Uniavisen
Københavns Universitet
Uafhængig af ledelsen

Debat

Daglige cyberangreb gør to-faktor-godkendelse nødvendig

Replik — Blodprøver fra forsøgspersoner, ophavsret og daglige cyberangreb gør det nødvendigt at beskytte login med to-faktor-godkendelse.

Tak til Josefine Paaske, formand for Konservative Studerende på KU, for at bidrage med sine observationer af, hvordan to-faktor-godkendelse spænder ben for et let login.

Det er en frustration, vi kan genkende, og vi arbejder løbende på at gøre login’et så let som muligt.

LÆS OGSÅ: To-faktor-godkendelse hører til i helvede

Men studerende og medarbejdere håndterer rigtig mange følsomme og fortrolige data i KU’s it-systemer. Det kan for eksempel være blodprøver fra forsøgspersoner, registrering af sygdomsforløb eller interviews.

Det er vigtige data, som skal beskyttes mod de daglige cyberangreb, vi oplever på universitetet.

Absalon skal være sikkert

Josefine Paaske peger på Absalon som et sted, hvor to-faktor-godkendelse komplicerer studerendes og medarbejderes login unødigt.

Absalon er et online system, som studerende, kursister og undervisere benytter dagligt til for eksempel at tjekke opgaver og få kursusinformation.

To-faktor-godkendelse er indført på Absalon, fordi platformen blandt andet bruges til:

·        ophavsretsbeskyttet materiale

·        studerendes afleveringer og undervisernes feedback

·        holdinformation, for eksempel deltagerlister og mailadresser

·        videooptagelser

·        quizzer og quizresultater

Med andre ord: Ophavsretsbeskyttet materiale, persondata og fortrolige oplysninger, som vi er lovmæssigt forpligtet til at beskytte.

Forslag er ikke teknisk muligt

Som et alternativ til to-faktor-godkendelse på Absalon foreslår Josefine Paaske at lave to databaser. En database med følsomme oplysninger, som kræver to-faktor-godkendelse, og en anden med almindelige oplysninger, som kun kræver et enkelt login.

Det er desværre ikke teknisk muligt i Absalon, og det ville også begrænse funktionaliteten, hvis det for eksempel ikke var muligt at se holdinformation.

Derudover kunne Absalon – og andre systemer, hvor der ikke var to-faktor-godkendelse – være en indgang for cyberangreb. Hvis for eksempel en undervisers login blev afluret, ville cyberkriminelle kunne få adgang til alle de it-systemer på KU, underviseren har adgang til.

Med to-faktor-godkendelse styrkes it-sikkerheden, fordi det ikke er nok at aflure en persons login – man skal også have adgang til deres to-faktor på for eksempel mobiltelefon eller Yubikey.

Et krav på universitetet

To-faktor-godkendelse er et krav til de af KU’s systemer, du kan logge på via internettet, fordi det er de systemer, der er i størst risiko for cyberangreb. Det gælder blandt andet for Absalon. Kravet kommer fra Digitaliseringsstyrelsen og udspringer af EU’s eIDAS-forordning. Alle offentlige institutioner og myndigheder er underlagt kravet.

Det er desværre ikke teknisk muligt

Vi har set mange andre eksempler på cyberangreb mod universiteter, hvor studerendes eller medarbejderes konti er blevet angrebet. Målet er ofte at stjæle og ødelægge forskning og i værste fald lukke hele universitetet ned i en længere periode. Et eksempel er cyberangrebet på DTU i 2022, hvor 25.000 brugere måtte skifte adgangskode.

To-faktor-godkendelse er også en klar anbefaling i både Center for Cybersikkerheds publikation om cyberforsvar og Digitaliseringsstyrelsens syv råd om it-sikkerhed.

Vi går derfor en fremtid i møde, hvor to-faktor-godkendelse vil blive udbredt i flere af KU’s systemer. Men det skal selvfølgelig ikke ske uden hensyn til brugeroplevelsen.

Det skal være så let som muligt

Vi arbejder løbende på at forbedre både medarbejderes og studerendes brugeroplevelse med to-faktor-godkendelse. Det gør vi blandt andet ved at minimere det antal gange, man skal logge ind, forbedre it-systemer og løbende undersøge, om det er de rigtige løsninger, vi bruger.

LÆS OGSÅ: KU-IT svarer på kritik: Sikkerhed må ikke skade brugsoplevelsen

Et tip er, at hvis du logger på Absalon eller KUnet i en internet-browser og arbejder fra den, skal du ikke bruge to-faktor-godkendelse de næste otte timer.

Endnu engang tak til Josefine Paaske for at komme med input til at forbedre brugeroplevelsen med to-faktor-godkendelse.

Stefan Nordgaard er sektionschef i US Digital, og Kim Otto Ursin Johansen er konstitueret sektionschef i Basisservice, KU-IT.

Seneste