Enhedslistens manglende princip

Enhedslistens udspil om sikkerhed i den digtale infrastruktur er tilsyneladende det første noget dansk parti nogensinde har lavet.

Det er i sig selv tankevækkende, men det betyder også at vi må give dem noget elastik: Den første serve er altid den sværeste.

Jeg er ikke 100% solgt på ideen om en IT-minister, men jeg kan godt se pointen om at få ansvaret hængt fast et sted hvor det ikke glider i baggrunden og hvis vi skal give IT-mastodonterne kompetent modstand, er det nok ministerniveau vi taler om.

CPR systemet er et særligt problem og taget i betragtning i hvor stort omfang vores identiteter kan og bliver dekonstrueret overalt, er det spørgsmålet om det slag ikke er tabt og man i stedet burde sikre at også borgerne høster fordelene, frem for kun alle andre gør det.

Men det er detaljer som kan gøres til genstand for en oplyst og engageret politisk debat.

Den store mangel i Enhedslistens udspil er et ansvarsprincip for sikkerhed, både IT og anderledes.

Jeg ville formulere princippet på denne måde:

Den der tager beslutninger om hvor meget sikkerhed og hvorledes sikkerhedsmekanismerne implementeres, bærer og erstatter alle følgevirkninger af deres beslutninger og kan aldrig skrive sig ud af dette ansvar.

Det er tæt på at være grundlovsmateriale -- så var man helt sikker på at der ikke bliver lavet huller og undtagelser hele tiden.

Bid mærke i at ansvaret følger beslutningen.

Hvis en eller anden stor kæde beslutter hvor meget sikkerhed deres franchisehavere maximalt må bruge penge på, er det kæden, ikke franchisehaverne der har aben hvis den beslutning viser sig at være forkert, også selvom beslutningen har form af en prissætning der ikke efterlader de fornødne resourcer til at implementere sikkerheden.

I den aktuelle sag er det Nets der har besluttet sig for hvorledes Dankort systemet skulle beskyttes, det var tydeligvis ikke godt nok og derfor skal Nets holde ofrene skadesløse.

Præcis hvorledes de gør det må de prøve at forhandle sig frem til, evt. må byretten ind over.

Om Nets efterfølgende kan kradse noget ind fra IBM, den upålidelige medarbejder eller deres forsikringsselskab er deres problem, disse slagsmål er offrene helt ligegyldige.

Fidusen ved princippet er at det giver et kraftigt encitament til at tage de rigtige sikkerhedsbeslutninger og til at sørge for at de faktisk bliver ført ud i virkeligheden.

Prøv at læse alle de "aftaler" i klikker "I agree" på: I alle sammen er det dit problem som bruger at Google, Yahoo, Microsoft, Twitter, FaceBook eller for den sags skyld de danske pengeinstitutter har taget forkerte sikkerhedsbeslutninger.

Og derfor er der ingen eller kun meget svag tilskyndelse for dem til at tage de rigtige beslutninger.

Når ansvaret følger beslutningskompetencen, bliver beslutningerne altid bedre.

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (21)

David Nielsen

Hvor stor ansvars-forsikring har den danske stat? (og med princippet om at man ikke kan skrive sig ud af det - så kan man vel heller ikke genforsikre sig mod ansvaret?)

Du skriver også DEN der tager beslutningen... vil godt se dansen om den varme grød i kommunen og diverse bestyrelser fremover så :-) - og hvor meget kan en enkelt-person erstatte?

Turde du PHK tage ansvaret og beslutningerne?

Selv tror jeg mere på forsikring til at vurdere risiko/sikkerhed - få eksterne til at vurdere det og kom med et beløb/præmie for at forsikre systemet og tage risici'en/erstatningen... og tving stater og private selskaber til forsikre kritiske/personfølsommme systemer..... Så er der en pris (forsikrings-præmie) ved at vælge en ringe sikkerhed - og incitament til at øge sikkerheden - men heller ikke at-any-cost - en afvejning/balance.

