Universitetsavisen
Nørregade 10
1165 København K
Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk
Københavns Universitet
Uafhængig af ledelsen
—
Politik
Zoom — Video og lydfiler fra online-undervisning på Zoom kan blive udnyttet af kinesiske myndigheder, siger it-fagforeningen PROSA. Københavns Universitet har tillid til, at Zoom overholder juridiske aftaler.
I øjeblikket starter 37.500 bachelor- og kandidatstuderende på Københavns Universitet. På grund af smittefare for coronavirus vil mange studerende have onlineundervisning – ofte gennem videotjenesten Zoom.
Men studerende og undervisere kan ikke være sikre på, at deres videooptagelser og personlige data er i trygge hænder.
Sådan lyder det fra PROSA, fagforbund for it-professionelle. De siger, at Zooms kinesiske afdeling kan få adgang til lydfiler og videomateriale, som kan bruges til at overvåge tusindvis af danskere og til ansigtsgenkendelse og produktion af fake news.
PROSA har tidligere kritiseret universitetet for ikke at leve op til it-sikkerhedsmæssige forskrifter; en kritik som universitetet hidtil har afvist. Men ifølge PROSA har systemet stadig en sikkerhedsbrist i perioder med høj belastning.
»Juridisk set er der ingen tvivl om, at Københavns Universitet har sikret sig. Zoom må ikke misbruge deres data. Men det betyder bare ikke, at det ikke sker,« siger Ole Tange, it-politisk rådgiver i PROSA.
Der har været udbredt kritik af videotjenesten Zoom i medierne.
Politiken skrev i april, at flere lande har begrænset brugen af Zoom på grund af bekymringer for datasikkerheden. Det skyldes blandt andet, at Zoom har en stor udviklingsafdeling i Kina og derfor kan have forbindelser til de kinesiske myndigheder, som potentielt kunne ønske at spionere mod Zooms brugere. Dertil kommer problemer som Zoom-bombing, hvor hackere kobler sig på Zoom-møder og fx deler porno eller andet indhold, der er uvelkomment i situationen. Til Berlingske har Zoom dog sagt, at selskabet »tager sine brugeres privatliv, sikkerhed og tillid ekstremt alvorligt,« og at et væld af institutioner har undersøgt Zooms sikkerhed grundigt og valgt at bruge tjenesten.
Zoom må ikke misbruge deres data. Men det betyder bare ikke, at det ikke sker.
Ole Tange, it-politisk rådgiver i PROSA
Københavns Universitet har truffet sit valg, og Zoom er for tiden den mest brugte videotjeneste på universitetet efterfulgt af Microsoft Teams og Adobe Connect.
PROSA har kritiseret brugen af Zoom i længere tid. I starten af juni skrev foreningens formand, Niels Bertelsen, i et debatindlæg i Uniavisen, at universitetet »åbner porten for techgiganternes unødige overvågning«.
Kort efter svarede vicedirektøren med ansvar for universitetets it, Klaus Kvorning Hansen, at Københavns Universitet tager datasikkerhed »meget alvorligt«, og at universitetet af samme grund havde indgået en databehandleraftale med Zoom via Danish e-infrastructure Cooperation (DeiC), en enhed under Uddannelses- og Forskningsministeriet, der skal sikre computing, storage og netværksinfrastruktur til dansk forskning, uddannelse og innovation.
I databehandleraftalen står, at personlige data fra studerende og ansatte på Københavns Universitet bliver opbevaret på servere inden for Storkøbenhavn, der drives af NORDUnet, et samarbejde mellem DeiC og dets nordiske søsterinstitutioner.
En aktindsigt fra Styrelsen for Forskning og Uddannelse til PROSA viser dog, at programmet også bruger Zooms servere i Stockholm, når systemet er under høj belastning.
