Universitetsavisen
Nørregade 10
1165 København K
Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk
Københavns Universitet
Uafhængig af ledelsen
—
Campus
It-overvågning — KU overvåger ikke de ansattes brug af nettet. Men data om folks netadfærd gemmes automatisk, og får man virus, kan man blive kontaktet af it-afdelingen.
Det her vedrører ikke dig.
Men der er godt nyt for de medarbejdere og chefer, der fra deres arbejdscomputer kigger på ting på nettet, som det ville være ubelejligt, hvis andre også kunne se: Der sidder ikke folk på Københavns Universitet og holder øje med jer.
På KU forudsætter vi, at folk er ansvarlige
Informationssikkerhedschef på KU Poul Halkjær Nielsen
»KU er et meget liberalt sted med vide rammer for, hvad den enkelte kan gøre. Der er jo også folk, der forsker i porno og har et legitimt behov for at se det,« siger informationssikkerhedschef på KU Poul Halkjær Nielsen, der dog ikke anbefaler, at folk bruger arbejdscomputeren til alt.
»Man ved, at pornosites og religiøse sites er dem, der typisk spreder mest
»Tommelfingerreglen er, at de typer sites er de mest rådne. Hvis du besøger dem, er der størst risiko for, at du får installeret uønskede programmer på dit udstyr.«
Vil man ud i nettets dunkle grotter, kan det snildt lade sig gøre. Københavns Universitet må faktisk slet ikke – i udgangspunktet – holde øje med, hvad medarbejderne ser på nettet, eller, for den sags skyld, hvem de mailer med.
Det fremgår af en aftale mellem medarbejderne i KU’s hovedsamarbejdsudvalg og ledelsen, som har eksisteret siden 2009. Her står:
Løbende overvågning af indholdet i kommunikation og registrering af hvem den enkelte medarbejder korresponderer med, må ikke finde sted.
Aftaleteksten fra KU rummer dog også en vigtig undtagelse, der faktisk tillader KU at overvåge ansatte, det kan bare kun ske på baggrund af ledelsens konkrete mistanke om noget fordækt:
Opstår der mistanke om at internettet benyttes på en måde, der skader universitetets omdømme, kan overvågning dog finde sted. Den faglige tillidsrepræsentant skal i så fald inddrages.
Det er tvivlsomt, om KU nogensinde har benyttet sig af muligheden for at overvåge på den måde. Poul Halkjær Nielsen siger, at han har grebet til overvågning »nul gange« i sine år på KU, hvor han har bestridt forskellige stillinger siden 2006.
Samstemmende oplyser KU’s HR-ansvarlige, vicedirektør Lisbeth Møller, i en e-mail, at ingen i Fælles HR har kendskab til sager på KU, hvor der er blevet iværksat overvågning af medarbejdere.
Lisbeth Møller skriver dog også, at der »har været en enkelt sag i nyere tid, hvori ikke-arbejdsrelateret ’trafik’ på internettet indgik som et blandt flere elementer i en sag, som endte med tildeling af en skriftlig advarsel.«
Det er ikke kriminelt at se på pornosider, og KU har ikke en politik som forbyder ansatte at se på sådanne sider, ligesom KU ikke har en politik, som forbyder ansatte at gå på for eksempel Facebook, netbank eller i øvrigt surfe på forskellige hjemmesider
Dermed er det også klart, at blot fordi det ikke er forbudt at rave rundt på nettet, mens man er på arbejde, er det heller ikke nødvendigvis fremmende for karrieren og de kollegiale relationer, hvis man gør det.
»Det er ikke kriminelt at se på pornosider, og KU har ikke en politik som forbyder ansatte at se på sådanne sider, ligesom KU ikke har en politik, som forbyder ansatte at gå på for eksempel Facebook, netbank eller i øvrigt surfe på forskellige hjemmesider,« skriver Lisbeth Møller. »Det forudsættes naturligvis, at den ansatte løser sine opgaver, at man ikke støder sine kollegaer og naturligvis overholder udstukne sikkerhedsforskrifter.«
Selv om KU ikke overvåger nettrafikken aktivt, bliver den alligevel registreret og logget i en kortere
Det er i overensstemmelse med almindelig dansk praksis, for ifølge Datatilsynet er der vide rammer for at logge nettrafik på danske arbejdspladser. Det må ifølge loven ske, både af »tekniske og sikkerhedsmæssige hensyn« og af hensyn til »kontrol af medarbejdernes brug af internettet«.
Ifølge Poul Halkjær Nielsen er logning bare ikke det samme som overvågning af medarbejdere.
»Der er ingen, der læser de her logningsdata for at overvåge, det er et passivt forsvar, og det er det springende punkt,« siger han. »Hele indgangen er, at vi på KU forudsætter, at folk er ansvarlige.«
Men hvis KU vil opklare, hvordan et system er brudt sammen, er det muligt at finde loggen frem og analysere, hvad der er foregået på nettet, ligesom antivirus-systemet undertiden hejser et rødt flag, hvis en ansat har fået inficeret sin maskine, eller blokerer for uønsket kode.
Der er jo også folk, der forsker i porno og har et legitimt behov for at se det
Informationssikkerhedschef på KU Poul Halkjær Nielsen
En del vil formentlig have oplevet det, når de har besøgt sider med bannerreklamer – for eksempel har BT og Ekstra Bladets hjemmesider fra tid til anden indeholdt annoncer, som KU’s firewall har blokeret, fordi de rummer tvivlsom kode, der potentielt kan true universitetets data.
Det kan også tænkes, at politiet gerne ville efterforske en sag ved at granske KU-nettrafik, og det vil i givet fald være muligt, indtil logningsdata bliver slettet.
Poul Halkjær Nielsen siger, at KU-ansatte fra tid til anden bliver personligt kontaktet af KU’s it-folk, hvis systemet har registreret, at der er problemer med deres computer.
Så hvis nu jeg sidder og besøger russiske pornosider fra min arbejdscomputer hver dag, kommer der så røde flag i organisationen et sted på et tidspunkt?
»Sandsynligvis. Du får jo ikke advarsler om usikre sites for skægs skyld. På et tidspunkt vil din pc’s indhold blive stjålet og misbrugt. Vi kan få indmeldinger om, at en maskine er inficeret, og så kan vi kontakte folk og sige: vi kan se her i konsollen, at den her maskine er inficeret med virus – må vi hjælpe dig? På Det Natur- og Biovidenskabelige Fakultet, hvor jeg var ansat tidligere, ringede vi til folk, og de var glade. De fleste vil gerne have hjælp,« siger Poul Halkjær Nielsen.
Ud over den passive logning, der foregår på KU, sker der i Danmark en ret omfattende registrering af data- og teletrafik. Teleudbydere i Danmark er forpligtet til at gemme folks tele- og nettrafik i et år, selv om en EU-dom fra slutningen af 2016 faktisk har kendt den form for løbende masseovervågning ulovlig.
I fraværet af nye regler, der er i overensstemmelse med EU-retten, har den danske regering pålagt teleselskaberne at fortsætte registreringen, hvilket de har valgt at rette sig efter.
Ifølge en analyse fra tænketanken Justitia indsamler danske myndigheder endda i stigende grad oplysninger om borgeres adfærd på nettet.
Læs mere om KU’s it-sikkerhedspolitik (kræver login).