Sikkerhed i forskningen

Beskyt dine data som forsker

Disse råd fra sikkerhedsorganisationen DKCERT skal hjælpe forskere med at beskytte deres forskningsdata mod at blive misbrugt eller gå tabt.

Hvis du som forsker ikke har styr på informationssikkerheden, kan det få alvorlige konsekvenser:

  • Uvedkommende kan få adgang til dine forsøgsdata eller konklusioner, før du har offentliggjort dem
  • Hvis data indeholder personfølsomme oplysninger, kan du blive tiltalt for at overtræde persondatalovgivningen
  • Og har du ikke beskyttet dine data, kan de forsvinde, dagen før du skal begynde at analysere dem

På nettet kan du finde mange fornuftige råd om informationssikkerhed generelt. De er også relevante for forskere. Her har DKCERT samlet en række råd med fokus på de problemstillinger, der er specielle for forskere.

Al informationssikkerhed handler om at beskytte tre aspekter af data:

  • Integritet – uvedkommende må ikke ændre data
  • Tilgængelighed – brugerne kan tilgå de data, de skal bruge
  • Fortrolighed – kun rette vedkommende må tilgå data

Når du går i gang med et nyt projekt, kan du begynde med at overveje, hvilke data du skal behandle. Inddel dem i klasser alt efter, hvor følsomme eller vigtige de er.

Når du har identificeret dine data, kan du foretage en risikovurdering, der bygger på klassificeringen: Hvilke risici kan true mine kritiske data? Hvad kan jeg gøre for at mindske risikoen?

Husk: Det er altid dataejerens ansvar at beskytte data.

Beskyt lagrede følsomme data

Når du arbejder med fortrolige data, skal de beskyttes mod, at uvedkommende får adgang til dem. Du kan sikre fortroligheden med systemer til adgangskontrol. For at øge sikkerheden kan du supplere adgangskontrollen med kryptering. Det gør, at data er kodet, så selvom uvedkommende skulle få adgang, kan de ikke læse dem uden at have den rette nøgle.

Tilgængeligheden kan du sikre ved hjælp af sikkerhedskopiering. Så har man en kopi, hvis data går tabt i en brand eller fordi en harddisk går i stykker. Eller du kan have to systemer i drift sideløbende.

Som regel vil du som forsker ikke selv skulle implementere adgangskontrol, kryptering eller sikkerhedskopiering. Men du skal sikre dig, at de it-systemer, du får stillet til rådighed, leverer den nødvendige beskyttelse.

Hvis du vælger at placere dit forskningsprojekts data hos en ekstern udbyder, skal du stille de samme spørgsmål. Bliver der for eksempel taget backup af dine data, når de ligger i et cloudsystem? Og kan cloud-leverandøren leve op til kravene i persondataloven?

Vær i øvrigt opmærksom på, at dit forskningsprojekt kan kræve anmeldelse til Datatilsynet. Det gælder fx, hvis du behandler oplysninger om enkeltpersoners rent private forhold i et privat forsknings- eller statistikprojekt. Andre forskningsprojekter skal ikke anmeldes, men forskerne skal stadig overholde persondataloven.

Kommunikation af følsomme data

Undervejs i forskningsprojektet får du sandsynligvis brug for at kommunikere med andre forskere. Det kan foregå via chat, e-mail, videomøder, telefon eller over særlige samarbejdsplatforme. Uanset teknologien skal du også her overveje, hvordan du sikrer dine data.

Hvis du arbejder med data, der er beskyttet af persondataloven, skal du sikre, at den bliver overholdt. Her kan det være en fordel at bruge tjenester, der lagrer data lokalt i Danmark.

Når I udveksler fortrolige data elektronisk, bør I anvende kryptering. Det sikrer, at uvedkommende ikke kan læse data, selvom det skulle lykkes at opsnappe dem.

Pas på udskrifterne

Fra du sender et dokument til udskrift, til du henter udskriften i printeren, kan der gå fra få sekunder til flere timer. I den tid udskriften ligger og venter på dig, kan uvedkommende få fat i den. De kan fjerne den – eller de kan tage en kopi af den, så du ikke opdager, at data er i de forkerte hænder.

Derfor skal du hente udskrifter hurtigst muligt.

Du kan også bruge såkaldt follow-me-print (pull printing), hvis det er tilgængeligt. Det er systemer, der lagrer dit printjob og først udskriver det, når du kommer hen til printeren for at hente dokumentet.

Også efter du har hentet en udskrift, kan den udgøre en sikkerhedsrisiko. Hvad sker der, hvis den kommer i de forkerte hænder? Derfor skal du have et sikkert sted at opbevare dine papirer: Som minimum et aflåst kontor, men til mere kritiske dokumenter kan et låst brandskab være den rette løsning.

Når et dokument ikke længere er nødvendigt, er det en god ide at makulere det. Så risikerer du ikke, at uvedkommende finder det i skraldecontaineren.

Destruktion af data

Ikke kun papirer skal destrueres, når de ikke skal bruges mere. Destruktion kan også blive aktuel, når det gælder data.

Det er som regel ikke tilstrækkeligt at slette data med operativsystemets slettekommando. Hvis du har fysisk adgang til disken, data er lagret på, kan du slette dem effektivt med særlige sletteprogrammer. Skal det være helt sikkert, kan disken slettes med en kraftig magnet.

Har du lagret data på cloud-systemer, er det vanskeligere at sikre, at data er fuldstændig slettet. Undersøg på forhånd, om cloud-leverandøren kan give garanti for sletning. Hvis ikke, skal data måske placeres et andet sted.

Spørgeskemaer på nettet

En række udbydere tilbyder tjenester, der stiller spørgsmål til web-brugere og indsamler svarene. Det er ofte en nem og billig metode til at udføre spørgeskemaundersøgelser.

Før du vælger en tjeneste, bør du kontrollere, hvor den lagrer data. Hvis der er tale om følsomme data, der er underlagt persondataloven, skal det være muligt at overholde loven.

Spørg også om, hvem der har adgang til de data, tjenesten opsamler. Igen er det især vigtigt, hvis du behandler personfølsomme eller andre fortrolige oplysninger.

Rejser og konferencer

Når du rejser til konferencer eller andre møder i embeds medfør, skal du passe godt på dit udstyr. Lad ikke en taske med laptop, tablet eller smartphone ligge ubevogtet – heller ikke i auditoriet til konferencen.

Når du skal på nettet, bør du undgå netcaféer og åbne trådløse netværk. Er du nødt til at bruge et trådløst netværk, bør du anvende VPN (virtuelt privat netværk). Det sikrer kommunikationen med kryptering.

I fly, tog og busser skal du ikke læse fortrolige oplysninger på skærmen. Du kan blive offer for såkaldt shoulder surfing, hvor personen bag dig eller ved siden af læser med. Overvej at beskytte skærmen med et filter, der begrænser den vinkel, skærmen kan ses fra.

Tænk også over, hvad du siger i telefonsamtaler, du fører i det offentlige rum.

Brug kun din egen medbragte strømforsyning. Undgå at bruge tilbud om gratis USB-ladestik i lufthavne og lignende. Du risikerer, at enheden bliver tilsluttet som et drev, så uvedkommende kan kopiere data fra den.

Generelle råd om informationssikkerhed

  • Beskyt dine enheder mod skadelig software ved hjælp af sikkerhedssoftware såsom antivirus
  • Hold al software opdateret, både operativsystemer og applikationer
  • Brug sikre passwords (kombination af store og små bogstaver, tal og specialtegn)
  • Brug ikke det samme password til flere tjenester
  • Brug et password manager-program til at holde styr på de unikke passwords
  • Undgå at få eller låne USB-nøgler fra andre, de kan være inficerede
  • Vær skeptisk over for indhold i e-mails, også selvom de ser ud til at komme fra en troværdig kilde
  • Undlad at åbne vedhæftede filer eller links, du får tilsendt uopfordret
  • Brug to-faktor-autentifikation, hvor det er muligt. Det er systemer, der foruden password også kræver indtastning af en engangskode i særlige tilfælde

Generelle råd om mobile enheder

De følgende råd gælder både smartphones, tablets og laptops:

  • Beskyt enheden med en adgangskode
  • Krypter data på enheden
  • Begræns mængden af apps, der har adgang til institutionens systemer. Beskyt dem om muligt med en ekstra kode

Relevante links:

Kontakt for yderligere informationer:

Journalist for DKCERT/DeIC Torben Sørensen