Universiteternes forskningsdata er ikke godt nok beskyttet
Statsrevisorerne har den 18. januar 2019 afgivet Beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata med denne bemærkning
Uddannelses- og Forskningsministeriet har det overordnede ansvar for forskningen på de 8 danske universiteter og bevilgede i 2018 knap 9 mia.kr. til forskning. Hvert af universiteterne har ansvaret for, at der på deres universitet er en høj it-sikkerhed, der kan beskytte forskningsdata.
Universiteterne har forskningsdata af stor værdi og er derfor et mål for cyberangreb eller cyberspionage. Inden for de seneste år har der været flere eksempler på cyberangreb. Center for Cybersikkerhed vurderer, at det er sandsynligt, at fremmede stater udfører cyberspionage mod danske offentlige forskningsinstitutioner. Samlet set vurderer centret, at truslen fra cyberspionage mod danske offentlige forskningsinstitutioner er høj.
Undersøgelsen omhandler Københavns Universitets, Aalborg Universitets, Aarhus Univeristets, Danmarks Tekniske Universitets og Syddansk Universitets tiltag og initiativer for at beskytte forskningsdata.
Statsrevisorerne finder det utilfredsstillende, at de 5 største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad, fx mod ukendt it-udstyr.
Statsrevisorerne bemærker:
- At flere universiteter giver adgang til, at forskerne medbringer eget it-udstyr, og at alle 5 universiteter tillader forskere rettigheder som lokaladministratorer. Det betyder bl.a., at de selv kan installere software, og at ikke al software opdateres fra centralt hold og derfor udgør en risiko.
- At der er flere eksempler på it-sikkerhedshændelser på universiteterne på grund af ukendt it-udstyr.
- At der på Københavns Universitet er uklarhed om, hvorvidt ansvaret for at beskytte forskningsdata ligger centralt hos universitetes ledelse, på institutterne eller hos den enkelte forsker. Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen.
Statsrevisorerne noterer sig, at Uddannelses- og Forskningsministeriet vil bede universiteterne om at identificere og rette op på kritiske it-sikkerhedsbrister.
Ministerens svarfrist: 2 mdr.