Låser IT-sikkerheten ute

Fra og med i dag blir brudd på NTNUs IT-reglement behandlet ulikt avhengig av om lovbruddene skjer på campus eller i studentbyene. Ulovligheter på campus vil fortsatt bli slått ned på, men et nytt pålegg fra Datatilsynet låser IT-avdelingen ute fra studenthyblene.

Fra 1. februar er NTNU pålagt å slette såkalte personidentifiserende kjennetegn fra sine datalogger innen tre uker etter at hendelser er registrert. Universitetet kan heller ikke lenger behandle personopplysninger fra loggen, annet enn til drift og vedlikehold.

Må finne løsninger

- Vi er nødt til å rette oss etter Datatilsynets vedtak, men samtidig ser vi at det har noen følger som vi absolutt må finne løsninger på, sier NTNUs IT-direktør Tor Holmen.

I snart ett år har han prøvd å få Datatilsynets aksept for å få beholde logger over all datatrafikk fra NTNUs campuser og studentbyene i 90 dager.

Bakgrunnen for saken er at NTNU jevnlig får henvendelser fra rettighetshavere som mener å avdekke ulovlig fildeling blant brukere av NTNUs datasystemer. IT-avdelingens praksis har vært å videresende varselbrev til de det gjelder. I fjor høst satte Datatilsynet foten ned for denne praksisen.

LES MER: Krever sletting av datalogger

Tilsynets klare holdning er at universitetet hverken har noe med å oppbevare logger fra internettbruk i brukernes private hjem, eller noen rettslig forpliktelse til å videresende henvendelser fra rettighetshavere til filmer, musikk og så videre.

Personvern vs. It-sikkerhet

I praksis betyr dette at hensynet til personvernet stanger mot it-sikkerheten ved NTNU. I disse dager settes det ned en egen arbeidsgruppe som skal utrede følgene av Datatilsynets pålegg. I denne vil det sitte representanter fra Samskipnaden som eier av studentbyene, fra NTNU som netteier og leverandør til SiT, samt studentorganisasjonene.

- Målet er å komme frem til løsninger som både ivaretar hensynet til personvernet og IT-sikkerhet, sier Holmen, som selv skal sitte i arbeidsgruppen.

Den private bruken av NTNUs nett foregår i stor grad integrert med bruken som skjer når folk jobber eller studerer. Denne samtrafikken utgjør dermed en vesentlig større sikkerhetsrisiko for NTNU, enn for andre tilbydere der brukerne ikke har direkte tilgang til deres infrastruktur.

Låses ute fra hyblene

Når brukerne er på campus er de forpliktet til å følge NTNUs IT-reglement.

- Den store utfordringen nå er at vi blir låst i forhold til å håndtere sikkerhetsbrudd som skjer i studentbyene. Da kan det skje hendelser som vi ikke har kontroll på, som igjen kan ødelegge for brukerne på resten av campus. Vi er nødt til å løse opp i dette, I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene, sier Holmen.

For NTNU handler saken også om universitetets rennommé. I størst mulig grad ønsker man å unngå at nettsteder svartelister innkommende besøk fra NTNUs IP-adresser.

Flere hundre lovbrudd i måneden

Datanettet ved universitetet har over 30 000 brukere. Hver måned behandler IT-avdelingen flere hundre brudd på reglementet.

Overfor Datatilsynet har Tor Holmen argumentert med at mange hendelser vil stå uoppklart og fortsatt være en risiko som følge av påleggene. Hendelser som virus, malware, identitetstyveri og andre angrep har ofte en inkubasjonstid på flere måneder. I slike saker er informasjon i loggfilene ofte nøkkelen. Pålegget om å slette logger etter tre uker vil redusere muligheten til å finne og rette feil.

- Dette gjør IT-sikkerhet til en utfordring, sier Holmen, som understreker at it-avdelingen har full forståelse for – og er like opptatt av - personvern som alle andre.

NTNUs IT-direktør mener imidlertid at for å kunne levere et stabilt og sikkert nett, er en avhengig av logger for å identifisere aktivitet som truer sikkerheten.

NTNU rettslig ansvarlig

Som netteier kan NTNU også bli holdt rettslig ansvarlig for brukernes lovbrudd. Datatilsynets vedtak effektueres fra og med i dag. I sitt siste brev til tilsynet, fra november i fjor, viser IT-avdelingen til en gjennomgang fra 17. august til 17. november 2011. I denne perioden kom det inn 522 saker direkte relatert til opphavsrett. Dette tilsvarer seks saker daglig, som bare ble liggende.

Tor Holmen og sjef for IT- sikkerhet ved NTNU, Lars Strømmen, skriver at “Dette er potensielt 522 saker der NTNU kan bli holdt rettslig ansvarlig”.

