Universitetet i Oslo har fått påpakning fra Datatilsynet etter sikkerhetsbruddet: Et excel-ark med sensitive personopplysninger om gjesteforskere som har fått bolig gjennom UiO, var ved en feil offentlig tilgjengelig mellom 19. mai 2021 og 8. august i år. Avviket ble oppdaget 5. august, skriver Uniforum.
Dette framgår i en avviksmelding Uniforum har fått innsyn i.
Dokumentet inneholdt navn, adresse, privat epostadresse, husleiebeløp, strømforbruk for leiligheten og navn på samboer/ektefelle. For enkelte av forskerne var det også opplyst navn og alder på deres barn.
– En veldig uheldig sak
Avviket angikk 98 utenlandske gjesteforskere, men tilsynet legger særlig vekt på at fem av de berørte er kommet til UiO gjennom Scholars at Risk (Sar).
– Dette er en veldig uheldig sak, sier Marit Egner (bildet), som er institusjonskontakt for Scholars at Risk ved UiO.
– De som kommer til Norge gjennom Scholars at Risk, er forskere som er truet i hjemlandet sitt, enten fra myndighetene eller andre grupperinger i samfunnet. Derfor er det uheldig at noen kan vite hvor de er.
– Hvor alvorlig er det at disse forskerne eksponeres på en slik måte? – Det er uheldig at informasjonen kan bli oppsøkt av personer som ikke burde ha tilgang til den. Faren er jo eventuelt at informasjonen kan misbrukes av noen som ikke har gode hensikter.
Egner forteller at hun ikke har erfaringer med dette, men «vet at det kan skje», nettopp fordi forskerne tidligere er blitt utsatt for forfølgelse. Hun har selv snakket med forskerne det gjelder.
– Noen av dem var bekymret, forteller hun.
Ikke sett aktivitet fra hjemland
Excel-arket er blitt besøkt av 79 unike IP-adresser. 19 av disse er identifiserte og interne. Så langt UiO har kunnskap om, har det ikke vært aktivitet fra SAR-forskernes hjemland på det aktuelle dokumentet, opplyser personaldirektør Irene Sandlie ved UiO.
– Det er bra at dette har blitt oppdaget. Vi har fått god oppfølging og har informert alle de aktuelle forskerne. Vi håper oppdagelsen gjør at slike ting ikke skal skje igjen, sier Egner.
Scholars at Risk-komiteen ved UiO hadde sist fredag et møte der det ble uttrykt bekymring over det som har hendt. – Sar-komiteen ønsker en rapport fra hendelsen og vil følge opp videre, sier hun.
Menneskelig svikt angis som hovedårsak til avviket: «Ved en inkurie har excelarket fått en annen tilgangsbegrensning enn øvrige dokumenter i samme filmappe. Dette har resultert i at filen har blitt indeksert av søkemotorer», skriver tilsynet i meldingen.
«På grunn av ferieavvikling skjedde det et brudd i lokale rutiner», står det videre. Siden med informasjonen ble sperret tre dager etter oppdagelse.
Selv om nettsiden i seg selv har vært vanskelig å finne, kunne personopplysningene finnes fordi informasjonen har vært indeksert og søkbar hos Google. Etter oppdagelsen av avviket kontaktet UiO Google og andre søkemotorer for å få fjernet indekseringen.
«Det er allerede offentlig tilgjengelig informasjon at de fem Scholars at risk-forskerne for tiden har et forskeropphold ved UiO», skriver tilsynet, «men særlig disse kan i større grad ikke ønske at bostedsadressen eller øvrig informasjon skal være offentlig tilgjengelig».
Datatilsynet: – Viktig å følge opp
Det var UiO selv som oppdaget feilen. Kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet opplyser i en epost til Uniforum at tilsynet har avsluttet saken fordi de anser at universitetet har fulgt opp bruddet på en god måte etter oppdagelsen.
– I følge UiO har informasjonen ikke blitt misbrukt, og de berørte er informert. Vår samlede vurdering er at det ikke er veldig alvorlig, men at det er viktig at de nå følger opp med gode rutiner slik at det ikke skjer igjen. Menneskelig svikt og brudd på rutiner er vanskelig å gardere seg helt mot, men jo bedre rutiner jo mindre sjanse er det for svikt, skriver Dahl.
UiO-ansatt oppdaget feilen
Personaldirektør Irene Sandlie ved UiO forklarer at feilen oppsto i forbindelse med en omlegging av UiOs nettsider.
– Dessverre ble ikke denne informasjonen gitt adgangsbegrensning, noe som medførte at informasjon om leietakerne lå søkbart på nettet. Blant disse var fem Sar-forskere, og dette var veldig uheldig, sier Sandlie til Uniforum.
Feilen ble oppdaget av en UiO-ansatt som varslet UiO-CERT.
– Da feilen ble oppdaget, rettet vi den umiddelbart, og de berørte ansatte ble kontaktet.
Sandlie forteller at UiO har gjennomgått sine rutiner, og foretatt nødvendige justeringer i den forbindelse.
– Dessverre kan det skje menneskelig svikt, men vi har gode rutiner, og vil fortsatt jobbe med å forbedre disse fremover.
(Saken ble korrigert 22. september klokken 09:48 hos Uniforum, så kort tid etter i denne versjonen hos Universitetsavisa, med opplysningen om at de sensitive personopplysningene hadde ligget ute i ett år og to måneder, altså fra 19. mai 2021 til 8. august 2022, og ikke bare i to måneder, slik det første ble hevdet i artikkelen. Uniforum beklager at årstallet først ble feil)