig ifølge Rigsrevisionen, at blokeringen kunne omgås. Universiteterne er fortsat udsat for risikoen ved ukendt hardware/IT-udstyr, konstaterer Rigsrevisionen i det nye notat.

”Rigsrevisionen konstaterer, at de fem universiteter er i gang med at implementere forskellige initiativer med henblik på at blokere deres netværk mod ukendt hardware/IT-udstyr – eller sikre, at blokeringen ikke kan omgås. Vi konstaterer dog, at universiteterne er forsinkede med 1-5 år i forhold til planen,” står der.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne herom, bemærker den i sin konklusion.

AU IT: “En omfattende opgave”

Vicedirektøren for AU IT, Peter Bruun Nielsen, forklarer i en skriftlig kommentar, at AU har forbedret en lang række områder, men at man fortsat arbejder på at komme i mål med de sidste tiltag, som han kalder en “omfattende opgave”. 

"Vi har igennem de seneste år implementeret mange tiltag for at forbedre IT-sikkerheden, og vi er nået i mål med en lang række opgaver, herunder fjernelse af lokale administrator-rettigheder, øget beskyttelse af vores centrale styring af adgange og service til brugere og systemer (active directory), overvågning af vores netværk, øget sikkerhed på brugerens pc'ere, smartphones og tablets, samt en lang række andre tiltag under initiativet “Plan for styrkelse af cybersikkerheden på AU.”

“Der er stadig udeståender, som Rigsrevisionen også beskriver. Det er en omfattende opgave at komme helt i mål, når man har at gøre med en kompleks organisation med en stor digital kontaktflade og mange forskelligartede aktiviteter, men det er naturligvis noget, vi arbejder på sammen med fakulteterne og Informationssikkerhedsudvalget,” udtaler Peter Bruun Nielsen.