Stort personvernbrudd ved UiO – flere tusen rammet
Avviket har utviklet seg over tid og fått et stort omfang, skriver UiO.
I sommer oppdaget Universitetet i Oslo (UiO) noe urovekkende: Ikke-godkjente applikasjoner har hatt tilgang til personopplysninger om ansatte og studenter over lengre tid.
Fortrolig informasjon kan være på avveie og det er uvisst hvor mange som er rammet.
Avviket skal ha pågått i over ti år.
Universitas har fått innsyn i avviket UiO selv sendte inn til Datatilsynet om problemene.
Ikke-godkjente tilganger
Men hva gikk egentlig galt? Slik har UiO beskrevet det selv:
Studenter og ansatte kan knytte eksterne applikasjoner til Microsoft365-brukerne deres. Omtrent 1400 slike tjenester har hatt tilgang til brukernes data. Flere er godkjente.
Problemet: Et ukjent antall tjenester var ikke godkjent og kunne dermed ha uautorisert tilgang til personopplysninger.
En av disse er ReadAI: En slags digital møteassistent. Tjenesten kan blant annet transkribere og oppsummere møter i Google Meet, står det på ReadAIs nettsider.
UiO opplyste i juni Datatilsynet om at 59 brukere hadde brukt tjenesten. Dette var starten på undersøkelsene som avdekket avvikets store omfang.
– Ansatte og studenter har selv hatt mulighet til å samtykke til at tredjepartstjenester har fått tilganger inn i data som er lagret i UiOs Microsoft 365, skriver assisterende universitetsdirektør Johannes Falk Paulsen i en e-post til Universitas.
UiO har manglet rutiner for å godkjenne at disse har blitt knyttet til Microsoft365.
Svikten skal ha pågått siden 2014.
Usikkert omfang
Omtrent 17.000 UiO-brukere skal ha samtykket til at ikke-godkjente tredjepartstjenester har fått tilgang til data.
Men: UiO kaller det umulig å identifisere antallet som er omfattet av avviket – men de antar at tallet er høyt.
Alle som har vært i kontakt med de rammede brukerne gjennom Microsoft365, kan nemlig ha opplysninger på avveie. Dette kan være gjennom e-post, meldingstråder eller kalenderoppføringer.
Noen applikasjoner skal blant annet ha fått tilgang til lese- og skriverettigheter til brukerens e-post, Onedrive, Teams og Sharepoint.
Dermed kunne tjenestene ha sendt e-post på vegne av brukerne, forklarer Paulsen.
– Dette skjedde uten at UiO hadde inngått nødvendige avtaler og gjort nødvendige vurderinger med hensyn til personvern og IT-sikkerhet, skriver han.
UiO har ikke kontroll over hvordan dataene behandles eller eventuelt videreformidles av de uautoriserte leverandørene.
«Per dags dato foreligger det ingen opplysninger som tilsier at dataene er misbrukt eller distribuert videre av tjenesteleverandørene som er omfattet i avviket», skriver de i avviket.
Satte i gang tiltak
Da avviket i juni ble sendt inn, hadde tjenestene fremdeles tilgang til dataene. Siden har UiO kartlagt de rammede brukere – disse ble varslet på e-post og bedt om selv å rydde opp i dataene de kan ha gitt tilgang til.
Universitetet har undersøkt alle de omtrent 1400 appene og identifisert hvilke som manglet godkjenning.
– UiO sperret deretter muligheten for å logge på tjenester ved bruk av feil innloggingsmetode eller autentiseringsmetode, med frist 16. september slik at brukere kunne hente ut eventuelle dokumenter og annet de hadde lagret der, skriver Paulsen til Universitas.
Og fremover kreves det godkjenning fra administrator for å knytte nye tjenester til Microsoft365.
