Danmarks Statistik afviser blankt påstand om krypto-barriere

Sundhedsdatastyrelsen konkluderede forleden i sagen om det omstridte CD-læk, at forskere ikke kan sende krypterede data til Danmarks Statistik. Men der tager de helt fejl, lyder replikken.

Danmarks Statistik afviser nu blankt, at en krypteringspolitik i organisationen skulle være en medvirkende faktor i det omstridte læk af to forsker-CD'er med helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos over én million danskere.

Af en ny redegørelse fra Sundhedsdatastyrelsen, som Version2 omtalte i går, fremgår det ellers, at forskerne var nødt til at sende data ukrypteret til Danmark Statistik som følge af organisationens it-retningslinjer.

I Sundhedsdatastyrelsens temmeligt uklare sprogbrug lyder det, at forskerne 'kunne ikke pseudonymisere data på forhånd, da alle data, forskerne skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være krypteret efter samme nøgle hos Danmarks Statistik.'

Læs også: Krypto-barriere hos Danmarks Statistik banede vej for CD-læk af 1,1 mio. danskeres helbredsoplysninger

Beskrivelsen har vakt opsigt i Danmarks Statistik, som nu fastslår, at man absolut ikke afviser at modtage krypterede data:

»Vi kan sagtens modtage krypterede data, og det gør vi også via bl.a. vores FTP-servere. Det er ikke korrekt, at der skulle være en policy eller praksis hos os, der forhindrer os i at modtage krypterede data,« siger Torben Søborg, der er afdelingsdirektør i Danmarks Statistik med direkte henvisning til Sundhedsdatastyrelsens redegørelse om CD-lækket.

I sagen om de to CD’er valgte Statens Serum Institut at sende et anbefalet brev med ukrypterede data.

»Det er deres risikovurdering, der sagde, at de kunne leve med det. Senere har de ændret deres risikovurdering og it-sikkerhedspolitik, så de fremover sender krypteret,« siger han.

Helbredsoplysninger endte hos kinesisk firma

Brevet med de to CD'er havnede ved en fejl hos et kinesisk visumhåndteringsfirma på Østerbro i København.

I modsætning til, at der er flere muligheder for at tilsende Danmarks Statistik krypterede data, så står organisationen selv for pseudonymisering af data.

»Forskere sender typisk data med CPR-nummer krypteret til os, og når vi har dekrypteret dem, så pseudonymiserer vi efterfølgende data. Formålet er som regel at sammenkøre de eksterne data med vores grunddata, f.eks. om beskæftigelse og uddannelse,« siger Torben Søborg.

Han forklarer, at forskerne ikke kan gennemføre pseudonymisering hos dem selv, inden data oversendes, for det ville kræve, at Danmarks Statistik udleverede deres pseudonymseringsnøgle.

»Og vi vil kun have nøglen liggende hos os,« siger han.

DST sender aldrig ukrypterede data ud

I øvrigt sender Danmarks Statistik aldrig data ud af huset ukrypterede.

»Når vi selv sender data, så er de altid krypterede,« siger han og tilføjer, at sker udsendelsen på CD/DVD, sker det altid krypteret og med anbefalet post. Her anvender man produktet 7ZIP til krypteringen.

»Nøglen sendes med email til modtageren. Der anvendes en ny nøgle for hvert medie,« lyder det fra afdelingsdirektøren.

Danmarks Statistik overvejer nu at stramme reglerne for modtagelse af data:

»Vi er blevet mere opmærksomme på, at kryptering er vigtigt, og vi vil gå dialog med vores eksterne samarbejdspartnere, forskerne, om, at de skal sende data til os i kryptereret form. Krypteringsløsningerne er også blevet mere brugervenlige, så der er ikke noget argument for at lade være,« siger han.

Sundhedsminister Sophie Løhde (V) frygter, at CD-lækket og to andre tilfælde af læk af patientdata kan underminere danskernes tillid til, at myndighederne passer godt på deres personlige oplysninger.

Hun har derfor bedt om et eksternt serviceeftersyn i ministeriet for at sikre, at håndteringen af personfølsomme oplysninger i Sundhedsministeriets koncern foregår korrekt.

