Lunds universitet, LU, mottog den 8 september 2020 ett nytt ärende i sin Ser- vicedesk. En student har uppmärksammat att han under en inloggad Zoom- konferens, genom Sunet E-möte, varit uppkopplad mot Zooms datacenter, både i USA och Japan.111F111F111F112 Studenten använde sig av Zooms webbaserade klient,
genom att använda länken https://zoom.us/join, och fylla i mötes-ID som universitetet tillhandahållit för det specifika undervisningstillfället. Studenten anslöt sedan till videokonferensen genom att använda ”Join from Your Brow- ser”. Universitetet kontaktade genast tjänstetillhandahållaren Sunet efter upp- täckten. Sunet återkom med svaret:
”Vi har kollat och det visade sig att han använder web klient och då hamnar man på olika datacenter både i EU eller utanför EU beroende på trafik osv. Det är viktigt att använda sig av Zoom klient om man vill hamna rätt”112F112F112F113
Vilken data som mer precist hamnade utom EU har inte gått att säkerställa, varken NORDUnet, Sunet eller Lunds universitet har något svar på frågan om exakt vilken data det rör sig om.113F113F113F114 LU uppdaterade kort efter incidenten sin
information gällande Zoom/Sunet E-möte på universitetets hemsida:
”OBS! Säkerhetsproblem att ansluta via webbläsare och telefon. (hösten 2020) Det har visat sig att den som ansluter till Zoom-möten via webbläsaren riskerar att data hanteras utanför EU, vilket inte är förenligt med PUBA-avtalet. Medan utredning kring detta pågår uppmanar vi alla att ladda ner Zoom-klienten till da- torn och använda den!
Även om man ringer in till ett möte via något av de tillgängliga telefonnumren har det visat sig att data kan hamna utanför EU. Vi avråder därför från att an- sluta till ett möte genom att ringa in till det.”114F114F114F115
Vid kontakt med Sunet vid tiden för författandet ges inte heller någon klar bild om hur dataflödet för tjänsten mer precist ser ut. Svaret som Sunet ger är istäl- let att de inte tror att någon form av data skickas till utom EU vid användandet av webbklienten men i de fall att man väljer att ansluta genom Skype (for busi- ness) så kommer vissa data gå till servrar utom Sunets kontroll. Sunet avråder,
112 Korrespondens mellan Lunds universitets systemförvaltare och Sunet perioden 15 september
– 20 september 2020.
113 Korrespondens mellan Lunds universitets systemförvaltare och Sunet perioden 15 september
– 20 september 2020.
114 Ibid.
115 Lunds universitet, Zoom vid LU och säkerhet,
https://canvas.education.lu.se/courses/4387/pages/zoom-vid-lu-och- sakerhet?module_item_id=96518, hämtad 2020-12-30
36
per e-post, för att ansluta via Skype till tjänsten och påpekar även att den funkt- ionaliteten snart ska tas bort.115F115F115F116
NORDUnet har under författandet av uppsatsen även uppdaterat sin tjänst- beskrivning gällande tjänsten, en uppdatering som har skett under januari 2021 vilket även det talar för att problemet nyligen uppmärksammats. Någon mot- svarade uppdatering och förtydligande finns inte hos Sunet. Följande stycke har adderats under sidan som beskriver tjänsten “The NORDUnet operated Zoom service”.116F116F116F117
The NORDUnet Zoom on-premise solution handles all regular video traffic re- lating to the use of Zoom via the App’s, clients, H.323, and Zoom rooms. There are, however, a few exceptions like the use of PSTN, the direct web browser ac- cess and specialised connectors like Skype for Business, these gateway functions are not supported on-prem and will use the regular Zoom public cloud gateways.
I början av februari återkom även Lunds universitets systemförvaltare gällande utvecklingen i ärendet med studenten som först uppmärksammade problemati- ken. Svaret från Sunet fastslår det faktum att en överföring har skett till data- center utom EU och utom NORDUnet respektive Sunets kontroll.
”…Svaret är att om man vill garantera att mötet håller sig på NORDUnets Data- center, måste man använda sig av desktopklienten.”117F117F117F118
Sunet ger även det tudelade budskapet att vid användandet av webbklienten så ska datatrafiken i normalfallet gå via Zooms datacenter i Europa, något som inte helt har kunnat verifieras genom de utförda nätverksanalyserna.