Poul-Henning Kamp

Hvor stor ansvars-forsikring har den danske stat? (og med princippet om at man ikke kan skrive sig ud af det - så kan man vel heller ikke genforsikre sig mod ansvaret?)

En genforsikring fritager dig ikke for ansvaret, det giver dig kun et sted at hente pengene.

Turde du PHK tage ansvaret og beslutningerne?

Ja.

tving stater og private selskaber til forsikre kritiske/personfølsommme systemer

Hvorfor blande sig i hvorledes de vælger at løse deres egen opgave ?

Vi kan naturligvis godt forlange at der existerer en eller anden sikkerhedsstillelse som betingelse for databehandling af personfølsomme data, men det er ikke samfundet der skal bestemme hvordan det krav opfyldes, kun om det er det.

Og selvfølgelig kan der opstilles nogle statslige minimumskrav til sikkerhed, men de kan kun være vejledende, aldrig undskyldende.

Princippet om at konsekvensen følger beslutningen virker fint i alle mulige andre brancher hvor det er gennemført, banker har f.eks været utroligt gode til at finde det rigtige sikkerhedsniveau for pengetransporter og kasseskranker.

David Nielsen

Vi kan naturligvis godt forlange at der existerer en eller anden sikkerhedsstillelse som betingelse for databehandling af personfølsomme data, men det er ikke samfundet der skal bestemme hvordan det krav opfyldes, kun om det er det.

Du kunne også forsikre dig selv hvis det er det du har lyst til (sikkerhedsstillelse) - men er samme princip.

Statslige minimumskrav tror jeg heller ikke på.

Turde du PHK tage ansvaret og beslutningerne?

Ja.

Forstår du konsekvenserne inden du klikker "i agree"? (ubegrænset ansvar)

Du har også selv tidligere været inde på buddy-princippet mht. menneskelige sikkerhedsflaws, og mainframes og shared systemer, pc systemer med closed firmwares, svage krypterings-algoritmer, osv... men dit svar vil vel bare altid være nej til at implementere et system ud fra et sikkerhedsmæssigt perspektiv? ;-)

Princippet om at konsekvensen følger beslutningen virker fint i alle mulige andre brancher hvor det er gennemført, banker har f.eks været utroligt gode til at finde det rigtige sikkerhedsniveau for pengetransporter og kasseskranker.

Her er der begrænset dækning - og altid forsikret!

Og bank-chefen/bestyrelsen hæfter ikke personligt for det valgte sikkerhedsnivaeu.

Poul-Henning Kamp

Du kunne også forsikre dig selv hvis det er det du har lyst til (sikkerhedsstillelse) - men er samme princip.

Når det offentlige kræver sikkerhed i den slags situationer, er det for at undgå at folk spekulerer i at rende fra ansvaret. For det meste virker det.

Men jeg har lidt svært ved at se hvad du gør ophævelser over.

Hvis bankdirektøren og/eller bestyrelsen bruger for få penge på kassesikkerhed, bliver der stjålet for meget, bruger de for mange penge er en del af dem spildt derfor er de gode til at finde det optimale niveau.

Forskellen er at pengesedlernes ran ikke fører til at nogen personer kompromiteres.

Så snart vi taler om personfølsomme oplysninger skynder samme bank sig at fraskrive sig ethvert ansvar, fordi det er det billigste for dem.

Vedtagelsen af mit princip siger at banken ikke kan løbe fra det ansvar og må betale hvad det koster. Enten med udgifter til sikkerhed, eller til bod og bedring hvis der ikke var nok sikkerhed.

Hvorfor er det et problem ?

Det vil være banken som juridisk person der er dataejer og derfor også banken som juridisk person der skal bære ansvaret.

Hvorledes banken vælger at håndtere dette ansvar er mig inderligt ligegyldigt, bare de ikke kan rende fra det.

Finn Christensen

Hvor stor ansvars-forsikring har den danske stat?

Ingen - staten er generelt selvforsikrende.

Du, jeg og alle skatteyderne betaler alle ulykkerne. Og med nuværende niveauet in mente, så er det vist billigste løsning - vi skal pantsætte Bornholm for at kunne betale præmien.