Læs også: Igen sjusk i Sundhedsministeriet: Sender følsomme patientdata til den forkerte borger

Danmarks Statistik har cirka 250 forskningssamarbejder om året, hvor der tilsendes data til statistikorganisationen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Så må vi have en ny redegørelse fra Sundhedsdatastyrelsen. Der er åbenbart konkrete fejl i denne.

"I Sundhedsdatastyrelsen temmeligt uklare sprogbrug ..."

Præcist mit indtryk, da jeg læste (dele af) den. At enten har Mørkelygten været på spil, eller også må det være skrevet af en, der ikke selv helt forstår, hvad han/hun skriver om.

Simon Mikkelsen

»Nøglen sendes med email til modtageren. Der anvendes en ny nøgle for hvert medie,« lyder det fra afdelingsdirektøren.

Er det nu en god ide? Man forhindrer godt nok tilfældige angreb, hvor en udlænding får en CD og man ikke aner om han tager en kopi, men står man overfor et målrettet angreb er E-mail ikke en sikker måde at udveksle nøgler på.

Bjarne Nielsen

I artiklen står:

Han forklarer, at forskerne ikke kan gennemføre pseudonymisering hos dem selv, inden data oversendes for det ville kræve, at Danmarks Statistik udleverede deres pseudonymseringsnøgle.

»Og vi vil kun have nøglen liggende hos os,« siger han.

Jeg håber ikke, at der er tale om nøgle i ental, for så er den forlængst helt eller delvist gættet.

Peter Hansen

Den sande skandale her er i virkeligheden kun i mindre grad SSI's og PostNords inkompetente og skødeslåse håndtering af afsendelsen af sundhedsoplysninger om hele Danmarks befolkning og den efterfølgende "efterforskning" af sagen.

Den sande skandale er i virkeligheden, at Torben Søborgs institution - Danmarks Statistik - kræver af en række myndigheder, at de skal oversende massive mængder af personfølsomme oplysninger om borgerne uden at de samtidig sikrer, at denne oversendelse sker på forsvarlig sikker vis. En udtalelse som denne viser med al tydelighed hvad det er for en misforstået venlighed, der har hersket i Danmarks Statistik:

"Danmarks Statistik overvejer nu at stramme reglerne for modtagelse af data:

»Vi er blevet mere opmærksomme på, at kryptering er vigtigt og vi vil gå dialog med vores eksterne samarbejdspartnere, forskerne, om at de skal sende data til os i kryptereret form."

GÅ I DIALOG MED? Har du slet ikke forstået noget? Det er jeres krav, der er årsagen til denne trafik, så har I også politisk hovedansvaret for at sikre, at data oversendes på forsvarlig vis. Alt andet er beskæmmende ansvarsfraskrivelse som ingen plads har i et retssamfund. En udtalelse som denne vidner i sandhed om, at der er kø ved håndvasken og at Danmarks Statistik tilsyneladende fortsat ikke har forstået, at det i sidste ende er hos dem, at bolden og det politiske ansvar bør ende, hvis SAMTLIGE myndigheder og forskere ikke i EN FART begynder at kryptere de "nødvendige" forsendelser:

»Det er deres risikovurdering, der sagde, at de kunne leve med det. Senere har de ændret deres risikovurdering og it-sikkerhedspolitik, så de fremover sender krypteret,«

Forhåbentlig er Erhvervs- og Vækstminister Troels Lund Poulsen mere bevidst om, at den trafik af massive mængder personfølsomme data, som hans myndighed foranlediger i sidste ende er hans ansvar at sikre.

Anne-Marie Krogsbøll

Peter Hansen:

Måske har du ret - men jeg kan nu ikke lade være med at synes, at når der oprettes en "Sundhedsdatastyrelse" med det udtrykkelige formål at sikre omgangen med vore data bedre, så må man med rette kunne forvente, at denne instans faktisk ved, hvad de har med at gøre - også selv om DS evt. forsømmer deres del af ansvaret.

Og i sidste ende er det for mig at se også et ministeransvar - hvilke instrukser arbejder DS og Sundhedsdatastyrelsen under? Har de faktisk ministerens velsignelse til at kræve tilstrækkelig effektiv sikring af vore data? Eller bliver de bedt om at "trylle", dvs. sørge for, at der ikke sker "uheld", men samtidig må de måske ikke bruge penge på dette, og ikke opstille for rigide krav, som kan hæmme effektiviteten i sundhedsvæsnet og i de højt besungne privat-offentlige forskningssamarbejder?

