Krypto-barriere hos Danmarks Statistik banede vej for CD-læk af 1,1 mio. danskeres helbredsoplysninger

Illustration: leowolfert/Bigstock
Data, der behandles hos Danmarks Statistik, skal krypteres ensartet, og derfor blev sundhedsregisterdata på over én million af borgere oversendt ukrypteret - på to CD'er, der røg i forkerte hænder.

Det var en manglende mulighed for at levere for-krypterede data til Danmarks Statistik, der banede vej for, at læsbare CPR-numre og ikke mindst helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere kom i hænderne på et kinesisk visumfirma tilbage i februar sidste år.

Det fremgår af en redegørelse fra Sundhedsdatastyrelsen, som netop er offentliggjort.

Normalt ville man mene, at data af så følsom karakter skal krypteres, inden de sendes mellem myndigheder, i dette tilfælde mellem Forskerservice på Statens Serum Institut (en enhed, som nu hører under Sundhedsdatastyrelsen) og Danmarks Statistik.

De lækkede data indgik i et statsligt forskningsprojekt, 'Sygdomsbyrden i Danmark – udvalgte risikofaktorer og sygdomme med fokus på social ulighed', hvor man ville koble data fra en række datakilder, herunder sundhedsregistre, på en Forskermaskine hos Danmarks Statistik.

Danmarks Statistiks indgik også i forskningen, fordi man her har adgang til pseudonymiserede data til brug for projektet.

Imidlertid skal data, der behandles hos Danmarks Statistik, ifølge den nye redegørelse krypteres ensartet, og derfor opstod miseren med at sende de mange følsomme sundhedsregisterdata ukrypteret - på to CD'er:

»Forskerservice (hos SSI, red.) kunne ikke pseudonymisere data på forhånd, da alle data forskeren skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være krypteret efter samme nøgle hos Danmarks Statistik,« lyder det i redegørelsen fra Sundhedsdatastyrelsen.

Hvorfor de to statsenheder ikke benyttede sig af et asymmetrisk kryptering med en offentlig-privat nøgle, fremgår ikke af redegørelsen.

Det fremgår hellere ikke, hvad det er i krypteringsbarrieren hos Danmark Statistik, der forhindrer, at data var pseudonymiserede, altså en kodning, som kan give en bedre beskyttelse af den enkelte registrerede, da det ikke umiddelbart er muligt at genkende vedkommende.

Posten afleverede forkert

Et behov for at sende data til bl.a. Danmarks Statistik opstår, når forskere enten har behov for at koble data fra Sundhedsdatastyrelsen med andre data, f.eks. uddannelsesmæssige eller beskæftigelsesmæssige oplysninger, eller har behov for adgang til konkrete lægejournaler, laboratorieresultater eller lignende.

Og meningen var, at data skulle pseudonymiseres hos Danmarks Statistik.

Men hverken kryptering eller pseudonymisering blev altså gennemført på forhånd, og brevet indeholdt CD'er med læsbare CPR-numre på 5.282.616 borgere bosat i Danmark mellem 2010-2102, og for ca. 1.150.300 borgeres vedkommende også læsbare helbredsoplysninger fra Cancerregisteret, Diabetesregisteret og/eller Det Centrale Psykiatriregister.

Uheldigvis fik posten ikke afleveret det anbefalede brev hos Danmarks Statistik i Sejrøgade men hos Chinese Visa Application Centre, som fejlagtigt havde modtaget - og åbnet - brevet.

Chinese Visa Application Centre holder til på Lyngbyvej i København og er en dansk registreret virksomhed med kinesiske ejere, der bistår privatpersoner med at indhente visum til Kina.

Denne sag om tab af patientdata er ikke enestående. For nyligt er det også kommet frem at en læge i Styrelsen for Patientsikkerhed er kommet til at sende PDF-filer med sagsdokumenter på syv patientklager til kriminelle og at Sundhedsdatastyrelsen i et andet tilfælde har sendt svar på en aktindsigt til en forkert borger.

Læs også: Styrelseslæge ville sende følsomme patientdata til sig selv: Havnede hos it-kriminelle

CD'er blev afleveret personligt efter åbning

I sagen om forskerdata, som man troede blev sendt til Danmark Statistik, opdagede den kvindelige modtager i det kinesiske firma, at brevet var afleveret forkert. Hun gik hun derefter straks de 250 m. til Danmarks Statistik, hvor hun afleverede brevet i receptionen.

Statens Serum Institut har »ikke fundet grund til at betvivle forklaringen.«

»Som sagen er oplyst er der således ikke tale om, at data er ”lækket”, men alene at forsendelseskæden har været brudt, men ikke kompromitteret,« skriver Sundhedsdatastyrelsen i redegørelsen.

Før sagen mente Statens Serum Institut ikke, at det var nødvendigt at kryptere data, fordi man benytter sig af anbefalet post til forsendelser af den karakter.

Efter sagen har seruminstituttet gennemført en fornyet risikovurdering og har indført kryptering uanset om data fremsendes med almindelig eller rekommanderet post.

»I praksis sender Forskerservice dog aldrig personhenførbare helbredsoplysninger med almindelig post. Derudover blev udveksling af data med Danmarks Statistik ændret fra rekommanderet post til en direkte dataforbindelse,« lyder det i redegørelsen. Denne dataforbindelse, baseret på FTP, er også krypteret.

