6 ud af 10 privatansatte it-folk er utrygge ved persondatahåndteringen i det offentlige

Illustration: lyub-matveev/Bigstock
Version2's it-sikkerhedsundersøgelse indikerer en gensidig mistillid mellem privat- og offentligt ansatte i forhold til evnen til at beskytte persondata.

Der er en stor grad af gensidig mistillid mellem it-ansatte i det offentlige og det private i forhold til evnen til at beskytte persondata. Det viser en undersøgelse, som Version2 har gennemført blandt it-professionelle, der arbejder med it-sikkerhed.

Halvdelen af de offentlige ansatte er således utrygge ved private virksomheders - f.eks. banker og teleselskabers - evne til behandle persondata på en måde, der beskytter mod læk eller anden kompromittering af privacy.

Når man ser på ansatte i private erhverv, så er knap 6 ud af 10 ansatte her utrygge ved det offentliges evne til det selvsamme.

Hver gruppe har betydeligt højere tillid til deres egen gruppe end til deres kolleger ansat i den modsatte sektor.

Det er svært at vide, præcis hvad årsagen er til, at it-professionelle har lavere tillid til nogle kolleger end andre.

Men et muligt svar er, at både det offentlige og det private er for lukket i forhold til, hvordan man passer på vores personlige data, mener en professor på RUC:

»Forskning har slået ret godt fast, at tillid udspringer af interaktion. Altså at man får indblik i, hvad de andre laver. Omvendt kan det skabe mistillid, hvis man ikke kan få indblik i en anden organisations arbejde,« siger Lars Fuglsang, der er professor ved Institut for Samfundsvidenskab og Erhverv på RUC.

Dermed kan man måske forestille sig, at erfaringsudveksling og samarbejde vil øge tilliden.

»Jeg har ikke forsket i den specifikke sag, men man kan sagtens forestille sig, at den del, som kun har arbejdet enten for det offentlige eller for det private, har meget lavere tillid til den anden part, simpelthen fordi de ikke har samme indblik i, hvordan de arbejder,« uddyber han.

Anette Høyrup, som er næstformand i Rådet for Digital Sikkerhed og jurist i Forbrugerrådet, er overrasket over den store grad af mistillid:

»Tallene er bekymrende høje og vidner om, at der ligger et stort arbejde forude for både private og offentlige myndigheder i forhold til at sikre, at tilliden til dem er på plads,« siger hun.

Anette Høyrup mener, at den nye persondataforordning, GDPR, er meget vigtig og kan sikre den fornødne gennemsigtighed, så enhver kan få indsigt i dataindsamling, formål og anvendelse af data:

»Men det kræver overblik og åbenhed fra virksomheders og myndigheders side. Og endelig viser tallene også, at it-sikkerhed i endnu højere grad skal på dagsordenen. De nye principper om at bygge databeskyttelse ind i it-systemernes design fra start af tror jeg også kan bane vejen til mere tillid.«

Arv af manglende sikkerhedsarbejde tynger

Heldigvis er der allerede kommet et langt større fokus i det offentlige på at sikre borgeres og patienters data, ligesom der er kommet flere penge til at forbedre sikkerheden, anfører Jacob Herbst, der er partner og teknisk chef i it-sikkerhedsfirmaet Dubex:

»Men både det offentlige og det private bærer rundt på en sikkerhedsarv, forstået på den måde at man ikke tidligere har haft et tilstrækkeligt stort fokus på it-sikkerhed. Dette relativt store efterslæb betyder, at det er umuligt at indhente det forsømte på 14 dage,« siger han.

Svaghederne findes både i gamle og komplekse it-systemer, som ikke grundlæggende er bygget til det høje trusselsniveau fra it-kriminelle, som vi ser i dag – og som bl.a. betyder, at hver fjerde respondent i Version2's undersøgelse, som vi omtalte i går, har været ramt af ransomware.

Samtidig er det også velkendt, at det stadig mange steder er nemt at få medarbejdere til f.eks. at trykke på links i en e-mail, som i værste fald kan give hackerne adgang til borger- eller patientdata.

Eksemplerne på sjusk i det offentlige har stået i kø. I november fandt Rigsrevisionen fejl og mangler i beskyttelsen af data i alle af de tre regioner, man undersøgte.

27.000 medarbejdere i Region Syddanmark blev i efteråret kritiseret af Rigsrevisionen for at besidde lokaladministratorrettigheder, dvs. særlige rettigheder og dermed fuld adgang til og kontrol med it-systemerne, hvilket er en åbenbar svaghed. Og undersøgelsen pegede også generelt på ikke-opdaterede computere og brug af for dårlige passwords.