Derfor finder du også indsat utallige 'taksatorer' (en ankestyrelse) rundt omkring. Mest kendt er vel i forbindelse med den sociale administration samt statsadvokaturen.

David Nielsen

Men jeg har lidt svært ved at se hvad du gør ophævelser over.

Vi er også delvist enige - i at det skal koste bod/erstatning at sløse med personfølsomme oplysninger/kritiske-systemer...

Du vil så placere ansvaret og opsparingen hos virksomheden eller staten (eller hos enkelt-personen der tager beslutningen? er lidt i tvivl hvad du mener der?)... jeg vil sørge for at det skal forsikres hos tredie-mand istedet.

Tredie-mand fordi det giver eksterne briller på sikkerheden og et mere reelt risici billede - og en "ægte" præmie.. og det at der er en omkostning ved at lave kritiske/personfølsommme systemer (forsikrings-præmien) - som man dog kan forsøge at minimere ved at lave bedre systemer - og/eller færre systemer.

Kan man klare det ved at holde alt internt? spare op/sikkerhedsstillelse, selv vurdere risikoen/sikkerheden?

Poul-Henning Kamp

[...] jeg vil sørge for at det skal forsikres hos tredie-mand istedet.

Du har misforstået hvordan forsikringer virker.

Hvis du har en ansvarsforsikring betyder det ikke at du har fedtet ansvaret af på forsikringsselskabet.

Jeg vil være fint tilfreds med hvis datatilsynet sikrer sig at der kan betales de nødvendige erstatninger hvis det bliver aktuelt. Hvorledes dataejeren tilfredsstiller datatilsynet på dette punkt mener jeg ikke vi skal blande os i.

Det kan være en bankgaranti, det kan være et pantebrev i hovedkvarteret, det kan være en forsikring eller for den sags skyld en båndlagt formue.

Forsikringsselskaber er ikke magiske.

Tommy Apel

Er det kun mig der ikke forstå hvordan en sådan mulighed overhoved kan være med i dine overvejelser, med mindre den bod er så hysterisk høj (10 * verdens GNP) så er det vel reelt en chance som mange virksomheder vil tage (for det sker jo aldrig for dem).

David Nielsen

Du har misforstået hvordan forsikringer virker.

Hvis du har en ansvarsforsikring betyder det ikke at du har fedtet ansvaret af på forsikringsselskabet.

Øh... jo? (eller ihvertfald erstatnings-ansvaret)

Forsikringsselskabet sætter præmien ifht. til risiko profilen - eller hvor "ansvarligt" du opfører dig...

Fx. højest præmie til helt unge der lige har fået kørekort - versus folk der har kørt længe/erfarne.

Gentager lige fordelene ved ekstern forsikring:
* eksterne folk til at vurdere (Nemid/nets egne folk stoler jo åbenbart ret meget på sikkerhedsforanstaltningerne de har - de ville jo nok have afsat 0 kr til erstatninger da deres sikkerhed jo er i top)
* en pris/præmie ifht. den vurderede sikkerhed i systemet - altså det kan betale sig at investere i god sikkerhed da det kan reducere præmien.
* der sættes midler af til erstatning (inden for en ramme - ikke ubegrænset).

Et andet spørgsmål til dig som jeg stadig ikke forestår eller har fået svar på - er det enkelt-personer du vil tildele alt "ansvaret"/erstatnings-pligten? eller "staten"/firmaer? eller begge? (og hvis begge - hvilken vægt/split?)

Et spørgsmål mere - vil du have ubegrænset erstatningspligt? (og hvem skal vurdere skadens pris?)
Vil man ikke komme til at over-designe sikkerheden ved ubegrænset erstatningspligt? (altså alt for dyre og tunge systemer)... og træffe valg der ikke kommer borgerene til gode - fx. internet og API adgang til data fremover - ingen ville turde dette da et enkelt slip vil kunne drive staten/firmaet i statsbankerot/konkurs?

