Radikal nytænkning skal fjerne hovedpinen ved cloud i det offentlige
Nye tanker om privatliv og sikkerhed udfordrer i disse år den gammeldags måde at tænke it-sikkerhed på, hvor man bygger så høje og tykke mure som muligt uden om systemerne.
Der slås nemlig flere og flere revner i murværket i en tid, hvor kritiske it-systemer kobles sammen med medarbejderes smartphones, tablets og online-tjenester på kryds og tværs, og hvor offentlige myndigheder gerne vil spare penge på it-drift ved at smide personfølsomme data op i for eksempel Googles eller Microsofts sky.
Løsningen på de problemer handler kort fortalt om at designe sikkerhed og privatliv ind i løsningerne fra begyndelsen, i stedet for at prøve at løse problemerne bagefter.
»Den traditionelle måde at tænke sikkerhed på er perimetersikkerheden, hvor det kort sagt handler om at holde the good guys inde og the bad guys ude,« siger partner Thomas Gundel fra konsulentfirmaet IT Crew.
»Men hele den tankegang er under voldsom udfordring i en tid med fokus på distribuerede systemer som mobil og cloud. I det lange løb kræver det, at vi må finde nogle andre metoder,« siger Thomas Gundel, der blandt andet har været involveret i udviklingen af single signon-løsningen til offentlige hjemmesider, NemLog-in.
Cloud giver problemer i det offentlige
I de gode, gamle dage var personfølsomme data noget, der lå i et arkivskab hos kommunen eller lægen, og det krævede et indbrud med koben og lommelygte i nattens mulm og mørke for at få fat i dem.
I dag ligger de samme data om danskerne gemt i store it-systemer hos leverandører som KMD eller CSC, og det kan give alvorlige hovedpiner, hvis data om tusindvis af danskere med navn, CPR-nummer og oplysninger om eksempelvis helbred eller økonomi slipper ud på grund af menneskelige fejl eller hackerangreb.
Samtidig forsøger offentlige myndigheder i stigende grad at flytte danskernes personfølsomme data ud i cloud-løsninger fra globale it-giganter som Google og Microsoft, der typisk kan tilbyde større fleksibilitet og skalerbarhed til en lavere pris, end det offentlige finder hos traditionelle driftsleverandører.
Det er for eksempel set i Odense Kommune, der gerne ville flytte skolernes elevplaner over i Google Apps, men indtil videre har måttet sætte den plan på pause på grund af ubesvarede spørgsmål om håndteringen af de personfølsomme data hos Google.
Spørgsmålet er derfor, om man i stedet kan designe offentlige, danske it-systemer, så de fra begyndelsen beskytter privatliv og håndterer sikkerheden for både de borgere, der bruger dem, og de virksomheder eller myndigheder, der udbyder dem?
Og kan man endda helt udrydde begrebet 'personfølsomme data' ved at fjerne koblingen mellem eksempelvis borgerens CPR-nummer og data og på den måde minimere problemer med eksempelvis identitetstyveri?
»Et af de store incitamenter er, at man kan spare penge på at passe på sine data. Hvis data ikke er personhenførbare, kan du nedsætte dine risici. Så bliver for eksempel et datatyveri lige pludselig ikke så slemt, fordi dem, der stjæler data, ikke kan se, hvem de hører sammen med. Og så kan du lave murene omkring løsningerne mindre,« forklarer Thomas Gundel.
Nye sikkerhedsmodeller
Svarene ligger i det, der under ét kaldes nye, digitale sikkerhedsmodeller af Digitaliseringsstyrelsen, hvilket dækker over flere begreber.
Et af dem er pseudonymisering, hvor koblingen mellem data, der tilhører en bestemt person, og personens identitet sløres for uvedkommende.
Det er for eksempel ført ud i livet i et pilotprojekt på Aarhus Universitet, hvor man har lavet en løsning, der bruger Microsoft-skyen Azure til at afvikle skriftlig eksamen. Før besvarelsen når så langt, erstattes den studerendes navn og studienummer af en streng af cifre, så en opgave ikke kan kobles sammen med en bestemt studerende, hvis nogen skulle vise sig at bryde ind i enten eksamensløsningen eller Azure-platformen.
