Finansudvalget 2018-19 (1. samling)
SB 8 3
Offentligt
2045703_0001.png
Maj 2019
Rigsrevisionens notat om
beretning om
universiteternes
beskyttelse af
forskningsdata
 Statsrevisorerne beretning SB8/2018 - Bilag 3: Rigsrevisionens notat af 11. april 2019
2045703_0002.png
Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4
1
Vedrører:
Statsrevisorernes beretning nr. 8/2018 om universi-
teternes beskyttelse af forskningsdata
Uddannelses- og forskningsministerens redegørelse af 18. marts 2019
11. april 2019
RN 1404/19
1. Rigsrevisionen vurderer i dette notat de initiativer, som uddannelses- og forsknings-
ministeren vil iværksætte som følge af Statsrevisorernes bemærkninger og beretnin-
gens konklusioner.
Sagsforløb for en større
undersøgelse
Beretning
Konklusion
Uddannelses- og forskningsministeren redegør i sin ministerredegørelse for de overve-
jelser og foranstaltninger, som beretningen har givet Uddannelses- og Forskningsmini-
steriet anledning til. Ministeren oplyser, at Rigsrevisionen med beretningen har sat fo-
kus på it- og informationssikkerhed og beskyttelse af forskningsdata på universiteterne,
og at ministeriet og universiteterne finder, at høj it- og informationssikkerhed, der be-
skytter forskningsdata, er vigtigt og skal have høj prioritet.
Uddannelses- og forskningsministeren oplyser videre, at Uddannelses- og Forsknings-
ministeriet vil inddrage universiteternes implementering af ISO 27001 i det systemati-
ske tilsyn i 2019. Derudover vil ministeriet i samarbejde med universiteterne arbejde
med at etablere en tværgående trusselsvurdering for universiteterne.
Allerede i forbindelse med beretningen oplyste Uddannelses- og Forskningsministeriet
endvidere, at ministeriet ville kontakte universiteterne og understrege ledelsernes an-
svar for området og samtidig bede universiteterne om at identificere og rette op på
eventuelle it-sikkerhedsbrister.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
Uddannelses- og Forskningsministeriets arbejde med at inddrage universiteternes
implementering af ISO 27001 i det systematiske tilsyn
Uddannelses- og Forskningsministeriets arbejde med at etablere en tværgående
trusselsvurdering for universiteterne
resultatet af Uddannelses- og Forskningsministeriets bestræbelser i forhold til, at
universiteterne får identificeret og rettet op på eventuelle kritiske it-sikkerhedsbri-
ster.
Ministerredegørelse
§
§ 18, stk. 4-notat
Eventuelt
fortsat(te) notat(er)
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
på www.rigsrevisionen.dk
 Statsrevisorerne beretning SB8/2018 - Bilag 3: Rigsrevisionens notat af 11. april 2019
2
I. Baggrund
2. Rigsrevisionen afgav i januar 2018 en beretning om universiteternes beskyttelse af
forskningsdata på Uddannelses- og Forskningsministeriets område. Baggrunden for
undersøgelsen var bl.a., at Center for Cybersikkerhed på baggrund af et større hacker-
angreb mod flere danske universiteter i perioden 2014-2016 har vurderet, at cyber-
truslen mod universiteterne er stor. Årsagen til det høje trusselsniveau skyldes bl.a., at
universiteterne er forholdsvis åbne institutioner, hvor forskerne har store frihedsgra-
der med hensyn til at anvende eget it-udstyr og lokaladministratorrettigheder i forsk-
ningen. På grund af det høje trusselsniveau er det centralt, at universiteterne har en
høj it-sikkerhed, der beskytter forskningsdata. Formålet med undersøgelsen var der-
for at vurdere, om universiteterne beskyttede forskningsdata i tilstrækkelig grad.
Først kortlagde vi de 5 største danske universiteters risikoprofil i forhold til beskyttel-
se af forskningsdata mod ukendt it-udstyr. Dernæst gik vi mere i dybden på det stør-
ste universitet, Københavns Universitet, for at undersøge, hvordan universitetets cen-
trale it-afdeling og 3 udvalgte institutter arbejdede med it-sikkerheden i forhold til be-
skyttelse af forskningsdata.
3. Da Statsrevisorerne behandlede beretningen, fandt de det utilfredsstillende, at de
5 største universiteter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad, fx
mod ukendt it-udstyr.
4. Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II. Gennemgang af ministerens redegørelse
Universiteternes implementering af ISO 27001
5. Statsrevisorerne bemærkede, at der på Københavns Universitet er uklarhed om,
hvorvidt ansvaret for at beskytte forskningsdata ligger centralt hos universitetets le-
delse, på institutterne eller hos den enkelte forsker. Statsrevisorerne bemærkede vi-
dere, at undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller
ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter.
