Det var ikke en hvilken som helst kuvert der i februar sidste år dumpede ind af brevsprække til kinesisk firma i København.
I et anbefalet brev fra Statens Serum Institut (SSI), som rettelig skulle være afleveret til Danmarks Statistik, var to CD/DVD'er med sundhedsdata og personnumre på i alt 5.282.616 danskere - alt sammen i ukrypteret form, fremgår det af en afgørelse fra Datatilsynet, der netop er offentliggjort.
»Sagen er i al sin gru et eksempel på, hvor nemt helbredsdata på fem millioner danskere kan havne i de forkerte hænder,« indleder Lena Andersen, der er kontorchef i tilsynet.
»Men det fremgår også af sagen, at SSI havde været ude og få en erklæring fra personen, der har åbnet brevet, og at personen ikke har kigget på data,« understreger hun over for Version2.
Cancer og psykiske sygdomme
Dataudtrækket, som blev brændt på de to fejlsendte diske, omfattede Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri samt det såkaldte DRG-register, som bruges til at udregne behandlingspriser på tværs af landet. Det viser følgebrevet, som internetaktivist Christian Panton har fået indsigt i.
Registrene, der var videregivet i både SAS-datasæt og ASCII-filer, rummer personnummer og helbredsoplysninger, men ikke navne og adresser.
Da Danmarks Statistik efterfølgende fik afleveret brevet, var det åbnet, men Forskerservice vurderer, efter at have talt med modtageren hos det kommercielle foretagende Chinese Visa Application Centre, at de følsomme data hverken kom andre personer i hænde eller blev set af andre personer. Derfor har styrelsen heller ikke fundet det nødvendigt at oplyse de berørte borgere om lækket, sådan som det eller kræves.
Ingen kritik af SSI
Til trods for at CD-skiverne med millioner af danskeres følsomme data ikke var krypteret, har Datatilsynet i sin afgørelse ikke valgt at udtale kritik.
Hvorfor udtaler I ikke en kritik i denne forbindelse?
»Vi har tidligere anbefalet SSI at anvende kryptering, når de sender deres datamedier med almindelig post. Vi har ikke tidligere haft spørgsmål oppe om anbefalet post,« forklarer Lena Andersen.
»Når der ikke findes et specifikt krav, er det svært at kritisere,« fastslår hun.
Loven kræver generelt, at myndigheder og virksomheder sørger for den fornødne datasikkerhed, og det gælder også, når personoplysninger lagres på datamedier som f.eks. USB-nøgler eller CD’er.
»Der er krav om beskyttelse, både når datamediet opbevares hos den dataansvarlige og dennes medarbejdere, og når det sendes med posten eller på anden vis,« understreger Lena Andersen.
Kryptering kan blive krav
Kryptering af digitale medier anbefales, men kan på sigt blive et egentligt krav på grund af sagen.
»Vi anbefaler kryptering, og sager som denne viser, at det i visse situationer kan være en nødvendig sikkerhedsforanstaltning,« siger Lena Andersen og fortsætter:
»Vi ved, at det kan ske, at datamedier ryger ud af kuverterne for eksempel under postsortering. Vi har også hørt om sager, hvor datamedier med følsomme personoplysninger er blevet stjålet. Og så kan en USB-nøgle jo også nemt blive tabt.«
Selvom der altså ikke er grundlag for kritik af Statens Serum Institut kan sagen have en effekt som stof til eftertanke for andre databehandlere.
»Vi lægger sagen ud for at øge opmærksomheden på behovet for at beskytte oplysninger på datamedier.«
SSI har ifølge Datatilsynet allerede taget konsekvensen og gjort det til et krav at kryptere digitale medier, der sendes med posten.
Post Danmark: Ingen logisk forklaring
SSI har spurgt Post Danmark, hvordan fejlen kunne ske. Men det er tilsyneladende ikke helt let at svare på.
'Jeg har talt med medarbejderne i det team, hvor Sejrøgade findes, og de fortæller, at der ikke er en logisk forklaring på fejlafleveringen. De to adresser kan ikke forveksles. Det har ikke været muligt at få en forklaring fra det bud, der lavede fejlen, da medarbejderne ikke længere er ansat hos os,' skriver Post Danmark i et svar til SSI. Svaret fremgår af en aktindsigt, som Christian Panton har fået hos Datatilsynet.
Post Danmark har desuden efterfølgende indskærpet, at medarbejdere skal være omhyggelige med at aflevere forsendelser korrekt - særligt når det kommer til anbefalet post og værdibreve.
Svaret fra Post Danmark har gjort SSI 'betrygget i, at denne type fejlaflevering ikke sker igen,' skriver SSI til Datatilsynet.
Opdateret 14:40 med rettelser.
Opdateret 15:15 med forklaring fra Post Danmark.
Nu ser det ud til stort set alle CPR nummer er ude. Med undtagelse af nyfødte og tilflytter siden 2012.