En anden metode er kontekstafhængige akkreditiver, som trods et navn så spiseligt som en skefuld grus er en stærk kryptografisk metode. Den kan bruges til at udstede beviser på for eksempel en borgers økonomiske situation, uden at identiteten afsløres for andre parter end dem, borgeren selv siger god for.
Tag eksemplet, hvor en person vil have foretaget en digital låneberegning i banken. I stedet for at logge ind med NemID hos banken og dermed identificere sig kunne alternativet være, at personen logger ind med NemID hos Skat, får genereret en ikke-identificerende skatteattest, som derefter kan sendes af sted til banken.
Styrelse: Ingen udrulning i stor skala
Hos Digitaliseringsstyrelsen, der i diskussionspapiret Nye Digitale Sikkerhedsmodeller har været med til at sætte de nye metoder til debat, ser man også et stort potentiale i dem.
Men omvendt skifter man ikke lige hest i et land som Danmark, der har en årtier lang tradition for at identificere borgerne i mange sammenhænge via CPR-nummeret.
»Det er ikke noget, der lige nu kommer til at blive udrullet i stor skala i det offentlige. Man laver sikkerhed på en bestemt måde i den offentlige sektor og har stor erfaring med det, så de nye modeller bliver i første omgang et supplement,« siger fuldmægtig i Digitaliseringsstyrelsen, Morten Jørsum, til Version2.
Men er problemstillingen ikke meget reel allerede nu?
»Sikkerheden udvikler sig løbende omkring løsningerne i det offentlige, og vi prøver at bruge elementer fra de nye sikkerhedsmodeller der, hvor det giver mening. Men det handler ikke om, at vi står overfor nogle meget store udfordringer, som skal håndteres lige nu,« siger Morten Jørsum.
Styrelsen har sammen med Alexandra Instituttet ved Aarhus Universitet fremstillet en prototype på et auktionssystem om den aktuelle el-pris elselskaberne i mellem, som går et stykke af vejen i forhold til de nye, digitale sikkerhedsmodeller.
Ifølge Thomas Gundel kommer vi ikke til at se nogen kæmpe opblomstring af de nye sikkerhedsmodeller i det offentlige lige med det samme. Omvendt mener han, at udviklingen taler i deres favør.
»Som tiden er lige nu, skal der være en god business case i det, og der er ikke ret mange, der ønsker at være frontrunners på ny teknologi. Og hvis du allerede har en kørende og fungerende løsning, så skal du have nogle rigtig gode argumenter for at få penge til at lave den om. Men jeg tror personligt på, at det nok skal gå den vej,« siger han til Version2.
Du kan læse mere om de nye, digitale sikkerhedsmodeller på Version2 senere fredag.
Kommentarer (1)
For mig giver det rigtig god mening at se på, hvilke oplysninger, der kræver fortrolighed og hvilke, der ikke gør. Og at skelne mellem disse oplysninger, når der stilles krav til opbevaringen.
Det giver også rigtig god mening at betragte relationerne mellem oplysninger som et særligt vitalt område, der kræver stor fortrolighed.
CPR-nummeret, der jo bare er et index, er i sig selv ikke særlig interessant - men den mulighed, det giver for at kombinere oplysninger, stiller et pseudo-krav til beskyttelsen af CPR-nummeret. Hvilket igen er helt urimeligt ud fra at CPR-nummeret bare er en intelligent (men unægtelig ret upersonlig) måde at identificere folk.
Selv meget detaljerede medicinske oplysninger kan opbevares i et offentligt tilgængeligt arkiv, hvis blot index til dem er tilpas intetsigende. Og relationen til Hans Petersen behøver dels ikke at fylde ret meget - dels er det ikke nødvendigt for at man kan lave statistik/undersøgelser på de konkrete data.
Men det kræver naturligvis, at der tænkes 'ud af boksen' - både når systemer bestilles, og når de skal sikkerhedsgodkendes.
-
0 -
0
Tilføj kommentar