Datatilsynet har også fundet det meget beklageligt, at Statens Serum Institut ikke konsekvent har påset sikkerheden hos instituttets databehandlere. Samme problem er set hos regionerne.

Og både Sundhedsdatastyrelsen, Styrelsen for Patientsikkerhed og Statens Serum Institut har i nyere tid haft sager, hvor følsomme persondata med oplysninger om sygdom og helbred er sendt i hænderne på de forkerte modtagere.

Eksempelvis fik en læge i Styrelsen for Patientsikkerhed under et forsøg på at omgå en genstridig PDF-viewer sendt følsomme patientdata i hænderne på en modtager, som med stor sandsynlighed er kriminel.

Jacob Herbst peger på sikkerhedskulturen blandt de ansatte.

»Det er en afsindig svær opgave at passe godt på data, og der er stadig en stor risiko for, at det kan gå galt. Derfor er der behov for at øge den grundlæggende forståelse for it-sikkerhed hos de ansatte, f.eks. at man ikke må udgive dokumenter med cpr-numre på en hjemmeside eller flytte borgerdata over på ens private computer,« siger han.

»For uanset om vi udvikler verdens bedste systemer, så hjælper det ikke, hvis brugerne ikke gør det rigtige,« siger Jacob Herbst, der også selv er opmærksom på, hvor han afleverer sine data.

»Jeg er meget bevidst om, hvilke personlige data jeg afleverer steder, hvor jeg oplever, der ikke bliver stået ordentlig på mål for it-sikkerheden. Men det er umuligt at undgå som borger i Danmark, hvis man eksempelvis vil behandles i det offentlige sundhedsvæsen,« siger han.

Anette Høyrup kan ikke pege på et bestemt eksempel på datalæk eller datakompromittering, der skiller sig ud - men siger:

»Summen af de mange eksempler er bekymrende.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Dermed kan man måske forestille sig at erfaringsudveksling og samarbejde vil øge tilliden.

Det kunne også skyldes, at det er nemmere at se splinten i andres øjne end bjælken i ens eget. Jeg tror ikke at nogen af parterne har noget nævneværdigt at lade den anden høre.

Men det er klart, at et tillidsfuldt samarbejde og erfaringsudveksling kan gøre begge parter klogere - og ikke kun på hinanden, men også på sig selv.

Svaghederne findes både i gamle og komplekse it-systemer, som ikke grundlæggende er bygget til de høje trusselniveau fra it-kriminelle som vi ser i dag.

Mjae, mon ikke problemet er at systemerne er langt større og meget mere forbundne? Nyt er nok bedre, men løser næppe det egentlige problem.

På anekdotisk plan var jeg igår til en åben forelæsning om personlig medicin, og hørte der en professor på den ene side understrege, at han ikke var juridisk ekspert, men på den anden side ikke havde nogle reservationer ved at stå inde for at der var den ypperste sikkerhed i det kommende nationale genomcenter.

Jura er åbenbart noget man skal overlade til eksperterne, men IT-sikkerhed kan alle stå inde for? Måske er den kultur opstået af, at man kan slå sig på jura, men IT-sikkerhed er uden konsekvenser.

PS: Personlig medicin lyder seriøst cool - det er centraliseringen med NGC, som jeg er bekymret for. Men det er måske nok mere sikkert, end at lade professoren selv stå for det :-/.

Claus Juul

Jeg kender begge verdener, jeg vil mene at it-sikkerheden er sammenlignelig (gennemsnitsbetragtning og på øjemål), men forskellen er bare at det offentlige har (dataansvarlig) mange flere persondata (alm. + CPR) og nogle offentlige myndigheder har også mange særlige persondata.

Der er selvfølgelig også private der har (dataansvarlig) persondata i store mængder, men det er ikke mange.

Henrik Størner

Jeg har i mange år arbejdet med data for offentlige instanser, og det seneste 1½ år privat. Så jeg kender lidt til forholdene på begge sider, og det der egentlig bekymrer mig mest er holdningen til hvad man kan tillade sig at gøre med sine data.

På de offentlige chef-gange er der simpelt hen ikke forståelse for at data tilhører borgerne, og at man skal bruge dem forsigtigt. Hvilket jo tydeligt illustreres af en del sager - trivselsmålingerne, telelogningen, politiets nummerpladegenkendelse ... læsere af Version2 kan selv fortsætte listen.

