IBM om svensk data-svipser: Vi har ikke tilsvarende problemer i Danmark

Svenske personoplysninger er potentielt havnet i forkerte hænder gennem en IBM-afdeling i Tjekkiet. Men det kan ikke ske i Danmark, siger dansk direktør.

IBM er i centrum af et svensk datalæk, der lige skaber politisk furore i Sverige.

Gennem it-gigantens afdeling i Tjekkiet er svenske persondata, herunder kørekortregister, muligvis endt i hænder på personale, der ikke er sikkerhedsgodkendt. Det viser en undersøgelse fra svensk politi, som i dag er blevet omtalt i flere svenske medier.

Læs også: Data-læk af hemmelige identiteter truer svensk regering

I Danmark har IBM dog ikke lignende problemer, forsikrer selskabets danske direktør for strategisk outsourcing, Henrik B. Rasmussen over for Politiken.

»Jeg kan ikke udtale mig om den svenske sag, men i Danmark har man gennem mange år stillet temmelig restriktive krav«, siger han til mediet.

IBM er blandt andet underleverandør på kommunikationssystemet Edifact, som politiet bruger, og driver et fælleskommunalt system for udsatte børn og unge.

Læs også: Outsourcing kan både være den rigtige og den forkerte beslutning

Men i den slags opgaver bliver der typisk stillet krav om, at data skal forblive i Danmark, at de kun må behandles af danskere og sommetider også, at de ansatte skal være sikkerhedsgodkendt, siger Henrik B. Rasmussen til Politiken.

Fordi danske - såvel som svenske - lønninger er højere end de tjekkiske, har alle sikkerhedskravene sin pris. Og der har den nu tidligere Generaldirektør for Transportstyrelsen i Sverige - Maria Ågren - tilsyneladende sparet det forkerte sted.

Endnu før rapporten fra det svenske politi var færdig blev Ågren fyret og idømt en bøde på 70.000 svenske kroner for skødesløs omgang med fortrolige oplysninger og brud på reglerne om beskyttelse af persondata.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Men i den slags opgaver bliver der typisk stillet krav om, at data skal forblive i Danmark, at de kun må behandles af danskere og sommetider også, at de ansatte skal være sikkerhedsgodkendt, siger Henrik B. Rasmussen til Politiken."

Det lille ord "typisk" kan være vigtigt her. Det gælder f.eks. ikke mht. Sundhedsplatformen, hvor data sendes til EPIC i USA. Ved man med sikkerhed, at der aldrig outsources fra IBM i Danmark i denne slags opgaver? Eller er det bare mest "typisk", at man ikke gør?

Jeg er ikke overbevist om, at IBM-talsmandens svar skal forstås som en egentlig garanti. Måske træder han bare vande?

  • 10
  • 1
Morten Fordsmand

Nu er typisk jo en beskrivelse af de krav kunderne stiller, og hvis kunderne glemmer at stille kravet til tilbudsgiverne jo prøve at finde den billigste løsning.

Men min erfaring fra IBM er at man gør sig meget store anstrengelser for at overholde kundens regler og krav, formentlig fordi det vil koste rigtigt meget i såvel erstatning som tab af image hvis man ikke overholder dem.

  • 7
  • 0
Anne-Marie Krogsbøll

Morten Fordsmand.

Tak for svar. Det kan sagtens være rigtigt - jeg er bare ikke overbevist om, at kunden har stillet disse krav i Danmark. Det har de i hvert fald ikke gjort mht. Sundhedsplatformen, så det er i hvert fald ikke et generelt krav i Danmark, at behandlingen af følsomme oplysninger ikke må outsources til udlandet.

I Norge er det et lovkrav, at der ved outsourcing af den slags til udlandet skal udarbejdes en risikovurdering. Jeg ved ikke, om der er et sådant lovkrav i Danmark - men jeg ved, at det i hvert fald ikke er blevet gjort ift. outsourcing til EPIC i USA.

Men vi kan jo håbe, at man har gjort det mht. evt. militærhemmeligheder o.l.

  • 2
  • 0
Morten Fordsmand

Enig

Men det der er det vigtige i den her sammenhæng er at det er dataejeren der skal stille kravene, mens databehandleren skal leve op til disse krav.

Så i den sammenhæng er det måske lige lovlig stor tillid IBM har til at deres kunder stiller de rette krav.