Og det er et problem, siger Ole Tange fra PROSA:
»Når man benytter Zoom, kan man som deltager ikke vide sig sikker på, at ens data bliver i Danmark. Det er et problem, hvis det viser sig, at Zoom giver data videre til nogen, vi ikke er interesserede i skal have dem.«
Ole Tange gætter på, at Zoom vil være under høj belastning i hverdage mellem klokken 8 og 14. Det betyder, at de videosamtaler, der ikke er kapacitet til på de danske servere, vil blive sendt via Zooms servere i Stockholm og dermed muligvis kan blive gemt på dem. (Zoom-brugere kan se, hvor deres data ryger hen, ved at klikke på et lille (i) oppe i venstre hjørne af programmet).
Der er også en risiko for, at Zoom og dets kinesiske udviklingsafdeling har sat en såkaldt bagdør ind i softwaren, som gør, at de relativt nemt kan tage en kopi af eksempelvis lydoptagelser. Og det er selv om serverne står i Danmark, siger Ole Tange.
Derfor har Københavns Universitet ikke nogen garanti for, at data ikke kan misbruges, siger han og peger på den aktuelle afsløring af, at Forsvarsministeriets Efterretningstjeneste tilsyneladende har spioneret imod danskere i ti år.
»Tillid er bare ikke det samme som en garanti. Og jeg vil have en garanti – ikke bare en juridisk garanti, men en teknisk garanti,« siger Ole Tange.
Data fra online-undervisning og andre Zoom-opkald kan ifølge Ole Tange bruges til mange forskellige ting: Zoom optager din stemme, og i dag kan avanceret software misbruge den lydfil til at få dig til at sige noget, du ikke har sagt. Den type teknologi blev anvendt i 2018 i en manipuleret video af den tidligere amerikanske præsident Barack Obama.
Når du logger på Zoom, registrerer den dit ansigt, som kan bruges til ansigtsgenkendelse. Den type teknologi bruger kinesiske myndigheder blandt andet til at overvåge folk og udpege dem, hvis de deltager i demonstrationer.
Derudover må det formodes, at ansatte på et stort universitet som Københavns Universitet deler fortrolig information om fx forskningsprojekter på Zoom.
Tillid er bare ikke det samme som en garanti. Og jeg vil have en garanti – ikke bare en juridisk garanti, men en teknisk garanti.
PROSAs forslag er, at universitetet afprøver andre videotjenester, hvor der er bedre mulighed for teknisk at sikre, at andre ikke kan misbruge data. Det kunne være tjenesten Jitsi, der er open source, så det er muligt at kontrollere, om der er bagdøre i softwaren, siger Ole Tange. Han siger også, at den danske stat er forsigtig, når det gælder kinesiske Huawei, som ikke får lov til at levere 5G-udstyr, så det bør man også være, når det gælder Zoom.
Det gælder særligt for undervisningstimer, hvor studerende er nødt til at have mikrofon og kamera tændt.
»Hvis der er vitterlig ikke var et bedre alternativ end Zoom, så måtte man acceptere det. Men jeg synes ikke, at Klaus Kvorning Hansen argumenterer for, at man ikke kunne gøre noget andet,« siger Ole Tange.
Hvorfor blander PROSA sig i den her sag? Hvilke interesser har I som fagforening på spil?
»Det er helt rigtigt set, at vi bare er en fagforening. Men vi er en fagforening for it-folk, og derfor går vi ind i denne sag. Vi kan være med til at kvalificere, at der kommer nogle problemer, som almindelige mennesker ikke kan se før om 10-15 år.«
»Vi er ikke maskinstormere. Vi vil bare gerne have, at it bliver gjort ordentligt,« siger Ole Tange.
Hverken Københavns Universitet eller paraplyorganisationen Danish e-infrastructure Cooperation (DeiC) accepterer den problemstilling, som PROSA stiller op.
Hver gang vi bruger en mail-klient eller en GSM-telefon, risikerer vi at parter med ondt i sinde får adgang til vores data.
Martin Bech, chef for forskning og teknologi i DeiC
Selv om Zoom har sikkerhedsmæssige udfordringer, er de eksterne servere i Stockholm ikke et sikkerhedsmæssigt problem, siger Martin Bech, chef for forskning og teknologi i DeiC, der varetager databehandleraftalen mellem Københavns Universitet og Zoom.