Det kunne jeg faktisk godt tænke mig at vide: I hvilket omfang er ministeriet inde over, når der skal besluttes, hvilke sikkerhedsniveauer, der skal benyttes?

Peter Hansen

Måske har du ret - men jeg kan nu ikke lade være med at synes, at når der oprettes en "Sundhedsdatastyrelse" med det udtrykkelige formål at sikre omgangen med vore data bedre, så må man med rette kunne forvente, at denne instans faktisk ved, hvad de har med at gøre - også selv om DS evt. forsømmer deres del af ansvaret.


Det ville være fint, hvis du ville sætte dig lidt mere ind i sagerne, inden du kommenterede.

Det var SSI's daværende afdeling for sundheds-it (NSI), der oversendte de ukrypterede DVD'er. Sundhedsdatastyrelsen var på det tidspunkt ikke en gang oprettet som myndighed.

Og du har fuldstændig misforstået hovedpointen i mit indlæg. Lige som journalisterne kan du ikke gennemskue, at det faktisk er DST, der er edderkoppen i midten af et spind af regelmæssige dataoverførsler. Hele 250 "partnere" har DST. Hver af disse "partnere" overfører regelmæssigt data til DST, men DST har meget bekvemt undladt at stille krav om sikkerhed og kryptering til partnerne og skubbet ansvaret over på deres bord.

At fokusere på enkeltsagen og på SSI's medansvar i denne sag men fuldstændig at glemme eller negligere DST's hovedansvar for at rekvirere regelmæssige dataoverførsler fra 250 myndigheder og forskningsinstitutioner uden samtidig at sætte sig for bordenden i spørgsmålet om krav til it-sikkerheden er at overse skoven og fokusere på det enkelte væltede træ.

Anne-Marie Krogsbøll

Peter Hansen:

Men det er Sundhedsdatastyrelsen, der har skrevet redegørelsen, så vidt jeg har forstået. Derfor kan man godt forvente, at de kan gennemskue netop de ting, du beskriver, og ikke kommer med en rodet redegørelse.

Jeg kan - indrømmet- ikke gennemskue din beskrivelse af DS som den store edderkop i åbenbaringen - måske har du ret, men DS er dog også underlagt love og regler og ministerier, går jeg ud fra. Derfor er der også et ansvar på politiske niveau, hvis det hænger sammen, som du beskriver. "Nogen" på politisk niveau giver jo DS lov til at handle på denne måde.

Jeg giver dig ret i, at DS bør kræve forsvarlige overførsler af både sig selv og andre. Jeg kan bare ikke se, at det fritager de øvrige aktører indenfor dette for også selv at have et ansvar for at handle forsvarligt i det omfang, der er råderum til det fra politisk side.

Det råderum kunne jeg godt tænke mig at få afdækket, for der er kæmpe økonomiske interesser i at gøre datasamkøring og dataoverførsler så let og smertefrit som muligt - efter min opfattelse også på bekostning af sikkerheden og respekten for privatliv.

Jeg er ikke sikker på, at regering og ministre vil synes om, at der bliver stillet i deres øjne for store krav. .

Bjarne Nielsen
Morten Juhl-Johansen Zölde-Fejér

Sikker Post er en krypteret forbindelse, som kører mellem offentlige myndigheder og institutioner. Man kan som privatperson faktisk bruge det ved at udlæse sit NemID-certifikat - jeg skrev tidligere om at gøre det på en Linuxmaskine:
http://ufora.dk/74-sikker-post-til-det-offentlige-fra-private/
Der er også links til de relevante steder hos Digitaliseringsstyrelsen.

Michael Cederberg

Den sande skandale er i virkeligheden, at Torben Søborgs institution - Danmarks Statistik - kræver af en række myndigheder, at de skal oversende massive mængder af personfølsomme oplysninger om borgerne uden at de samtidig sikrer, at denne oversendelse sker på forsvarlig sikker vis.

