It-sikkerheden skal ikke godkendes, når staten outsourcer følsomme data

Illustration: leowolfert/Bigstock
Det er helt op til hver enkelte offentlige myndighed at vurdere sikkerheden, når it-systemer bliver overdraget til private leverandører. Datatilsynet bliver ikke spurgt, og der er ingen centrale krav til sikkerheden, mens myndighederne selv kan have svært ved at vurdere situationen.

Danskernes følsomme personoplysninger i statens registre havner ofte i hænderne på private virksomheder, når opgaven bliver outsourcet, måske af sparehensyn.

Men der eksisterer ingen central myndighed, der godkender de private leverandørers it-sikkerhed, inden de overtager driften. Det er op til den enkelte myndighed at gennemskue, om forholdene er i orden.

Peter Lind Nielsen, der er ekspert i it-ret og har stor erfaring inden for persondataret og it-sikkerhed, mener, at det kan være en uoverkommelig opgave for myndighederne at gennemskue virksomhedernes it-sikkerhed.

»Man kan nogle gange godt stille spørgsmålstegn ved, hvor tilbundsgående undersøgelser, der egentlig bliver foretaget. Det kompliceres ofte ved, at grunden til, at myndigheder outsourcer driften i første omgang, er fordi, de ikke har it-kompetencerne selv,« siger Peter Lind Nielsen til Version2.

Overordnede regler for sikkerhed

De overordnede regler for omgang med personoplysninger i Danmark står i Persondataloven. For den offentlige forvaltning gælder yderligere et sæt skærpende sikkerhedsbestemmelser, der findes i den såkaldte sikkerhedsbekendtgørelse.

»Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger,« lyder det i sikkerhedsbekendtgørelsens § 3.

Myndigheden skal altså selvstændigt sikre sig, at it-sikkerheden hos den konkrete leverandør lever op til bestemmelserne i sikkerhedsbekendtgørelsen.

Datatilsynet er sat i verden for at holde opsyn med, om disse regler bliver overholdt i praksis, og som udgangspunkt skal en databehandling, der indbefatter personoplysninger, meldes til tilsynet, inden behandlingen går i gang. Men tilsynet har ingen magt over, hvilken leverandør den enkelte myndighed vælger at bruge.

Anmeldelsen til Datatilsynet vedrører nemlig hovedsageligt selve databehandlingens formål og handler som sådan ikke om de it-systemer, der skal varetage oplysningerne.

‘Det er ikke de enkelte registre eller IT-systemer, men derimod behandlinger af personoplysninger, der skal anmeldes. En anmeldelse skal udformes som en generel beskrivelse af myndighedens sagsgange vedrørende et bestemt sagsområde,’ skriver Datatilsynet i sin vejledning til offentlige myndigheder.

‘Myndigheden behøver derfor alene én anmeldelse på et område, selv om der benyttes mere end ét IT-system. Hvis myndigheden benytter systemer, der bevirker, at oplysningerne f.eks. lagres på en server hos IT-leverandøren, skal sådanne leverandører anføres som databehandlere på anmeldelsesblanketten,’ skriver Datatilsynet.

Skriftlig aftale er påkrævet

Som dataansvarlige er det de offentlige myndigheder, der står på mål for it-sikkerheden hos databehandleren, når de outsourcer driften af eksempelvis et offentligt register. Derfor skal myndigheden indgå en skriftlig aftale med leverandøren, der blandt andet skal slå fast, at den private leverandør forpligter sig til at leve op til reglerne i sikkerhedsbekendtgørelsen.

Hvad angår specifikke systemkrav og sikkerhedsprocedurer, kan myndigheden vælge at specificere konkrete krav i den såkaldte databehandleraftale, men også her kan myndighedens it-kundskaber komme til kort.

»Ofte indeholder selve databehandleraftalen ikke ret meget andet, end den standardformulering, som ligger på Datatilsynets hjemmeside. Det er sjældent, at man som kunde går ned og blander sig i den præcise teknik og setup'et,« siger Peter Lind Nielsen til Version2.

Rigspolitiet har eksempelvis en sådan aftale med it-leverandøren CSC, der flere gange har været i vælten her på Version2 for at tage for let på sikkerheden. I juni sidste år kom det frem, at firmaet var blevet offer for et historisk hackerangreb, hvor uvedkommende fik adgang til netop Rigspolitiets systemer.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Læs også: CSC fandt 3 ekstra bagdøre til politiets systemer

»Det er ofte sådan, at den offentlige myndighed ikke nødvendigvis har styr på præcis, hvad der skal stilles af krav længere nede i systemet, men kommer der besøg fra Datatilsynet, og det viser sig, at sikkerheden ikke lever op til kravene, falder det tilbage på den dataansvarlige, der jo står på mål for den sikkerhed, databehandleren leverer,« siger Peter Lind Nielsen til Version2.

