NTNU leter ikke etter IMSI-fangere

Aftenposten har avdekket at såkalte IMSI-catchere er plassert på flere strategiske steder i Oslo. Har dere gjort noen undersøkelser om det finnes lignende utstyr plasser i – eller rundt – NTNUs bygninger?

- Nei, ledelsen ved NTNU har ikke bestilt slike undersøkelser, sier Munkeby.

Har dere da planer om å foreta en slik kartlegging?

- Nei, dette har så langt ikke vært vurdert. Hvis slike undersøkelser skal utføres så ligger etter vår mening ansvaret for gjennomføringen hos teleoperatørene og sikkerhetsmyndighetene.

LES OGSÅ Bygger IMSI-fnger for 15 000,-

Barrierer mot snoking

I Oslo kan det virke som om både det politiske miljøet og det strategisk viktige næringslivet er målet for overvåkningen. NTNU er en organisasjon som driver med forskning i verdensklasse. Hva har NTNU gjort for å sikre seg mot at kommunikasjon generelt, og mobiltrafikk spesielt, ikke blir overvåket eller utsatt for spionasje?

- Vi har jobbet mye for å etablere barrierer mot "snoking" i våre systemer. For eksempel så er all trådløs kommunikasjon på NTNUs WiFI-nett, Eduroam, kryptert. Vi har også retningslinjer for hvordan informasjon skal klassifiseres og behandles. Samtidig er det umulig å gi noen garanti for at vår kommunikasjon ikke blir overvåket. NTNU er et stort hus med mange vinduer mot omverden. Vi vil være naive hvis vi tror at det ikke kan finnes et vindu noe sted som står på gløtt.

Innfører dere ytterligere sikkerhetstiltak i lys av Aftenpostens avsløringer?

- Vi jobber hele tiden for å forbedre sikkerheten i våre IT-systemer, men det er arbeid som skjer uavhengig av avsløringene i Aftenposten. Avisoppslagene nå er bare enda en bekreftelse på at vi alle må se på mobiltelefonen som en kommunikasjonskanal med relativt lav sikkerhet.

Jevnlig kontakt med PST

UA og flere andre medier har skrevet flere artikler om at doktorgradsstipendiater fra Iran ikke får lov til å studere ved NTNU, på grunn av at PST vurderer det som en fare for at Iran kan få teknologi som kan brukes til å utvikle masseødeleggelsesvåpen. Har dere et bevisst forhold til at fremmede makter kan ønske å overvåke NTNU-ansatte, eller få hendene i NTNU-forskning?

- Jeg mener at vi har det. Vi har jevnlig kontakt med PST og legger stor vekt på å følge opp sikkerhetsrådene som vi får fra dem.

Har muligheten for at fremmede makter kan være interessert i å overvåke enkelte miljøer ved NTNU vært diskutert, og er det satt i verk spesielle sikkerhetstiltak rettet bestemt mot å forhindre dette?

- Ja vi er klar over dette, og forsøker å beskytte oss blant annet mot ulike typer innbruddsforsøk på dataanleggene ved NTNU. Vi har blant annet som policy at programvaren og utstyret som vi bruker så langt det er mulig skal være oppdatert i tråd med leverandørenes anbefalinger.

- Send ikke hemmelig info per epost

Kan NTNU-ansatte føle seg trygge på at deres samtaler, sms-er, mailutvekslinger og lignende ikke blir overvåket?

- Som tidligere nevnt er det umulig å gi en slik garanti. E-post og telefoni er offentlige tjenester, med de fordeler og begrensninger som det innebærer. Teleoperatørene styrer den tekniske sikkerheten, mens vi blant annet har utarbeidet regelverk for håndtering av sensitive opplysninger og IT- reglementet, som våre ansatte og studenter må rette seg etter. Vi har også rutiner for bruk av skytjenester, og vi tilbyr sikker lagring av informasjon fra forskningsprosjekter. Som brukere må vi alle være klar over at når en e-post forlater NTNUs e-posttjener så vil innholdet i teorien kunne leses av en tredjepart som avlytter datapakker i nettet. Dette er en viktig grunn til at man ikke bør sende konfidensiell informasjon i e-post.

Har dere noe kontrollsystem som registrerer om det foregår overvåkning enten av telefon og mail?

- Nei. Vi mener at dette er myndighetenes ansvar.

Hva er den største sikkerhetsrisikoen ved NTNU med tanke på at sensitive opplysninger og forskningshemmeligheter kan komme på avveie?

- Den største risikoen er manglende etterlevelse av rutiner og retningslinjer. Dette gjelder både blant dem som er ansvarlig for teknisk oppsett og drift av IT-systemene, og blant brukerne, sier organisasjonsdirektør Ida Munkeby.