Top-Toy A/S
Top-Toy A/S
Capacent/Institut for Karriereudvikling A/S
Capacent/Institut for Karriereudvikling A/S
Oticon A/S
Nokia Danmark A/S
Energinet.dk
Rambøll
Britisk dataskandale – det kunne have været i Danmark
Det britiske skattevæsen har mistet to cd’er med personfølsomme oplysninger på 25 millioner borgere. Noget tilsvarende kunne ske i Danmark, advarer formanden for Dansk IT’s råd for it- og persondatasikkerhed.
»Sagen fra Storbritannien er et rigtig godt eksempel på, hvorfor det er så vigtigt at skabe bevidsthed om it-sikkerhed. Vi kan have nok så mange sikkerhedssystemer, men helt sikre sig kan man ikke. Hvis medarbejderne ikke tænker sig om og sløser med de data de har med at gøre, så hjælper det ikke noget. Jeg kan ikke se nogen grund til, at noget tilsvarende ikke skulle ske i Danmark« siger Kim Aarenstrup, der er formand for Dansk IT’s råd for it- og persondatasikkerhed og dertil it-sikkerhedschef hos A.P. Møller.
Han efterlyser både træning, undervisning og en højere sikkerhedsbevidsthed.
I den pinlige britiske sag inkluderer de forsvundne data bl.a. 25 millioner briters fødselsdato, adresser, bankkonti og personnumre. Cd’erne, de var lagret på, forsvandt efter, at en lavt rangerende embedsmand havde sendt dem af sted med et kurerfirma - i strid med alle sikkerhedsregler. Briterne frygter nu omfattende identitetstyveri og at folk får deres bankkonti lænset.
Kim Aarenstrup peger på risikoen ved, at de flytbare medier som cd’er og USB-nøgler kan rumme meget store mængder data og er nødt til at blive omgærdet med høj sikkerhedsbevidsthed. Derudover noterer han, at den igangværende digitalisering af Danmark stiller store krav om sikkerhed.
»Sagens alvor understreges af, at Danmark står over for en massiv digitalisering. Myndighederne forvalter kolossalt store mængder personfølsom information, og giver vi ikke sikkerheden allerhøjeste prioritet, så får vi med statsgaranti en tilsvarende sag herhjemme. Vi har jo allerede haft flere sager, som Datatilsynet har registreret.«
»Vi så gerne, at sikkerhed og persondatabeskyttelse fik en fremtrædende rolle også i lovgivningen. Der er det ikke synligt nok. De emner skal helt op i toppen af dagsordenen – såvel hos politikerne som i virksomheder og organisationer. Det er vigtigt, man får sig organiseret rigtigt, får prioriteret rigtigt, og sørger for at få tilstrækkeligt med ressourcer koblet på,« siger Kim Aarenstrup.
Han efterlyser både træning, undervisning og en højere sikkerhedsbevidsthed.
I den pinlige britiske sag inkluderer de forsvundne data bl.a. 25 millioner briters fødselsdato, adresser, bankkonti og personnumre. Cd’erne, de var lagret på, forsvandt efter, at en lavt rangerende embedsmand havde sendt dem af sted med et kurerfirma - i strid med alle sikkerhedsregler. Briterne frygter nu omfattende identitetstyveri og at folk får deres bankkonti lænset.
Kim Aarenstrup peger på risikoen ved, at de flytbare medier som cd’er og USB-nøgler kan rumme meget store mængder data og er nødt til at blive omgærdet med høj sikkerhedsbevidsthed. Derudover noterer han, at den igangværende digitalisering af Danmark stiller store krav om sikkerhed.
»Sagens alvor understreges af, at Danmark står over for en massiv digitalisering. Myndighederne forvalter kolossalt store mængder personfølsom information, og giver vi ikke sikkerheden allerhøjeste prioritet, så får vi med statsgaranti en tilsvarende sag herhjemme. Vi har jo allerede haft flere sager, som Datatilsynet har registreret.«
»Vi så gerne, at sikkerhed og persondatabeskyttelse fik en fremtrædende rolle også i lovgivningen. Der er det ikke synligt nok. De emner skal helt op i toppen af dagsordenen – såvel hos politikerne som i virksomheder og organisationer. Det er vigtigt, man får sig organiseret rigtigt, får prioriteret rigtigt, og sørger for at få tilstrækkeligt med ressourcer koblet på,« siger Kim Aarenstrup.
Kunne man ikke have et fast system for opbevaring af følsomme data, således dataene ikke opbevares et enkelt sted, men opbevares på krypterede diske flere steder i landet? Evt. kan tilgangen til diskene logges hver for sig, således det er muligt at se om data udtrækkes, ændres, og modificeres, og fra hvilken IP nummer, samt password og autorisationskode for udførslen.
Det britiske eksempel viser jo, at uanset hvor godt disse data sikres, der hvor "de bor" - så vil der være "kloner" af disse data som skal overføres til andre systemer. Regelmæssige dataudvekslinger kan også sikres ved at ske i lukkede net og være krypterede etc etc men der er masser af eksempler på engang overførsler hvor man netop kan vælge f.eks. at brænde en CD eller dumpe data på en memorystick.
Der hjælper ingen kære mor eller fine systemer. Der bunder det hele i om de pågældende medarbejdere har den rette indstilling og forståelse for data sikkerhed.
Der hjælper ingen kære mor eller fine systemer. Der bunder det hele i om de pågældende medarbejdere har den rette indstilling og forståelse for data sikkerhed.
Jeg kan ikke tro på, at der ikke er muligt med et system, således medarbejderne ikke kan begå noget forkert. Mennesker, laver nu engang fejl - og jeg tror ikke, at løsningen ligger i hverken uddannelse, viden om sikkerhed, rettte indstilling, eller forståelse af datasikkerhed. Mennesker vil begå fejl - før eller siden. Jeg har set det samme med programmører: Mange tror, at man bare skal have en hel masse lærdom, eller følge nogle strikse planer, at man kan presse programmørerne ned i et "system" så de ikke begår fejl. Men alt viser, at det er umuligt.
Måden som fejl undgås, er ikke ved at undgå mennesker begår fejl - men ved at bruge et system, således systemet ikke begår fejl, trods mennesker er upålidelige og begår fejl.
Ofte har programmørerne beskyldt hinanden for dårlig programmering, at ikke opfylde de elementære krav til "god opførsel i programmering", osv. osv. Men uanset dette, begik alle fejl - også dem der beskyldte de andre for dårlig kode. Måske begik de færre fejl - men alligevel begik de fejl.
Måden at undgå fejl på, er systemer. Disse systemer skal være automatiserede, og ikke noget man presser mennesker til at følge. Systemernes opgave er at ved hjælp af automatik sikre, at mennesker ikke begår fejl fordi systemet så automatisk opdager dette, og at fordi der er flere ansatte så sikre at de i fællesskab ikke fejler. Tager vi som et eksempel et programmeringssprog, hvor compileren kun tillader en oversættelse hvis alle regler til "god opførsel" er overholdt - og sammenholder det, med at man søger at pine programmørerne til god opførsel, gennem uddannelse og forklaring af problemerne - så vil man hurtigt se, at forklaringer og uddannelse intet nytter, og først når compileren nægter at give et svar, så begynder det at hjælpe. Men hvad er menneskets reaktion: De skifter compiler... Og så er det op til ledelsen at være standhaftige og nægte dette, trods alle programmører ikke vil mere.
Det er altså nødvendigt, at udarbejde automatiske systemer, således f.eks. datasikkerhed er i orden. Vi kan ikke lade problemet bero på mennesker, og enhver forsøg på at uddanne medarbejdere til rette indstilling og forståelse, er dømt til at mislykkedes.
Jeg tror på, at dette er muligt. Dette skal man tro på, da man ellers aldrig vil søge at løse problemet. Måske findes ikke nogle nøgleløsninger, som kan købes, men det betyder ikke at problemet er uløseligt.
Worst case, er at vi ikke kan bruge de ingeniører, som er handelsmænd, til at løse problemet, hvis problemet ikke er løst. Men må have fat i dem som er forsker og kan opfinde løsninger til et problem.