  • 4
  • 0
Anne-Marie Krogsbøll

Ja, det er jeg enig i. Vi må bare krydse fingre for, at "kunden" har tænkt sig om, og har tænkt mere på datasikkerhed end på bonusser og budgetter. Jeg håber, at nogle journalister borer lidt i det herhjemme.

  • 3
  • 0
Anne-Marie Krogsbøll

Norge står netop i en kæmpe outsourcingskandale af deres helse-IT i en af deres regioner:
https://www.nrk.no/norge/helse-sor-ost_-outsourcing-stoppes-1.13578806

Og Norge har endda strammere regler end herhjemme, idet outsourcing af den slags følsomme data til udlandet kræver udarbejdelse af risiko/sikkerhedsvurdering (hvilket man vist ikke gjorde i denne sag). Så vidt jeg ved (kan tage fejl), har vi ikke et sådant krav herhjemme.

  • 3
  • 0
Jesper Frimann

Nu har jeg lige siddet og set DR. Hvor man først ser en pressekonference med den Svenske statsminister som står og siger at der ikke har været nogen læk af oplysninger. Men at det drejer sig om at medarbejdere i et andet EU land ikke har været sikkerhedsgodkendt.

Så kan man efterfølgende stå og høre to journalister snakke om lækagen af data. DUH
Desuden så er der INGEN, der laver connectionen mellem at I Danmark der var det faktisk netop Kørekort registret der blev 'hacket', ud over Schengen systemet, i 'CSC' hacker sagen.

// Jesper

PS PSST Version2 I starter den her artikel med den samme fejl.

  • 6
  • 0
Christian Bruun

DR.dk skriver om sagen "I maj 2015 beslutter generaldirektør Maria Ågren, at der kan afviges fra reglerne, der beskytter følsomme data.". og senere "I januar 2016 iværksættes en efterforskning af Maria Ågren. Undersøgelsen skulle klarlægge, hvorvidt generaldirektøren havde truffet afgørelser, som havde afsløret fortrolige oplysninger."

  1. juli i år fik hun så en bøde på 70.000 sek efter hun har erkendt at der er sket et brud på reglerne. Hun er for øvrigt embedsmand.

Kilde: http://www.dr.dk/nyheder/udland/stefan-lofven-holder-paa-ministre-og-inf...

  • 5
  • 0
Michael Cederberg

. Det gælder f.eks. ikke mht. Sundhedsplatformen, hvor data sendes til EPIC i USA.

Som jeg forstår det, så sender Sundhedsplatformen ikke automatisk data ud af landet. Men dem der driver Sundhedsplatformen har mulighed for at sende data til EPIC hvis det er nødvendigt for at diagnosticere og rette fejl.

Der er en markant forskel. Og med mindre man sender oplysninger om alle danskere så vil et sådan data-dump i praksis have meget lille værdi.

  • 2
  • 0
Anne-Marie Krogsbøll

Michael Cederberg:

Jeg kan fortælle dig, at så vidt jeg har kunnet få opklaret (arbejder stadig på sagen, men støder på temmelig meget tågesnak fra regionens side), så har flere hundrede Epic-medarbejdere i Epic i USA adgang til Sundhedsplatformen i forbindelse med fejlretning etc. De har direkte adgang, og har allerede brugt denne flere tusinde gange siden ibrugtagning.

Epic har underdatabehandlere i udlandet, men det er endnu ikke klart for mig, præcist hvor mange steder data behandles. Og kontrollen med EPICs datahåndtering fra Sundhedsplatformen kunne - ud fra det materiale, jeg indtil nu har modtaget - se ud til at være meget rudimentær.

Selv hvis det er mindre mængder data, der kan slippe ud, kan det misbruges til afpresning og identitetstyveri. Ud over, at det simpelthen ikke er nogen rar situation for de ramte, rent privatlivsmæssigt.

Jeg ville ikke - uden dokumentation - stole på IBM-mandens påstand om, at noget lignende ikke kan ske i Danmark, for ud fra det, jeg har fundet ud af om Sundhedsplatformen, så stiller vi ikke ret mange krav, og de krav der er, håndhæves ikke i særlig høj grad. Ganske vist er sundhedsdata ikke militærhemmeligheder, men dog følsomme nok til, at de burde beskyttes på samme niveau. Så når man ikke gør det, kan jeg også frygte for, om man har styr på datasikkerhed vedr. landets sikkerhed.