Det er jeg meget uenig i. DS modtager data fra mange myndigheder og organisationer. Noget af det er sensitivt og noget er ikke. Jeg har ikke fantasi til at forestille mig at DS skal ud og vurdere hver eneste leverandørs måde at levere data. Specielt fordi nogle af leverandørerne givetvis har ældre systemer hvor det ikke er nemt at skifte leveringsform.

Ansvaret for leverancen må være data leverandørens. DS's ansvar er at sikre at dem der har behov for at levere data sikkert kan gøre det. Når først data er leveret er det DS ansvar at sikre data.

Claus Juul

kan Sundhedsminister Sophie Løhde (V) frygte, at CD-lækket og to andre tilfælde af læk af patientdata kan underminere danskernes tillid?

Der er jo blevet konstateret at data ikke er kommet til kendskab for uvedkommende.

Peter Hansen

Det er jeg meget uenig i. DS modtager data fra mange myndigheder og organisationer. Noget af det er sensitivt og noget er ikke. Jeg har ikke fantasi til at forestille mig at DS skal ud og vurdere hver eneste leverandørs måde at levere data. Specielt fordi nogle af leverandørerne givetvis har ældre systemer hvor det ikke er nemt at skifte leveringsform.

DST er såmænd allerede syltet godt ind i at skulle stille krav til den enkelte dataleverandør idet de allerede i dag nødvendigvis må stille krav til formattering af indholdet i de fremsendte data. Ingen af dine begrundelser forklarer hvorfor DST ikke skulle kunne gøre én indberetningsmetode obligatorisk. Når man kan tvinge alle landets borgere til at bruge borger.dk, alle landets virksomheder til at bruge virk.dk og alle landets sygehuse til at bruge sundhed.dk, så kan man også godt tvinge de statslige myndigheder (og andre evt. dataleverandører) til at bruge dst.dk/upload eller hvad man nu måtte finde på at kalde det. Der er bare nogen, der har sovet i timen - eller fundet det bekvemt at lurepasse...

Peter Hansen

Der er jo blevet konstateret at data ikke er kommet til kendskab for uvedkommende.


Det er rent og skært håbefuldt gætteværk fra Datatilsynets og SSI's side idet de har fået den stakkels kineser, der åbnede brevet til at underskrive en erklæring om, at hun "da i hvert fald ikke har gjort noget som helst med indholdet andet end at aflevere den hos rette modtager".

Den såkaldte "undersøgelse" har på ingen måde fastlagt, om den pågældende medarbejder (a) var i besiddelse af et DVD-drev eller (b) havde DVD'erne i sin besiddelse længe nok til at tage en kopi af dem. "Undersøgelsen" har heller ikke en gang formået at identificere postmedarbejderen, der var årsag til fejlafleveringen. Det er således ikke lykkedes SSI at finde ud af, om medarbejderen har relationer til Kina eller anden form for interessant historik på området.

Michael Cederberg

DST er såmænd allerede syltet godt ind i at skulle stille krav til den enkelte dataleverandør idet de allerede i dag nødvendigvis må stille krav til formattering af indholdet i de fremsendte data.

Der er forskel på at definere formatet og på at definere transport mekanismen. Typisk vil der være forskellige personer der har forstand på data formatet og på transport metoden. Specielt kan man ved formatet vælge noget ultrasimpelt (fx csv filer). Det kan alle finde ud af og der er ingen skade sket.

Når det gælder transport mekanismen så er alle sikre løsninger komplekse. Og der er masser af gamle AS/400, mainframes, oldgamle Unix maskiner, etc. derude. Systemer hvor omkostningerne ved nyudvikling af funktionalitet vil være høj. Det giver ikke mening at pålægge disse leveradører ekstra omkostninger med mindre de leverer følsomt data.

Når man kan tvinge alle landets borgere til at bruge borger.dk, alle landets virksomheder til at bruge virk.dk og alle landets sygehuse til at bruge sundhed.dk, så kan man også godt tvinge de statslige myndigheder (og andre evt. dataleverandører) til at bruge dst.dk/upload eller hvad man nu måtte finde på at kalde det. Der er bare nogen, der har sovet i timen - eller fundet det bekvemt at lurepasse...

Jeg mener ikke dine eksempler kan sammenlignes.

I sidste ende kan det koges ned til følgende: Det er Sundhedsdatastyrelsen (eller dens forgænger) der handler. Det er dem der flytter data. Derfor har de ansvaret for at vælge en passende transportform. Og så er sagen ikke længere. Hvis Sundhedsdatastyrelsen ingenting gjorde - ikke havde flyttet noget data - så havde der ikke været noget sikkerhedsproblem (her). Den eneste måde dette kan bliver DS ansvar, var hvis de nægtede at modtage data på sikker vis.

Hvis man skal skyde efter DS så er det ikke i indhentningen af data. Det er i opbevaring og distribution af data.

Bjarne Nielsen

Den eneste måde dette kan bliver DS ansvar, var hvis de nægtede at modtage data på sikker vis.

Som en kendt dansker er citeret for at skulle have sagt: "Den, som har evnen, har pligten". Så det er bestemt ikke rimeligt, hvis en part erfarer sikkerhedsproblemer, og lader det være upåtalt.

Også selvom det ændrer ikke på, hvor aben ender henne.

Karsten Thygesen

Det skræmmer mig at læse, hvordan folk og styrelser læner sig op af sikker TRANSMISSION - om det er SFTP eller FTPS ændrer ikke meget - det sikrer kun, at data transmitteres på sikker vis.

Det er mig en gåde, hvorfor de ikke benytter PGP - med PGP kan man udveksle en offentlig nøgle, poste den på en hjemmeside eller sende den til de offentlige nøgleservere, så alle kan få fat i den. Data krypteres så af afsenderen til denne nøgle, og endnu bedre - signeres af afsenderens private nøgle, og derefter kan data sende på CD'er, email eller anden usikker vis. Det er kun modtageren, der kan dekryptere den og modtageren kan endda verificere afsenderens identitet.

PGP er en sikker og moden teknologi, der så dagens lys i 1991 - den bruges verden over og er løbende blevet opdateret med mere sikre krypteringsteknologier - det er forholdsvis nemt at bruge og der er integration til næsten alle platforme og systemer. Det er en åben standard og supporteres af mange forskellige projekter og firmaer.

Med PGP er du sikker på, at data kun kan læses af den tilsigtede modtager og modtager kan identificere afsenderen. Data kan opbevares, i krypteret form, på bærbare, USB nøgler og andre medier uden risici...

Jeg har svært ved at se reelle grunde til at unlade at benytte denne teknologi...

Peter Hansen

Når det gælder transport mekanismen så er alle sikre løsninger komplekse. Og der er masser af gamle AS/400, mainframes, oldgamle Unix maskiner, etc. derude. Systemer hvor omkostningerne ved nyudvikling af funktionalitet vil være høj. Det giver ikke mening at pålægge disse leveradører ekstra omkostninger med mindre de leverer følsomt data.

I sidste ende kan det koges ned til følgende: Det er Sundhedsdatastyrelsen (eller dens forgænger) der handler. Det er dem der flytter data. Derfor har de ansvaret for at vælge en passende transportform. Og så er sagen ikke længere. Hvis Sundhedsdatastyrelsen ingenting gjorde - ikke havde flyttet noget data - så havde der ikke været noget sikkerhedsproblem (her). Den eneste måde dette kan bliver DS ansvar, var hvis de nægtede at modtage data på sikker vis.

Du argumenterer for et verdensbillede, hvor ansvaret for sikring af dataoverførsler fragmenteres / diffunderes ud på et utal af myndigheder og bruger derefter denne "forudsætning" som argument for, at fordi der er så mangeartet en portefølje af systemer hos de enkelte 'ansvarlige myndigheder', så giver det ikke mening at fastsætte minimumskrav.

Det er klart, at det er meget bekvemt for DST at argumentere for, at det er de enkelte myndigheder, der har ansvaret for at foretage risikovurderingen. Sagen er bare, at man på en lang række tilsvarende områder har fundet, at det økonomisk og fagligt mest forsvarlige er at centralisere såvel ekspertise som ansvar ét sted i centraladministrationen. Det gælder eksempelvis Statens IT og deres ansvar for at drive og vedligeholde standardsoftware-baserede server- og desktopplatforme i staten. Det gælder tilsvarende Digitaliseringsstyrelsens drift af borger.dk og Erhvervsstyrelsens drift af virk.dk, Moderniseringsstyrelsens ansvar for at drive et fælles regnskabssystem og vedligeholde en fælles kontoplan m.v.

Der er mig bekendt ikke nogen departementer eller styrelser, der har argumenteret imod, at de skal følge den fællesstatslige kontoplan eller lægge deres borgerrettede selvbetjeningsløsninger med det argument, at de baserer sig på en AS/400-platform. Det hænger delvist sammen med, at de ansvarlige myndigheder på centraladministrationens vegne har påtaget sig omkostningerne ved at sikre en fælles, standardbaseret snitflade, som gør det muligt for de omfattede myndigheder at udveksle data på et tilstrækkeligt højt sikkerhedsniveau.

Denne måde at organisere ansvaret på sikrer, at der etableres ét organ, som både har ansvaret og den fornødne faglige tyngde til at tilvejebringe faktiske løsninger på problemer eller udfordringer, som mange myndigheder har til fælles. Danmarks Statistik har ikke fulgt med tiden på dette område og har overset, at det er hos dem at såvel ansvaret som den faglige tyngde for at betrygge informationssikkerheden ved indberetninger ligger.

Michael Cederberg

Som en kendt dansker er citeret for at skulle have sagt: "Den, som har evnen, har pligten". Så det er bestemt ikke rimeligt, hvis en part erfarer sikkerhedsproblemer, og lader det være upåtalt.

Men ikke ansvaret. DST siger selv:

Vi er blevet mere opmærksomme på, at kryptering er vigtigt, og vi vil gå dialog med vores eksterne samarbejdspartnere, forskerne, om, at de skal sende data til os i kryptereret form.

Det lyder som om de nu har evnen. Og derfor vil de gå i dialog - uden at det i øvrigt giver dem ansvaret.

Du argumenterer for et verdensbillede, hvor ansvaret for sikring af dataoverførsler fragmenteres / diffunderes ud på et utal af myndigheder

Jeg siger at ansvaret ligger hos dem der flytter data. Blot fordi DST modtager data fra mange gør dem ikke pludseligt ansvarlige. Ansvar indenfor det offentlige er noget man tildeles - enten af loven eller delegeres fra politikere. Der er intet belæg for at DST skulle have noget ansvar her. Ingen lovgivning. Ingen uddelegering. Hvis DST fik rollen som ansvarshavende så ville der følge et budget med og de ville skulle lave en rådgivningsfunktion.

Med din argumentation så har DST også ansvar for perimetersikkerhed for dataleverandører, fordi DST har behov for det samme og således kan betegnes som eksperter. Det samme kunne man sige om backup strategier, high-availability, medarbejdertilfredshed, belysning, etc.

Hele ideen med at ansvaret ligger hos de enkelte myndigheder er netop at det er dem der handler der har ansvaret. De har ansvaret for egne handlinger og generelt ikke for andres handlinger. De har ansvaret for datasikkerhed i egne systemer og ansvar for datasikkerhed indtil data er overdraget til andre der så tager ansvaret. Hvis en myndighed ikke kan finde ud af at overlevere data på en sikker måde til DST, hvordan kan vi så stole på at de selv behandler data på en forsvarlig måde?

Der er mig bekendt ikke nogen departementer eller styrelser, der har argumenteret imod, at de skal følge den fællesstatslige kontoplan eller lægge deres borgerrettede selvbetjeningsløsninger med det argument, at de baserer sig på en AS/400-platform.

Der er også private leverandører til DST. Jeg skal ikke kunne sige om Danmarks Biavlerforening, Foreningen af Modelfly Amatører eller Fårevejle Lokalmuseum leverer data til DST, men jeg er sikker på at der er enheder på samme niveau der gør. Derfor giver det ikke mening generelt at kræve ressourcekrævende sikkerhedsforanstaltninger hvis de ikke er nødvendige i det givne tilfælde. Og jeg ved der findes oldgamle mainframe og Unix systemer indenfor staten hvor avancerede sikkerheds protokoller ikke nødvendigvis automatisk forefindes.

Dataleverandøren kender sikkerhedsklassificeringen af data. Derfor kan han vælge den nødvendige sikkerhed for opbevaring og overdragelse af data.