Så måske det er tid til at fjerne "hemmelig holdelsen", og frikende dem som fandt statsministeren og andre folketingsmedlemmers CPR, eller give de ansvarlige for denne sag 2-3 års fængsel.
http://www.dr.dk/nyheder/indland/fem-millioner-danske-cpr-numre-blev-fej...
I følge den nye data lov som kommer i 2017 ?
Men under alle omstændig må de vel i gang med at sende breve for 10-40 millioner ud, for at underrette alle dem som, som ved denne fejl har fået deres data komprimeret ?
Gad vide hvordan fejlen blev opdaget, sendte MSS/2PLA dem tilbage med tak for lån og besked om at de data have de allerede. Hvorfor kan man være sikkert på der ikke er brugt 5 minutter på at gemme indholdet, inden de blev leveret tilbage ?
Hvorfor skal det tage 1½ år fra hændelsen sker til det bliver offentliggjort?
Det kan undre at der ikke altid er krav om at filer indeholdende personfølsomme data skal være krypteret når de sendes fysisk eller via enhver ukrypteret forbindelse. Hvad når SSI vælger at sende den næste CD med et cykelbud eller en Amazon drone? Skal Datatilsynet så indskærpe per transportmedie? Hvad hvis en medarbejder bare har listen i lommen på en USB, eller på en bærbar, der lige kan glemmes i toget?
En ting er at småting måske sendes ukrypteret ad hoc, men det er ubegribeligt at nogen og især SSI brænder en CD med ukrypterede personhenførbare sundhedsdata på stort set hele den danske befolkning og sender den med posten.
Hvad er den anslåede værdi af registeret for en black hat forsikringsvirksomhed? Med listen kan man vælge at afvise at ville forsikre, ansætte, samarbejde eller handle med mennesker i en særlig risikogruppe. Og med deres fremtidige børn og familie.
Den slags data er ekstremt vigtig for forskning og forbedring af vores velfærd og folkesundhed, og SSIs måde at sløse med kryptering, skaber grobund for de argumenter der er imod at indsamle den slags data.
Dette er 110% forventeligt. Fejl sker. Procedurerne er manglende, negligerede eller udarbejdet af folk uden indsigt i det de administrerer. Hvis man vil have strammet op på håndteringen af vores private data, skal man først indse at de er værd at passe på. Da staten alligevel sælger alle vores intime personlige sundhedsoplysninger til enhver virksomhed, der kan stave til "medicin med samfundsgavnende effekt", så er denne læk nærmest ligegyldig.
Jeg håber så inderligt at de ansvarlige for håndteringen af vores personlige data, bliver ramt hårdt og inderligt af egne tåbelige dispositioner (og mangel på samme). Først når disse småtbegavede individer lærer på egen krop hvilke konsekvenser det kan have, er der en chance for at vi kan se en reel forbedring. Indtil dette sker, må vi bare håbe at det rammer naboen og ikke os selv. Sørgeligt - virkelig sørgeligt.
Skal vi ikke bare blive enige om at næste gang nogen siger "Jeg har ikke gjort noget så jeg har ikke noget at skjule", til kommentarer om statens snagen i ens privatliv, så må man slå dem med et baseball bat og henvise til de snart utallige eksempler på hvor det offentlige ikke formår at holde ens oplysninger private.
(samt denne nye DAMD på steroider hvor staten sælger personlige oplysninger videre til private firmaer).
Ja, det undrer gevaldigt, at data ikke skal krypteres. Men ikke blot burde de krypteres, de burde kun sendes af sted med en fysisk eskorte med mindst een og helst to betroede medarbejdere.
Alt andet er det rene galmatias - som det jo tydeligt er blevet bevist.
Mht. til værdien af data er den meget stor. Ikke kun forsikringsselskaber; men også sladderpressen er meget interesseret. Prøv f.eks. at spørge Qvortrup. I afpresningsøjemed er listen også meget værd. Og det er jo lidt skræmmende, da der er en pæn stor sandsynlighed for, at et kinesisk firma har beholdt en kopi til kinesiske interesser.
Så Forskerservice og Datatilsynet går ud fra, at hvis der var lavet en kopiering, så ville den, der har gjort det, fortælle om sin strafbare handling.
At data nu skulle være i Kina er nok ikke sandsynlig. Mon ikke vi kan stole på Fru HM.
Chinese Visa Application Service Centre synes at være knyttet til
CVR 32948723, der egentlig hedder CITS V SERVICE (DENMARK) A/S. Ejeren er kinesiske "China International Travel Service Limited" [1]. Et firma med navnet"CITS Group Corporation" bliver på Wikipedia beskrevet som statsejet.