Avdelingens erfaring er at 20 prosent av bruddene på IT-reglementet ikke er knyttet til opphavsrett. I disse sakene kan det dreie seg om lovbrudd og nedlasting av materiale med kriminelt innhold.

- En nettilbyder som Telenor er pålagt å oppbevare loggene sine i seks måneder, nettopp for at det skal være mulig å avdekke slike ting. Nå blir vi pålagt å slette våre logger etter tre uker, sier Tor Holmen.

I løpet av den siste toårsperioden er det behandlet 600 sikkerhetsrelaterte saker per måned ved NTNU. Universitetets IT-avdeling bruker dermed mye ressurser på å følge opp lovbrudd. Holmen er opptatt av å få frem at de ikke følger med på hva folk gjør på pc´ene sine.

- Det har vi overhode ingen interesse av. Vi agerer ikke på egen hånd. Det er kun når vi får varsel fra rettighetshavere at vi sender en skriftlig advarsel, sier NTNUs IT-direktør.

Aksepterer. Allerede i august i fjor begynte IT-avdelingen forberedelsene til å rette seg etter Datatilsynets pålegg. Etter en del diskusjon og brevveksling gjennom høsten fikk direktør Tor Holmen utsatt den formelle fristen til i dag.
(Foto: Tor H. Monsen/Universitetsavisa)

Aksepterer. Allerede i august i fjor begynte IT-avdelingen forberedelsene til å rette seg etter Datatilsynets pålegg. Etter en del diskusjon og brevveksling gjennom høsten fikk direktør Tor Holmen utsatt den formelle fristen til i dag. Foto: Tor H. Monsen/Universitetsavisa

I praksis kan vi trolig ikke fortsette med at NTNU leverer tjenester med våre IP-adresser til studentbyene

Tor Holmen, IT-sjef
Datalogger ved NTNU
  • Bakgrunnen for saken er at NTNU jevnlig får henvendelser fra rettighetshavere som mener å avdekke ulovlig fildeling blant brukere av NTNUs datasystemer.
  • IT-avdelingens praksis har vært å videresende varselbrev til dem det gjelder. I fjor høst satte Datatilsynet foten ned for denne praksisen.
  • Tilsynets holdning er at universitetet hverken har noe med å oppbevare logger fra internettbruk i brukernes private hjem, eller noen rettslig forpliktelse til å videresende henvendelser fra rettighetshavere.
  • NTNU protesterte på vedtaket, og argumenterte blant annet med hensyn til it-sikkerhet. Universitetet ønsker å oppbevare logger i 90 dager.
  • Rett før jul opprettholdt tilsynet sitt vedtak fra september i år, om at NTNU skal slette såkalte personidentifiserende kjennetegn, som IP-adresser
  • Sletting fra logger må skje innen tre uker etter at hendelser er registrert.
  • Tilsynet slo også fast at IT-avdelingen ikke har lov å behandle personopplysninger fra loggen ut over eget behov for drift og vedlikehold.
  • Dette setter en stopper for IT-avdelingens praksis med å videresende advarsler til brukere ved mistanke om ulovlig nedlasting.
Aksepterer. Allerede i august i fjor begynte it-avdelingen forberedelsene til å rette seg etter Datatilsynets pålegg. Etter en del diskusjon og brevveksling gjennom høsten fikk de utsatt den formelle fristen til i dag.
(Foto: Tor H. Monsen)

Aksepterer. Allerede i august i fjor begynte it-avdelingen forberedelsene til å rette seg etter Datatilsynets pålegg. Etter en del diskusjon og brevveksling gjennom høsten fikk de utsatt den formelle fristen til i dag. Foto: Tor H. Monsen

Relaterte artikler

Krever sletting av datalogger

Datatilsynet nekter NTNU å oppbevare og bruke personopplysninger fra studenters IT-logger. NTNUs hensikt har vært å føre kontroll med at studentene ikke misbruker systemet ved å drive ulovlig fildeling. Nå forlanger tilsynet at NTNU umiddelbart sletter dataloggene.

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

Toril Nagelhus Hernes blir NTNUs nye prorektor for nyskaping

Tre kvinner og tre menn ansatt som nye instituttledere.

Vil fjerne fellesfag for tusenvis av studenter

Ex. fac. og perspektivemnet blir trolig fjernet som obligatoriske fellesemner av NTNU-styret onsdag, men studentene ved de tidligere høyskolene får 15 nye obligatoriske studiepoeng.

Nå kommer tiltakene:

Mangler kunnskap om etnisk mangfold

Det etniske mangfoldet øker, men store kunnskapshull må tettes for å få et godt mangfold i akademia. Nå kommer rådene, men det finnes ingen tiltak som passer alle.

NTNU ønsker seg flere av stipendiatstillingene

NTNUs rektor priser seg lykkelig over at budsjettforliket ikke førte til større effektiviseringskutt enn 0,8 prosent.