NTNU:

Delte Equinor-data: - Sterkt kritikkverdig

Forsker ved kinesisk forsvarsinstitusjon fikk tilgang til konfidensielle Equinor-data fra norsk sokkel under norgesopphold gjennom NTNU-avtale. «Overhengende risiko» for datatyveri, frykter IKT-Norge.

KRITIKK: Dette er bilder fra en offisiell rekrutteringsvideo for det kinesiske universitetet National University of Defense Technology. Forskere fra NTNU har siden 2015 publisert 15 artikler i samarbeidet med dem, og dette skaper reaksjoner. Reporter: Johannes Fjeld og Maja Walberg Klev. Vis mer
Publisert
Sist oppdatert

TRONDHEIM (Dagbladet): - Dersom NTNU ikke har gjort en egen trussel- og sikkerhetsvurdering i denne saken, er det sterkt kritikkverdig, sier administrerende direktør Øyvind Husby i IKT-Norge til Dagbladet.

I sommer avslørte Dagbladet at forskere ved Norges teknisk-naturvitenskapelige universitet (NTNU) har publisert flere vitenskapelige artikler sammen med forskere ved kinesiske National University of Defense Technology (NUDT).

NUDT er direkte underlagt Den sentrale militærkommisjon i Kina, og USA mener universitetets supercomputere brukes i Kinas atomvåpenprogram.

Avsløringen vakte sterke reaksjoner fra flere eksperter.

Flere av artiklene er resultatet av forskning av og med NUDT-forskere som NTNU bekrefter at har oppholdt seg hos dem i Norge, enten som gjesteforsker eller doktorgradskandidat på utveksling.

I dag kan Dagbladet avsløre at en av dem fikk tilgang til konfidensielle Equinor-data - delt med NTNU under forutsetning av at de ikke publiseres eller deles videre med tredjeparter.

Det dreier seg om seismiske data fra Grane-feltet i Nordsjøen.

Foto: Øyvind Hagen / Equinor

Gitt at man har tilgang til visse tilleggsopplysninger, kan slike data brukes til å tilegne seg en rekke typer kunnskap om norsk sokkel.

Les intervju med seismolog Volker Oye ved Norsar i denne saken.

Fordi den kinesiske forskeren var stipendiat ved NTNU, anser Equinor delingen å være innenfor rammene av avtalen, og regner ikke forskeren som en tredjepart.

Dataene er konfidensielle, men ikke sensitive, ifølge Equinor.

En ph.d.-kandidat fra NUDT, som fra vinteren 2017 til våren 2019 var på utveksling ved NTNU, er oppført som forfatter av to av publikasjonene Dagbladet har omtalt.

En NTNU-professor, en Equinor-ansatt og en NUDT-professor - som ifølge NTNU var kandidatens hovedveileder - er oppført som medforfattere.

NTNU bekrefter overfor Dagbladet at forskeren returnerte til NUDT etter endt oppholdt ved NTNU.

Forskeren står oppført med tilhørighet til både NUDT og NTNU i artiklene, som er publisert i 2020 - året etter at stipendiatoppholdet ved NTNU i Norge var ferdig.

- Først må jeg understreke at vi ikke har noen indikasjoner på at doktorgradskandidaten som skrev artikkelen sammen med Equinor har brukt data på en urettmessig måte, skriver dekan Ingrid Schjølberg ved NTNU i en e-post til Dagbladet.

BLINKSKUDD: Student ved NTNU trener ved universitetets skytebane. Skjermdump: NUDTs kinesiske nettside
BLINKSKUDD: Student ved NTNU trener ved universitetets skytebane. Skjermdump: NUDTs kinesiske nettside Vis mer

Dagbladet har i flere omganger - i juni, oktober og november - forsøkt å komme i kontakt med den kinesiske forskeren - både på den NUDT-tilknyttede e-postadressen som er oppgitt i artiklene og på en privat e-postadresse som er oppgitt i et sammendrag.

Disse henvendelsene er ikke besvart. NTNU oppgir at førstnevnte e-postadresse er den eneste kontaktinformasjonen til forskeren de har. Det har ikke lykkes Dagbladet å nå vedkommende gjennom andre kanaler.

I 2020 slo PST fast i en rapport at «russiske, kinesiske og andre lands etterretningstjenester innhenter informasjon om norsk petroleumssektor».

Konfidensielt

I en av artiklene skrevet av den kinesiske ph.d.-kandidaten, under mellomtittelen «DATA AND MATERIALS AVAILABILITY», kan man lese følgende:

«Data associated with this research are confidential and cannot be released».

- Dette er data som ikke er sensitive for Equinor, men er likevel vår eiendom. Det er med hensyn til Equinors eierskap av rådata at disse er ønsket klassifisert som konfidensielle.

Det sier informasjonsdirektør Sissel Rinde i Equinor til Dagbladet.

