Åpent for alle?: I dag krypteres ikke hva forskere og studenter søker på i bibliotekets datasystem. Alle biblioteker tilknyttet universiteter og høyskoler er sårbare for overvåkning. Illustrasjonsfoto: Patrick Da Silva Sæther

Lett å overvåke norsk forskning

IT-ekspert mener industrispioner og etterretningstjenester kan dra nytte av informasjonen.

Julie Kalager
Haakon Jamtli Kristiansen
Publisert Sist oppdatert
Maja van der Velden, Førsteamanuensis – Forskningsgruppen for design av informasjonssystemer, UiO, kryptering, informasjonssystemer. Foto: Haakon J. Kristiansen
Maja van der Velden, Førsteamanuensis – Forskningsgruppen for design av informasjonssystemer, UiO, kryptering, informasjonssystemer. Foto: Haakon J. Kristiansen
Maja van der Velden, Førsteamanuensis – Forskningsgruppen for design av informasjonssystemer, UiO, kryptering, informasjonssystemer. Foto: Haakon J. Kristiansen

Oria

  • Universitetsbibliotekene og høyskolebibliotekene i Norge bruker alle det samme datasystemet, Oria.
  • Oria eies av Bibsys, og Bibsys får sin programvare fra israelske Ex Libris.
  • Programvaren Oria er ikke kryptert, og informasjonen sendes ut av landet. Det utgjør en sikkerhetsrisiko for norsk forskning og bibliotekbrukere.
  • IT-ekspert Einar Stangvik mener det er svært enkelt å overvåke norsk forskning via Oria. Motiver kan være industrispionasje og politisk brekkmiddel.
  • Navn på brukere er ukryptert, men man kan ikke se hva de har søkt på, ifølge produktansvarlig for Oria, Asbjørn Risan. IT-ekspert Einar Stangvik mener imidlertid at dersom navn og søk tidligere har vært koblet sammen, vil en datakyndig person kunne lykkes med å finne ut hvem som har søkt på hva.

Universitets- og høyskolebiblioteker over hele landet bruker samme lånesystem, Oria. Det brukes når man låner bøker, søker opp og reserverer litteratur og laster ned artikler. Mens folkebibliotekene krypterer alle tjenester, er søk og navn på brukere ukryptert ved forskningsbibliotekene. Mangel på kryptering betyr at en tredjepart; et land eller en organisasjon, ganske enkelt kan finne ut hva som forskes på i Norge.

– På universitetet forstår de ikke helt hva som skjer. Jeg lurer på om de tar det på alvor, sier Maja van der Velden, førsteamanuensis ved Institutt for informatikk ved Universitetet i Oslo.

Hun er svært bekymret for at norsk forskning skal bli stjålet eller overvåket av bedrifter og etterretningstjenester i andre land.

Registrerer studentenes lesevaner: -Det er et viktig prinsipp at man skal kunne tilegne seg kunnskap på biblioteker uten at noen får vite hva det er man leser

Overvåkning

I dag krypteres nesten alle nettsider for å beskytte brukerne sine. Å kryptere betyr at informasjonen som sendes blir kodet, slik at den blir vanskeligere å lese. Dersom man sender informasjon ukryptert er det svært enkelt for datakyndige å få innsikt i hva som sendes.

– At Universitetsbiblioteket ikke krypterer låneinformasjonen er uakseptabelt. De kan ikke lenger garantere konfidensialitet, mener van der Velden.

Mangel på kryptering er imidlertid ikke norske bibliotekers eneste problem. Per dags dato sendes informasjonen om hva vi søker på i biblioteksystemet til Nederland der serveren til selskapet Ex Libris ligger. For å komme til Nederland, sendes søkeinformasjonen gjennom Sverige.

– Sverige har myndighet til å overvåke informasjon som sendes gjennom landet, påpeker van der Velden.

Det betyr at svensk etterretning kan få god oversikt over hva som forskes på i Norge. Fra Sverige sendes informasjonen om hva vi låner videre til Nederland, der det israelske selskapet Ex Libris lagrer dataene.

Uakseptabelt: Førsteamanuensis Maja van der Velden synes det er hårreisende at Universitetsbiblioteket ikke beskytter brukerne sine bedre. -Vi vet at Sverige overvåker norsk datatrafikk, sier hun. Foto: Haakon J. Kristiansen

– Lever av informasjon

IT-ekspert Einar Stangvik er skeptisk til at informasjon sendes og lagres på denne måten. Mange lands etterretningstjenester er interesserte i hva som blir forsket på på norske universiteter og høyskoler, ikke minst de israelske, forteller han.