[1] https://datacvr.virk.dk/data/visenhed?enhedstype=virksomhed&id=32948723
[2] https://en.wikipedia.org/wiki/CITS_Group_Corporation
De ansatte har tilsyneladende kinesiske navne - evt. kunne de være kinesiske statsborgere. Mon ikke den kinesiske efterretningstjeneste (ligesom den amerikanske) kan tvinge kinesiske statsborgere til at udlevere/opsamle data? Dette endda uden at tage i betragtning, at en sådan virksomhed er et åbenbart sted for en efterretningstjeneste at have en snabel ned. Derudover er der en risiko for, at en ansat i virksomheden har kunnet se, hvilken guldgrube man har modtaget.
Man kan kun håbe, at data ikke er blevet kopieret. At bevise det er vel stort set umuligt.
Det er nok godt at være paranoid nogle gange. Men hvis man googler vedkommende der behandlede brevet (iflg information modtaget af Christian Panton) ser man at medarbejderen figurer på Forslag til Lov om indfødsrets meddelelse fra i år, har dansk efternavn og uddannet i Danmark.
Postvæsenet dækker sig belejligt ind under tidligere medarbejderes lemfældige omgang med betroede breve, men nu har de da heldigvis fortalt de nuværende medarbejdere at de altså helst skal aflevere forsendelser korrekt!
Det kræver nok lidt mere end en løftet pegefinger at sikre dette; hvor jeg bor sker det jævnligt at vi modtager breve til helt andre, ikke-forvekselbare adresser. Henvendelse til det lokale postkontor har ikke hjulpet.
Bortset fra det er det jo latterligt at den slags åbenbart skal håndbæres mellem statslige institutioner med mulige tab til følge.
For jeg gætter på at kineserne, russerne, amerikanerne, indere, israelere, og alle andre der har en interesse disse oplysninger allerede har dem. Når man husker på hvor inkompetent offentlige myndigheder generelt håndterer vores private oplysninger, så tror jeg umiddelbart at alle ovenstående allerede har snablen nede i relevante systemer og ikke behøver at vente på at være heldige som i dette tilfælde.
I dette tilfælde er problemet ikke at CPR numre er lækket (de er alligevel ikke hemmelige), men at privat sundheds information er lækket (Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri, DRG-registret). Det er slemt!
Løsningen er bl.a. kryptering når information flyttes, men vigtigere er det at vi ikke samler for meget information på et sted. Hvorfor er det alle danskere der er udvekslet her? Hvorfor er det ikke aggregeret information der udveksles? Hvorfor har SSI overhovedet alle ovenstående registre?
Ovenstående registre bør gemmes hver for sig. Og data bør partitioneres, sådan at hver region eller hospital har information på egne borgere, men ikke alle andre (såfremt en borger skal behandles i en anden region overføres data). Ingen der har adgang til det ene register bør have adgang til de andre (med mindre de har legitim grund og kun læser information i lille omfang, fx læger). Al læsning af ikke-aggregeret information skal begrundes og logges. Udtræk fra registre bør kun ske i aggregeret form. Hvis det er nødvendigt at gøre det personhenførbart, bør det kun ske i små mængder til veldefinerede formål.
Noget stemmer ikke. Det undrer mig at hele Danmarks befolkning skulle kunne rummes på to DVD'er, endsige CD'ere. Hvis vi dividerer igennem med det givne antal borgere får vi 955 bytes hhv. 129 bytes per borger per skive. ASCII-filer kan jo komprimeres en del, men det der .sas7bdat format komprimerer ikke særlig godt (at dømme efter en eksempelfil fra sascommunity.org - ca. 30% reduktion). Og alle data ligger der i begge formater.
Måske er det grunden til at man ikke krypterer: Krypterede data komprimerer jo ikke særlig godt. Hvis nu man har forsøgt at komprimere brugt et krypteringsprogram der ikke først komprimerer, og så ikke har kunnet komprimere bagefter - har resultatet nok været så dårligt at man har droppet krypteringen for at kunne presse data ned på to skiver.
Men skal man ikke netop være særdeles paranoid, når det handler om beskyttelse af den her slags data? Tilsyneladende nogle af de allermest personfølsomme data, som overhovedet findes?
Vedkomne, der modtog dataene, er altså endnu ikke dansk statsborger, desuden falder vedkommende muligvis ind under lov, der nu tillader dobbelt statsborgerskab. Lad os håbe vedkommende qua sit danske tilhørsforhold har ageret med danske interesser i øje...
Men for at arbejde på, at sundhedsministeriets næste fulde udtræk til udenlandske firmaer indeholder mig med en diagnose som paranoid og ikke naiv, vil jeg påpege følgende antagelser:
Var jeg ansvarlig i en efterretningstjeneste, ville jeg være nødt til at antage, at data muligvis er kompromitterede (altså faldet i de forkerte hænder). Jeg vil også antage, det ville være en simpel øvelse at krydse cpr-numre med navn, adresse og stillinger. Ikke kun det offentlige; men snesevis af danske virksomheder har disse oplysninger. Det vil altså sige, man let ville kunne udpege et antal ansatte i fortrolige stillinger med diverse diagnoser. Jeg ville som antaget dansk allieret efterretningsansvarlig herefter være noget mere bekymret mht. at dele oplysninger med Danmark.
