Låser IT-sikkerheten ute

Aksepterer. Allerede i august i fjor begynte IT-avdelingen forberedelsene til å rette seg etter Datatilsynets pålegg. Etter en del diskusjon og brevveksling gjennom høsten fikk direktør Tor Holmen utsatt den formelle fristen til i dag. Foto: Tor H. Monsen/Universitetsavisa

Fra og med i dag blir brudd på NTNUs IT-reglement behandlet ulikt avhengig av om lovbruddene skjer på campus eller i studentbyene. Ulovligheter på campus vil fortsatt bli slått ned på, men et nytt pålegg fra Datatilsynet låser IT-avdelingen ute fra studenthyblene.

Publisert: 01.02.2012 kl. 06:00
Endret: 01.02.2012 kl. 09:07

I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene

Tor Holmen, IT-sjef

Fra 1. februar er NTNU pålagt å slette såkalte personidentifiserende kjennetegn fra sine datalogger innen tre uker etter at hendelser er registrert. Universitetet kan heller ikke lenger behandle personopplysninger fra loggen, annet enn til drift og vedlikehold.

Må finne løsninger

- Vi er nødt til å rette oss etter Datatilsynets vedtak, men samtidig ser vi at det har noen følger som vi absolutt må finne løsninger på, sier NTNUs IT-direktør Tor Holmen.

I snart ett år har han prøvd å få Datatilsynets aksept for å få beholde logger over all datatrafikk fra NTNUs campuser og studentbyene i 90 dager.

Bakgrunnen for saken er at NTNU jevnlig får henvendelser fra rettighetshavere som mener å avdekke ulovlig fildeling blant brukere av NTNUs datasystemer. IT-avdelingens praksis har vært å videresende varselbrev til de det gjelder. I fjor høst satte Datatilsynet foten ned for denne praksisen.

LES MER: Krever sletting av datalogger

Tilsynets klare holdning er at universitetet hverken har noe med å oppbevare logger fra internettbruk i brukernes private hjem, eller noen rettslig forpliktelse til å videresende henvendelser fra rettighetshavere til filmer, musikk og så videre.

Personvern vs. It-sikkerhet

I praksis betyr dette at hensynet til personvernet stanger mot it-sikkerheten ved NTNU. I disse dager settes det ned en egen arbeidsgruppe som skal utrede følgene av Datatilsynets pålegg. I denne vil det sitte representanter fra Samskipnaden som eier av studentbyene, fra NTNU som netteier og leverandør til SiT, samt studentorganisasjonene.

- Målet er å komme frem til løsninger som både ivaretar hensynet til personvernet og IT-sikkerhet, sier Holmen, som selv skal sitte i arbeidsgruppen.

Den private bruken av NTNUs nett foregår i stor grad integrert med bruken som skjer når folk jobber eller studerer. Denne samtrafikken utgjør dermed en vesentlig større sikkerhetsrisiko for NTNU, enn for andre tilbydere der brukerne ikke har direkte tilgang til deres infrastruktur.

Låses ute fra hyblene

Når brukerne er på campus er de forpliktet til å følge NTNUs IT-reglement.

- Den store utfordringen nå er at vi blir låst i forhold til å håndtere sikkerhetsbrudd som skjer i studentbyene. Da kan det skje hendelser som vi ikke har kontroll på, som igjen kan ødelegge for brukerne på resten av campus. Vi er nødt til å løse opp i dette, I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene, sier Holmen.

For NTNU handler saken også om universitetets rennommé. I størst mulig grad ønsker man å unngå at nettsteder svartelister innkommende besøk fra NTNUs IP-adresser.

Flere hundre lovbrudd i måneden

Datanettet ved universitetet har over 30 000 brukere. Hver måned behandler IT-avdelingen flere hundre brudd på reglementet.

Overfor Datatilsynet har Tor Holmen argumentert med at mange hendelser vil stå uoppklart og fortsatt være en risiko som følge av påleggene. Hendelser som virus, malware, identitetstyveri og andre angrep har ofte en inkubasjonstid på flere måneder. I slike saker er informasjon i loggfilene ofte nøkkelen. Pålegget om å slette logger etter tre uker vil redusere muligheten til å finne og rette feil.

