NTNU publiserte bruker­navn og passord til hemmelige rapporter

Selv med et eget institutt viet til informasjonssikkerhet og kommunikasjonsteknologi er det ikke alltid like lett å holde tungen beint i munnen når en skal håndtere informasjon og kommunikasjonsteknologi på en sikker måte.

Det erfarte Fakultet for informasjonsteknologi og elektroteknikk ved NTNU i vinter, da de ved en feil publiserte sakspapirer med lenker, brukernavn og passord til klausulerte dokumenter i en møtekalender som er åpen og tilgjengelig for alle og enhver.

—  Dette viser at selv i kompetente miljø kan det skje glipper i innkjøringsfasen, skriver dekan Thomas Tybell i en tekstmelding til Khrono.

I sakspapirene til et ledermøte ved fakultetet tidligere i år lå en lenke til en side der en kunne bruke det vedlagte brukernavnet og passordet for å få ut både nasjonale rapporter fra Studiebarometeret 2025, samt tall for NTNU brutt ned på både fakultet- og studieprogramnivå. 

Samme dag som møtet ble avholdt, ble sakspapirene som røpet brukernavn og passord, fjernet fra den offentlige kalenderen.

— Vi har hatt første uke med ny møtemodul, og der tilstreber vi mest mulig åpenhet. Samtidig er vi ikke helt innkjørte, og vi var ikke klar over at denne informasjonen ble offentlig tilgjengelig.

Personvern

Overvåknings­kamera lå åpent tilgjengelig i over seks år

HK-Dir: — Uheldig

Rapportene skal i utgangspunktet være unntatt offentlighet frem til sperrefristen fredag 13. februar.

— Det er uheldig at informasjonen har blitt lagt ut før sperrefristen, men vi tror ikke denne utilsiktede hendelsen har fått store konsekvenser, sier Kristine Offerdal, divisjonsdirektør for analyse og kunnskapsgrunnlag i Direktoratet for utdanning og kompetanse (HK-dir).

Hun forteller at rapportene NTNU publiserte tilgang til, er foreløpige tall som  utdanningsinstitusjonene får for sine egne studieprogrammer.

— Det er en etablert praksis som normalt fungerer godt. Vi vet ikke hva som har skjedd i dette tilfellet, men alt tilsier at dette var et uhell. Vi vil vurdere grep for å redusere risiko for tilsvarende hendelser senere.

Offerdal understreker at det først er når vi kommer til 13. februar at tallene er endelige.

— Det er først da de er ferdig kvalitetssikret og vi vil offentliggjøre dem samlet. 

Personvern

Sendte opplysninger til feil person tre ganger på tre uker

Åpne kamera og feilsendte opplysninger

Dette er ikke første gang NTNU trøbler litt i skjæringspunktet mellom teknologi og informasjon. 

I januar kunne Khrono fortelle hvordan et tredvetalls kameraer i forskjellige undervisningslokaler ved universitetet lå åpent tilgjengelig i seks år for alle som var koblet det trådløse nettverket ved universitetet.

— Vi blir aldri ferdige med bevisstgjøring og kulturbygging, men selv om vi har gode rutiner på opplæring glipper det innimellom, sa Stian Husemoen, informasjonssikkerhetsjef ved universitet da. 

Og i fjor sommer ble det kjent at universitetet tre ganger på tre uker sendte personsensitive opplysninger og taushetsbelagt informasjon om enkeltstudenter til uvedkommende.

— Vi har gode rutiner for håndtering av personsensitive opplysninger, men når det er sagt er det veldig forståelig at rutinene ikke oppleves som gode for de som opplever at det gjøres slike feil, sa Anniken Løe, direktør for utdanningskvalitet, den gang.