Er der nogen der ved hvordan man kan finde ud af om ens information var med på de cd'er?
Kan man bede om aktindsigt et sted, og få oplyst om man er ramt?
Det er du med stor sandsynlighed. Det drejer sig næsten om samtlige danskere over 4 år gamle.
Fra datatilsynets rapport:
"De to cd’er indeholdt data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012. Cd’erne indeholdt oplysninger om personnumre og helbredsoplysninger, men ikke navn og adresse. Cd’erne var IKKE krypterede."
Dvs. var du bosat i Danmark på det tidspunkt, var din information med.
Er en underafdeling til den kinesiske ambassade.
Det er bla. der man får visum til kina.
Det er således den kinesiske ambassade man har afleveret data til.
Årsagen til at det er et firma med CVR nr. er sandsynligvis at de er momspigtige.
Men vi vidste jo alle, at sådan noget ville ske en eller anden dag. Uacceptabelt håndtering af personlig data har jo aldrig fået konsekvenser når det er staten, som er "hovedpersonen" - og i dette tilfælde får det jo heller ingen konsekvenser.
En tanke: Kan de berørte - dvs. det meste af danmarks befolkning - mon sagsøge SSI for at udlevere personlig data til 3. part ?
Det ville være passende, at der snart er nogle som får en over fingerne i sådan en sag, så det kan danne præcedens til de fremtidige sager, som vi med garanti vil få at se.
(citeret fra dr.dk)
Den gode Lisbeth Nielsen har ikke forstået sit ansvar. Det er hende der har valgt at sende data mod posten. Hun kunne i princippet lige så godt have givet oplysningerne til en tilfældig på gaden som lovede at bringe dem frem. Hun har ansvaret for oplysningerne og for at passe på dem. Hun kan ikke lægge ansvaret over på 3. part. Også selvom posten også har lavet en fejl. Det lover ikke godt for vores personlige oplysninger når myndighederne på den måde ikke forstår deres ansvar.
Her er det så at det ville være rart hvis journalisterne tog lidt hårdere fat i disse chefer. I stedet ser vi at journalisterne blot er mikrofonholdere.
Det fremgår af artiklen både at der var tale om et anbefalet brev, og at brevet dumpede ind af brevsprækken.
Hvis begge dele er korrekte, er PostDanmark eneansvarlig. Et anbefalet brev skal afleveres personligt mod kvittering.
Burde løsningen så ikke have været at ofre et par skiver mere?
Ikke helt fair; TV2News gik nu meget godt til hende synes jeg. Men du har ret i at hun ikke har forstået sit ansvar og flere gange tørrede den af på posten og de anbefalinger SSI arbejdede under.
Det undrer mig i meget høj grad, at det er Forskerservice, en afdeling fra daværende Statens Seruminstitut, nu tilsyneladende Sundhedsdatastyrelsen, som undersøgte om data er blevet sendt videre til 3. part. Dvs. de undersøgte egentlig sig selv.
Hvorfor blev f.eks. politi ikke sat ind med det samme? Eller andre med erfaring i efterforskning og ikke forskning? Det viser tydeligt hvor lidt respekt, der har været for disse ekstremt personfølsomme data.
Og hvorfor er Datatilsynet så ligeglade med denne sag, at de knap nok rejser en kritik? Tværtimod sylter de sagen i over et år - i håb om, at den skal gå i glemmebogen?!
Sundhedsdatastyrelsen (og dermed ministeriet?) påstår kækt på newspeak, at "den passer vældig godt på borgernes sundhedsdata". Skylden lægges 100% hos postbuddet.
Er der nogen, som ser et mønster her?
Men det er det offentlige, så der sker vel ikke en skid...
Der er blevet kvitteret for modtagelsen af medarbejderen hos Chinese Visa Application Centre ifølge afgørelsen hos Datatilsynet:
https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/anbefalet-br...
Nej, det er ikke løsningen. Der vil altid ske fejl og det nytter ikke at komme efter folk når de laver en småfejl (så som at aflevere brevet det gale sted). I stedet handler det om at lave procedurer som er "fejltolerante”. I dette eksempel: Hvis data var krypteret og koden blev leveret af en anden kanal end data, så ville der ikke ske noget ved at data blev afleveret det gale sted.
På samme måde: Hvis man lod være med at udlevere personhedførbart data, så var skaden ikke stor hvis data det slap ud. Og hvis SSI/Sundhedsdatastyrelsen ikke havde alle data samlet et sted, så ville det være sværere at komme til at udlevere store mængder data til forkerte personer (og det ville være sværere at hacke sig vej ind).
Uddybning: Når chefen skal fyres er det fordi hun nægter ansvar efter fejlen er opdaget. Ikke fordi der er lavet en fejl. Fejl sker som sagt altid.