- Det er standard ved deling av ikke-sensitive data at vi gir tillatelse for bruk i forskningsøyemed, men vi ønsker å opprettholde kontroll over hvordan våre rådata blir brukt videre.

I kraft av ph.d.-kandidatens stipendiatstilling ved NTNU, regnes han som ansatt ved NTNU under samarbeidsavtalen.

- Equinor har en avtale med NTNU, og har gjort ikke-sensitive data tilgjengelige for bruk ved et forskningsarbeid der. Stipendiaten har gjort arbeidet som del av NTNUs forskning, og blir vurdert som en student der da forskningen ble gjennomført, og ikke som en tredjepart.

Hun understreker at dataene ble delt med fagmiljøet på NTNU i 2016.

- På dette tidspunktet var ikke noen representanter fra NUDT del av prosjektet.

NTNU opplyser at analyse av dataene ble utført på NTNU, av en ansatt ved NTNU og utvekslingsstudenten.

I en e-post til Dagbladet i juni understreket prorektor Tor Grande at kandidatens kinesiske hovedveileder ikke hadde tilgang til Equinors data.

LEKER KRIG: NUDT-studenter deltar i «militær konkurranse» på universitetet. Skjermdump: NUDTs kinesiske nettside
LEKER KRIG: NUDT-studenter deltar i «militær konkurranse» på universitetet. Skjermdump: NUDTs kinesiske nettside Vis mer

- Utvekslingsstudenten hadde ikke tilgang til data etter endt utvekslingsopphold, men analyseresultatene for å skrive artikkelen. Før publisering krevde artikkelen godkjenning fra Equinor som var kjent med forfatterskapet av artikkelen, skrev Grande.

Disse analyseresultatene er til forskjell fra rådataene ikke konfidensielle, ifølge Equinor.

- Hvordan ser Equinor på at disse dataene er blitt delt med en kandidat med tilknytning til Kinas forsvar?

- Equinor har gitt tillatelse til bruk av ikke-sensitive rådata knyttet til et forskningsarbeid ved NTNU, hvor det er etablert klare rammer for hvordan data skal behandles. Analyseresultatene er ikke konfidensielle, og er offentlig tilgjengelige gjennom den publiserte forskningsartikkelen. I tråd med avtalen skal ikke rådata deles med studenter etter endt studieopphold, selv om det er vurdert som ikke-sensitivt, svarer informasjonsdirektør Sissel Rinde i Equinor.

- Overhengende risiko

Administrerende direktør Øyvind Husby i IKT-Norge er sterkt kritisk til NTNU.

- Er det rimelig å ta høyde for at det finnes en risiko for at en forsker tilknyttet et kinesisk forsvarsuniversitet kan begå tyveri av norske data?

- Ja, det vil jeg absolutt si at det er en risiko for. Det er noe man må ha overveid veldig nøye. Slik det beskrives her, virker det som en overhengende risiko.

Husby viser til Kinas etterretningslov av 2017. I PSTs åpne nasjonale trusselvurdering for 2022 kan man lese følgende:

«Enhver kinesisk borger eller virksomhet kan ifølge kinesisk lovverk pålegges å samarbeide med landets etterretningsapparat. Det betyr at aktører som i utgangspunktet har legitime hensikter, kan beordres til å innhente informasjon på vegne av partistaten».

- De kan bli pålagt å innhente informasjon, og de kan utsettes for press fra hjemlandet. Det stiller enhver virksomhet med kinesiske bidragsytere i en ny situasjon. De må alle gjøre egne trusselvurderinger, sier Husby.

KRITISK: Administrerende direktør Øyvind Husby i IKT-Norge. Foto: Tonje Jakobsen / IKT-Norge
KRITISK: Administrerende direktør Øyvind Husby i IKT-Norge. Foto: Tonje Jakobsen / IKT-Norge Vis mer

NTNU er imidlertid i «godt selskap», mener han.

- Norge er altfor naive på altfor mange områder. Det være seg strøm, vann, helse, storting, fiskeri. Det ser ut som om det er en systematisk mangel på forståelse for det trusselbildet vi står overfor - på alle områder i samfunnet.

Husby framholder at cybersikkerhet i Norge preges av en fragmentert strategi, med manglende samstyring på tvers av sektorer.

Han viser igjen til PST og E-tjenestens åpne trusselvurderinger.

SEISMIKK: En illustrasjon av et permanent reservoarmonitorering-system. Illustrasjon: Equinor
SEISMIKK: En illustrasjon av et permanent reservoarmonitorering-system. Illustrasjon: Equinor Vis mer

- De er veldig tydelige: Kina og Russland har til hensikt å undergrave norsk demokrati og infrastruktur, og norske myndigheters autoritet og evne til å handle i kriser.

