Personopplysninger på avveie i over ett år:
Forsker frykter fengsling
«Nadia» frykter for konsekvensene av hvordan informasjonen blir brukt i hjemlandet. UiO peker på ferieavvikling og menneskelig svikt.
Fem av de berørte forskerne er i Norge gjennom det internasjonale nettverket Scholars at Risk (SAR). Nettverket er begrenset til forskere som «står overfor de mest umiddelbare og alvorlige trusler, inkludert trusler om vold, tortur, fengsling på feilaktig grunnlag eller forfølgelse», ifølge Scholars at Risks nettsider.
Uniforum, en avis som utgis av UiO, meldte om saken først. De skrev at personopplysningene hadde ligget ute i over to måneder. Dokumentene Universitas har fått innsyn i viser derimot at opplysningene lå ute i over ett år og to måneder.
Blant de tilgjengelige opplysningene var navn, adresse i Oslo, e-post, husleiebeløp, start og slutt for husleiekontrakter og navn på eventuelle samboere og barn. Ifølge avviksmeldingen UiO er pliktig til å sende Datatilsynet ved brudd på personopplysningssikkerheten, var det et Excel-ark med opplysningene som lå offentlig tilgjengelig på internett fra 19. mai 2021 til 5. august. 2022. Med andre ord kunne man google seg frem til informasjonen i totalt ett år og 78 dager.
Amnesty reagerer
– Det kan åpenbart utgjøre en potensiell risiko for de det gjelder.
Det sier Amnestys Norges Ingrid Stolpestad om personopplysningene som var offentlige tilgjengelig. Hun er fagansvarlig for organisasjonens arbeid med teknologi og menneskerettigheter.
Amnesty har selv vært i kontakt med menneskerettighetsforkjempere som har blitt overvåket av et annet lands myndigheter mens de har vært i Norge, forklarer Stolpestad og utdyper:
– Hvis man er forfulgt i hjemlandet og bor på en adresse i Norge som vedkommende ikke ønsker at myndighetene i hjemlandet kjenner, til så er det jo åpenbart at dette kan gjøre det lettere for agenter fra de myndighetene å identifisere hvor disse menneskene bor, sier Stolpestad på telefon til Universitas.
Frykter fengsling
– Man venter jo. Når kommer de og henter meg?
Det sier én av de fem berørte SAR-forskerne, som fikk sine personopplysninger lekket. Av hensyn til egen sikkerhet ønsker hun ikke å stå frem med verken navn, nasjonalitet eller forskningsfelt. I denne saken refererer vi til henne som «Nadia».
Bare en håndfull mennesker vet at hun er i Norge gjennom SAR-nettverket. Etter hendelser i hjemlandet, som hun ikke ønsker å gå nærmere inn på, tok hun kontakt med Scholars at Risks kontorer i New York. Dette var for syv år siden. Seks år senere fikk hun tilbud om en plass ved UiO. Hun har med seg både barn og ektemann til Norge.
Hun beskriver en situasjon i hjemlandet fylt av frykt og usikkerhet. Forskningen hennes har nærmest blitt kriminalisert og hun fryktet lenge å bli fengslet på feilaktig grunnlag.
– Jeg ble anklaget for å være terrorist uten noe som helst bevismateriale, forteller Nadia.
– Hva følte du når du fant ut at personopplysningene dine hadde kommet på avveie?
– Jeg ble stresset og ringte mannen min.
Nadia forklarer at hun raskt fikk beskjed fra UiO om at personopplysningene ble tatt vekk fra internett og at hun deretter følte seg rolig. I avviksmeldingen til Datatilsynet skriver UiO at det har «vært direkte dialog med de fem berørte som er betegnet som Scholars at Risk (SAR) for å forsikre oss om at de har forstått informasjonen som UiO har sendt ut».
Men når Universitas viser Nadia dokumenter som viser at personopplysningene hadde ligget åpent på internett i over ett år, blir hun sjokkert.
– Virkelig?
– Du visste ikke det?
– Nei, sier Nadia og er tydelig overrasket.
Til dette svarer UiO at de sendte ut informasjon til SAR-forskerne i etterkant av hendelsen, og at de berørte ble kontaktet av universitetets kontaktperson for programmet.
– Cybersikkerhet er veldig viktig. Man skulle nok hatt sikkerhetskontroller oftere enn normalt, sier Nadia
Hun kjenner ikke til konsekvenser saken kan ha for de andre SAR-forskerne. Selv er hun redd for hva som skjer dersom hun reiser tilbake til hjemlandet. Dersom myndighetene har funnet ut at hun har hatt en forskerstilling i Norge, er hun bekymret for at de igjen skal mistenkeliggjøre henne.