»Vi har tidligere anbefalet SSI at anvende kryptering, når de sender deres datamedier med almindelig post. Vi har ikke tidligere haft spørgsmål oppe om anbefalet post,«
Minder mig om en episode fra offshore.
Man havde en dødsulykke i forbindelse med persontransfer med kran.
Efterfølgende indførte man så nogle sikkerheds tiltag for at en lignede uløkke ikke skulle ske igen.
Men tiltagende var kun nødvendige når man brugte den styrbord kran. (Hvor uløkken skete)
Med den bagbords kran fulde man de gamle procedure.
Det at sende et brev anbefalet giver da højest en marginal større sikkerhed men uheld. Og så godt som ingen mod "ond vilje"
Hvis jeg husker loven korrekt, så er det ulovligt at åbne et brev der ikke er adresseret til en.
Dette mener jeg gælder uanset hvordan man er kommet i besiddelse af brevet.
Men en medarbejder ved det kinesiske firma åbnede et brev der helt klart ikke var tiltænkt ham, eller det firma han arbejde for.
Det aspekt har ingen af de implicerede parter, eller journalister, kritiseret overhoved.
Er jeg den eneste som synes at det er helt ude i hampen at overføre data på cdrom/dvd via almindelig post?
Vi har internet og VPN. hvorfor post?
Det er ren EB Nationen trolling du fyrer af. Når du er faldet lidt ned, så læs Datatilsynets rapport: Reglerne om at bruge Anbefalet post til ukrypterede medier er fulgt og der er ikke sket en kompromittering, men risikoen for det har været overhængende.
Vi kan diskutere om de regler er særligt hensigtmæssige eller der burde være ringet en alarmklokke når datamængden var så massiv og følsomheden tilsvarende stor, men det er også derfor de nu har ændret procedure, så de nu håndterer tilsvarende data mere sikkert end reglerne foreskriver.
Ansvaret for hændelsen - det truende brud på fortroligheden - er derimod efter de gældende regler krystalklart Post Nordens. Problemet er, at alle stadig tror at det firma lever op til formålet om at aflevere posten hos rette modtager - og i særlig grad ved Anbefalet post - men det er længe siden det var tilfældet. Bare i de sidste to uger har jeg modtaget alle mulige andre menneskers post, hvor den eneste fællesnævner var husnummeret og det på trods at 6 cm høje bogstaver i navneskiltet på postkassen.
Godt set! Det er både ulovligt for posten at aflevere brevet til en tydeligt anden part end den tiltænkte modtager (adressaten) og tilsvarende et brud på posthemmeligheden at medarbejderen åbner et brev han vha. adresselabelen må kunne indse ikke er til ham eller firmaet.
Helt fint at man kan dække sig ind under at "procedurerne er fulgt". Selv når der er ansvar for at sikre personlige oplysninger.
Dén vil jeg så selv bruge.
Er det fornuftigt at bruge et ukrypteret medie? Det er ikke forbudt at tænke selv. I øvrigt har datatilsynet bedt SSI om at kryptere data for længe siden.
Ikke at jeg i øvrigt har noget positivt at sige om datatilsynet.
Hvis man har procedurer hvor enkelt fejl leder til massiv frigivelse af data, så er procedurerne forkerte. Hvis det her gik på backup af data og en enkelt fejl kunne betyde at vi tabte store mængder af data, ville du så synes det var ok? Fejl sker - procedurer er der bl.a. for at sikre at konsekvenserne ikke bliver store.
Nej, det er altid den dataansvarlige der er ansvarlig (deri navnet). Den dataansvarlige kan ikke overføre ansvaret til 3. mand.
Du får ikke en dommer til at dømme medarbejderen for dette. Ikke engang en bøde. Posten lavede en fejl. Medarbejderen lavede en fejl (kiggede sandsynligvis først på adressen da vedkommende ikke kunne forstå hvorfor de fik materialet). Den slags sker og det ved domstolene.
Er frygten at disse oplysninger nu er kommet i hænderne på kinesiske interesser?
Er det seriøst at man antager at oplysningerne ikke allerede er noget den kinesiske efterretningstjeneste ligger inde med - såfremt de er af interesse?
Vi er jo velbekendte med at bl.a. USA overvåger sine europæiske allierede, hvorfor skulle det være anderledes for Kina?
Jeg forstår godt at folk bliver oprevede over det, men dette her er jo ingenting set i den sammenhæng - bliv oprevet over de rigtige ting!
Der er vel ingen garanti for, at de data ikke allerede var ude i verden, eller er blevet manipulerede efter behov, efter CSC-indbruddet i 2012.
Så det er vel et forventet allerede lækket eller korrupt datasæt som Kina nu også har fået en kopi af.
Jeg er ikke så bekymret over at det ligger rundt omkring i verden, jeg er mere bekymret for, hvis det skal bruges til noget seriøst for borgere i Danmark.