Denne måde at organisere ansvaret på sikrer, at der etableres ét organ, som både har ansvaret og den fornødne faglige tyngde til at tilvejebringe faktiske løsninger på problemer eller udfordringer, som mange myndigheder har til fælles. Danmarks Statistik har ikke fulgt med tiden på dette område og har overset, at det er hos dem at såvel ansvaret som den faglige tyngde for at betrygge informationssikkerheden ved indberetninger ligger.

Det er fint samle ansvaret for valg af sikkerhedsløsninger i et organ. Det er ikke DST der skal have denne rolle og de har den heller ikke nu (kun måske i din ønskeverden). Deres rolle er indsamling af data til statistisk brug, udarbejdelse af statistikker og leverance af data til forskere og andre der måtte have brug for dette. DST er ikke statens sikkerhedsorgan.

Michael Cederberg

Det er mig en gåde, hvorfor de ikke benytter PGP - med PGP kan man udveksle en offentlig nøgle, poste den på en hjemmeside eller sende den til de offentlige nøgleservere, så alle kan få fat i den

PGP er fint og der er andre fine RSA+mere implementationer. Men hvis det skal fungere i en verden hvor vi skal have "ekstrem" sikkerhed (fordi nogen af modstanderne må formodes at være statslige aktører), så skal man opbygge et "web-of-trust" som staten har 100% kontrol over. Man skal skabe en infrastruktur for at holde nøgler sikre, samtidigt med at de kan bruges til at decryptere eller signere. Jeg siger ikke at det ikke kan lade sig gøre, men det kræver ressourcer. Og at skabe et generelt framework for sikker kommunikation blandt offentlige institutioner er ikke DST's opgave.

Og selv når det perfekte framework er lavet, så kræves der kun een idiot før sikkerheden for et segment er kompromiteret. Sikker kryptologi er nemt i teorien. Det er når vi rammer praksis at problemerne opstår.

I praksis vil en opsætning hvor man deler en privat nøgle mellem to myndigheder fungere ligeså sikkert og mere praktisk. Nøglen vil så kun forefindes i en router i hver ende og routeren vil kun lukke udvalgt kommunikation igennem.

Peter Hansen

Blot fordi DST modtager data fra mange gør dem ikke pludseligt ansvarlige.


Lad os prøve at omskrive dette udsagn til at gælde for virk.dk, så kan du forhåbentlig selv se, hvor tomhjernet, det lyder:

Blot fordi virk.dk modtager indberetninger fra mange virksomheder, gør dem ikke pludseligt ansvarlige for sikkerheden ved dataoverførslen.

Sandheden er, at DST er ansvarlige idet de har lovhjemmel til at stille krav til indberetningerne, men har forsømt at gøre noget ved det i årtier.

Der er intet til hinders for, at DST opretter indberetningsportalen dst.dk/upload og gør brug af denne obligatorisk ved indberetninger. At de ikke har gjort dette, kan kun fortolkes enten som udslag for misforstået venlighed eller bekvemt lurepasseri i forhold til at påtage sig det ansvar, som retteligt er deres.

jeg ved der findes oldgamle mainframe og Unix systemer indenfor staten hvor avancerede sikkerheds protokoller ikke nødvendigvis automatisk forefindes.

Hvis du forventer forståelse for dette forhold fra min side, er jeg bange for, at du spilder din tid.

Peter Hansen

Ansvar indenfor det offentlige er noget man tildeles - enten af loven eller delegeres fra politikere. Der er intet belæg for at DST skulle have noget ansvar her. Ingen lovgivning. Ingen uddelegering.

Her har du den formelle ansvarsplacering, som du efterspørger:

Lov om Danmarks Statistik, §3 stk. 2:

Styrelsen træffer beslutning om, i hvilket omfang og på hvilken måde de i §3 a og §§8 - 12 nævnte oplysninger skal indhentes.

Endvidere findes denne bekendtgørelse som et udmærket eksempel på, at DST er ganske klar over, at §3 stk. 2 giver dem hjemmel til at udfærdige detaljerede regler for myndigheders indberetning:
Bekendtgørelse om obligatorisk digital indberetning af visse oplysninger til Danmarks Statistik

I medfør af § 3 b, stk. 1 og 2, § 3 c, stk. 1 og 2, og § 3 d, stk. 1 og 2, i lov om Danmarks Statistik, jf. lovbekendtgørelse nr. 599 af 22. juni 2000, som ændret ved lov nr. 1231 af 18. december 2012, og efter forhandling med styrelsen for Danmarks Statistik, fastsættes:

§ 1. Bekendtgørelsen finder anvendelse på offentlige myndigheder og erhvervsdrivende, som anmodes om at indberette oplysninger til Danmarks Statistik, jf. §§ 6, 8, 9 a og 12 i lov om Danmarks Statistik.

Hvis DST fik rollen som ansvarshavende så ville der følge et budget med og de ville skulle lave en rådgivningsfunktion.

Sandheden er, at de har haft ansvaret i årtier, men åbenbart har brugt pengene på noget andet.

Michael Cederberg

Lad os prøve at omskrive dette udsagn til at gælde for virk.dk, så kan du forhåbentlig selv se, hvor tomhjernet, det lyder:
” Blot fordi virk.dk modtager indberetninger fra mange virksomheder, gør dem ikke pludseligt ansvarlige for sikkerheden ved dataoverførslen.”

Efter at have læst ovenstående så har jeg svært ved at se det tomhjernede. Ærligt talt synes jeg din argumentation er tynd. DST giver mange muligheder for at leverandører kan aflevere data. Nogle er mere sikre end andre. Leverandøren vælger den der passer til hans muligheder og det data han skal levere. Og så er den ikke længere.

Alt det andet er noget du forsøger at læse ud af loven som ikke er der. Men hvis fortsat mener du at have ret, så foreslår jeg at du indgiver politianmeldelse mod DST for ikke at have sikret at Sundhedsdatastyrelsen passede ordentligt på dine oplysninger.

Jeg skal i øvrigt sige at jeg ikke kender virk.dk. Derfor vil være useriøst af mig at diskutere virk.dk i detaljer. Jeg har dog svært ved at forestille mig at virk.dk fortæller hvilken ”browser-implementation” (dvs. hvilken https implementation) der skal bruges til upload. Men hvis man fortsætter linjen i din argumentation, så skal de også til at beslutte det.

Sandheden er, at DST er ansvarlige idet de har lovhjemmel til at stille krav til indberetningerne, men har forsømt at gøre noget ved det i årtier.

Der står intet om sikkerhed i lovgivningen. Der står heller intet om ansvar for data under transporten. Og med mindre det er direkte angivet, så forsvinder leverandørens ansvar for at behandle data forsvarligt ikke blot fordi DST har en opgave med at indhente data.

Selv hvis DST havde krævet at Sundhedsdatastyrelsen leverede data som indrykkede annoncer i Wall Street Journal, så forsvinder Sundhedsdatastyrelsens ansvar for at holde data sikkert ikke fra.

Hvis du forventer forståelse for dette forhold fra min side, er jeg bange for, at du spilder din tid.

Ærligt talt så er jeg mere interesseret i at andre der læser denne debat forstår de tradeoffs som alle er nødt til at lave. Men jeg kan godt se at hvis man lever i en verden hvor der er ubegrænsede ressourcer og hvor man er ligeglad med skatteborgernes penge, da kan man have en så idealistisk holdning. De fleste ingeniører har opdaget at løsninger består af kompromisser.

Men ja, Danmarks Statistik kunne iflg. lovgivningen kræve at det indberettede data blev skrevet på egyptisk papyrus og indleveret af japanske munke. Det ville bare være dumt fordi det ville give ekstra udgifter for leverandøren. Derfor sikrer DST flere måder hvor man kan aflevere data og leverandøren kan så vælge den der passer til ham og hans data.

I dette tilfælde valgte Sundhedsdatastyrelsen en mindre optimal metode og det gør at man bør bekymre sig over Sundhedsdatastyrelsens evner til at holder vores data sikre. For hvis de ikke kan finde ud af at overlevere data på fornuftig måde, hvordan skal vi så tro på at de kan klare den langt sværere opgave det er at sikre de data de selv holder.

Log ind eller Opret konto for at kommentere