Det fremgik også af beretningen, at Københavns Universitet havde valgt at følge
ISO 27001, men ikke havde udarbejdet en trusselsvurdering eller en risikovurdering,
som ISO 27001 ellers foreskriver. Derudover havde ledelsen kun fastsat utilstrække-
lige overordnede rammer for anvendelse og styring af it-udstyr på universitetet. Im-
plementeringen af ISO 27001 blev ikke undersøgt for de 4 øvrige universiteter, men
undersøgelsen viste, at ingen af de 5 undersøgte universiteter fra centralt hold sikrer,
at forskningsdata beskyttes tilfredsstillende, ligesom ikke alle universiteters ledelser
har forholdt sig til risikoen for ukendt it-udstyr.
Uddannelses- og forskningsministeren oplyser, at Uddannelses- og Forskningsm
ini-
steriet som led i det systematiske tilsyn i 2019 vil bede hvert enkelt universitet om en sta-
tus på implementeringen af ISO 27001-standarden. Redegørelserne fra universiteterne
vil foreligge primo september 2019.
 Statsrevisorerne beretning SB8/2018 - Bilag 3: Rigsrevisionens notat af 11. april 2019
3
6. Rigsrevisionen vil følge Uddannelses- og Forskningsministeriets arbejde med at
sikre, at universiteterne får implementeret ISO 27001-standarden.
Etablering af en tværgående trusselsvurdering for universiteterne
7. Statsrevisorerne bemærkede, at Center for Cybersikkerhed finder truslen fra cy-
berspionage mod de danske offentlige forskningsinstitutioner høj. Det fremgik også
af beretningen, at Københavns Universitet ikke har udarbejdet en trusselsvurdering.
Uddannelses- og forskningsministeren oplyser, at Uddannelses- og Forsknings
mini-
steriet har aftalt med universiteterne at igangsætte en dialogproces i regi af universiteter-
nes CIO-gruppe, som består af universiteternes it-chefer, bl.a. med henblik på at etablere
en opdateret tværgående trusselsvurdering for hele universitetssektoren og aftale ka-
dence for opdatering. Dette vil bl.a. ske med inddragelse af Center for Cybersikkerhed.
Ministeren oplyser videre, at det forventes, at samarbejdet mellem CIO-gruppen og mini-
steriet kan bidrage til at identificere tværgående sårbarheder og særligt vigtige perspek-
tiver, som universiteterne bør have opmærksomhed på i deres respektive arbejde med
ISO 27001-standarden.
8. Rigsrevisionen vil følge Uddannelses- og Forskningsministeriets arbejde med at
etablere den tværgående trusselsvurdering for hele universitetssektoren.
Løsninger til at rette op på kritiske sikkerhedsbrister
9. Statsrevisorerne bemærkede, at flere universiteter giver adgang til, at forskerne
medbringer eget it-udstyr, og at alle 5 universiteter tillader forskere rettigheder som
lokaladministratorer. Det betyder bl.a., at de selv kan installere software, og at ikke al
software opdateres fra centralt hold og derfor udgør en risiko.
Statsrevisorerne bemærkede endvidere, at der er flere eksempler på it-sikkerheds-
hændelser på universiteterne på grund af ukendt it-udstyr. Statsrevisorerne note-
rede sig, at Uddannelses- og Forskningsministeriet ville bede universiteterne om at
identificere og rette op på kritiske it-sikkerhedsbrister.
Uddannelses- og forskningsministeren
anerkender, at ukendt udstyr og ukendt soft-
ware og applikationer udgør risikofaktorer i forhold til it-sikkerhed. M
inisteren oplyser
derudover, at det er et grundvilkår for universiteterne, at forskere og studerende fx
kan anvende eget it-udstyr. I forskningsmiljøerne gælder endvidere, at en del af for-
skerne er ansat flere steder, hvilket ofte vil betyde, at it- og forskningsudstyr skal an-
vendes på tværs af arbejdspladser. Ministeren oplyser videre, at da meget forsknings-
udstyr i vid udstrækning også er it-udstyr og/eller egenudviklet/videreudviklet soft-
ware forudsætter forskning ofte, at forskeren fx vil skulle have administratorrettighe-
der for at kunne løse sine forskningsopgaver.
Ministeren oplyser, at grundvilkårene om,
at forskerne i nogle tilfælde har brug for at anvende eget it-udstyr og have lokaladministra-
torrettigheder medfører en række sårbarheder, som universiteterne naturligvis skal hånd-
tere og imødegå med passende tiltag, fx med udgangspunkt i ISO 27001-standarden. Det
er universitetsledelsens opgave at vælge et passende sikkerhedsniveau til beskyttelse af
de forskellige typer forskningsdata, der er afstemt med trusselsbillede og risikoprofil.
 Statsrevisorerne beretning SB8/2018 - Bilag 3: Rigsrevisionens notat af 11. april 2019
4
10. I forbindelse med beretningen oplyste Uddannelses- og Forskningsministeriet, at
mini-
steriet ville kontakte universiteterne og understrege ledelsernes ansvar for området
og samtidig bede universiteterne om at identificere og rette op på eventuelle kritiske
it-sikkerhedsbrister, hvilket Statsrevisorerne noterede sig i deres bemærkning til be-
retningen.
11. Rigsrevisionen vil følge resultatet af Uddannelses- og Forskningsministeriets be-
stræbelser i forhold til, at universiteterne får identificeret og rettet op på eventuelle
kritiske it-sikkerhedsbrister.
Lone Strøm