EDIT: Her er f.eks. en der sælger: http://pastebin.com/8q5Qaqh2 - jeg har ikke verificeret det..
Der er altså 31 personer med tilknytning til Kina, der er ansat eller har været ansat hos Statens Serum Institut. Receptionisten er ikke den første person med tilknytning til Kina, der har haft adgang til nogle af disse data.
I Kina er de opmærksomme på, at det kan udgøre en fare:
https://www.theguardian.com/world/2016/apr/20/beware-of-dangerous-love-w...
Og hvad der står på LinkedIn er den endegyldige sandhed.
Her er et sted mere der sælger enkeltopslag:
http://n5d6mx3b6yyqa4rb.onion/ CPR_DB/ - Pay-per-identity access to a part of the Danish Civil Personal Registration (CPR) database. Identities for sale. Various services. Escrow accepted.
Måske kunne en journalist teste et par af disse steder?
Du er på vildspor. Hvis receptionisten hos SSI var interesseret i at lække oplysninger til fremmede magter, så kunne vedkommende blot have kopieret CD'erne inden de blev sendt. I øvrigt havde receptionisten ingen anelse om at posten ville aflevere kuverten det gale sted.
Igen: Fejlen ligger ikke hos receptionisten, postbudet, den visa-ansatte, etc. Fejlen ligger i at ledelsen i SSI/Sundhedsdatastyrelsen ikke er deres job værdige og ikke forstår at de skal passe på information. Man kan ikke sikre sig 100%, men man kan gøre meget mere.
Desværre er dette ikke et enkeltstående tilfælde. Hver eneste gang vi ser den slags læk er det altid: Det er ikke så slemt, det var de andres skyld, nu har vi ændret praksis, etc.
Vi er nødt til at gøre op med hele ideen om at personhenførbar information flyder rundt mellem offentlige myndigheder uden at der er styr på hvem der ser på det. I stedet for at offentlige styrelser kæmper for at samle så meget information hos dem selv, så burde de i stedet forsøge at undgå at holde information i det omfang det er muligt. For på den måde vil de reducere deres risiko for at netop deres enhed bliver ramt af datalæk. Desværre kommer denne ændring først når datatilsynet stiller skrappe krav til hvordan data håndteres og når der er en konsekvens ved ikke at tænke sig om.
Vi skal have:
Vi frygter selvfølgelig at den åbenlyse inkompetence der hersker i det offentlige, en dag resulterer i noget endnu mere alvorligt (som om dette ikke er slemt nok).
Når det så er sagt, er der så nogen der kan fortælle mig hvad Danmarks Statistik overhovedet skal bruge CPR-numre til i en sag som denne?
Jeg har tidligere som udvikler sendt fortrolige data til anden myndighed, og fået ligeledes fortrolige data retur.
Det er foregået ved hjælp at et par vistnok Korn shellscripts som automatisk afvikledes hver nat, et til afsendelse, et noget senere til afhentning af bearbejdede data.
Transporten foretoges med ftp, og filerne naturligvis krypteret. Med pgp, Pretty Good Privacy.
Jeg kan her 20 år senere undre mig over statens moderne procedure. Skulle det i øvrigt være nødvendigt at sende det hele afsted, hvorfor ikke kun opdateringer?
Man skal nok ikke bruge terminer som "det offentliges inkompetence", det er jo sund fornuft at kryptere data, specielt hvis de er personfølsomme (f.eks. i forbindelse med aktindsigt) eller afslører ting som intern infrastruktur (logfiler), og jeg har da kendskab til at "det offentlige" sagtens kan finde ud af at kryptere.
Det er dog underligt at den slags data overhovedet kan trækkes ud af IT-systemerne, og det burde være umuligt at lave udtræk der indeholder unikke nøgler i menneskelæsbart format.
Det er den primitive, forældede, unikke nøgle man bruger i Danmark :-(
Det ville være klædeligt, om Statens Serum Institut sendte et brev til de berørte borgere, der forklarede og beklagede hændelsen.
I lyset af omstændighederne kan det være, at Post Danmark vil påtage sig at bringe brevet ud uden beregning :-)
Hvorfor har Danmarks Statistik ikke en procedure, for modtagelse af personfølsomme data, der siger, at de kun vil modtage dem krypteret og måske kun via VPN?
Alle parter i denne sag burde have kritik og ændre deres procedure, her under Postnord, Statens Serum Institut (SSI), Danmarks Statistik, Chinese Visa Application Centre og også Datatilsynet.
Ved ikke om Postdanmark er eneansvarlig, men de har uden tvivl også fejlet. Hvordan kan man "komme til" at aflevere et anbefalet brev til en forkert modtager? - der må da netop forventes større opmærksom når brevet er anbefalet. Og hvordan kan en modtager dog skrive under på at have modtaget et anbefalet brev, når det tydeligt fremgår at modtageren ifølge adressaten ikke er rette modtager?
