21. febrúar 2024
Tilkynning vegna tölvuárásar á Háskólann í Reykjavík
21. febrúar 2024
Tilkynning vegna tölvuárásar á Háskólann í Reykjavík
Í kjölfar tölvuárásar sem gerð var á Háskólann í Reykjavík (HR) um mánaðamótin janúar-febrúar, þar sem kerfi skólans voru tekin niður og þeim læst með dulkóðun, hafa sérfræðingar unnið við að greina og rannsaka árasina, endurbyggja tölvukerfi og endurheimta gögn. Þeirri vinnu hefur miðað vel. Þá skal áréttað að um leið og öryggisbresturinn kom í ljós var gripið til umfangsmikilla ráðstafana til að loka fyrir aðgang árásaraðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem HR vinnur upplýsingar um.
Í fréttatilkynningu frá HR þann 4. febrúar síðastliðinn kom fram að ekki væru merki um stórfelldan gagnastuld, þótt ekki væri hægt að útiloka gagnastuld að hluta. Þá var jafnframt greint frá því í sömu tilkynningu að ekki hefðu sést ummerki um að önnur gögn en einhver nöfn, kennitölur, netföng og dulkóðuð lykilorð notenda hefðu verið afrituð úr kerfum HR. Nú hefur nánari rannsókn leitt í ljós að hluta gagna var stolið.
Sérfræðingar telja að árásaraðilinn hafi náð að hala niður 185 gígabætum af gögnum af miðlægum drifum HR sem alls hýstu um 15 terabæt (15000 gígabæt).
Sérfræðingar sem unnið hafa að greiningum gera ekki ráð fyrir að hægt verði með vissu að sjá hvaða gögnum nákvæmlega var stolið af miðlægum drifum þó að magn þeirra sé vitað. Persónuvernd hefur nú þegar verið upplýst um málið.
Á drifunum sem gögnum var stolið af er að finna gögn sem gætu snert stóran hóp fyrrverandi og núverandi nemenda og starfsfólks, umsækjenda um nám og störf og annara sem tengjast og tengst hafa starfsemi skólans. Gögnin sem hýst eru á umræddum drifum hafa að geyma upplýsingar úr starfsemi HR, sem háskólinn vinnur með eðli málsins samkvæmt, s.s. starfsmannamál, upplýsingar um nemendur, tiltekin afmörkuð rannsóknargögn, rekstrarupplýsingar og fjárhagsupplýsingar auk annarra gagna sem kunna að vera persónugreinanleg. Þar á meðal eru upplýsingar viðkvæms eðlis s.s. upplýsingar um einkunnir, agamál, launamál, og viðkvæmar persónupplýsingar í skilningi persónuverndarlaga, s.s. upplýsingar um stéttarfélagsaðild og heilsufarsupplýsingar sem sendar hafa verið skólanum. Ekki verður hins vegar séð að farið hafi verið inn á svæði einstakra starfsmanna. Þá er rétt að taka fram að gögn sálfræðiþjónustu HR eru ekki vistuð á þeim drifum sem um ræðir.
Rannsókn á gögnum sem voru vistuð á miðlægum drifum verður haldið áfram innan skólans og verður tilkynnt um þær niðurstöður til hlutaðeigandi aðila, ef og þegar þörf krefur.
Vinsamlegast athugið að ekki er um að ræða tæmandi talningu á upplýsingum, en ofangreint ætti að ná yfir flesta flokka persónuupplýsinga sem vistaðar voru á umræddum drifum.
Háskólinn í Reykjavík áréttar að ekkert bendir til þess að árásaraðilinn hafi misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar hafi verið afritaðar og verði birtar opinberlega af hálfu umrædds aðila. HR fylgist með þeim anga málsins og veitir upplýsingar þar að lútandi ef og þegar þörf krefur.
Ef einhverjar spurningar vakna varðandi gagnastuldinn bendum við þér á að hafa samband við persónuverndarfulltrúa HR, í gegnum netfangið personuvernd@ru.is.
///
Following a cyberattack on Reykjavik University (RU) at the end of January/beginning of February, where the University's systems were taken down and locked with encryption, experts have been working to analyze and investigate the attack, rebuild computer systems and recover data. That work has gone well. It should be noted that as soon as the security breach was discovered, extensive measures were taken to block the access of the attackers and limit the impact on the rights and freedoms of the individuals on whom RU processes information.
In a press release from RU on February 4th 2024, it was stated that there were no signs of large-scale data theft, although partial data theft could not be ruled out. It was also reported in the same press release that experts had not seen any traces of data other than some names, social security numbers, email addresses and encrypted passwords of users being copied from RU's systems. However, closer investigation has revealed that data was stolen. Experts believe that the attackers were able to download 185 GB of data from RU's central drives that housed a total of 15 TB (15000 GB).
Cyber-security specialists do not expect that it will be possible to see with certainty exactly what data was stolen from these central drives, even though the amount of data is known. The Data Protection Authority has already been informed.
The drives from which data was stolen contain data that could affect a large group of former and current students and staff, applicants for studies and jobs at RU, and others who are and have been related to the RU's operations. The data that was hosted on those drives contains information from RU's operations, which the University processes according to the nature of its operations, e.g. personnel matters, information about students, certain delimited research data, operational information, financial information as well as other data that might be personally identifiable. This includes information of a sensitive nature, e.g. information about grades, disciplinary matters, salary matters, and sensitive personal information in the sense of the Data Protection Act, e.g. information on union membership and health information that has been sent to the University. However, experts do not see that the private folders of individual employees have been entered. It is worth mentioning that data from RU’s student psychological services was not stored on these drives.
The investigation of data on the central drives will continue within RU and the results will be reported to the relevant parties, if and when necessary.
Please note that this is not an exhaustive list of the types of information that could be affected, but the above should cover most categories of personal information stored on said drives.
Reykjavik University emphasizes that there is no indication that the attacker has misused this information, but it cannot be ruled out that the information has been copied and will be published publicly by the said party. RU monitors that aspect of the case and provides relevant information if and when necessary.
If any questions arise regarding the data theft, we suggest that you contact RU's Data Protection Officer via the email address personuvernd@ru.is.
Nýjustu fréttirnar
Sjá allar fréttir