– Israelsk etterretning lever av informasjon, og fra deres perspektiv vil det være svært rasjonelt å også sanke denne informasjonen, sier Stangvik.

Alt som sendes ukryptert er svært lett å samle inn, også uten aktiv hjelp fra Ex Libris. IT-eksperten mener det er uklokt å sende slik informasjon ut av landet.

– Hvem kan ønske å få tilgang til slik informasjon?

– Det kan være alt fra konkurrerende bedrifter til statlige etterretningstjenester.

Han mener at motivasjonen kan være industrispionasje, markedsmanipulasjon eller politisk brekkmiddel.

Skeptisk: IT-ekspert Einar Stangvik mener universitets- og høyskolebibliotekene er dårlig beskyttet mot overvåkning: -Israelsk etterretning lever av informasjon, og fra deres perspektiv vil det være svært rasjonelt å også sanke denne informasjonen, sier Stangvik. Foto: Privat

– Israelsk etterretning lever av informasjon, og fra deres perspektiv vil det være svært rasjonelt også å sanke denne informasjonen

Einar Stangvik, IT-ekspert

– Privatlivet blir utfordret

På Universitetsbiblioteket er det Håvard Kolle Riis som har ansvar for de digitale tjenestene forskere og studenter benytter seg av.

– Hva tenker du om at utenforstående svært enkelt får innsyn i hva som forskes på i Norge?

– Det synes jeg ikke noe om i det hele tatt. Privatlivet blir utfordret. Det er vi opptatt av på biblioteket og at persondata skal være trygt. Det er viktig for oss.

Har biblioteket tatt denne trusselen innover seg?

– Det har vært en viktig del av arbeidet med innføring av nytt biblioteksystem. Det man har vært påpasselig med hele tiden er at leverandøren har strenge krav for behandling av persondata i henhold til på norske regler og EU-regler. Når det gjelder informasjonen som går gjennom Sverige, er jeg ikke oppdatert på hva svenskene har tilgang på. Men det er mulig å snappe opp informasjon om hva det søkes på.

Mer om overvåking: Ble ulovlig overvåket i to år

Bryter garanti

– På nettsidene deres garanterer dere brukerne konfidensialitet – er det garanti som kan opprettholdes når store mengder søkerdata ikke krypteres?

– Brukernes konfidensialitet er viktig for oss, men det er et mylder av systemer og det er ikke alltid vi har kontroll over alle hendelser, systemer og feil. Å garantere er vel et sterkt ord, men vi bruker mye tid og ressurser på det.

I november kommer en oppdatering av lånesystemet som skal kryptere all informasjon. Kolle Riis forteller at UB ikke ble bevisst denne problemstillingen før i april 2015. Da kontaktet de Bibsys i Trondheim som leverer søketjenesten Oria til Universitetsbiblioteket.

– Ikke mulig

Asbjørn Risan er produktansvarlig for datasystemet Oria. Han bekrefter at søkeinformasjonen ikke er kryptert. I november kommer det nye systemet.

– Hvorfor har ikke informasjonen blitt kryptert tidligere?

– Det skal krypteres, men det har tidligere ikke vært mulig med de tekniske løsningene vi og Oria hadde.

Universitetsbibliotekene er likevel ikke helt uten beskyttelse. I dag er personinformasjon som fødselsnummer kryptert, mens søkerinformasjon er ukryptert. I tillegg er brukernes navn og hva de har lånt adskilt.

IT-ekspert Einar Stangvik mener at det ikke nødvendigvis er nok.

– Så lenge informasjonen på noe tidspunkt flettes sammen av datasystemet, så kan den også settes sammen igjen av uvedkommende. Separasjon gjør det vanskeligere for aktører som greier å skaffe tilgang til ett system, men ofte er denne separasjonen bare en forsinkelse – ikke en permanent sperre for tilgang til det dataene, sier han.

Førsteamanuensis van der Velden synes at krypteringen kommer altfor sent.

– Siden Edward Snowdens avsløringer vet vi at mye av overvåkningen som skjer i dag er ulovlig. I tillegg vet vi ikke hva Ex Libris gjør med informasjonen når den kommer frem.

nyhet overvåkning
Powered by Labrador CMS