Der er vist mange, der har begået fejl i denne sag.
Det er vel nøglefelt i nogle af tabellerne? Ja, man kunne denormalisere under udtræk eller lign., men igen, inkompetence. Jeg har ikke kigget i tabeldefinitionerne (de findes i Pantons twitter-feed), så dette er kun et gæt.
Ikke at det forsvare denne her sag, som absolut ikke er en "småfejl".
Kan jer der har styr på det ikke lige bekræfte min tommelfingerregel om at såfremt en pc er tilknyttet internettet, så er data tilgængelig? Noget svære en andet selvfølgelig, men hverken, nemid, firewalls, vpn, kryptering eller tilsvarende sikre noget som helst overhovedet?
Ligger vores data ikke allerede og flyder på sundhed.dk? Hvad med de mange offentlige steder og kommunerne hvor administrative medarbejdere hver eneste dag sidder med private borgerdata på de her pc'er, hvor de også lige skal på facebook i pausen og klikker og trykker løs på alt mulig? Hvor mange af de her medarbejdere har forstand og styr på datasikkerhed?
Hvad med alle de private virksomheder som tillige har data om os (fx har Telia mit personnummer), hvor seriøst tager de det, studentermedhjælperen i supporten? Hvad med alle de konsulentvirksomheder der står for IT-systemerne, hvor seriøse og kompetente er de i virkeligheden?
Min pointe er at masser af private data hver eneste flyder rundt mange steder, og med dansk "det går nok holdning", så sejler det hele?
Hvor svært er det? Er der en hvid hat der kan fortæller mig hvilken undersøgelse jeg skal til i den kommende tid?
Som flere har været inde på, handler det om procedure.
Udførelse af standardiserede RUTINEopgaver – under ansvar. Igen og igen.
Her gælder det håndtering af andre menneskers (personfølsomme) anliggender. I alle 3 tilfælde.
Der skal være en INSTRUKS FOR PROCEDURE.
(Receptionisten hos Kinas visumkontor skulle være instrueret i håndtering af posten. Det er jo noget hun åbner dagligt, RUTINEmæssigt, igen og igen. Tilsvarende for Postbuddet. Håndtering af de anbefalede breve, RUTINEmæssigt, igen og igen).
Der skal være en STANDARD.
Et sæt generelle retningslinjer, der tilsikrer samme fremgangsmåde (procedure) hver gang. Medarbejderen skal ikke tænke over hvordan arbejdet skal udføres – det sidder på rygraden, er en standardiseret selvfølge. Hvorfor? Ansvarlighed, naturligvis.
(Opgaver af denne art varetages RUTINEmæssigt ansvarligt tusindvis af steder i vores samfund hver eneste dag).
Vigtigst i denne sammenhæng må nok være SSI, Statens Serum Institut. Her drejer det sig om RUTINEmæssig udlevering af befolkningens mest personfølsomme oplysninger. Til 3.part, uden samtykke. Man har udleveret efter givne praksis i et omfang svarende til 400 gange årligt, siden 2003.
http://ekstrabladet.dk/nyheder/samfund/52-milloner-cpr-data-laekket-diss...
Som det siden i går er afdækket forelå der ingen standardiseret, forsvarlig/ tidssvarende PROCEDURE.
Og tilsynsførende myndighed, Datatilsynet – hvis opgave er at føre tilsyn – giver SSI lov at fralægge sig ansvaret (lægge det over hos Post Danmark) og foretager sig ellers intet. Og det får de også lov til.
Så er det jeg kan blive lidt bekymret… Hvis Datatilsynet ikke fører tilsyn, hvem gør så?
Hvis Datatilsynet ikke sanktionerer, hvem gør så? Næste gang?
Hvem kan jeg have tillid til udviser myndighed og sørger for at tage vare på mine og vor allesammens mest private og personfølsomme oplysninger – med ansvarlighed og integritet – når vores myndigheder håndterer ansvaret som så?
Ja og nej.
Hvis vi starter med det ekstreme: forestil dig et system der står i et lukket rum uden forbindelse til omverden. Det betjenes af mennesker som manuelt taster forespørgsler ind. Svar printes ud på papir og tastes så igen ind på et offentligt internet site. Det bliver ikke meget mere sikkert, såfremt man vil have information på nettet. Det kan stadig hackes, fx hvis man får operatørerne til at svare på ting de ikke skulle. Så ja, hvis noget er offentligt tilgængeligt, så kan det hackes.
Når det er sagt, så vil ovenstående være overordentligt sikkert. Man kan godt designe systemer til at følge ovenstående metodik (også uden det med at taste ting ind mange gange) og de kan blive meget sikre. Så i praksis kan man godt lave sikre systemer der ”er tilknyttet nettet”.