Nadias nåværende kontrakt med UiO varer i ett år, og kan i første omgang kun forlenges med ett år til.
– Mannen min har begynt å lære seg norsk, forklarer Nadia og håper at familien kan bli boende.
– Jeg vil gjerne ha en permanent stilling her og jobber hardt for det.
Hun forklarer at hun er sliten og følelsesmessig utmattet.
– Jeg er bare en person som vil jobbe.
Universitas har forsøkt å komme i kontakt med flere av de berørte SAR-forskerne, men lykkes ikke før avisa gikk i trykken.
Mulig stort skadepotensial
79 ulike IP-adresser fra både inn- og utland har besøkt nettstedet hvor personopplysningene befant seg, hvorav kun 19 er identifisert som interne, ifølge UiOs avviksmelding til Datatilsynet. Til Uniforum sier personaldirektør ved UiO Irene Sandlie at «så langt UiO har kunnskap om, har det ikke vært aktivitet fra SAR-forskernes hjemland på det aktuelle dokumentet.»
Simen Bakke er fagprofil for digital sikkerhet i organisasjonen Utsyn: Forum for utenriks og sikkerhet. Til tross for UiOs forklaring sier han at man ikke kan gi noen garanti for at ingen fra SAR-forskernes hjemland har besøkt siden med personopplysningene.
– Det går vel an å skjule IP-adressen sin? Slik at det ikke er mulig å spore den tilbake til landet den egentlig stammer fra?
– Ja, det er riktig. For det første, når de uttaler at de ikke har identifisert trafikk direkte tilknyttet noen av disse forskernes hjemland, så indikerer jo det at det er identifisert trafikk fra andre land, forklarer Bakke.
Han sier at disse opplysningene åpenbart ikke har vært godt nok beskyttet.
– Dessuten, hvis noen har fått tilgang til dokumentet, så betyr jo det også at de har fått tilgang til opplysningene. Så dette er ikke noen garanti for at disse opplysningene ikke har havnet hos personer som virkelig har et ønske om å finne ut hvem disse forskerne er.
Bakke forklarer videre at det er helt vanlig blant trusselaktører å bruke ulike skytjenester som er lokalisert i andre land enn sitt eget når de gjennomfører operasjoner for å skjule hvor de egentlig befinner seg.
– Dersom disse opplysningene bidrar til å gi trusselaktøren de nødvendige opplysingene for å gå etter, true eller drive utpressing av utsatte forskere så er skadepotensialet stort, understreker Bakke.
Marit Egner er institusjonskontakt for Scholars at Risk ved UiO. Hun sier til Uniforum at hun har snakket med SAR-forskerne det gjelder og at flere av dem er bekymret.
I et brev til de berørte forskerne peker UiO på menneskelig svikt som overordnet årsak, og derunder en oppdatering av nettsiden som førte til at det nevnte Excel-arket ble flyttet til en mappe som lå offentlig tilgjengelig. I avviksmeldingen til Datatilsynet utdypes det:
«Ved en inkurie har excell-arket fått en annen tilgangsbegrensning enn øvrige dokumenter i samme filmappe.»
– Hvis det skal så lite til for å legge sånne sensitive dokumenter tilgjengelig på internett, da tenker jeg at man må se litt på regimet sitt, sier Bakke.
Som svar på kritikken fra Bakke informerer UiO om at Datatilsynet har konkludert med at dette ikke var et alvorlig brudd på personvern og at de har lukket saken.
UiO svarer?
Etter flere forsøk har det ikke lyktes Universitas å få et intervju med personaldirektør Irene Sandlie, men hun svarer på e-post via UiOs pressekontakt. Hun forklarer at personopplysningene ikke ble gitt adgangsbegrensning. Derfor var de søkbare på internett. Feilen ble rettet umiddelbart etter at den ble oppdaget og UiO har gjennomgått sine rutiner og gjort justeringer, forklarer Sandlie i e-posten til Universitas. Hun utdyper:
«Vi vil nå se på hvem som har rettigheter til å publisere på For ansatte-sidene, og hvilket innhold som skal ligge der.»
UiO svarer ikke på hvordan de har arbeidet for å kartlegge hvilke konsekvenser sikkerhetsbruddet kan ha medført berørte parter. De svarer heller ikke på om det finnes ekstra sikkerhetsrutiner knyttet til opplysninger om forskere som jobber ved universitetet gjennom Scholars at Risk.