En vigtig opgave for pressen at følge op på.

  • 6
  • 1
Morten Fordsmand

Jeg ville ikke - uden dokumentation - stole på IBM-mandens påstand om, at noget lignende ikke kan ske i Danmark,

Som jeg tidligere har sagt så er det jo ikke rigtigt noget IBM kan tage ansvar for, og da slet ikke på sundhedsplatformen som de vist ikke er blandet ind i.

I øvrigt så er national drift ikke en garanti for at der ikke sker uautoriseret læk af data - se bare se&hør sagen.

  • 4
  • 0
Anne-Marie Krogsbøll

Politikere og embedsmænd må slås om, hvis ansvar håndteringen af skandalen er - men har IBM heller ikke noget ansvar for at give personale uden sikkerhedsgodkendelse adgang til følsomme data, sådan som jeg har indtryk af, at det er sket?

  • 0
  • 2
Jesper Frimann

Politikere og embedsmænd må slås om, hvis ansvar håndteringen af skandalen er - men har IBM heller ikke noget ansvar for at give personale uden sikkerhedsgodkendelse adgang til følsomme data, sådan som jeg har indtryk af, at det er sket?


IBM har ansvar for at overholde deres kontrakt og Dansk lovgivning. Efter min mening har IBM nogle glimrende sikkerhedsprocedurer, standard arkitekturer m.v.

Problemet er igen at 'det offentlige' slet slet ikke er klædt på, hverken fagligt, ledelsesmæssigt, standard mæssigt eller arkitektur mæssigt til at kunne gennemskue om vores data bliver håndteret 'forsvarligt'.

Sådan en typisk IT løsning er typisk bygget op af flere lag, hvad man kalder en løsnings stak. Denne er typisk hos større leverandører standardiseret. Man kan sige sådan groft forsimplet sige at en løsning stak består (fra toppen) af en applikation (et program), dette program kører så på et operativ system (windows/Linux/UNIX..), dette operativ system kører så oven på et virtualizerings lag (VMware,KVM...), under dette ligger så den fysiske server, og under dette ligger så en disk infrastruktur og en netværk infrastruktur. Så bare i denne forsimplede model er der 6 lag der skal administreres og sikres.

I store outsourcing leverandører kan du sagtens risikere at disse lag alle drives fra forskellige lande spredt ud over hele verden. Eller i det mindste forskellige underleverandører.

Når det offentlige ser på datasikkerhed, så er det tit kun det øverste lag de bekymrer sig om. Det man kan kalde direkte adgang til data. Men... nu er det sådan at data potentielt kan tilgås fra alle løsningslag. Derfor skal man tænke sig godt om.
Ud over en løsnings stak, er en løsning typisk også et kæde af forskellige løsningselementer, som hver har deres løsnings stak.
F.eks. kan du have din applikation kørende på en løsnings stak, din database på en anden, dit backup system (som jo har en kopi af alt) på et tredje etc. etc.

Og det nytter ikke en pind hvis du har sikret din applikation, hvis dit backup system står piv åbent.

For at kunne overskue om en løsning er sikker nok, kræves der IT-faglighed. Og IT-faglighed, som ikke prioriteres i det offentlige.

// Jesper

  • 7
  • 0
Jan Heisterberg

Skal vi ikke lige se hele dette spørgsmål lidt fra oven og i perspektiv ?

Citatet herover er oversat fra latin (se f.eks. https://da.wikipedia.org/wiki/Kustode) og betyder naturligvis "at selv den bedste vogter skal også vogtes".

I sammenhæng med databeskyttelse har politikerne her, og i Sverige smat mange andre steder, besluttet at følsomme data skal blive inden for landenes grænser. Som påpeget, så viser "Se og Hør sagen", at det hverken er en nødvendig eller tilstrækkelig betingelse. Andre sager, Wikileaks og mange andre, viser, at data kan "bortføres" indenfor et lands grænser.

Talrige andre spionage og læk-sager viser, at meget lidt er sikkert.

Derfor er det meget naivt at tro, at bare fordi "data" bliver i landet, så er det sikkert. Der er næppe bevis for, at datamisbrug oftere skyldes tilgang unden for et land end indenfor et land. Derfor er det stillede krav, om national lagring, naivt.
Det ændrer naturligvis ikke ved, at når kravet ER stillet, her, i Sverige og andre steder, så SKAL det overholdes.