Man kan også kryptere og authentikere sådan at det er sikkert. Det svære er ikke kryptering, men at have fornuftige processer for at håndtere data og krypteringsnøgler. Men hvor der er vilje er der vej. Det kan godt lade sig gøre sådan at det er sikkert. Og med fornuftige processer får man noget hvor en enkelt fejl ikke åbner en ladeport til systemet (som i denne sag med SSI).
Hvis man har noget som er meget vigtigt, så bør man gå til ekstremer mht. til sikkerhed. Vores sundhedsinformation bør beskyttes ordentligt. Desværre går det sjældent sådan pga. af ressourcer, uvidenhed og magelighed. Men også fordi systemer nemt bliver for komplekse og dermed sværere at sikre. Der vil være strenge procedurer omkring et sikret system – fx skal alt hardware og software tjekkes og godkendes. Det er ikke specielt morsomt at opererer et sådan system men det kan lade sig gøre.
Problemet består også i, at folk generelt ikke tager sikkerhed alvorligt.
"Jamen, det er jo bare data"... "Fint.. det er dit NemID også... Må jeg få en kopi?"
Kan anbefale Kevin Mitnicks bog om Social Engineering.
Du kunne f.eks. komprimere data, også kryptere det :-)
Som det så tydelig fremgår føler offentlige institutioner intet ansvar. Hvilket viser deres manglende professionalisme.
De vasker hænderne og lader den der har begået en formel fejl (evt. tilfældet) bære bebrejdelserne.
Det må altid være dataejeren der er ansvarlig for de valgte løsninger.
Der skal ikke kunne profiteres på lavt sikkerhedsniveau fx ved at vælge ingen / dårlig sikkerhed.
(og cheferne må ikke have et bonus incitament til at reducere sikkerhedsomkostningerne.)
Det er på tide at vi får samme objektive både for offentlige og private dataejere.
Et forslag kan være at hver enkelt exponering af persondata straffes med en minimum erstatning til den exponerede person på ikke under 1000Kr.
Dette skal dog ikke afskære fra større erstatninger hvis begrundet i skaden.
Fx vil en RAR ellar (win)zip fil fylde det samme (+/- en snes bytes eller 2 hvis headeren er anderledes)
Faktisk er der god grund til at tro at de allerede benytter en eller anden form for komprimering da det drejer sig om tekstfiler med mange repeterende koder, dvs god komprimering og derfior færre CDer til en given datamængde.
Plus du kan få data automatiskt opdelt i CD1, CD2 osv istedet for manuelt at rode med hvad der er plads til hvor.
Mao kræver det blot at de sætter det rigtige flag i batchfilen og genererer, indtaster og videregiver passwordet
Der er ingen undskyldning
Politikken har flere detalier om hvilke data det drejer sig om
http://politiken.dk/indland/ECE3305766/sikkerhedsekspert-der-er-tale-om-...
Bemærk især den beskrivelse af dataformatet de linker til:
https://twitter.com/christianpanton/status/755742230044966912/photo/1
Tilsyneladende er det data fra Psychiatrien med diagnosekoder osv knyttet op med dato og CPR nummer, av av av.
Ideen har tilsyneladende været at sammenholde bestemte diagnoser med andre data (fx husstandsindkomst, erhvervsforhold eller hvad man nu kan tænke sig) og geografiske forhold (er nogle diagnoser mere almindelige i fx Kbh - det er her listerne med de 5.2 mio CPR numre nok kommer ind).
Noget jeg ikke har set beskrevet er om det er CPR numre for 5.2 mill personer, eller om det fx er udtræk af alle indbyggere i udvalgte kommuner for hvert af årene 1971-2006 (og dermed rigtigt mange dubletter) for at kunne analysere hyppigheder ift geografi, sociale forhold osv
Tja, bum
Som jeg læser den er deres de facto procedure (om den nu er nedskrevet) at data på fysiske medier der sendes anbefalet ikke behøver blive krypteret (og tidligere brugte de vist alm post, hvilket Datatilsynet så kritiserede)..
Dvs hvis de havde haft en formel procedure ville den bare sige kopier data til CDerne og helt ignorere kryptering.
Det er altid værd at huske på at en formel procedure kun sikrer at de laver samme fejl hver gang :-)
INDHOLDET af proceduren er med andre ord langt vigtigere end om der er en formel nedskrevet procedure
Hm, den kunne vist misforståes, lad os prøve igen
Fx vil en RAR ellar (win)zip fil fylde det samme med og uden kryptering (+/- en snes bytes eller 2 hvis headeren er anderledes)
Ellers er den generelle regel FØRST komprimer, DEREFTER krypter
Moderne tools (dvs fra ca 1990 og frem) kan så gøre det i en arbajdsgang
Jeg må hellere lige præcisere: Jo tak, jeg ved godt hvordan man gør dette "rigtigt", men det udelukker ikke at man kan have gjort det forkert i denne sag.
...er kommet i dag:
http://sundhedsdatastyrelsen.dk/da/nyheder/2016/redegorelse-anbefalet-br...