Slik svarer NTNU og Equinor

NTNU og Equinor er forelagt Husbys uttalelser. Informasjonsdirektør Sissel Rinde i Equinor svarer følgende:

- Vi foretar en risikovurdering av alle data vi deler med universiteter, og vi deler ikke data som kan utgjøre en trussel for vår virksomhet eller Norge. Dataene som er delt i forbindelse med permanent reservoarmonitorering er ikke sensitive for Equinor, og vi har gitt tillatelse til å bruke dem i grunnforskning.

- Betyr det at det ikke er så farlig dersom dataene blir stjålet?

- Disse dataene på avveie vil ikke utgjøre en sikkerhetsrisiko, men som jeg har sagt tidligere er dette vår eiendom og vi ønsker å ha kontroll med hvordan rådataene blir brukt. Derfor er det regulert i samarbeidsavtalen med universitetet.

Dekan Ingrid Schjølberg imøtegår kritikken med følgende uttalelse:

- NTNU tar nasjonale trusselvurderinger på største alvor og har håndtert denne saken i tråd med vår avtale med Equinor. Jeg vil nok en gang understreke at selskapet ikke anså dataene som stipendiaten fikk tilgang til som sensitive, skriver hun - og fortsetter:

- NTNU har landets største forsknings- og utdanningsmiljø innenfor cybersikkerhet. Vi utdanner både bachelor- og masterkandidater innen dette fagfeltet. Generelt så har NTNU skjerpet sikkerheten på en rekke områder de siste årene og dette er høyt prioritert hos oss.

REKKE OG RAD: NUDT-studenter på universitetets campus. Skjermdump: NUDTs kinesiske nettside
REKKE OG RAD: NUDT-studenter på universitetets campus. Skjermdump: NUDTs kinesiske nettside Vis mer

- Regnes som ansatte

I august sendte Dagbladet to spørsmål til NTNU:

  • Rent hypotetisk, sett at ph.d.-studenten ønsket å lagre dataene på en minnepinne, printe dem ut eller på tilsvarende vis sikre seg tilgang etter endt studieopphold i Norge - hva ville vært til hinder for det?
  • Hva slags sikkerhetsrutiner praktiserer NTNU i en slik situasjon, hvor en utvekslingsstudent håndterer konfidensielle data?

Dekan Ingrid Schjølberg svarer følgende i en e-post:

- I dette tilfellet hadde den kinesiske doktorgradskandidaten tilgang til både analyseresultater og de underliggende rådataene, mens han oppholdt seg ved NTNU. I vår samarbeidsavtale med Equinor står det at data bare skal være tilgjengelig for relevante studenter og ansatte. Vi har forholdt oss til dette.

Hun understreker at Equinor på forhånd hadde godkjent at artikkelen ble publisert.

- Ved NTNU regnes doktorgradsstudenter som ansatte. Vi har tilgangskontroll på konfidensielle data, med reglement og retningslinjer for informasjonssikkerhet.

- Holder ikke

Schjølberg skriver videre at alle som ansettes eller skal studere ved NTNU må signere universitetets IKT-reglement for å få en brukerkonto.

- I tillegg har vi en rekke retningslinjer for informasjonssikkerhet på ulike områder, som alle er utledet av IKT-reglementet.

I en e-post til Dagbladet har Schjølberg lagt ved både NTNUs IKT-reglement og retningslinjer for informasjonssikkerhet.

- Så vil jeg presisere at regler og retningslinjer aldri er bedre enn folkene som praktiserer dem. Vi har de siste årene jobbet målrettet for å skjerpe sikkerhetskulturen.

- I et akademisk fellesskap hvor det inngår ansatte og studenter fra mer enn hundre land, praktiserer vi låste dører noen steder, mens vi andre steder er avhengig av tillit til at den enkelte forsker og student følger reglene. Slik må det være i en virksomhet hvor vi i hovedsak jobber med åpen forskning og undervisning, skriver Schjølberg.

På spørsmål om hvorvidt denne saken tilhører sistnevnte kategori - hvor NTNU er «avhengig av tillit til at den enkelte forsker og student følger reglene» - svarer Schjølberg:

- Henviser igjen til IKT-reglementet ved NTNU, som alle ansatte må kjenne til. Adgangskontroll gjelder først og fremst i fysiske arealer og laboratorier.

Svaret får Husby til å reagere.

- Det holder ikke. Man må gjøre trusselvurderinger. Man kan ikke basere seg på tillit til regimer som har uttalt helt spesifikt at de har til hensikt å undergrave Norge. Kina kan pålegge enhver borger å utføre etterretningsaktiviteter, sier han til Dagbladet - og konkluderer:

- Dette dreier seg ikke om tillit til enkeltpersoner, men om forståelse av faktiske realiteter rundt Norges nye sikkerhetssituasjon.

Vi bryr oss om ditt personvern

Dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer