Byråd i strid om kryptering af bærbare

I Frederiksberg byråd går bølgerne højt i et slagsmål om kryptering af kommunens data.

I Frederiksberg byråd er SF-politiker Anne-Mette Wehmüller bekymret over, hvorvidt de data, hun har på sin bærbare pc er krypteret eller ej. Det skriver Computerworld.

SF'erens bekymringer udspringer af de sager, der har været i England, hvor persondata er blevet tabt.

Hun oplyser at hendes bærbare pc kun er beskyttet med et kodeord:

»Jeg er ikke sikkerhedsekspert, men jeg mener ikke, at kodeordsbeskyttelse er nok,« siger hun til Computerworld.

Anne-Mette Wehmüller har rejst sagen i byrådet, hvor hun har slået til lyd for, at data på alle bærbare skulle krypteres. Hun blev imidlertid nedstemt.

Frederiksbergs konservative borgmester Mads Lebech mener, at sagen bunder i misforståelser.

»Frederiksberg Kommune er meget opmærksom på Datasikkerheden i hele kommunens virksomhed. Der er stadig udvikling på området, som i øvrigt står på tærsklen til en ny samlet revision. Men SF har desværre forsømt at gå i dialog om forklaringerne på de vigtige spørgsmål, der rejses. For bekymringerne hviler på nogle simpel misforståelser,« siger han ifølge Computerworld.

Og borgmesteren understreger desuden, at kommunen overholder datalovgivningen.

»Vi har retningslinier og vejledninger vedrørende brug og beskyttelse af data. Lagring af data på lokale diske er ikke nødvendig, og vi anbefaler det ikke,« forklarer borgmesteren ifølge Computerworld.

Men selvom de kommunale retningslinjer i dag forbyder brugeren af lagre personhenførbare oplysninger eller fortrolige data lokalt uden, de er krypterede, så mener SF stadig ikke, at det er godt nok.

»Vi er af den klare opfattelse, at det er kommunen - som dataansvarlig, som skal træffe de fornødne tekniske sikkerhedsforanstaltninger. Vi mener, det er forkert blot at henvise til, at kommunen vejleder politikerne til at lagre oplysningerne korrekt. Det svarer til, at man krydser fingre for, at der intet sker - efter princippet - går den så går den,« siger Anne-Mette Wehmüller ifølge Computerworld.

Hun overvejer nu at føre sagen videre til Datatilsynet.

Borgmester Mads Lebech mener slet ikke, der er noget problem. Han peger på, at for at bryde kommunens sikkerhedsforanstaltninger er det nødvendigt, at brugeren fortager aktive handlinger for at lagre data ukrypteret.

»Jeg forstår slet ikke Anne-Mette Wehmüllers udtalelser. Hun har ønsket en politisk sag og har derfor ikke lyttet til substansen i sagen eller haft reel interesse for at drøfte den,« siger Mads Lebech og mistænker ifølge Computerworld Anne-Mette Wehmüller for alene at ville profilere sig politisk på sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dennis Schwartz-Knap

hmm jeg kan ikke lige se hvad problemet med kun at bruge password. Hvis man krypterer harddisken sådan den eneste måde at åbne computerens indhold på er ved at indtaste et password så kan man vel diskutere hvad der er krypteringen.

Men det beviser jo hvad er sker når nogle begynder at udtale og snakke med om noget de ikke ved en pind om...

  • 0
  • 0
Morten Jensen

Tjaeh, det tager ca 10 min at fjerne password paa en admin account i Windows XP.
Det samme er IKKE tilfaeldet naar harddisken er krypteret... Under forudsaetning af at der bruges staerke passowrds.

Hvis en laptop indeholder personfoelsomme oplysninger skal den efter min mening krypteres.

  • 0
  • 0
Dennis Schwartz-Knap

Vi må gå ud fra da der ikke står andet, at der er tale om andet end almindeligt login til windows. Om ikke andet må det være et must at harddisk skal krypteres når man vælger at benytte en bærbar enhed til personfølsomme oplysninger.
Det kan vel ikke være så svært når større private virksomheder har gjort det i årevis for at sikre deres følsomme oplysninger.
Men tager jeg fejl?? Jeg arbejder ikke i en komunes IT afdeling.

  • 0
  • 0
Jon Bendtsen

Disken burde være krypteret, fordi selvom at der ikke direkte gemmes personfølsomme data på disken, så er det ikke til at vide hvilke data der evt. måtte ligge i en cache.

Hvis kommunen fx. giver adgang til en webmail hvor der så vises personfølsomme oplysninger, så kunne en browser måske cache dem på harddisken, og tit har brugeren gemt brugernavn og adgangskode for at få adgang til webmail og andet.