På hacker-siden mener jeg ikke der er den store forskel. Men jeg er dælme bekymret for hvad diverse ministre og embedsmænd stikker snablen i af data, som vi borgere ikke har nogen som helst mulighed for at undgå.

Hvis jeg ikke vil aflevere data til en privat virksomhed kan jeg i al fald lade være med at blive kunde hos dem. Den mulighed har jeg ikke i forhold til det offentlige.

Kenn Nielsen

Det lyder i bekymrende grad som om det er et problem at privatansatte it-folk ikke stoler på at offentligt ansatte it-folk er i stand til at passe på personlige data.
Og omvendt.

'Man' ser det hele som et image-problem.
Deraf løsningsforeslaget "Vi skal have bedre relationer mellem begge parter".
Underforstået: "Når private og offentlige it-folk føler sig i samme båd, så dæmpes kritikken udaftil og imageproblemet forsvinder".

Så bliver det også nemmere at råbe "sølvpapirshat" efter berettiget kritik, og med lidt held kan man fremelske en kultur hvor det - som i forskerverdenen - er svært at få drømmejobbet hvis man er kritiker af de forkerte ting.

Og når den berettigede kritik fra 'it-folk' forstummer, så er der jo intet problem.

  • Vel ??!

K

Bjarne Nielsen

Du bestemmer selv om du bliver registreret i RKI ...

Det kan man mene. Man kan også "vælge" ikke at blive registreret i politiets ANPG system, ved ikke at køre i bil.

Pointen er, at du ikke er kunde hos RKI. Det er nogle helt andre.

Og det er faktisk ikke bare et forsøg på være spidsfindig. Equifax, som jo er i samme branche, er blevet herostratisk berømt for manglende sikkerhed. Og problemet er nok det samme: det er ikke os, som er kunderne.

Hvilket i bund og grund også er problemet med det offentlige.

PS: I øvrigt er jeg ganske enig i dine øvrige betragtninger. Men jeg er også bekymret for data samles i større og større bunker, og at bunkerne bliver flere og flere. Det er som om, at der praktiseres data-maksimering i stedet for data-minimering.

Anne-Marie Krogsbøll

Du bestemmer selv om du bliver registreret i RKI - hvis du betaler det du skylder er det forbudt at registrere dig i RKI. Hvis du bliver fejlagtigt registreret har du krav på at blive slettet.


En sandhed med modifikationer - man kan f.eks. ikke selv vælge, om ens sundhedsdata skal videregives til Epic, eller om ens bloddonordata skal videregives til en svensk databehandler (det bliver de), eller om ens biomaterialer kan videregives til genanalyser hos deCode Genetics, hvis man har været så letsindig at krydse "ja" til forskning engang for længe siden. Jeg kunne remse mange eksempler op.

Personligt betragter jeg den slags som en form for "læk" fra det offentlige, så i sidste ende falder det selvfølgelig tilbage på det offentliges manglende respektfulde omgang med vore data.

Denny Christensen

Det er vel også pointen, at data om os danskere i det offentlige regi opfattes som 'systemets' (undskyld ordet..) data og vi andre kan bare... af - når det så parres med en lemfældig eller mangelfuld håndtering af sikkerhed og adgang til data sejler det for alvor.

Jeg SKAL have en NemKonto og dermed en bank, og jeg har ikke fundet en bank der opfylder mine ønsker om blot at have mine penge stående og have gæld til dem, uden at de konstant mener de skal bruge mine data til andre formål. Til gengæld kender min bankrådgiver mit telefonnr :-) Så der er jeg tvunget ind i en ramme jeg ikke ønsker.

At politiet kan tage og gemme billeder af min nr plade på min bil er samme boldgade, jeg anerkender formålet med entydigt at kunne identificere et køretøj i tilfælde at et konkret behov, jeg stejler vildt over at min færden i øvrigt logges. Den er ikke spændende men den r.... ikke andre i det store og hele.

Hans Nielsen

At både det offentlige og private, ikke evner at passe på og beskytte data.

Det offentlige har bare så mange flere, også meget personlige data. Ud over en historik med gentagende læg, indbrud og fejl.
Ud over det generelle misbrug, som salg af ikke anonymiseret sundhedsdata data til Private firmaer.

Så derfor, da vi alle er kunder i det offentlige, og ikke kan sige fra. Så er både den manglende tillid og sikkerhed et stor problem.

Log ind eller Opret konto for at kommentere