»Det har PROSA misforstået. Vi bruger ikke Zooms generelle infrastruktur. Vi har vores egen infrastruktur og vores egne servere, der står i det storkøbenhavnske område.«
Martin Bech siger, at serverne i Stockholm godt nok er lejet af via Zoom af Amazon, som ejer serverne. Men serverne er en forlængelse af deres egen installation – de er dedikerede servere – og derfor har Zoom ikke adgang til dem. Samme forklaring fremgår af DeiC’s hjemmeside.
Men Amazon-serverne er en dyr løsning, siger Martin Bech. Og derfor forventer han, at DeiC har udbygget deres egne serverinfrastruktur, så de mod slutningen af 2020 kan undgå at betale for Amazons.
Så Zoom kan ikke få adgang til de data?
»Nej. Serverne er dedikeret til os og styret af os. Vi har netop gjort meget ud af, at Zoom ikke har adgang til folks data. Det er en helt særlig situation, at der er lykkedes os at få lov til at have vores egne servere via NORDUnet.«
Martin Bech siger altså, at Zoom ikke har adgang til data, da det kun er NORDUnets ansatte. Men hvis Zoom havde ondt i sinde, ville de godt kunne få det. Men det har Zoom til fælles med alle leverandører af klient-software og alle leverandører af cloud-infrastruktur, siger han:
»Hver gang vi bruger en mail-klient eller en GSM-telefon, risikerer vi at parter med ondt i sinde får adgang til vores data. Sådan er det for stort set al den it-infrastruktur vi bruger – det er ikke noget særligt for Zoom.«
DeiC siger altså, at Zoom ifølge databehandleraftalen ikke har adgang til datamaterialet, fordi der er tale om dedikerede servere, som ikke indgår i resten af Zooms kommercielle virke. Men det er ikke tilstrækkeligt for Ole Tange fra PROSA.
»Der ligger jo en juridisk aftale, som siger, at Zoom ikke vil røre dataene, fordi de er placeret i en dedikeret server. Derfor har DeiC tillid til, at Zoom overholder den aftale. Er den meget længere end det? Det tror jeg ikke.«
»Hvis Edward Snowdens afsløringer ikke er nok til, at man har mistet tilliden, hvad skal der så til?« siger Ole Tange.
På Københavns Universitet afviser vicedirektør i KU-IT Klaus Kvorning Hansen at systemet har en sikkerhedsbrist. Han siger, ligesom Martin Bech, at Zooms servere i Stockholm er omfattet af de samme retningslinjer og aftaler som NORDUnets servere i Danmark, og at det hele tiden har været en del af databehandleraftalen.
»Det er ikke et ekstraordinært problem. Vi skal sikre os, at Zoom – ligesom alle andre leverandører – lever op til de aftaler, vi har,« siger Klaus Kvorning Hansen.
Det er ikke et ekstraordinært problem.
Klaus Kvorning Hansen, Vicedirektør i KU-IT
Kan I være 100 procent sikre på, at Zoom ikke kan tilgå jeres data, hvis de vil?
»Det kan vi aldrig, og det har PROSA fuldstændig ret i. Vi kan ikke være 100 procent sikre; der findes brodne kar. Det kan vi aldrig gardere os fuldstændig mod, andet end ved at vi træffer en masse foranstaltninger og indgår juridiske aftaler,« siger Klaus Kvorning Hansen.
Han siger, at universitetet gør sit bedste for at finde en balance mellem sikkerhedsmæssige risici og funktionalitet. På det punkt er Zoom hverken værre eller bedre end andre leverandører, siger han:
»Uanset hvor meget vi anstrenger os for at beskytte vores data, så vil folk med ondt i sinde og med den nødvendige tilgang kunne få fat i data. Det er en evig kamp,« siger Klaus Kvorning Hansen og peger på Aalborg Universitet, som i starten af august var udsat for et stort hackerangreb, der i øvrigt også ramte Københavns Universitet, men i mindre omfang.