Christian Schmidt

I forbindelse med erstatningsansvar skal man normalt kunne påvise et tab, før der kan udbetales erstatning.

En kendis som Line Baun Danielsen har nok svært ved at redegøre for noget økonomisk tab ved, at Se & Hør har kunnet følge hendes gøren og laden via hendes betalingskort.

Sjusk med datasikkerhed bør ikke alene kunne give bøde men også udløse erstatning til de personer, hvis data er blevet lækket. Folketinget må sætte rammer for denne erstatning, og så må det være op til domstolene at afgøre størrelsen. Her er det vigtigt, at selv uforsætlige datalækager udløser erstatning.

Det kræver så, at de dataansvarlige har pligt til at anmelde lækager til myndighederne. Pressen skriver jævnligt om sager, hvor typisk offentlige myndigheder ved en fejl har blotlagt et stort antal borgeres data, hvilket tilsyneladende sjældent har andre konsekvenser end lidt røde ører og måske en løftet pegefinger fra Datatilsynet.

David Nielsen

Nej.

Du har kun lavet en aftale med dem om at hvis du dummer dig, betaler de for dig. Det er stadig dig der har ansvaret for ikke at dumme dig til at begynde med.

Hvad vil du kalde det der med "betaler de for dig".... erstatnings-ansvaret fx.? ;-) og tror du at forsikringsselskabet vil påvirke eller lave audit af dine procedurer/sikkerhed løbende når de påtager sig erstatnings-ansvaret?

Du ser ingen fordele ved at der er eksterne inde og vurdere sikkerhed i et system og derefter sætter en pris på det? (nemid/nets har nok også haft eksterne folk inde og vurdere - men det helt ansvarsfrit - kun til at skrive en fin rapport mod et fee formentlig?)

Forsikringsselskaber er ikke dumme, derfor er der næsten altid en selvrisiko der er stor nok til at motivere på dette punkt.

Du kan også få forsikring uden selv-risiko hvis det er det du ønsker (anden pris). Humlen i forsikring er at prisen bliver afhængig af dit sikkerhedsnivaeu/risici - og så kan du så erstatnings-ansvars-forsikre det hele eller dele af det (selv-risiko/beløbs-sum).

Mangler stadig svar på om det er enkelt personer du vil tildele alt ansvaret eller firmaer/staten eller begge? (og evt. fordeling hvis begge?) og om der skal være et beløbs-max eller ubegrænset erstatningspligt?

Morten Krøyer

og tror du at forsikringsselskabet vil påvirke eller lave audit af dine procedurer/sikkerhed løbende når de påtager sig erstatnings-ansvaret?

Nej, det tror jeg faktisk ikke - det er formentlig for dyrt for dem, de vil blot sætte præmien højere, hvis de oplever risikoen for stor.

Har du nogensinde haft forsikringsselskabet ude for at tjekke at du har lås på din cykel, foreslå dig at din hoveddør åbner udad i stedet for indad eller tjekke hvor fuld du drikker dig når du tager i byen?
Mit svar er nej - de sætter bare præmien højere - og hæver den iøvrigt, hvis jeg dummer mig for meget...

David Nielsen

Har du nogensinde haft forsikringsselskabet ude for at tjekke at du har lås på din cykel, foreslå dig at din hoveddør åbner udad i stedet for indad eller tjekke hvor fuld du drikker dig når du tager i byen?
Mit svar er nej - de sætter bare præmien højere - og hæver den iøvrigt, hvis jeg dummer mig for meget...

Mine forældrer der har landbrug har da årligt en forsikringsmand ude og gennemgå alle bygninger (nok ikke super grundigt - men dog)...
Og med din cykel-forsikring - der laver de statistisk analyse (nok også noget ligenende årligt) - bla. på hvor du bor, alder, låse-typer. Ved signup af forsikring beskriver du også ting som etage du bor, låsetype, værdi af ejendele... og du får tilbudt lavere forsikring hvis du tilslutter dig alarm med central opkald.
ps. fuldskab er normalt ikke forsikret.
Hvis du dummer dig for meget bliver forsikringen normalt hævet ja - fint princip - som mange offentlige IT projekter nok kunne lære af? (altså en pris for at fortsætte med at dumme sig).

