Personopplysninger på frifot
Det er enkelt å glemme hvor mange digitale fotavtrykk vi etterlater oss. Kan vi stole blindt på at de som er satt til å forvalte avtrykkene våre, ikke lider samme skjebne som Toten kommune og en sjekke-app for homofile?
Personvern er et ord som stadig dukker opp i retten, i debatter og på de fleste mobiler hver dag. For mange er det nok likevel et litt svevende begrep som man ikke helt vet hvordan man skal forholde seg til. På NTNU Dragvoll kan det virke som om flere studenter har et ganske lite bevisst forhold til personvernet sitt.
– Jeg har ikke noe problem med å trykke «ja» når informasjonskapsler ber meg samtykke, sier dragvollstudent Isak Kvandal, mens de andre studentene rundt bordet nikker.
Marte Madslien Bakken understreker at hun som oftest velger et «kun nødvendige informasjonskapsler»-alternativ når det er tilgjengelig, men at det blir slitsomt å skulle være bevisst hele tiden.
Når man registerer seg som student hos NTNU, gir man universitetet tilgang til en viss mengde informasjon om seg. Student Erlend Wikstrøm mener det er lite sannsynlig at NTNU misbruker studenters personopplysninger.
Han og student Sander Stubban stoler på at NTNU behandler dataene deres på en god måte og har ikke selv gått inn og sjekket GDPR-retningslinjene til NTNU.
– Jeg er mer kritisk til Inspera, Blackbord og de andre plattformene vi bruker hvor det ligger informasjon som kanskje NTNU ikke har full kontroll over, legger Stubban til.
Trygg roaming på Eduroam
Stian Husemoen er seksjonssjef for digital sikkerhet ved NTNU. Han forteller at det verken er teknisk eller praktisk mulig for NTNU å overvåke eller lagre ansattes eller studenters søkehistorikk. Både fordi Eduroam er et lukket kryptert nettverk og fordi trafikken mellom de fleste nettsider og datamaskiner uansett krypteres som standard gjennom HTTPS-protokollen.
– NTNU oppgir på egne nettsider at universitetet som offentlig organ er underlagt arkivplikt, og at en rekke opplysninger derfor kan begrenses eller slettes. Hvilke opplysninger gjelder dette for?
– I det store og hele gjelder det person- opplysninger rundt ansettelsesforhold, lønn og godtgjørelser for ansatte. I tillegg gjelder det opplysninger rundt studieløp og vitnemål for studenter, samt informasjon som er del av en saksbehandlinger, sier han.
På spørsmål om han oppfatter ansatte og studenters personopplysninger som særlig ettertraktede angrepsmål, svarer han at dette varierer med aktørene og typen dataangrep.
– Noen trusselaktører er ute etter å lure til seg kredittkort og bankinformasjon, mens andre er mest opptatt av selve brukerkontoen for å få tilgang til NTNUs nettverk for videre angrep, sier han.
LES OGSÅ: Digital dugnad med tofaktorautentisering
Lekket på det mørke nettet
Husemoen understreker at beskyttelse av personopplysninger er et stort fokus for NTNU.
– Noen ransomware-grupper har tidligere brukt lekking av personopplysninger som en del av ut- pressingsfasen. Det ble blant annet gjort i dataangrepet på Østre Toten.
Det aktuelle dataangrepet som skjedde januar 2021, er det mest omfattende som hittil har blitt rettet mot en norsk kommune. Kommunen valgte å ikke gi etter for løsepengeviruset, men led likevel tap på 35 millioner kroner i arbeidstimer og tapt datautstyr.
Som om ikke det var nok, ble kommunen idømt en bot på 4 millioner kroner av Datatilsynet, som mente at det ikke var blitt gjort en god nok jobb med å ta vare på personopplysningene som ble lekket.
Kun to måneder senere ble nemlig deler av den innsamlede dataen, en såkalt «database dump», sluppet på det mørke nettet. Ifølge konsulentselskapet KPMG, som ble hyret inn til å gjennomgå dataene, var det blant annet personopplysninger fra kommunens voksenopplæring som hadde blitt delt.
65 millioner i bot til deiting-app
– Slike saker illustrerer hvor sårbart et digitalt samfunn er og hvor store skadevirkninger et cyberangrep kan få, sier Janne Dahl fra Datatilsynet. Hun forteller at antallet avviksmeldinger for brudd på personvernforordningen, som populært går under forkortningen GDPR; «General Data Protection Regulation», har økt til omtrent 600 i året.