Derfor koger spørgsmålet ned til et it-teknisk og organisatorisk spørgsmål:
- hvordan sikrer vi de følsomme data ?
Det gør vi sikkert ved en række it-tekniske tiltag (e.g. kryptering, logning) og en række organisatoriske tiltag (e.g. sikkerhedsgodkendelse. stikprøvekontrol, dobbelt ansvar / delte beføjelser).

Jeg tror, i bagklogskabens klare lys, at (alle) den kendte sikkerhedsbrud kan føres tilbage til brud med simple, naturlige, regler og procedurer.
I nogle tilfælde simple menneskelige fejl, i andre tilfælde groft overlæg og svig fra de involverede.
En del svindel opdages ved tilfælde - tilfælde som istedet kunne være iscenesat som systematisk eller tilfældig kontrol.
Svindel kan forebygges ved en to-trins proces, som ikke må udarte til gummistempling - hvilket er en åbenlys procesrisiko.

Men måske er disse udfordringer små sammenlignet med ukendte angreb med trojanere og virus via internettet - som vi bare ikke erkender (endnu).

Så hvem vogter vogterne ?

  • 7
  • 0
Jesper Frimann

Det er min personlige holdning, at IT faglighed heller ikke prioriteres i tilstrækkelig grad hos leverandørerne og at et fåtal hos leverandørerne kan overskue sikkerheden eller mangel på samme i hele stakken.

Uden at bryde nogle af de ting man har skrevet under på i tidernes løb, som ansat hos netop nogle af de her 'leverandører', så vil jeg sige at du har en pointe.
Især er management laget hos mange af de her firmaer, indavlet og inkompetente i en sådan grad at det er skræmmende.

Der er så stadig en hel del stjerne dygtige medarbejdere tilbage, der sagtens kan overskue tingene. Det man så kan sige.. får de lov til at bruge deres faglighed ?

// Jesper

  • 3
  • 0
Thomas Hedberg

Uden at bryde nogle af de ting man har skrevet under på i tidernes løb, som ansat hos netop nogle af de her 'leverandører', så vil jeg sige at du har en pointe.

Jeg syntes også man hører argumentet "hvis du ikke har noget at skjule..." overfor private. Måske skulle man vende den om og spørge virksomhederne og staten om hvorfor de føler trang til at beskytte sig selv med NDA'er hvis de ikke har noget at skjule :)

Især er management laget hos mange af de her firmaer, indavlet og inkompetente i en sådan grad at det er skræmmende.

Jeg tror der er mange der har ønsket at deres ledelse havde større viden om det man solgte. At fagligheden var i højsædet og at dygtige drift folk også var en naturlig del af ledelsen.

Der er så stadig en hel del stjerne dygtige medarbejdere tilbage, der sagtens kan overskue tingene. Det man så kan sige.. får de lov til at bruge deres faglighed ?

Ja, det er naturligvis nogle som kan. Men det skal også kunne "pakkes" ind og kommunikeres til sælgere, SDM'er, ledelses lag og hvem der nu ellers har kunde kontakt. Det nytter ikke når ledelsen ikke forstår teknik og kan gennemskue hvad de forskellige lag i praksis kan give adgang til.

  • 1
  • 0
Jesper Frimann

Jeg tror der er mange der har ønsket at deres ledelse havde større viden om det man solgte. At fagligheden var i højsædet og at dygtige drift folk også var en naturlig del af ledelsen.

Lige i outsourcing branchen er det her problem jo indbygget. Man overtager jo tit en masse medarbejdere, mange af hvem man er forpligtet til at holde på, når man laver en sourceing kontrakt. Problemet så ledelseslaget. Der er det ret tit .. ja.. bunden man får med, folk der ikke er vant til at se IT som core business for firmaet, de kan jo komme fra et rengørings firma. Så det bunden, og det er folk der ikke forstår forretningen. Og man er jo ikke altid lige glad for at rydde op i ledelseslaget så mange bliver hængende i lang tid. Og dårlig ledelse.. får gode produktive medarbejdere til at holde op i 'produktionen'.
Det er en ond cirkel.. og kræver kompetente ledere i toppen der forstår de her mekanismer.. eller tør lytte til, dem der gør det. Og der er det ofte nemmere at skille sig af med dem, der forstår.. for det skaber ro på de indre linjer. At så forretningen langsomt kører i sænk.. jaaa.. det er jo lige meget.. så flytter man bare sidelæns i organisationen.

