Vad ska jag tänka på om IT- eller molntjänster används?
Om IT- eller molntjänster (nedan IT-tjänst) behandlas, ange i ansökan till Etikprövningsmyndigheten vilken molntjänst som används (till exempel Sunet Drive) och inte bara att molntjänster används. Detta då forskningsetisk kommitté inte då kan göra en bedömning om tjänsten har adekvat säkerhet.
Information om olika IT-tjänsters säkerhet finns i en handläggningsordning för behandling av information i system och tjänster, som stöd till forskare. I handläggningsordningen framgår vilka aktuella IT-tjänster som finns att tillgå samt vilken information som kan hanteras i respektive IT-tjänst. Aktuell version av handläggningsordningen finns på:
- Ìý(±õ²Ô²õ±ô²¹²µ±ð³Ù)
Nya tjänster
Skulle en IT-tjänst som inte finns med i handläggningsordningen behöva användas, behöver olika överväganden göras beroende på om IT-tjänsten är extern eller intern innan den kan användas för forskning.
Externa IT-tjänster
Om det är en extern IT-tjänst, det vill säga nÃ¥gon utanför ¹û¶³´«Ã½s universitet som sköter IT-tjänsten, bör följande beaktas:
- Har Kau adekvata avtal med tjänsten? Om inte, kontakta IT-strateg Claes Asker för att påbörja anskaffningsprocessen. Notera, att det kan ta lång tid att anskaffa en IT-tjänst.
- I det fall Kau redan har adekvata avtal, kontakta IT-avdelningen på Kau för en bedömning att IT-tjänsten har adekvat säkerhet.
Om du är osäker kan du kontakta Claes Asker för stöd. Se kontaktuppgifter till höger.
Interna IT-tjänster
Om den är en intern IT-tjänst, det vill säga någon anställd på Kau som sköter IT-tjänsten, ska IT-avdelningen på Kau kontaktas för att säkerställa att IT-tjänsten har adekvat säkerhet.
IT-tjänster som finns med i handläggningsordningen men inte bedöms ha adekvat säkerhet
Om en IT-tjänst finns i handläggningsordningen, men inte bedöms ha adekvat säkerhet ska IT-avdelningen på Kau kontaktas för att få instruktioner på tänkbara kompletterande skyddsåtgärder som eventuellt möjliggör användandet av IT-tjänsten.
När och varför behöver jag använda flerfaktorsautentisering?
När känsliga personuppgifter behandlas i IT-tjänster ska flerfaktorsautentisering användas för de personer som ska ha tillgång till informationen. Med detta menas att användarna behöver något mer än bara lösenord för att logga in. Det kan till exempel vara en app i en mobiltelefon.
Flerfaktorsautentisering ger ett mycket bättre skydd än att bara använda ett enkelt lösenord då det finns flera olika sätt som en angripare kan komma åt ett sådant lösenord. Några vanliga tekniker som används för att komma åt lösenord är:
- Axelsurfning, en angripare ser när du skriver in lösenordet.
- Social ingenjörskonst, en angripare lurar via falska e-postmeddelande eller hemsidor att användaren lämnar ifrån sig till lösenord.
- Keylogger, program eller hårdvara som registrerar användarens tangentnedtryckningar och därmed lösenord.
- Angripare kan knäcka lösenordet (gissa) via olika tekniker.
- Återanvändning av lösenord, användare har samma lösenord (i strid mot gällande regler) på tjänster hos Kau som externa tjänster. Om en angripare kommer åt lösenordet på den externa tjänsten får angriparen åtkomst till tjänster på Kau.
Flerfaktorsautentisering använder sig förutom av lösenordet även av en annan faktor (till exempel app i mobiltelefonen) som behövs för att logga in. Kommer en angripare över lösenordet så kommer denne inte åt informationen såvida angriparen inte också kommer över den andra faktorn.
Förslag på formulering i ansökan till Etikprövningsmyndigheten
Om det är en extern tjänst, kan i ansökan forskaren skriva (X byts dÃ¥ ut mot IT-tjänstens namn): Informationen behandlas i IT-tjänsten X, som ¹û¶³´«Ã½s universitet har adekvata avtal med leverantören och som av ¹û¶³´«Ã½s universitets IT-avdelning bedöms ha adekvat säkerhet eller annan tjänst med adekvata avtal som av IT-avdelningen bedöms ha adekvat säkerhet.
Om det är en intern tjänst, kan i ansökan forskaren skriva (X byts dÃ¥ ut mot IT-tjänstens namn): Informationen behandlas i IT-tjänsten X, som finns pÃ¥ ¹û¶³´«Ã½s universitet och som av ¹û¶³´«Ã½s universitets IT-avdelning bedöms ha adekvat säkerhet eller annan tjänst som av IT-avdelningen bedöms ha adekvat säkerhet.
Ìý