Kommune: Vi sparer penge ved at virustjekke e-mails i udlandet

At kommunens e-mails bliver scannet for malware i udlandet er en afvejning af økonomi og sikkerhed, siger kommunal it-chef. Han efterlyser nationale retningslinjer.

Når e-mails til 23 danske kommuner først skal en tur omkring malware-scanning i udlandet, er det et spørgsmål om at spare penge.

Sådan lyder det fra digitaliseringschef for Egedal Kommune, Jørgen Kristensen Rasch, der også er formand for Foreningen af Kommunale IT-ansvarlige.

»Det er en balance at få varen bedst og billigst. Den modsatte diskurs kunne også tænkes: At vi også kunne blive spurgt, hvorfor vi ikke har sparet penge ved at få det gjort i udlandet, når det er billigere,« siger han til Version2.

E-mails sendt uden kryptering er som et åbent postkort og bruges ikke til fortrolig kommunikation. Men at mange ministerier, styrelser og kommuner vælger at få scannet e-mail i udlandet, møder kritik, fordi alle e-mails så skal passere en række servere i udlandet, med nem mulighed for spionage, frem for at blive holdt inden for landets grænser.

Læs også: Udenlandske servere kan snage i dine e-mails til det offentlige

Hos Egedal Kommune, der bruger tjenesten Symantec Messagelabs i Holland, har emnet ikke vakt den store debat i it-afdelingen.

»Vi tager afsæt i de regler, vi skal overholde, og i prisen. Men det er jo et paradoks. Selvom det er en god idé at få det gjort billigere, er det ikke sikkert, man skal sige ja alligevel,« siger Jørgen Kristensen Rasch.

Han efterlyser retningslinjer på nationalt niveau, for eksempel fra Digitaliseringsstyrelsen, om eventuelle problemer ved at sende e-mails til behandling hos udenlandske firmaer.

»Man burde tage en vurdering i det offentlige som helhed og se, om det kan betyde en kompromittering af data, og så komme med anvisninger. Kommunerne står jo ikke alene. Det er et afklaringsspørgsmål, som man skal have op centralt,« siger digitaliseringschefen, der ikke selv er nervøs ved at lade kommunens e-mails rejse rundt i Europa.

Skal have bedre kontrakter

Helt generelt bliver det kun mere kompliceret at købe it-ydelser, hvis man gerne vil have styr på, hvor det foregår.

»Det er samme diskussion som at udflage sine udviklingsopgaver til udlandet. Det er efterhånden umuligt at vide, hvor noget bliver lavet. Jeg er ved at vænne mig til, at selvom man indgår en aftale med en dansk leverandør, bliver opgaven lagt tilrette i Tyskland og så er det indere, som retter i koden,« siger digitaliseringschefen.

Hos it-folkene i Egedal Kommune har det spørgsmål også været oppe at vende. Løsningen er tænke kontrakterne på en ny måde.

»Vi har talt om at i langt højere grad at tænke det ind i kontrakten, når vi indgår den. Kontrakten er normalt skrevet med en meget teknologisk vinkel, mere end en konsekvensbetragtning. Det er sjældent, der er kritiske spørgsmål om, hvordan opgaven udføres,« siger Jørgen Kristensen Rasch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Steen Poulsen

Efter som kommunikation med det offentlige er underlagt fortrolighed, og data som er indleveret til det offentlige SKAL behandles fortroligt, kan jeg ikke se andet end at det må være brud på datasikkerheden, persondata loven og fortroligheds forpligtigelsen som kommunerne og stat er underlagt. Vil de begrænse "spam" kan de jo bare spærre for aflevering af mail fra "udenlandske" ip-adressen, der findes masser af databaser over "black listet" IP adresser.

  • 0
  • 2
#2 Leif Neland

Vil de begrænse "spam" kan de jo bare spærre for aflevering af mail fra "udenlandske" ip-adressen, der findes masser af databaser over "black listet" IP adresser.

Så kommunen skal bare ignorere emails, der er sendt fra ferierende, udsendte, og udenlandskdanskere?

