DeiC konference 2021: ”På en dårlig dag kan vi god modtage 10.000 mails, der indeholder phishing og på universiteterne, står vi dagligt overfor alle tænkelige typer af it-kriminalitet,” fortæller Peter Bruun Nielsen, der CIO på Aarhus Universitet (AU), i et indlæg på DeiC konference.
”Trusselsbilledet er massivt.”
Hans pointe understreges af trusselsvurderingerne fra Center for Cybersikkerhed og i DKCERTS Trendrapport. Her vurderes risikoen for cyber-kriminalitet som ’meget høj’.
På konferencen eksemplificerede Peter Bruun Nielsen universiteternes sikkerhedsudfordring med blandt andet Technische Universität Berlin, der i april var udsat for et cyber-angreb og Maastrichts universitet, der angivelig frikøbte sig fra ransomware.
”Forskningsinstitutionerne er attraktive mål, fordi de indeholde enorme mængder data, der kan give både firmaer og nationer afgørende fordele. Samtidig må vi nok erkende, at der ikke altid en kultur, som prioriterer sikkerheden,” lød det fra scenen.
Han peger på, at forskning er baseret på tillid og udveksling, åbne grænseflader og at der ikke er en tradition for hårde politikker.
”Vi møder eksempelvis ’hjemmelavede’ systemer, der kan anvendes til en bestemt type forskning, men hvor sikkerheden ikke er tænkt ind fra starten. Det er en løbende udfordring at finde frem til den rigtige balance mellem sikkerhed og bruger.”
Automatisering, erkendelse og awareness
Sikkerhedsarbejdet på AU opererer naturligvis både på det tekniske niveau samt med awareness-træning og adfærdsændring.
”Det er umuligt at håndtere sikkerheden tilfredsstillende uden automatisering og tekniske redskaber. Det er simpelthen for omfattende at gøre det manuelt,” siger Peter Bruun Nielsen.
Teknologien skal selvfølgelig gå hånd i hånd med kompetenceudvikling og styrket awareness, hvilket eksempelvis gøres gennem planlagte phishing-kampagner på universitetet.
”Desuden skal vi erkende, at vi bliver ramt på et tidspunkt og så forberede os bedst muligt til den værst tænkelige situation.”
Nogle af nøgleordene, der arbejdes efter på AU, er:
- Ledelsen skal være med.
- Vi forbereder os på det værste, vi kan komme i tanke om.
- Find den rette blanding af teknologi og implementer i bund.
- Automatisering/AI.
- Kompetenceudvikling.
- Stærkere samarbejde mellem universiteterne.