»Det er derfor, at man fra Datatilsynets side opfordrer til, at den dataansvarlige skal lave en risikovurdering og sikre sig, at der er taget vare på visse sikkerhedsforhold,« siger han.

Han forklarer, at offentlige myndigheder i databehandleraftalen kan kræve, at leverandøren underlægger sig en årlig sikkerhedsrevision fra en tredjepart, men det er ikke noget, der påkræves i sikkerhedsbekendtgørelsen. Han mener dog, at brugen af eksterne sikkerhedsrevisorer bliver mere udbredt blandt myndigheder.

I eksemplet med Rigspolitiets aftale med CSC er der netop sådan en klausul, og revisionsfirmaet Deloitte har ad flere omgange påpeget sikkerhedsproblemer hos CSC, for eksempel at sikkerhedsopdateringer til mainframes først blev installeret tre måneder efter, de udkom.

Læs også: Rapport: CSC brugte forældet software til CPR-register

Revisionsrapporter bliver i sin natur først udført, efter myndigheden har indgået en aftale med en privat leverandør, og indtil da er myndigheden overladt til at gennemskue sikkerhedsforholdene selv.

»For at kunne lave denne her risikoanalyse, kræver det jo en gevaldig teknisk indsigt. Man kan diskutere, om ikke leverandøren skulle have en eller anden godkendelse på forhånd til at håndtere persondata. Det ville langt hen ad vejen gøre det nemmere,« siger Peter Lind Nielsen til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 John Foley

Dataansvarlige myndigheder og offentlige instanser kan ikke løbe fra eller outsource deres forpligtelser. De skal ubetinget sørge for at sikkerheden og personfølsomme oplysninger i deres varetægt er forsvarlig sikret. Desværre lever de fleste ikke op til denne forpligtelse af den simple grund, at de ikke har den fornødne indsigt eller kundskaber "in house" til at risikovurdere eller analysere sikkerhedsbehovene. Det forsøger de så at betale sig fra ved 3. part, men det lykkes sjældent fordi de ikke har forstand på at stille relevante krav til leverandørerne. Rigsrevisionen har tidligere dokumenteret, at selv Statens IT, Politiet og Statens Serum Institut ikke har sikret, at borgernes følsomme oplysninger i deres varetægt opbevares på betryggende vis. I Rigsrevisionens rapport står der endvidere, at mange og sandsynligvis de fleste andre offentlige instanser heller ikke passer godt nok på befolkningens personfølsomme oplysninger og metadata. Det er beskæmmende og meget kritisabelt. Men ingen gør noget ved det.

  • 4
  • 0
#2 Deleted User

Var det ikke en ide at ansvaret blev gjort konkret og objektivt: Den myndighed der har ansvaret / outsourcer skal betale erstatning på 1000Kr til alle brugere hvis data uforsætilig, ulovligt eller unødvendigt exponeres. Det vil få den øjeblikkelige ansvarsforflygtigelse til at ophøre.

Måske var det også en ide at skabe en link til chefernes bonus.

  • 2
  • 0
#3 Niels Madelung

I de fleste lande i EU og internationalt, kræver myndigheder at deres IT leverandører er certificeret - bare ikke i Danmark. Indenfor outsourcing findes der en håndfuld standarder så som ISO/IEC 27001 Ledelsessystem for informationssikkerhed - som staten selv skal overholde, ISO/IEC 20000 SLA aftaler, ISO/DIS 37500 Guidance on outsourcing, ISO/IEC 29100 Privacy Framework, hvoraf de to første er certificerbare. Pointen med certifikater er bl.a. at kunden slipper for at have den faglige indsigt på området, skrive lange kravspecifikationer og kontrakter og selv fortage kontrol af leverandøren - andet end at sikre han har certifikatet. Der er ingen undskyldning for ikke at gøre brug af disse "midler" - det kræver bare lidt nytænkning. Byggeindustrien, sundhedsområdet, servicesektoren, maskinindustrien, detailmarkedet er alle underlagt krav om certifikater og mærkninger - hvad afholder outsourcing sektoren?

  • 1
  • 0
#4 John Foley

Enig i dine betragtninger om certifiseringskrav Niels. Men problemet er, at myndighederne ikke selv overholder de regler og bestemmelser, der allerede findes. Ellers ville der ikke være alle de kompromitterings-sager, som de offentlige myndigheder m.fl. gang på gang bliver afsløret i, jf. føromtalte Rigsrevisionsrapport og de næsten daglige afsløringer af brist på sikkerheden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere