Datatilsynet bekymret over datalæk: Rigspolitiet skal stå skoleret

Det er er jo typisk Data"tilsyn": Man sidder på hænderne og venter, om de dataansvarlige selv melder lovstridige forhold. Og endda nu, når det er klokkeklart, at CSC har opbevaret data på en måde, der muliggør adgang til dem, tøver man. -- Ok, man kan medgive, at Datatilsynet er underbemandet og underfinanseret. Men med den her opfattelse at "tilsyn"-opgaven vinder man ikke ligefrem respekt i ofentligheden.

Hvordan præcist vil du have at datatilsynet skal opdage at der er sikkerheds huller før de bliver anmeldt? Skal datatilsynet selv igang med at hacke virksomheder eller hvad?

Skal datatilsynet selv igang med at hacke virksomheder eller hvad?

Det var nok ikke nogen dum ide.

Det kunne feks. bruges til at anskueliggøre hvorfor man ikke skal have personlige oplysninger til at ligge i alle mulige registre.

Datatilsynet er intet værd! Selv har jeg fundet et data læk med >8000 CPR-numre og de har intet gjort! De har blot hørt fra lækkeren, at hullet var blevet lukket (efter min henvendelse). Men ikke gået vidre i sagen om de data er blevet stjålet (kan have stået på i over 5år)! eller fortalt dem det er gået ud over!

Skal datatilsynet selv igang med at hacke virksomheder eller hvad?

eller kræve at virksomhederne fremlægger dokumentation for deres sikkerhedsstyring. Eksempelvis ved at det kræves at der udover logning af logins til systemer med følsomme data også foretages aktive pentest.

Vi så en masse læks af kreditkortdata og det endte med Mastercard PCI reglerne, der blandt andet stiller krav til infrastrukturerne, herunder aktive test. Jeg kunne snildt forestille mig at man brugte nogle af de samme krav som PCI indeholder til systemerne med personfølsomme data.

NB: kildekritik, jeg sælger selv pentest - blandt andet fordi det er eneste måde at sikre at alt er på plads.

Note that pentesting does not guarantee a secure system---it can only help raise confidence and do more accurate risk analysis, but is very subjective based upon the skill of the pentesters and the amount of time they have to do the analysis.

Sorry for being so quiet lately on all of these matters, Version2 readers, but I'm on paternity leave in California. ;)

Joe

eller kræve at virksomhederne fremlægger dokumentation for deres sikkerhedsstyring. Eksempelvis ved at det kræves at der udover logning af logins til systemer med følsomme data også foretages aktive pentest.

Det kræver blot en meget klar definition af "Følsomme data" er f.eks. almindelige stamdata som navn, adresse og telefonnummer følsomme data, eller er det først når der kobles et CPR nummer på? Hvilke yderligere data er følsomme? Information om hvem der har betalt deres regning, og hvad de har betalt? Er halvoffentlige indlæg på f.eks. facebook følsomme? Er indlæg i et offentligt forum som dog kræver en (Gratis og ubesværet) registrering?

Umiddelbart synes jeg ikke jeg har set nogen klar definition af følsomme data som må og skal beskyttes, og personligt har jeg ikke det store problem med at folk har mit navn og adresse (Det kan alligevel findes i telefonbogen), lige som jeg også er ret ligeglad med om de f.eks. kan se om jeg har betalt min internet, el, vand, varme, telefon, husleje regning eller what not. Det rør mig heller ikke det store hvis nogen kan se hvad jeg har købt hos X-internet butik...

Men er de data noget der skal betragtes som følsomme?

kan se om jeg har betalt min internet, el, vand, varme, telefon, husleje regning eller what not. Det rør mig heller ikke det store hvis nogen kan se hvad jeg har købt hos X-internet butik...

Hvis du ikke have betalt kunne det jo godt være at du ikke var lige glad, hvis alle have adgang, det kunne det jo blive svære for nogen at få kredit. Måske også dem der ikke burde, men også dem som måske have mest brug for det. Hvis du have købt noget i en sex butik, eller en gave til konen , vil du vel ikke være ligeglad, hvis alle incl. din kone kunne se hvad, og til hvilken pris du have købt.

Det kræver blot en meget klar definition af "Følsomme data" er f.eks. almindelige stamdata som navn, adresse og telefonnummer følsomme data, eller er det først når der kobles et CPR nummer på?

Enig - det kan være svært at definere.

Problemet er vel lige så meget mængden af data - mit navn i sig selv siger ikke så meget, da jeg har et almindeligt fornavn (i hvert fald blandt mere modne mennesker), ligeledes mit efternavn - men når man kæder det sammen med adresse bliver det mere privat/følsomt. Min elregning, kontoudtog fra banken osv. er i sig selv ikke følsom, men bliver den hæftet på "Jørgen Sørensen" bliver den mere følsom, og hvis den bliver hægtet på min adresse eller cpr-nummer er den pludselig meget personlig.

