Fra 1. februar er NTNU pålagt å slette såkalte personidentifiserende kjennetegn fra sine datalogger innen tre uker etter at hendelser er registrert. Universitetet kan heller ikke lenger behandle personopplysninger fra loggen, annet enn til drift og vedlikehold.

Må finne løsninger

- Vi er nødt til å rette oss etter Datatilsynets vedtak, men samtidig ser vi at det har noen følger som vi absolutt må finne løsninger på, sier NTNUs IT-direktør Tor Holmen.

I snart ett år har han prøvd å få Datatilsynets aksept for å få beholde logger over all datatrafikk fra NTNUs campuser og studentbyene i 90 dager.

Bakgrunnen for saken er at NTNU jevnlig får henvendelser fra rettighetshavere som mener å avdekke ulovlig fildeling blant brukere av NTNUs datasystemer. IT-avdelingens praksis har vært å videresende varselbrev til de det gjelder. I fjor høst satte Datatilsynet foten ned for denne praksisen.

LES MER: Krever sletting av datalogger

Tilsynets klare holdning er at universitetet hverken har noe med å oppbevare logger fra internettbruk i brukernes private hjem, eller noen rettslig forpliktelse til å videresende henvendelser fra rettighetshavere til filmer, musikk og så videre.

Personvern vs. It-sikkerhet

I praksis betyr dette at hensynet til personvernet stanger mot it-sikkerheten ved NTNU. I disse dager settes det ned en egen arbeidsgruppe som skal utrede følgene av Datatilsynets pålegg. I denne vil det sitte representanter fra Samskipnaden som eier av studentbyene, fra NTNU som netteier og leverandør til SiT, samt studentorganisasjonene.

- Målet er å komme frem til løsninger som både ivaretar hensynet til personvernet og IT-sikkerhet, sier Holmen, som selv skal sitte i arbeidsgruppen.

Den private bruken av NTNUs nett foregår i stor grad integrert med bruken som skjer når folk jobber eller studerer. Denne samtrafikken utgjør dermed en vesentlig større sikkerhetsrisiko for NTNU, enn for andre tilbydere der brukerne ikke har direkte tilgang til deres infrastruktur.

Låses ute fra hyblene

Når brukerne er på campus er de forpliktet til å følge NTNUs IT-reglement.

- Den store utfordringen nå er at vi blir låst i forhold til å håndtere sikkerhetsbrudd som skjer i studentbyene. Da kan det skje hendelser som vi ikke har kontroll på, som igjen kan ødelegge for brukerne på resten av campus. Vi er nødt til å løse opp i dette, I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene, sier Holmen.

For NTNU handler saken også om universitetets rennommé. I størst mulig grad ønsker man å unngå at nettsteder svartelister innkommende besøk fra NTNUs IP-adresser.

Flere hundre lovbrudd i måneden

Datanettet ved universitetet har over 30 000 brukere. Hver måned behandler IT-avdelingen flere hundre brudd på reglementet.

Overfor Datatilsynet har Tor Holmen argumentert med at mange hendelser vil stå uoppklart og fortsatt være en risiko som følge av påleggene. Hendelser som virus, malware, identitetstyveri og andre angrep har ofte en inkubasjonstid på flere måneder. I slike saker er informasjon i loggfilene ofte nøkkelen. Pålegget om å slette logger etter tre uker vil redusere muligheten til å finne og rette feil.

- Dette gjør IT-sikkerhet til en utfordring, sier Holmen, som understreker at it-avdelingen har full forståelse for – og er like opptatt av - personvern som alle andre.

NTNUs IT-direktør mener imidlertid at for å kunne levere et stabilt og sikkert nett, er en avhengig av logger for å identifisere aktivitet som truer sikkerheten.

NTNU rettslig ansvarlig

Som netteier kan NTNU også bli holdt rettslig ansvarlig for brukernes lovbrudd. Datatilsynets vedtak effektueres fra og med i dag. I sitt siste brev til tilsynet, fra november i fjor, viser IT-avdelingen til en gjennomgang fra 17. august til 17. november 2011. I denne perioden kom det inn 522 saker direkte relatert til opphavsrett. Dette tilsvarer seks saker daglig, som bare ble liggende.

Tor Holmen og sjef for IT- sikkerhet ved NTNU, Lars Strømmen, skriver at “Dette er potensielt 522 saker der NTNU kan bli holdt rettslig ansvarlig”.

Avdelingens erfaring er at 20 prosent av bruddene på IT-reglementet ikke er knyttet til opphavsrett. I disse sakene kan det dreie seg om lovbrudd og nedlasting av materiale med kriminelt innhold.

- En nettilbyder som Telenor er pålagt å oppbevare loggene sine i seks måneder, nettopp for at det skal være mulig å avdekke slike ting. Nå blir vi pålagt å slette våre logger etter tre uker, sier Tor Holmen.

I løpet av den siste toårsperioden er det behandlet 600 sikkerhetsrelaterte saker per måned ved NTNU. Universitetets IT-avdeling bruker dermed mye ressurser på å følge opp lovbrudd. Holmen er opptatt av å få frem at de ikke følger med på hva folk gjør på pc´ene sine.

- Det har vi overhode ingen interesse av. Vi agerer ikke på egen hånd. Det er kun når vi får varsel fra rettighetshavere at vi sender en skriftlig advarsel, sier NTNUs IT-direktør.