Beretning om universiteternes beskyttelse af forskningsdata

18-01-2019

Beretning nr. 8/2018

Beretningen handler om universiteternes beskyttelse af forskningsdata på Uddannelses- og Forsk­ningsministeriets område. 

Formålet med undersøgelsen er at vurdere, om universiteterne beskytter forskningsdata i tilstrækkelig grad. Først har vi på de 5 største danske universiteter kortlagt universiteternes risikoprofil i forhold til beskyttelse af forskningsdata mod ukendt it-udstyr. Dernæst har vi på det største universitet, KU, gået mere i dybden for at undersøge, hvordan universitetets centrale it-afdeling og 3 udvalgte institutter arbejder med it-sikkerheden i forhold til beskyttelse af forskningsdata. 

Rigsrevisionen vurderer, at de 5 største universiteter ikke beskytter forskningsdata i tilstrækkeligt grad mod ukendt it-udstyr. Konsekvensen kan være, at fremmede aktører relativt let får uautoriseret adgang til forskningsdata på universiteterne. Dette finder Rigsrevisionen ikke tilfredsstillende. 

Undersøgelsen viser, at KU’s beskyttelse af forskningsdata fra centralt hold er utilstrækkelig, ligesom gennemgangen af it-sikkerheden på 3 institutter viser, at opgaven heller ikke i alle tilfælde løses decentralt på KU. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i februar 2018. 

Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 18. januar 2019 behandlede Statsrevisorerne

Beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Uddannelses- og Forskningsministeriet har det overordnede ansvar for forsk­ningen på de 8 danske universiteter og bevilgede i 2018 knap 9 mia. kr. til forskning. Hvert af universiteterne har ansvaret for, at der på de­res universitet er en høj it-sikkerhed, der kan beskytte forskningsdata. 

Universiteterne har forskningsdata af stor værdi og er derfor et mål for cy­berangreb eller cyberspionage. Inden for de seneste år har der været flere eksempler på cyberangreb. Center for Cybersikkerhed vurderer, at det er sandsynligt, at fremmede stater udfører cyberspionage mod dan­ske offentlige forskningsinstitutioner. Samlet set vurderer centret, at trus­len fra cyberspionage mod danske offentlige forskningsinstitutioner er høj. 

Undersøgelsen omhandler Københavns Universitets, Aalborg Univer­si­tets, Aarhus Universitets, Danmarks Tekniske Universitets og Syddansk Universitets tiltag og initiativer for at beskytte forskningsdata. 

Statsrevisorerne finder det utilfredsstillende, at de 5 største uni­ver­si­teter i Danmark ikke beskytter forskningsdata i tilstrækkelig grad, fx mod ukendt it-udstyr. 

Statsrevisorerne bemærker: 

  • At flere universiteter giver adgang til, at forskerne medbringer eget it-udstyr, og at alle 5 universiteter tillader forskere rettigheder som lokaladministratorer. Det betyder bl.a., at de selv kan installere software, og at ikke al software opdateres fra centralt hold og derfor udgør en risiko.
  • At der er flere eksempler på it-sikkerhedshændelser på universiteter­ne på grund af ukendt it-udstyr.
  • At der på Københavns Universitet er uklarhed om, hvorvidt ansvaret for at beskytte forskningsdata ligger centralt hos universitetets ledel­se, på institutterne eller hos den enkelte forsker. Undersøgelsen indikerer, at opgaven med at beskytte forskningsdata heller ikke løses tilfredsstillende på centralt og decentralt niveau på de øvrige universiteter. Dette skaber også risici i forhold til efterlevelse af persondatalovgivningen. 

Statsrevisorerne noterer sig, at Uddannelses- og Forskningsministeriet vil bede universiteterne om at identificere og rette op på kritiske it-sik­ker­hedsbrister."

Rigsrevisionens notat af 11. april 2019

Rigsrevisionen følger i dette notat op på beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata.  

Notatet er baseret på en redegørelse fra uddannelses- og forskningsministeren og handler om de initiativer, som ministeren har iværksat og vil iværksætte som følge af beretningen.   

Rigsrevisionen vil fortsat følge udviklingen på følgende områder:

  • Uddannelses- og Forskningsministeriets arbejde med at inddrage universiteternes implementering af ISO 27001 i det systematiske tilsyn
  • Uddannelses- og Forskningsministeriets arbejde med at etablere en tværgående trusselsvurdering for universiteterne
  • resultatet af Uddannelses- og Forskningsministeriets bestræbelser i forhold til, at universiteterne får identificeret og rettet op på eventuelle kritiske it-sikkerhedsbrister. 

Hele notatet (PDF)

Beretningshistorik