Riksrevisjonen brøt seg inn på datasystemene til tre norske forskningsinstitusjoner. Det var total sikkerhetssvikt.
Riksrevisjonen brøt seg inn på datasystemene til tre norske forskningsinstitusjoner. Det var total sikkerhetssvikt.

Snille folk tok kontroll over norske forsknings­institusjoner. Hva hadde skjedd om de var slemme?

KOMMENTAR: Riksrevisjonens rapport om sikkerhetshullene ved norske forskningsinstitusjoner er alarmerende.

Trusselsituasjonen mot norske forskningsmiljøer er reell. Land som ønsker snarveier til rask utvikling av kunnskap, er interessert i hva norske forskere driver med.

Noen bruker metoder som å bli godt kjent med enkeltforskere, andre går via datamaskinene og prøver å hente det de trenger. Det siste bekymrer Riskrevisjonen, særlig etter at de har gjort en innbruddstest. Det fortalte riksrevisor Karl Eirik Schjøtt-Pedersen da han la frem Riksrevisjonens funn 17. januar 2024.

Riksrevisjonen mener at norsk forskning er er interessant både for utenlandsk etterretning og for kommersielle firmaer med tvilsomme metoder.

Så hvordan beskytter universitetene, høyskolene og forskningsinstituttene sine forskningsata mot datainnbrudd?

Total svikt i sikkerheten

Vi har ikke det fulle bildet, men rapporten viser klare eksempler på problemer. Gjennom tre målrettede innbrudd testet Riksrevisjonen sikkerheten ved tre utvalgte institusjoner.

Dette var snille tester, fordi det var norske myndigheter som sto bak, men kunne like gjerne ha vært gjennomført av personer, organisasjoner og land med onde hensikter.

Innbruddene avslørte total svikt. Ved to av institusjonene kunne Riksrevisjonen ta full kontroll over IT-infrastrukturen. Det innebar at de kunne valse rundt og finne det de trengte, eller ta over systemene og låse dem for de som eier dem.

Ved den tredje institusjonen fikk de ikke full kontroll, men de fikk god tilgang til forskernes PC-utstyr og skylagring. Dette innebærer en stor risiko for lekkasje av sensitiv forskningsinformasjon, inkludert personopplysninger og data av betydning for nasjonal sikkerhet.

En naiv historikk

Det er på en side rystende, men på den annen side ikke så overraskende. Sikkerhetstenkningen ved norske forskningsinstitusjoner har ikke alltid vært åpenbar. Den har i hvert fall variert.

PSTs liste over forskningsområder av særlig interesse for fremmede stater:

  • metallurgi 
  • nanoteknologi 
  • cybersikkerhet 
  • kryptografi 
  • robotikk og autonomi 
  • bioteknologi 
  • kjemi 
  • mikro-elektromekaniske systemer 
  • akustikk og kjernefysikk

Da Kina og Norge fikk normalisert sitt forhold igjen etter Nobelpris-krisen for en del år siden, ble flyene til Beijing raskt fylt opp med norske forskere og forskningsledere. Mange hadde med seg egne PC-er og mobiler. Det var ikke akkurat anbefalt. Eller «pinlig og naivt», som en sikkerhetsrådgiver omtalte det som.

Naiviteten bør ha dempet seg noe nå. Sikkerhetsmyndighetene har advart mot dette i årevis.

Forsvarets etterretningstjeneste (E-tjenesten), Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) har alle tre pekt på forskning som mål for onde hensikter. Samlet viser de tre sikkerhetsmyndighetene et bilde av nasjoner som både vil knytte kontakter med norske forskningsmiljøer for å få ut informasjon, og nasjoner som vil gjøre nettopp sånne ting som Riksrevisjonen gjorde, de bryter seg inn.

Spionasje på første klasse

I E-tjenesten trusselvurdering for 2023 konstateres det tørt om Kina at «forsknings- og utviklingsmiljøer i Norge blir forsøkt utnyttet for å øke militær evne».

I PSTs trusselvurdering for 2023 konstateres det like klart: «Norske forsknings- og utdanningsinstitusjoner vil utnyttes til ulovlig kunnskapsoverføring.» Vil utnyttes der altså, ikke noe rom for spekulasjon om at det kanskje kommer til å skje. Det kommer til å skje, mener PST.

Og PST mener det har skjedd. De gir til og med et malerisk eksempel: «Klassisk kinesisk fremgangsmåte er å invitere aktuelle personer til Kina. Det kan gjerne begynne med at forskeren blir spurt om å skrive en artikkel for en kinesisk tenketank, mot god betaling. Deretter blir vedkommende invitert til konferanser i Kina, med alle utgifter dekket. Videre fortsetter relasjonsbyggingen i ulike sosiale sammenhenger. I realiteten er målet å få vedkommende til å dele sensitiv informasjon.»

Skal det først skje, er dette kanskje den hyggeligste måten å bli lurt på, med en flybillett på første klasse. Verre er det med datainnbrudd du knapt vet om at skjer. To av de norske institusjonene som ble testet med datainnbrudd, oppdaget det ikke. Den siste oppdaget det etter fire dager.

Trusselaktiviteten avtar mot norske forskningmiljøer

Et lite lysglimt kan vi kanskje sporte i NSMs rapport for 2023, der de omtaler cyberangrep: «Tidligere år har NSM observert et høyt trykk av trusselaktivitet mot universiteter og andre virksomheter i sektoren forskning og utvikling. Denne aktiviteten har det siste året avtatt noe.»

Det betyr ikke at det er borte. 11 prosent av cyberangrep mot norske mål i 2022 var rettet mot forskning. Andelen som var rettet mot forsvarssektoren? Også 11 prosent.

Så hva må skje? Vel, det første har skjedd: Riksrevisjonen ser ut til å ha gjort en god jobb med å vise manglene i systemene. Det gjelder både sentralt, på departement- og direktoratnivå, og ved enkeltinstitusjoner.

Nå må det følges opp. Sånn sett var det svært betimelig at statsråd for forskning- og høyere utdanning, Sandra Borch, også tok opp sikkerheten i forskningssamarbeid i sin tale til forsknings- og høyere utdanningssektoren 16. januar.

Kartlegger sensitive fagområder

I august la regjeringen frem nye retningslinjer for ansvarlig internasjonalt kunnskapssamarbeid. I tillegg har Kunnskapsdepartementet nedsatt en arbeidsgruppe som skal kartlegge sensitive fagområder, og gradere dem i åpen, skjermingsverdig og gradert kunnskap.

Det er krevende å sikre en så stor sektor som forskningssektoren. Det krever oppmerksomhet og informasjon i styrerommene og hos den enkelte forsker. Og det er vanskelig å gjennomføre systematisk i en sektor som både skal håndtere åpen tilgang til forskning, og svært sensitiv informasjon. 

Ikke minst blir det et stadig mer krevende arbeid med utviklingen av kunstig intelligens. Det er en teknologi som kan gjøre det enda enklere og raskere å utnytte sårbarheter i sikkerhetssystemer.

Et sted å begynne er å få oversikt over alt som kan være sensitivt og at sikkerhetssystemene er på plass. Men også at de stadig utvikles i takt med teknologien.

Og så husk å bytt passord, da.


LES OGSÅ:



Powered by Labrador CMS