Overvåknings­kamera ved NTNU lå åpent tilgjengelig i over seks år

I over seks år kunne personer påkoblet Eduroam-nettverket ved NTNU komme seg inn på, og styre, overvåkningskamera plassert i undervisningslokaler. 

Det kommer frem av en avviksmelding universitetet har sendt til Datatilsynet.

Der skriver NTNU at kameraet var ment benyttet i undervisningssammenheng, og påpeker at det var merket med «Kameraovervåkning» både på dører og inne i lokalene.

— Da vi oppdaget dette ble det beordret full gjennomgang, og vi fant et tredvetalls potensielle kameraer som potensielt kunne ha samme problem, sier Stian Husemoen, informasjonssikkerhetssjef ved NTNU.

Personvern

Sendte opplysninger til feil person tre ganger på tre uker

Fordelt på alle byer

Husemoen forteller at disse var fordelt på alle universitets tre byer, Trondheim, Gjøvik og Ålesund. 

— Dette er kamera som ble satt opp før 2020, og som ikke ble satt opp korrekt. Med en gang vi oppdaget det gikk vi gjennom alle kameraer og la inn krav om passord.

Selve avviksmeldingen skal gjelde det «Innovative læringsarealet» som går under navnet R2, og årsaken skal være «manglende oppgradering på en type kamera i noen rom».

«Det er ikke lagret opptak på kamera, men det kan ikke utelukkes at noen har gjort egne opptak hvis de har hatt tilgang» skriver NTNU.

Personvern

Prøve­resultater fra 990 forsøks­personer på avveie

Krevde teknisk kunnskap

I tillegg til å være påkoblet riktig nettverk med en NTNU-bruker må en også ha hatt nettadressen til de enkelte kameraene for å få tilgang.

Under punktet om mulige konsekvenser skriver NTNU: 

«Potensielt misbrukt overvåkningstjeneste hvor uautoriserte personer har kunnet se personer i sanntid.»

De påpeker videre at de anser sannsynligheten for misbruk som lav.

« … men det kan ikke utelukkes.»

— Du skal ha god teknisk kunnskap for å spore opp adressene og gjøre opptak, så vi anser det som lite sannsynlig. Men ettersom vi ikke klarte å verifisere om noen har vært inne, så valgte vi å melde, sier Husemoen.

HACKING

NTNU rammet av data­angrep. 113 passord på avveie

Datatilsynet: Ett av fire spørsmål om kamera

Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet, forteller at spørsmål om overvåkningskameraer er en gjenganger hos dem. Av de rundt 5000 spørsmålene deres veiledningstjeneste får hvert år, handler en fjerdedel om kameraovervåkning.

— Generelt er det nok varierende hvor bevisste virksomheter er på regelverket når de monterer kameraer i områder der mange ferdes, sier hun.

Dahl påpeker at det er den enkelte virksomhets ansvar å følge reglene, og sier at et kamera ikke skal fange opp mer enn nødvendig, og at det skal være klare rutiner for opptak, tilgang og lagring. Behovet for å sette opp kamera skal også veies opp mot den enkeltes personvern.

— En forelesningssal er et rom der mange identifiserbare personer oppholder seg over tid, ofte i situasjoner som er tett knyttet til læring, ytring og akademisk frihet. Her veier selvsagt personvernet til både studenter og forelesere tungt. Man skal føle seg fri i undervisningssituasjoner, sier kommunikasjonsdirektøren og legger til:

— Det å ha gode teknologiske og organisatoriske rutiner er viktig når kameraer for undervisningsformål tas i bruk, og det er bra at NTNU har satt inn tiltak for oppgradering, tilgang og rutiner. 

personvern

UiT-forsker skaffet seg sekretær i Ghana

— Blir aldri ferdig med bevisstgjøring

Informasjonssikkerhetssjefen forteller at de jevnlig skanner nettverkene som kameraene er koblet til for å avdekke denne type feil, men at det her var snakk om kamera som var koblet på nettverk der det ikke skal være kameraer påkoblet. Det er også derfor det tok så lang tid før det ble avdekket. 

— Og så antar jeg at de som satte opp kameraet ikke tenkte over at det kunne vært et problem. Det er jo kameraer satt opp for å ta opp forelesninger som er rettet mot kateteret i et undervisningsrom, så stort sett vil det jo bare være forelesere som foreleser som vises.

— Er det en manglende bevissthet rundt slikt ute i organisasjonen?

— Vi blir aldri ferdig med bevisstgjøring og kulturbygging, men selv om vi har gode rutiner på opplæring glipper det innimellom.