Fortrolige firma-oplysninger lækkes gennem gratis oversættelsestjenester

Personlige og fortrolige oplysninger er havnet på det åbne internet, fordi de er blevet oversat af en gratis sky-tjeneste. Medarbejdere skal ikke bruge den slags tjenester, lyder rådet.

Interne memoer, mails med login-oplysninger og advokat-breve er eksempler på indhold, som gennem oversættelsestjenesten Translate.com er lækket til det åbne, søgbare internet.

Translate.com

Tjenesten er delvist ejet af Microsoft, og har - som konkurrenten Google - brugsbetingelser, der lader tjenesten bruge den oversatte information til groft sagt hvad som helst. Og ikke lover noget med hensyn til, hvem der kan se, det man oversætter:

Læs også: Virksomheder bliver ramt af angreb fordi ansatte ikke er gode nok til it

»You should appreciate that all information submitted on the website might potentially be publicly accessible,« står der i selskabets betingelser.

Ovenstående faktum fik Statoil tidligere på måneden lov til at ‘appreciate’, da norske NRK fandt interne dokumenter fra olie-kæmpen på nettet. Dokumenter, der var blevet oversat til eller fra norsk og efterfølgende indekseret af Googles søgemaskine og gjort frit tilgængelige via Googles webcaché.

CPR- og pasnumre

Statoil er ikke alene om at have medarbejdere, der bruger tjenester som Translate.com. Google-søgninger viser adskillige advokat-breve, svar på jobansøgninger samt tilfælde, hvor en ansat i et stort dansk selskab har oversat en mail indeholdende medarbejdermails og tilhørende kodeord.

Disse eksempler er nu fjernet fra Googles cache.

Også private lægger flittigt oplysninger i hænderne på tjenesten. Version2 har således fundet flere CPR-numre, pasnumre, diverse kodeord og personlige hilsner i tjenestens arkiver.

Læs også: Ingeniørforening: Manglende it-politik udgør stor risiko for medarbejderne

De gratis tjenester udgør en risiko for virksomheder, vurderer Henning Mortensen, der er formand for Rådet for Digital Sikkerhed.

»Det gælder ikke bare oversættelsestjenester, men også andre gratis tjenester som f.eks. pdf-tjeneste. Der kan komme alle former for følsomme oplysninger ud, hvis medarbejdere anvender den type tjenester - og it-afdelingen har ingen kontrol med det.«

»Det korte svar er: Den slags tjenester skal man ikke bruge,« fastslår han.

Udbredt brug af oversættertjenester

I en undersøgelse, som oversættelsesvirksomheden Amesto Translations har lavet blandt 262 marketings- og produktansvarlige, svarer hver tredje, at han eller hun bruger cloud-tjenester som f.eks. Google Translate og Translate.com til oversættelser.

82 procent bemærker, at datasikkerhed er særdeles vigtig eller vigtig, når det gælder materialer til oversættelse. 40 procent af disse er samtidig klar over, at brugen af online-tjenesterne er i direkte konflikt med virksomhedens interne it-politikker.

Mens det er væsentligt at sondre mellem åbne informationer og fortrolige data, så understreger Henning Mortensen, at det er essentielt af have klare politikker omkring, hvilke tjenester man må bruge til hvad. Men som undersøgelsen antyder, er et forbud ikke nødvendigvis nok.

Læs også: It-manager på universitet: Skygge-it står i vejen for fuld beskyttelse af data

»Næste skridt er, at it-afdelingen kan installere software på medarbejdernes computere, som kortlægger brugen af de her tjenester, så man kan finde ud af, om der er et reelt problem.«

Den viden kan efterfølgende bruges til f.eks. at illustrere over for ledelsen, hvad risikoen er.

»Sidste skridt er eventuelt at blackliste tjenesterne. Det kan være nødvendigt, hvis man gerne vil have egentlig kontrol over virksomhedens information,« siger Henning Mortensen.

Ingen garanti

Translate.com bemærker i sine vilkår, at brugere bør overveje nøje, hvilken form for information de oversætter med tjenesten, da den ikke garanterer nogen form for fortrolighed.

Hos Google fastholder man i selskabets vilkår retten til at bruge data fra Google Translate til f.eks. målrettede reklamer.

Læs også: Offentlige hjemmesider deler følsomme data om danskernes netbrug

Men fra virksomheders synspunkt er det ikke et spørgsmål om, hvorvidt der står Google, Microsoft eller et helt tredje selskab bag tjenesten, siger Henning Mortensen.

»Det handler om, at virksomheden skal sætte sig ned og tager stilling til risikoen. Så kan det godt være, man ender med at bruge en tjeneste i skyen, men det væsentlige er, at du tager stilling til den risiko, det giver.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
Anne-Marie Krogsbøll

Det kunne være interessant med en undersøgelse af, hvor udbredt brugen af disse tjenester er i f.eks. det offentlige.

"Version2 har således fundet flere CPR-numre, pasnumre, diverse kodeord og personlige hilsner i tjenestens arkiver."
Er det også muligt at se, hvem der har "lækket" dem på denne måde?