”Webklient trafiken går via zooms EU-cloud. I undantagsfall då zoom har större störningar i EU kan trafiken hanteras av DCs utanför EU. Förutom det specifika tillfället har vi inga indikationer/rapporter på att det skett förut eller skett igen.118F118F118F119”
Huruvida trafiken kontinuerligt går till datacenter inom EU/EES respektive undantagsvis till datacenter utom unionen ger inte heller de utförda nätverksa- nalyserna svar på. Klarlagt utifrån tjänstetillhandahållarens uppdaterade be- skrivning och svar är däremot att när en användare använder webbklienten för
116 Korrespondens mellan uppsatsförfattare och B. J. på Sunet, per den 12 januari 2021, gällande
frågan om någon data skickas till servrar belägna i tredjeland. ” Webbläsaren tror jag inte.” samt ” Om man ansluter med t.ex. Skype är det så kan en del gå via andra servrar än våra. Men det är nåt vi avråder från, och dessutom kommer den funktionaliteten att tas bort snart.”
117 NORDUnet, The NORDUNET operated Zoom service, http://nordu.net/content/zoom-0,
hämtad 2021-02-02.
118 Korrespondens mellan systemförvaltare L.Å. vid Lunds universitet och Sunet, daterat 2021-
02-04.
37
att ansluta till en videokonferens genom Sunet E-möte så föreligger det en risk att trafik går utom unionen. Detta då den faktiska nätverkstrafiken passerar genom en av Zoom tillhandahållen publik server innan trafiken når NORDU- nets moln. Zoom bör antas ha tillgång till trafikflödet som går på deras servrar vilket gör att åtminstone första trafiksteget är utom tjänstetillhandahållarens kontroll.
Den schematiska figuren nedan beskriver en förenklad bild av hur datatrafi- ken går när webbklienten används. Det problematiska är att trafik innehållande uppgifter passerar Zooms datacenter och riskerar därav att hamna på datacenter utom unionen beroende på rådande trafik och uppkopplade användare.
2.5.1 Jämförelse mellan övriga svenska lärosäten
Som en del av den rättsinformatiska metoden har dataskyddsombud, DSO, vid flertalet svenska högre lärosäten kontaktats med frågan om någon datatrafik på något sätt hanteras på servrar utom Sunets och NORDUnets kontroll eller till servrar placerade utom EU.119F119F119F120 Svaren tyder på en viss form av diskrepans mel-
lan de olika tillfrågade lärosätena. Uppsala universitet, Stockholms universitet, Karolinska institutet, Södertörns högskola, Umeå universitet samt Karlstads universitet svarade samtliga att ingen trafik går utom EU och att all trafik i alla lägen går internt på NORDUnets privata moln oavsett val av klient. Örebro universitet delar däremot Lunds universitet tidigare redovisade uppfattning och meddelar att trafik kan riskera gå till tredje land om annan anslutningsmetod än via den nedladdade klienten används.120F120F120F121
120 En fråga som ställdes till dataskyddsombuden var ”Vilka personuppgifter behandlas och
skickas någon data till tredjeland vid användandet av Zoom/Sunet E-möte?”.
121 Korrespondens med Örebro universitet genom e-post, den 14 januari 2021, ” Om anslutning
sker via appen stannar informationen inom NORDUnet, dvs. inom Norden. Om annan anslut- ningsmetod används är det möjligt att informationen går via tredje land, beroende på bl.a. mäng-
NORDUnets privata moln och tillgänglig serverresurs Klient 1 Klient 3 Klient 2 Zooms publika molntjänst på datacenter inom eller utom EU Användare bakom Webbklienten
38
Stockholm universitet ändrade sedan sitt svar efter en ytterligare förfrågan och förtydligande. Svaret ger för handen att någon form av säkerhetsbrist före- ligger och som har uppmärksammats.
”Ja, det stämmer att i nuläget så kan data från ett möte hamna utanför EU om webklienten används. Nordunet arbetar på en lösning, men vi är inte där än.”121F121F121F122
Chalmers tekniska högskola, CTH har gått så pass långt att de har förbjudit anslutning via webbläsaren då de är av uppfattningen av att anslutningen går utom EU.122F122F122F123 CTH har dessutom blockerat möjligheten att ansluta genom Skype
då även denna anslutningsform riskerar att gå via servrar i utom EU. CTH:s linje med att blockera anslutning via webbklienten visar att de tekniska möjlig- heterna för en sådan åtgärd är fullt möjliga som ett första steg innan en perma- nent lösning finns på plats. Åtgärden att blockera tillgång till webbklienten leder dock till att varken studenter, lärare eller anställda vid gällande lärosäte som inte har möjlighet att ladda ner och installera klienten har svårare att på ett enkelt sätt ansluta och delta i pågående videokonferenser.
Mot bakgrund av denna påvisade diskrepans mellan de tillfrågade lärosätena så talar det för att någon genomgående linje saknas, där ingen tydligt vet var trafiken går, vilket är synnerligen allvarligt. Inte heller tjänstetillhandahållarna Sunet, eller NORDUnet verkar veta med säkerhet var trafiken vid användandet av webbklienten går.