- Dette gjør IT-sikkerhet til en utfordring, sier Holmen, som understreker at it-avdelingen har full forståelse for – og er like opptatt av - personvern som alle andre.

NTNUs IT-direktør mener imidlertid at for å kunne levere et stabilt og sikkert nett, er en avhengig av logger for å identifisere aktivitet som truer sikkerheten.

NTNU rettslig ansvarlig

Som netteier kan NTNU også bli holdt rettslig ansvarlig for brukernes lovbrudd. Datatilsynets vedtak effektueres fra og med i dag. I sitt siste brev til tilsynet, fra november i fjor, viser IT-avdelingen til en gjennomgang fra 17. august til 17. november 2011. I denne perioden kom det inn 522 saker direkte relatert til opphavsrett. Dette tilsvarer seks saker daglig, som bare ble liggende.

Tor Holmen og sjef for IT- sikkerhet ved NTNU, Lars Strømmen, skriver at “Dette er potensielt 522 saker der NTNU kan bli holdt rettslig ansvarlig”.

Avdelingens erfaring er at 20 prosent av bruddene på IT-reglementet ikke er knyttet til opphavsrett. I disse sakene kan det dreie seg om lovbrudd og nedlasting av materiale med kriminelt innhold.

- En nettilbyder som Telenor er pålagt å oppbevare loggene sine i seks måneder, nettopp for at det skal være mulig å avdekke slike ting. Nå blir vi pålagt å slette våre logger etter tre uker, sier Tor Holmen.

I løpet av den siste toårsperioden er det behandlet 600 sikkerhetsrelaterte saker per måned ved NTNU. Universitetets IT-avdeling bruker dermed mye ressurser på å følge opp lovbrudd. Holmen er opptatt av å få frem at de ikke følger med på hva folk gjør på pc´ene sine.

- Det har vi overhode ingen interesse av. Vi agerer ikke på egen hånd. Det er kun når vi får varsel fra rettighetshavere at vi sender en skriftlig advarsel, sier NTNUs IT-direktør.

Diskuter denne saken

Innsendt av Åsmund Ervik 02.02.2012 kl 11:44

Holmen hevder at sletting av loggene vil være en utfordring for sikkerheten. Det nevnes "Hendelser som virus, malware, identitetstyveri ..." men det gis ingen forklaring på hvordan nett-loggene til NTNU skal være til hjelp i slike tilfeller. Virus og malware etterlater tydelige spor på den infiserte maskinen; her gir nettloggene ingen ytterligere informasjon. Ved identitetstyveri er det også vanskelig å se hvordan nettloggene til NTNU skal bidra til å løse problemet for de involverte; igjen finnes alt av informasjon lagret på PCen til den som har blitt utsatt for identitetstyveri. Det kan tenkes at nettloggene vil være verdifulle dersom det er studenter ved NTNU som bedriver identitetstyveri; dette ville vært slått opp som en stor sak i nasjonale media dersom det hadde forekommet, så vi kan anta at det ikke har forekommet tilfeller av dette.

Her må nok IT-direktøren komme med bedre argumenter, og UA burde kanskje drive journalistikk og stille kritiske spørsmål? I bunn og grunn virker det som at Holmen ikke liker at studenter driver piratkopiering via hans nettverk, noe han selvfølgelig har lov til, men Holmen og NTNUs ønsker må nok vike for personvernet i denne saken. Man går vel heller ikke gjennom alle studentenes eposter for å slå ned på f.eks. narkotikasalg eller andre ulovligheter? (Selvfølgelig unntatt dersom politiet har skjellig grunn til mistanke av en bestemt student.)

Innsendt av Espen Skarsbø Olsen 01.02.2012 kl 08:48

Endelig slipper vi at IT-avdelinga skal leke politi på studentbyene. Ingen andre nettleverandører i Norge bruker tid på å følge opp brudd på opphavsretten, og jeg syns det har vært en sløsing med universitetets ressurser å gjøre det.

"Universitetets it-avdeling bruker dermed mye ressurser på å følge opp lovbrudd."

Og 80 % av tiden brukes i følge dem på mulige brudd på opphavsretten. Det vil si at 80 % av de mange ressursene som har blitt brukt på å følge opp lovbrudd kan brukes på å få bedre oppetid på systemene til NTNU, eller andre viktigere ting.

Innsendt av Trond Mehamn 02.02.2012 kl 16:14

Vel, da er jo spørsmålet om NTNU vil være i stand til å opprettholde leveransen til studentbyene, eller om denne må settes bort til private selskaper. Dersom man sammenligner kostnaden for det som leveres i dag med kostnad for tilsvarende leveranse fra private firma vil kanskje ting ikke se så lyst ut for studentene allikevel?

Innsendt av Espen Skarsbø Olsen 06.02.2012 kl 12:33

Det vil nok bli dyrere å bruke noen andre ja, men må man det?

"Vi er nødt til å løse opp i dette, I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene"

Er det ikke mulig å levere tjenestene, med andre IP-adresser til studentbyene? Slik at man må bruke VPN eller lignende for å komme på NTNUs nett, slik det er blant annet med NTNUs trådløse gjestenett(?)?

Og hva vil prisen egentlig bli for å kjøpe tjenester fra andre, når man allerede har infrastrukturen på plass? Kan eventuelt SiT opprette sitt eget fiberselskap og selge internett til seg selv til kostpris?

 

Skriv ny kommentar

Tittel *

Kommentar *

Fornavn *

Etternavn *

E-post *

 

Universitetsavisa ønsker en åpen og saklig debatt. Vi forbeholder oss retten til å forkorte, redigere og eventuelt fjerne innlegg. Klikk her for å lese alle reglene for debatten.

På forsiden nå

1 900 flere p-poeng på ti år

Ingen har økt publiseringsraten sin som NTNU. Men er det et kvalitets- så vel som et kvantitetstegn?

 

Tilbake til fremtiden

Internett ga oss all verdens kunnskap ved et tastetrykk. Nå vil tidligere NTNU-studenter gi deg tilgang på den offline.

 

Studentene samlet for nytt idrettsbygg

I noe som kunne minne om en protestmarkering markerte Velferdstinget, NTNUI og HISSI at de vil ha et nytt idrettsbygg ved Prinsen kinosenter.

 

Må ut innen to uker

De iranske forskernes talskvinne, NTNU-stipendiaten Hamideh Kaffash, må forlate Norge innen to uker.

Færre biler på Gløs - flere må ta beina fatt

Mandag blir det nytt parkeringsregime ved NTNU. Bilene skal rulles vekk fra Gløshaugenplatået, og folk oppfordres til å busse, sykle eller bruke apostlenes hester til jobb.

Datalogger ved NTNU

  • Bakgrunnen for saken er at NTNU jevnlig får henvendelser fra rettighetshavere som mener å avdekke ulovlig fildeling blant brukere av NTNUs datasystemer.
  • IT-avdelingens praksis har vært å videresende varselbrev til dem det gjelder. I fjor høst satte Datatilsynet foten ned for denne praksisen.
  • Tilsynets holdning er at universitetet hverken har noe med å oppbevare logger fra internettbruk i brukernes private hjem, eller noen rettslig forpliktelse til å videresende henvendelser fra rettighetshavere.
  • NTNU protesterte på vedtaket, og argumenterte blant annet med hensyn til it-sikkerhet. Universitetet ønsker å oppbevare logger i 90 dager.
  • Rett før jul opprettholdt tilsynet sitt vedtak fra september i år, om at NTNU skal slette såkalte personidentifiserende kjennetegn, som IP-adresser
  • Sletting fra logger må skje innen tre uker etter at hendelser er registrert.
  • Tilsynet slo også fast at IT-avdelingen ikke har lov å behandle personopplysninger fra loggen ut over eget behov for drift og vedlikehold.
  • Dette setter en stopper for IT-avdelingens praksis med å videresende advarsler til brukere ved mistanke om ulovlig nedlasting.