"»Sidste skridt er eventuelt at blackliste tjenesterne. "
Bør det offentlige ikke straks blackliste disse tjenester i de offentlige systemer?

Mette Nikander

Det er en fin pointe at bringe dette emne op, specielt hvis virksomheder ikke i sine IT politikker har skrevet dette punkt ind og hvis ens medarbejdere tænkeligt anvender den slags tjenester til fortrolige dokumenter eller dokumenter med personfølsomme/personhenførbare informationer. Det er passende at pointere til medarbejdere, at det sjældent er hele sætninger, men snarere ord, der kan være behov for at oversætte og der er de gratis tjenester jo fine nok. Sidder medarbejdere med mere udfordrende dokumenter, ja så må en on premise digital oversættelsesfunktion, langt være at foretrække.

Kenn Nielsen

Vel ikke før man har dokumenteret at der er sket læk fra offentlige myndigheder via tjenesterne?

Det giver vel sig selv ?
Man venter vel heller ikke med at opsætte en firewall før man er blevet angrebet ?

Og hvorfor egentlig denne særlige interesse i, at hive det offentlige ind i en kontekst som ikke omhandler det offentlige?


Måske fordi empiri - i al sin sørgelighed - fortæller, at 'det offentlige' ikke formår at indtænke rettidig omhu.

K

John Jensen

Peter Hansen
Jo før og aller helst helt fra starten af den mindste overvejelse angående brugen af frit tilgængelige tjenester, som man ved indsamler disse data og, at ikke bare muligheden, men også bliver brugt.

Man skal være meget naiv hvis man tror at der ikke indsamles data og alle anvendelsesmuligheder vedrørende de indsamlede data kan og vil blive brugt.

Jeg tror ikke hverken Google eller Microsoft og andre af de helt store spillere vil udnytte deres indsamlede viden til at skade alt og alle.
Deres eneste formål er, at tjene penge, hvilket også er helt ok, det er trods alt deres eksistensgrundlag.

Men at offentlige myndigheder bruger disse tjenester med dokumenter/tekster der har med borgernes personlige data at gøre, det er og bliver stærkt kritisabelt.

Og jo det offentlige har alle muligheder for at oversætte dokumenter og lignende med indkøbt software.
Og endda vil den indkøbte software klare denne opgave langt bedre end de gratis tjenester, og jeg mener langt bedre.

Så nej, det offentlige skal ikke bruge disse tjenester til oversættelse af selv det mindste der på den svageste mistanke kan relaterer til enkeltpersoner eller grupper i befolkningen

Povl Hansen

Vel ikke før man har dokumenteret at der er sket læk fra offentlige myndigheder

Hvis det er dokumenteret af en tjeneste er utæt, behøver man vel ikke af vente på af det går galt før man gør noget, men kan jo også vælge af sige af det her ser usikkert ud og så finde andre løsninger, før tingene er gået helt i LORT!

ja, ved godt af den tankegang ikke er meget brugt i det offentlige, men måske er det på tide af den bliver indført

Peter Hansen

Men at offentlige myndigheder bruger disse tjenester med dokumenter/tekster der har med borgernes personlige data at gøre, det er og bliver stærkt kritisabelt.

Ja, det ville være stærkt kritisabelt. Problemet er bare at artiklen nævner private virksomheder - ikke offentlige myndigheder. Artiklen nævner ikke et eneste eksempel på offentlige myndigheder som har brugt tjenesterne til behandling af personfølsomme data.

Martin Sørensen

Ja, jeg bruger også jævnligt Google Translate i arbejds-øjemed, men jeg kunne ikke finde på at sende en klump tekst der kunne indeholde fortrolige eller personlige oplysninger. Løsningen i mine øjne er ikke at blokere for brugen af den slags 100%, men i stedet sørge for at folk forstår hvorfor det ikke smart at gøre, da det netop ikke kun begrænser sig til oversættelses-sider. Når folk får den rigtige ballast, så bør de selv kunne forstå og træffe en fornuftig beslutning i sådanne situationer.

Thomas Hedberg

For et stykke tid siden kunne man google sig frem til en del sager fra et dansk incident håndterings system i en kinesisk oversættelses tjeneste.

Den kinesiske oversættelses tjeneste havde et fortrinligt browser plugin, som fungerede i stil med den indbyggede oversættelses funktion i Chrome. Dvs. at den automatisk sendte en kopi af alle sider som medarbejderen besøgte omkring oversættelses tjenesten som udover at gemme oversættelsen i urimeligt lang tid også var så serviceminded at gøre dem søgbare for alle.

Palle Kjær Laursen

Men ovenfor skrev du:

"Og jo det offentlige har alle muligheder for at oversætte dokumenter og lignende med indkøbt software.
Og endda vil den indkøbte software klare denne opgave langt bedre end de gratis tjenester, og jeg mener langt bedre.

Så nej, det offentlige skal ikke bruge disse tjenester til oversættelse af selv det mindste der på den svageste mistanke kan relaterer til enkeltpersoner eller grupper i befolkningen".

Det hænger jo ikke sammen med det, du nu skriver om Baidu.

Så hvad er din pointe egentlig?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017