Kristian Thy

Turde du PHK tage ansvaret og beslutningerne?

I en lidt anden boldgade: hvis man er en ingeniør der sidder og laver signalsystemer for BaneDanmark, så har man (så vidt jeg forstår - det er nogle år siden jeg havde kontakt til folk i den branche) personligt strafansvar hvis folk eller ting kommer til skade som følge af fejl i designet.

Alligevel er der folk der vælger at sidde og arbejde med sådan noget. Hvorfor?

Formentlig fordi de a) får en rimelig kompensation for det, og b) føler at de ved hvad de laver. Hvis du kan finde nogen for hvem begge dele er sandt indenfor IT-sikkerhed, så har du også et godt bud på nogen der ville tage ansvaret og beslutningerne.

Gert Madsen

Humlen i forsikring er at prisen bliver afhængig af dit sikkerhedsnivaeu/risici - og så kan du så erstatnings-ansvars-forsikre det hele eller dele af det (selv-risiko/beløbs-sum).


Jo, men det er da også et fremskridt.

Lige nu kan dem som opbevarer data, hælde besparelsen ved dårlig/lav sikkerhed lige ned i foret.

Hvis et firma (eller en offentlig institution) gemmer diverse personlige oplysninger om deres kunder på en gammel Windows95 koblet direkte til internettet, så står det dem frit for. Og det har ingen konsekvenser, hvis disse oplysninger bliver nappet - altså for firmaet.
Dem det går ud over får en masse bøvl og omkostninger hvis disse oplysninger bliver misbrugt.

Jakub Nielsen

Nu er der ikke noget som hedder 100% sikkerhed, du kan blot flytte grænsen for hvor tid eller hvor mange penge der skal bruges på at bryde sikkerheden. Selv om du følger de bedste standarder og nutidens viden til at skabe sikkerhed, så er det svært at spå om fremtiden (også) i relation til hvad den onde kan finde på. Ingen bør gå direkte i spjældet for det...

Maciej Szeliga

I en lidt anden boldgade: hvis man er en ingeniør der sidder og laver signalsystemer for BaneDanmark, så har man (så vidt jeg forstår - det er nogle år siden jeg havde kontakt til folk i den branche) personligt strafansvar hvis folk eller ting kommer til skade som følge af fejl i designet.

Jeg tror faktisk at den eneste branche hvor man konsekvent fraskriver sig alt ansvar (og lykkes med det) er softwarebranchen. Moderne signalsystemer indeholder pænt meget software men jeg tvivler på at noget jernbaneselskab ville købe et signalsnlæg med samme ansvarsfraskrivelse som der er på ethvert stykke software som man køber i løs vægt.

Klaus M. Körmendi

Forestillingen om at NETS' problemer kan løses ved oprette en afdeling med statsansatte tjenestemænd og tilhørende lønninger virker ikke overbevisende på mig.
Det er næppe trolig at Kim Philby og Günter Guillaume ville have handlet anderledes hvis deres aflønning havde været højere og deres ansættelsesforhold bedre.
Det er heller ikke mit indtryk at disse faktorer var udslagsgivende for Edward Snowdons beslutning. Formodentligt har de ingen rolle spillet.
Menneskers handlinger kan ofte ikke forudses, og kan derfor kun i begrænset omfang styres henholdsvis påvirkes ved hjælp af faktorer som aflønning og ansættelsesforhold.
Som fjerde eksempel kunne tyskeren Oskar Schindler tjene, der oprindeligt havde til hensigt at udnytte fanger fra koncentrationslejre til sin industriproduktion. Senere brugte han hele hans formue på at redde som mange af dem som muligt. Højst sandsynligt bragte han sågar hans eget liv i fare.
Den berømte ”Human factor” kan ikke bort-organiseres lige så lidt som man kan konstruere system som fungerer uden uforudsete hændelser.

Log ind eller opret en konto for at skrive kommentarer

IT Businesses