Måden som fejl undgås, er ikke ved at undgå mennesker begår fejl - men ved at bruge et system, således systemet ikke begår fejl, trods mennesker er upålidelige og begår fejl.
Ofte har programmørerne beskyldt hinanden for dårlig programmering, at ikke opfylde de elementære krav til "god opførsel i programmering", osv. osv. Men uanset dette, begik alle fejl - også dem der beskyldte de andre for dårlig kode. Måske begik de færre fejl - men alligevel begik de fejl.
Måden at undgå fejl på, er systemer. Disse systemer skal være automatiserede, og ikke noget man presser mennesker til at følge. Systemernes opgave er at ved hjælp af automatik sikre, at mennesker ikke begår fejl fordi systemet så automatisk opdager dette, og at fordi der er flere ansatte så sikre at de i fællesskab ikke fejler. Tager vi som et eksempel et programmeringssprog, hvor compileren kun tillader en oversættelse hvis alle regler til "god opførsel" er overholdt - og sammenholder det, med at man søger at pine programmørerne til god opførsel, gennem uddannelse og forklaring af problemerne - så vil man hurtigt se, at forklaringer og uddannelse intet nytter, og først når compileren nægter at give et svar, så begynder det at hjælpe. Men hvad er menneskets reaktion: De skifter compiler... Og så er det op til ledelsen at være standhaftige og nægte dette, trods alle programmører ikke vil mere.
Det er altså nødvendigt, at udarbejde automatiske systemer, således f.eks. datasikkerhed er i orden. Vi kan ikke lade problemet bero på mennesker, og enhver forsøg på at uddanne medarbejdere til rette indstilling og forståelse, er dømt til at mislykkedes.
Jeg tror på, at dette er muligt. Dette skal man tro på, da man ellers aldrig vil søge at løse problemet. Måske findes ikke nogle nøgleløsninger, som kan købes, men det betyder ikke at problemet er uløseligt.
Worst case, er at vi ikke kan bruge de ingeniører, som er handelsmænd, til at løse problemet, hvis problemet ikke er løst. Men må have fat i dem som er forsker og kan opfinde løsninger til et problem.
hvem snakker om dvder?? linket jeg postede viser kun cder. Men det er jo også fake ;-) oprindeligt posted på det ellers fremragende site b3ta.com.
http://www.telegraph.co.uk/news/mai...
Problemet er ikke at man kunne eksportere data , man at det overhovedet er teknisk muligt med 100% adgang til databaserne.
Fejlen er ikke medarbejderne, men helt oppe i systemets tankegang og den naive selvforståelse at man KAN sikre databaser og den måde man laver systemer på.
Problemet er ikke at man kunne eksportere data , man at det overhovedet er teknisk muligt med 100% adgang til databaserne.
Fejlen er ikke medarbejderne, men helt oppe i systemets tankegang og den naive selvforståelse at man KAN sikre databaser og den måde man laver systemer på.
2- 3 minutter siden - Steve Jobs tager fejl: Flash er ikke en processor-tyv (26)
- 13 minutter siden - Så meget computer får du for 10.500 kroner i Københavns Kommune (2)
- 14 minutter siden - Ti-årig udvikler reddede vinterferien med digitalt Fire på stribe (10)
- 17 minutter siden - HP's nye business-bærbare: Smil, og du er logget på (2)
- 25 minutter siden - IDA har Danmarks bedste it-afdeling (6)
- 27 minutter siden - Hvad gør de ikke-IT-kyndinge? (og lidt om Humac) (36)
- 1 time siden - Børnehaver tvunget til 'billig' indkøbsordning: 10.000 kroner for en pc (26)
- 1 time siden - Patent på idioti (182)
- 2 timer siden - Blond udvikler: "Jeg forstår ikke den her kode" (8)
- 2 timer siden - Midtjydsk cowboytrick trækker bukserne af tumpede, digitale dødsattester (3)
Seneste blog-indlæg
Relaterede emner
Redaktionen anbefaler