Dahl forteller at de vanligste avvikene som blir meldt inn, stort sett dreier seg om ulovlig utlevering av personopplysninger via mobil-apper, overvåkning på arbeidsplassen og ulovlig innhenting av kredittopplysninger.
Siden personvernforordningen ble innført i EU og EØS i 2018, har tilsynet hatt mandat til å ilegge bøter til virksomheter som ikke overholder ordningen. Det kan straffe seg å ikke bry seg om GDPR; tilsynet har mandat til å gi bøter på opp mot 200 millioner.
De aller dyreste bøtene forbeholdes som regel store virksomheter med et slepphendt forhold til GDPR. Det fikk blant annet sjekke-appen Grindr erfare, da de i 2021 ble idømt en bot på 65 millioner. Begrunnelsen var at appen hadde utlevert personopplysninger til tredjeparter for adferdsbasert markedsføring.
Det offentlige er gjennomdigitalisert
– Digitalisering er et viktig gode, men gir også utfordringer når store strømmer av data sammenstilles i ulike systemer, sier Dahl.
Hun mener at offentlige virksomheter er nødt til å passe godt på sikkerheten og ha kontroll på den mengden med data som forvaltes. Hun trekker spesielt frem skolen som en arena med digitale voksesmerter.
– Store kommersielle teknologiplatformer, ulike teknologiske verktøy og digitale løsninger som kanskje ikke har blitt testet godt nok, brukes i skolen. Vi mener at Norge ikke har god nok kontroll over hva som faktisk skjer med persondataene til elever over hele landet, samtidig som det rulles ut digitale helseplatformer og systemer som behandler gigantiske mengder mengder med persondata om borgere i hele landet.
– Formålet er godt, men det er viktig å passe på at det bygges inn personvernvennlig teknologi i løsningene, og sørge for en forsvarlig forvaltning med gode tekniske og organisatoriske rutiner, sier hun.
LES OGSÅ: Ukultur på filosofistudiet: – Det var «guttastemning» og Jordan Peterson-vibber
Tofaktor-triumf
Gullik Gundersen er underdirektør i Nasjonalt cybersikkerhetssenter. Han forteller at senteret de siste årene har observert en økning i ondsinnet aktivitet rettet mot norske virksomheter, men at angrepsbildet har endret seg noe.
– I første halvdel av 2022 registrerte vi en økning i antallet forsøk på kompromitteringer, men antallet faktiske kompromitteringer var lavere enn for samme periode for 2021.
Gundersen ønsker ikke å spekulere i hva som kan være årsakene, men understreker at grunnene til endringene i observert aktivitet kan være sammensatte.
– Det er viktig å huske at fravær av bevis ikke er bevis på fravær, sier han.
Husemoen forteller at antallet sikkerhetshendelser halverte mellom 2021 og 2022. Fra å håndtere omtrent 1500 i året, falt disse med hele 52 prosent.
– Det er i hovedsak innføring av tofaktorautentisering som er årsak til dette. De fleste hendelsene er ikke av alvorlig karakter og håndteres av Seksjon for digital sikkerhet uten videre konsekvens for NTNU.
Forskningsvirksomheter spesielt utsatt
Statistikk fra Nasjonal sikkerhetsmyndighet viser at særlig forskning- og utviklingsbedrifter, teknologibedrifter og offentlige forvaltningsorganer er utsatte for ulike typer cyberangrep.
– Det samsvarer med utviklingen vi har sett de siste årene og understreker viktigheten av at virksomheter i disse sektorene er særlig årvåkne. Det gjelder både universiteter og forsknings- institusjoner, sier Gundersen.
– Hva oppfatter dere som de vanligste angrepsformene for angripere som setter seg utdanningsinstitusjoner som mål?
– Flere aktører har nå et bredt spekter av angrepsmetoder, fra enkle til svært avanserte. Flere virksomheter rammes av digital utpressing gjennom løsepengevirus. I tillegg benyttes også tjenestenektangrep som et ledd i en påvirkningsoperasjon, eller rett og slett som hærverk, sier han.
Han legger til at statlige aktører gjerne har en mer langsiktig og langsom tilnærming til dataangrep og på den måten skiller seg fra mer opportunistiske datasnoker som gjerne er mer økonomiske motiverte.
– De utnytter kombinasjoner av virkemidler som cyberoperasjoner, påvirkningsoperasjoner, posisjonering i forskningssamarbeid og oppkjøp og investeringer. Det er det viktig at virksomheter som universiteter og forskningsinstitusjoner er bevisste på, avslutter han.
LES OGSÅ: Dette er dem som ønsker seg inn i NTNU-styret