Under året har media larmat om hackerattacker och att myndigheters IT-säkerhet är usel. Men lärosätena är delvis i en annan sits.
– Universiteten är ändå ganska förskonade, för det är svårt att tjäna pengar på oss. Mycket av det som ligger på våra servrar är offentligt, och kursmaterial – hur intressant är det att försöka göra pengar på? säger Sören Berglund, IT-chef vid Umeå universitet.
Universiteten har av tradition en öppen datormiljö, dessutom är det en rörlig miljö med många nya användare varje år.
– Vi har inte den bästa IT-säkerheten, när man har en öppenhet så lämnar man blottor. Men det är en avvägning mellan hur mycket säkerhet ska vi lägga in och hur mycket bekvämlighet och tillgänglighet vi ska ha, säger Sören Berglund.
Öppenhet som ledstjärna
Han anser att säkerhetsnivån blir allt bättre inom universitetsvärlden.
– Vi håller på att täta till mer och mer. Men vi kommer inte från en militär säkerhetsnivå, utan från en nivå med öppenhet och tillgänglighet som ledstjärnor. Så det gäller att hela tiden vara på tårna, säger Sören Berglund.
I dag är det främst phishing som är ett säkerhetsproblem, mejl som ska locka användaren att gå in på en falsk webbsajt och lämna kontouppgifter.
– Phishing är ett elände som vi försöker motverka. Ofta ser man att phishing drabbar våra utländska kollegor som har svårt att se om det svenska språket i phisingmejlen är korrekt och det är ofta på det sättet man avslöjar det bedrägliga försöket.
Varumärkesfråga
IT-säkerhet är mycket fråga om förtroende för lärosätet.
– Säkerhet är en varumärkesfråga, vem vill arbeta med ett universitet där man är klantig med forskningsdata, vilken finansiär vill ge pengar till forskning där man har osäker integritet? Vilken respondent vill ge svar till ett universitet som schabblar iväg mina svar till allmän beskådan?
Lärosäten har ofta mycket decentraliserade datasystem där de olika institutionerna i stor utsträckning har egna IT-lösningar. En sådan miljö är svår att skydda med enbart en yttre brandvägg.
– Men de stora, viktiga systemen som ekonomisystem, personalsystem och studiedokumentationssystem är hyfsat säkra, säger Sören Berglund.
Han menar i stället att den stora säkerhetsrisken är den mänskliga faktorn.
– Riskerna ligger mycket i att folk har känsliga saker i sin bärbara dator som blir stulen, eller slarvar bort usb-minnen. Eller att de inte har uppdaterat operativsystem och uppdaterat virusskydd.
Har haft attacker
Lärosätena är inte förskonade från attacker.
– Vi har haft attacker mot videokonferenssystem, attacker mot bildskärmar, mot klimatanläggningar och mot skrivare. Det vanligaste är att man testar att man kan hacka sig in. Sedan gör man inte så mycket när man väl kommer in, angriparen kan vänta på rätt tillfälle, ibland många månader.
De attacker som lärosätena råkar ut för är ofta inte riktade mot själva lärosätena utan användning av deras snabba nätverk och många datorer för andra ändamål.
– Det vanligaste utnyttjandet har varit att hacka sig in för att sätta igång en filserver för piratkopierade filmer. Det är också attraktivt för hackare att ta över datorer vid lärosäten för att genomföra DDoS-attacker.
Lärosätena råkar också ut för ransomware, där man exempelvis lockas att klicka på en fejklänk till Postnord eller Skatteverket och då installeras ett virus som krypterar hårddisken. Ett problem som lärosätena kan komma runt genom att ha backup så att den låsta informationen kan återställas utan att behöva betala.
Sören Berglund beskriver verksamheten med IT-säkerhet som att släcka bränder.
– Vi stänger av och täpper till luckor när det blivit ett intrång. Jag tror att i förhållande till att vi är så öppna kommer vi förhållandevis billigt undan, säger han.
Intrång på Chalmers
Därmed inte sagt att lärosätena saknar anledning att skydda sina nätverk och sin information.
Chalmers tekniska högskola var nyligen utsatt för en hackerattack. En spelsajt hade lagt in reklam på en lång rad undersidor som tillhörde studentkåren men som låg under Chalmers huvuddomän.
– Det är aldrig roligt att vara förknippad med någon form av intrång, det ger negativ publicitet, säger Tony Ottosson Gadd, informationssäkerhetsansvarig vid Chalmers.
Men han anser att IT-hoten är under kontroll, även generellt på lärosätena.
– Jag tror att vi som universitetsmiljö ligger lite före andra eftersom vi varit en öppen miljö länge. Företags- och myndighetsvärlden är på väg att bli öppnare och de är då ovana med de följdeffekter som kommer av det.
”Lärt oss hantera”
Till skillnad från andra myndigheter och företag som haft i hög grad inlåsta lösningar har lärosätena under lång tid fått hantera säkerhetsincidenter.
– Vi har tidigt varit utsatta för risker med intrång och lärt oss att hantera dem. Vi vet att det inte är fråga om huruvida det ska hända någon säkerhetsincident utan vi vet att det kommer att hända saker hela tiden.
Han säger att Chalmers försöker få datasystemen att uppfylla en standardnivå som är avpassad för merparten av lärosätets information.
– Vi vill inte förlora information, men vi vill inte heller att den falsifieras, utan det är viktigt för oss att informationen är tillgänglig och korrekt. Vi vill också kunna kontrollera hur informationen sprids, exempelvis för att kunna skydda personuppgifter, säger Tony Ottosson Gadd.
Ledningar bör ta på allvar
Sören Berglund poängterar att säkerhet är en större fråga än datorer och nätverk.
– I framtiden måste vi bli mycket mer noggranna med säkerhetsfrågor. Jag uppmanar våra universitetsledningar att ta frågan på allvar och inse att det är viktigt för myndigheten de är chef över. Och jag vill att man börjar med informationssäkerhet. Det handlar inte bara om datorer utan man måste tänka till vad det är för information vi har som måste skyddas, det kan vara rådata i forskningen eller forskningsresultat som ska leda till patentansökningar.