Ja, det er naturligvis nogle som kan. Men det skal også kunne "pakkes" ind og kommunikeres til sælgere, SDM'er, ledelses lag og hvem der nu ellers har kunde kontakt. Det nytter ikke når ledelsen ikke forstår teknik og kan gennemskue hvad de forskellige lag i praksis kan give adgang til.

Ja. Og her har der så i IT-branchen været en tendens til, at man mener i de højere ledelseslag, at dem der forstår sådan noget er folk fra den branche man forsøger at sælge IT-servicene til.
Og igen.. det går som regel også galt.. fordi det tit igen er folk man har indsourcet, og fordi du har været IT-arkitekt i en rengørings koncern, hvor IT nu er blevet skilt ud, så gør det dig ikke til en god forretnings arkitekt, med domæne viden i en IT-service virksomhed. For det er altså noget helt andet.

Men her er det så, at man kæmper lidt en håbløs kamp, hvis man f.eks. er EA'er eller forretnings arkitekt i IT-service virksomheder, som dem vi snakker om. For topledelsen forstår ikke at HR, skal være en produktions linje, på lige fod med f.eks. Datacenter services i en IT-service leverandør. Det skal ikke bare være ledelsens jernhånd til knægte medarbejderne. Og så ellers køre deres lejetøjs psykologi til ansættelser. Nej de skal aktivt i samarbejde med folk, der forstår fagligheden, afdække folks ønsker, potentialer, attitude og kontraktuelle situation. Således at folk kan placeres, et sted til gavn for alle. Eller måske bare hjælpe folk videre.

Ofte outsourcer man i virksomheder fordi man ikke magter at rydde op i organisationen. Og derfor skal der, ligesom der skal med det IT man indsourcer' laves en transformation af medarbejderstaben.
Ellers så smadrer du din egen virksomhed.

// Jesper

  • 3
  • 0
Lars F. Jensen

men har IBM heller ikke noget ansvar for at give personale uden sikkerhedsgodkendelse adgang til følsomme data,

Leverandørene har regler for 'omgang med data' herunder tavshedspligt for de enkelte medarbejdere.
Det er kunden - dataejer - der via udbudkrav og kontrakt må sikre, at der stille nødvendige krav til forholdene omkring data og adgang til disse.
Det kan fx være et personligt krav til leverandørenes medarbejdere om en skærpet tavshedspligt direkte underlagt straffeloven.

Sikkerhedsgodkendelse af personer sker via PET - i Sverige Säpo - og sker normalt for medarbejdere i et helt bestemt sikkerhedskritisk arbejdsforhold.

Når data og adgang til disse kræves placeret i landet selv, er det i høj grad fordi retsforfølgelse er langt lettere end over grænserne. Dette kan naturligvis i mange tilfælde være dyrt og i visse tilfælde ikke muligt fx ved Europols registre.

Det er meget ofte et krav, at data skal opbevares og systemerne kun kan tilgås fra et EU land, hvor (bortset fra Danmark) der i højere grad er en ensartet lovgivning og en trods alt meget lettere retshåndhævelse.

I dette svenske tilfælde synes der at være 2 forhold.

  1. Data er udtrukket og sendt via E-mail nærmest i frit abonnement.
  2. IBM har fået tilladelse til support fra bl.a. deres supportafdeling i Tjekiet, men ingen datalæk herfra er påvist.

Det første forhold kan i mine øjne umuligt lastes IBM.
Det er i øvrigt en fæl uskik at sende persondata over nettet og værre sende disse til interesserede abonnenter. Er datakrypetet under mail transporten, er det fortsat afgørende vigtigt, at data sendes til en bred ukontrolleret kreds.
Nogle af vore politikere vil jo også gerne bogstaveligt sælge vores/statens data til 'BigData' brug - Det bør sgu aldrig ske.

IBM yder drift og support fra ekspertise mange steder på jorden, og det er efter min viden helt muligt kontraktmæssigt at sikre, at dette kun sker fra indenlandske, indeneuropæiske eller fra et vilkårligt kvalificeret team, alt efter ønske.
Min erfaring er, at IBM er meget obs på at overholde de sikkerheds regler, der er indgået aftale om og bliver betalt for - men heller ikke mere.

Lars :)

  • 1
  • 0
Log ind eller Opret konto for at kommentere