  • 0
  • 0
Dennis Schwartz-Knap

kan man derved konkludere at den angivne komune som Morten skrev tideligere, bare ikke har styr på hvad sikkerhed er, hvilket jeg personlig ikke bryder mig om tanken om.

Det burde sgu være komunerne der i det mindste har styr på pisset i stedet for at have pis på styret!!

  • 0
  • 0
Ole Bech

Hvis man i Frederiksberg Kommune har en sikkerhedspolitik, som alle er bekendt med (helst har underskrevet da de blev oprettet som bruger) hvori er beskrevet, at personfølsomme data ikke må lagres lokalt, og hvis nogen gør det, så står konsekvenserne helt for deres egen regning, ja så er kommunen nok rent formelt på tør grund, men jeg tvivler på, at sagen vil blive opfattet sådan, hvis medierne en dag skulle falde over en bærbar pc'er, hvorpå der er indgraveret kommunens navnetræk, med personfølsomme data på.

  • 0
  • 0
Mikael Hertig

Det fremgår helt tydeligt af den oprindelige artikel på www.senyt.dk, at politikeren intet forsætligt havde gjort for at lagre persondata på disken.

Hendes outlook havde arkivfiler liggende. De bliver dannet regelmæssigt ved, at programmet selv foreslår overfor brugeren, at der dannes arkivfiler af gammel post. Disse arkivfiler lægges automatisk på hendes harddisk. Hun har sådan set intet valg haft.

Heroverfor siger hendes kommunaldirektør til "Harddisken" og Mads Lebech til computerworld, at man altid bliver promptet for, om disse data skal krypteres eller ej.
Det er altid underholdende, når kommunaldirektører og borgmestre gør sig til tekniske eksperter. Men hvad pokker? Det er vel altid i det mindste politikernes lod at udtale sig om ting, de ikke nødvendigvis ved ret meget om. Risikoen er, at de tager fundamentalt fejl som her.

Ved arkivfunktionen bliver der ikke promptet for kryptering. Den mulighed eksisterer simpelthen ikke.
Hvis vedkommende vil lave en ny folder udenfor outlookdomænet af egen drift, så bliver der promptet. Men det har intet med Frederiksberg Kommunes opsætning af politikernes bærbare pcer at gøre.

Når outlook ligger som program på pcen, så vil der naturligvis også ligge temp filer fra word, excel og powerpoint.

Det er rigtigt, at Schneier har påpeget en fejl i sikkerheden ved harddiskkryptering, når den aktive nøgle i brug er lagret i DRAM. Svagheden er af militær betydning og relevant for efterretningstjenester. Skal man skaffe sig adgang til den krypterede disk, skal man direkte stjæle den, mens den er i brug.
Så sikkerheden er altså noget bedre, hvis den er krypteret, for de fleste bærbare bliver stjålet i slukket tilstand.

  • 0
  • 0
Mikael Hertig

Det er den dataansvarlige, altså kommunen, der har pligten til at sørge for, at der tages de fornødne tekniske og informationsmæssige foranstaltninger til at opfylde persondatalovens § 41, stk. 3.

Det helt særlige ved paragraffens formulering er, at data heller ikke hændeligt må komme uvedkommende i hænde. Uforsætlighed er altså ingen undskyldning.

Når man med en lov forpligter først borgmesteren, dernæst hans kommunaldirektør og derefter efter almindelig delegation de fornødne eksperter til at tage sig af det her, er det åbenbart, at de ikke må sætte systemerne op, så byrådsmedlemmer eller pædagoger hændeligt kommer til at lægge persondata på den bærbares harddisk. Udgangspunktet er nu en gang, at det på grund af paragraffens formulering ikke er noget, man bare på almindelig embedsmandsvis kan skrive sig ud af.

Der skal forligge et klart forsæt fra medarbejderen, som man ingen ekspertise forventer af, til at overskride bestemmelserne, før det personlige ansvar kan blive relevant.

Alt andet ville også være for smart - for hvor bliver persondatalovens hensigt ellers af i den pølsesnak, der vil komme ud af det?

  • 0
  • 0
Anonym

Når man vurderer denne debat, skal man lige huske på at det er er samme Mads Lebeck, der demonstrere sin mangel på digital viden og forstålse, når han blamerer sig omkring online digitale valg.
http://www.cio.dk/art/38206?a=related&i=39536&bottom
http://www.version2.dk/artikel/4760?rss

Uden at tage stilling i den specifikke sag, synes det ikke generelt at være en kommune, hvor sikkerhed og digitale borgerrettigheder sættes særligt højt, når man skal vurdere den politiske propaganda.

Alle disse sager omkring bærbare er en funktion af dårligt systemdesign - om man krypterer når data ligges ud er symptombehandling af en mere grundliggende sygdom.

  • 0
  • 0
Log ind eller Opret konto for at kommentere