Skal de også sende breve med udenlandske poststempler til sikker destruktion, da de jo kunne indeholde bomber og bakterier?

Nu ser vi lige bort fra, at de blacklister sjældent er helt opdaterede, specielt for et lille område som Danmark.

  • 2
  • 0
#3 Morten Winther

Hvorfor skal borgere sende mails - fjern email adresser fra hjemmesider og lav dybe links direkte til Digital Post. Så er data krypteret, kommunen kan sætte strøm på processen og digitalisere direkte til arbejdslister i ESDH.

Lette spørgsmål er hurtigere klaret straks over telefonen hos borgerservice.

Dernæst flere selvbetjeningsløsninger der ikke kræver behandling hos kommunale medarbejdere.

Så kan kommunen godt flytte alle de administrative mails over i google apps mm.

  • 1
  • 1
#8 Thue Kristensen

Jesper, nu ikke være fræk - DanID og telestyrelsen siger jo selv at NemID /IKKE/ er en digital signatur hvorfor den ikke skal overholde lovgivningen om en sådan.

Faktisk definerer loven "elektronisk signatur", men DanID konsekvent taler som at NemID er en "digital signatur". Her mener DanID tydelig vis at siden der ikke er nogen lovkrav om hvad man må kalde for en "digital signatur", så må de sige hvad de har lyst til.

  • 0
  • 1
#9 per mortensen

Der findes mange former for malware, og der findes mange brugere af e-mails. Når vi ikke drukner i spam og virus, så må det være fordi de fleste af de browsere vi bruger, har nogle gode antivirus og antispam programmer. Hvis vi så heller ikke lægger vore adresser direkte ud til søgemaskinerne, og helst bruger open source, så er risikoen vel minimal. Mit firma har brugt nettet og e-mails i mange år, og vi har endnu aldrig været generet af malware.

Når problemerne dukker op nu, så tror jeg, at det er på grund af den voldsomme brug af spyware, som både offentlige og private aktører introducerer for tiden. Det er dette misbrug der skal afklares, og forhåbentlig forbydes. Her har Version2 en stor opgave, idet V2 er det eneste sted jeg kender, hvor malware osv. diskuteres på en professionel måde.

  • 0
  • 0
#10 Deleted User

Hvis jeg lige må komme med en lille kommentar der undre mig lidt.

For et stykke tid siden køre sagen om at Odense kommune måtte bruge Google Cloud. De fik de et klart nej til af Datatilsynet - Se link Link her - http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behan...

Nu bliver det så lidt sjovt - Silkeborg kommune hvis man kigger på deres MX opsæt peger på følgende IP'er

100 silkeborg.dk.s200a1.psmtp.com. [TTL=300] IP=207.126.147.10 [TTL=4207] [US] 200 silkeborg.dk.s200a2.psmtp.com. [TTL=300] IP=207.126.147.12 [TTL=1871] [US] 400 silkeborg.dk.s200b2.psmtp.com. [TTL=300] IP=207.126.147.14 [TTL=13285] [US] 300 silkeborg.dk.s200b1.psmtp.com. [TTL=300] IP=207.126.147.13 [TTL=11375] [US]100 silkeborg.dk.s200a1.psmtp.com. [TTL=300] IP=207.126.147.10 [TTL=4207] [US] 200 silkeborg.dk.s200a2.psmtp.com. [TTL=300] IP=207.126.147.12 [TTL=1871] [US] 400 silkeborg.dk.s200b2.psmtp.com. [TTL=300] IP=207.126.147.14 [TTL=13285] [US] 300 silkeborg.dk.s200b1.psmtp.com. [TTL=300] IP=207.126.147.13 [TTL=11375] [US]

Kigger man på hvem der gemmer sig bag psmtp.com og disse IP så er det netop Google (Google/Postini)!!!!! Dette skete ca ca i April 2011 altså efter af afgørelse om Odense havde fundet sted. Har det så betydet at Silkeborg har været "ligeglade" med datatilsynets afgørelse ?

Hvem ved ?

  • 2
  • 0
Log ind eller Opret konto for at kommentere