Kort sagt: Mængden af data gør dataene mere personlige/følsomme fordi disse data kan samles til et stort billede af en persons forhold, og vi i dag har computerkraft til at samle de mange brikker.

Hvis du ikke have betalt kunne det jo godt være at du ikke var lige glad, hvis alle have adgang, det kunne det jo blive svære for nogen at få kredit. Måske også dem der ikke burde, men også dem som måske have mest brug for det.

Tja, hvis folk har svært ved at få kredit, vil det ofte være fordi de ikke overholder deres betalingsaftaler, og så er det måske meget godt? At folk ved hvad jeg har betalt og ikke betalt, betyder ikke ret meget for mig, det er naturligvis ikke noget jeg går og råber op om, men det er heller ikke noget jeg har et behov for at holde hemmeligt. Jeg er klar over at ikke ALLE har det som mig, men det gør det jo bare så meget vigtigere at have en KLAR definition af hvad der er følsomme oplysninger der skal have ekstra beskyttelse, og hvad der ikke er.

Hvis du have købt noget i en sex butik, eller en gave til konen , vil du vel ikke være ligeglad, hvis alle incl. din kone kunne se hvad, og til hvilken pris du have købt.

Igen er jeg måske lidt anderledes, men hvis folk har et behov for at vide om jeg handler i sex butikker, eller glor porno, så fred være med det, umiddelbart synes jeg ikke det er ret interessant information. Og med hensyn til om min kone kan se hvad jeg køber til hende, så er det vel mest op til hende, om hun vil ødelægge overraskelsen eller ej, hun ved præcis hvor jeg lægger bonerne når jeg har handlet gaver, så hvis hun kigger er det hendes egen skyld hun får det at vide på forhånd. (Dog har vi hver vores konto som vi bruger når vi betaler den slags, så det ikke er det første der står når man logger på netbanken. ;) )

Kort sagt: Mængden af data gør dataene mere personlige/følsomme fordi disse data kan samles til et stort billede af en persons forhold, og vi i dag har computerkraft til at samle de mange brikker.

Det kan der være noget om, men hvor stort et problem ville det være, hvis nogen kendte alt til f.eks. dine økonomiske forhold? Personligt ville jeg være ret ligeglad, da jeg anser det for at være noget af den kedeligste viden om mig, og jeg har svært ved at se eventuelle (mis)brugs scenarier.

Jeg vil derimod gerne have min personlige kommunikation for mig selv, det vil sige personlige e-mails (Nyhedsbreve, kvitteringer i forbindelse med nethandel mm. tæller ikke ind her), telefonsamtaler, SMS'er og lignende. Men min økonomi ville det f.eks. ikke genere mig det fjerneste at andre kendte til i detaljer. Andre har det måske sådan at deres økonomi er noget af det mest intime, og de vil hellere løbe nøgen rundt på Strøget med an hær af paparazzier klar til at fotografere det hele i detaljer, og lægge det ud til offentlig skue, end at folk kan se hvad de får i løn eller betaler i husleje.

Så igen, en klar definition af "Følsomme data" er det vigtigste at få etableret hvis man skal kræve dem bedre beskyttet.

Så igen, en klar definition af "Følsomme data" er det vigtigste at få etableret hvis man skal kræve dem bedre beskyttet.

Som du selv er inde på er der mange forskellige opfattelser af hvad der er "følsomme data" - og den ene opfattelse kan være lige så rigtig som den anden.

Dermed ender vi efter min mening i en meget bred definition af følsomme data: Følsomme data er data, som du ikke selv offentliggør.

Kort sagt skal alle data betragtes som "følsomme data", og det må betyde at: Den, der indsamler og gemmer data om andre, skal sikre sig at uvedkommende ikke får adgang til nogle af disse data overhovedet - undtaget hvor der er givet samtykke fra den, som data vedrører, eller på grund af lovgivningen.

skal sikre sig at uvedkommende ikke får adgang til nogle af disse data overhovedet

Hvilket vi jo kan se at selv politiet ikke kan finde ud af... Så hvordan skulle det være muligt at sikre sig 100% som der lægges op til?

Hvilket vi jo kan se at selv politiet ikke kan finde ud af... Så hvordan skulle det være muligt at sikre sig 100% som der lægges op til?

Jeg føler mig ret sikker på at vi kan komme tættere på 100%, hvis risikoen for en klækkelig udgift (bøde/erstatning) ved data-læk, får de ansvarlige til at gøre mere ud af sikkerheden for at undgå data-læk --- hvor meget man kan sikre sig er jeg ikke den rette til at svare på.

Men eftersom Politiet ikke mener at det skal få økonomiske for leverandøren at de har haft besøgende (http://www.version2.dk/artikel/oekonomidirektoer-hacking-af-mainframe-fa...), er motivationen til at undgå det fremover nok ret begrænset.

Hver gang der sker læk af data (f.eks. mail-adreser) kommer der en "Ups, det er vi kede af, det skal ikke ske igen (før næste gang)".