Alternativt sendes en krypteret USB-nøgle.

Sundhedsdatastyrelsen beklager, at personfølsomme data blev fremsendt ukrypteret til Danmarks Statistik og dermed potentielt kunne være kommet¨til uvedkommendes kendskab.

»Der var tale om en utilstrækkelig praksis, som burde have været ændret før denne hændelse,« lyder det i redegørelsen.

Sundhedsdatastyrelsen har også skærpet organisationen i forhold til datasikkerhed.

»Etableringen af Sundhedsdatastyrelsen har blandt andet haft til hensigt at øge fokus på informationssikkerhed. Styrelsen har derfor generelt gennemgået processer og procedurer og skærpet sikkerhedsniveauet. Derudover har styrelsen etableret en dedikeret afdeling for Compliance og Informationssikkerhed, der har juridisk og teknisk ekspertise på området, bistår med risikovurderinger, stiller krav til sikkerhedsforanstaltninger op på efterlevelsen af disse, bistået af ekstern konsulentbistand hvor relevant,« lyder det.

Endelig arbejder styrelsen på at nedbringe behovet for dataoverførsler.

Læs også: Medicinsk formand: »Embedsmænd og politikere lider af religiøs dataforhekselse«

Datatilsynet blev orienteret, men udtaler i juli i år i sin afgørelse ikke bagudrettet kritik af den manglende kryptering, ligesom Datatilsynet efter sin sagsbehandling ikke påtaler en tilsidesættelse af persondatalovens regler.

Med andre ord er det altså ikke kritik fra Datatilsynet, der får styrelsen til at ændre procedure.

Post Nord har alene oplyst, at der var tale om en menneskelig fejl. Man har her indskærpet vigtigheden af, at breve afleveres til rette modtager.

Læs den fulde rapport fra Sundhedsdatastyrelsen om CD-lækket her.

Artiklen er rettet med hensyn til den organisatoriske placering af SSI. Forskerservice blev overført fra SSI til Sundhedsdatastyrelsen i forbindelse med oprettelse af denne nye styrelse. Statens Serum Institut hører ikke under Sundhedsdatastyrelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (36)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Hvorfor de to statsenheder ikke benyttede sig af et asynkron kryptering med en offentlig-privat nøgle, fremgår ikke af redegørelsen. Det fremgår hellere ikke, hvad det er i krypteringsbarrieren hos Danmark Statistik, der forhindrer, at data var pseudonymiserede, altså en kodning, som kan give en bedre beskyttelse af den enkelte registrerede, da det ikke umiddelbart er muligt at genkende vedkommende."

Der er i redegørelsen altså ingen forklaring er på dette. Det ville da ellers være ret relevant at forklare, når man gør sig den ulejlighed at lave en redegørelse. Så hvorfor fremgår det ikke? Måske kommer svaret i morgen på Version2?

Jonas Høgh

Ingen af disse bortforklaringer ændrer på, at det er utilgiveligt at transportere data i klartekst over en usikker mekanisme. Det er trivielt fx at udveksle en symmetrisk nøgle over en separat kommunikationslinie og anvende denne nøgle udelukkende til kryptering under transporten. Det behøver ikke være sværere end at anvende krypteringsfunktionen i et af de gængse komprimeringsværktøjer. Det kan selv hr. og fru Jensen forstå, men åbenbart ikke SSI og DS

Andy Fischer

Endelig arbejder styrelsen på at nedbringe behovet for dataoverførsler.

Jeg må tilstå, at jeg finder ovenstående udmelding mere bekymrende end eventuelle kineseres adgang til mine sundhedsdata. Nedbringelse af behovet for dataoverførsler betyder konsolidering af aktuel sundhedsdata i samme database, hvilket på sigt kan gøre meget større skade end et læk af en statisk kopi.

Christian Bruun

"Det var en manglende mulighed for at levere for-krypterede data til Danmarks Statistik, der banede vej for, at læsbare CPR-numre og ikke mindst helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere kom i hænderne på et kinesisk visumfirma tilbage i februar sidste år."

Nej det var det ikke. Det var muligheden for at overhovedet at trække ("samtlige") fortrolige oplysninger ud af systemet der var skyld i lækket. Hvordan skal vi som borgere kunne følge om vores oplysninger bliver misbrugt hvis de ikke er en del af systemet, men kan kopieres over på en cd?

Michael Cederberg

... da man flyttede rundt på det. Men det er ikke det store problem i denne sag.

I mine øjne er de reelle problemer følgende:

  1. Sundhedsdatastyrelsen opbevarer store mængder ultra sensitiv information om alle danskere på et centralt sted. Det gør Sundhedsdatastyrelsen til et meget interessant mål for hackere. Ydermere er det fristende for svage sjæle at lække denne information - hvad enten det sker af altruistiske eller pekuniære grunde.

  2. Sundhedsdatastyrelsen sendte alt data i et ”batch” – dvs. hvis der skete en fejl, så blev alt data lækket. Og kryptering er ikke nok – der laves også fejl med kryptering (se fx Playstation 3 LV0 leak).

  3. Danmarks statistik opbevarer endnu mere sensitive data end sundhedsdatastyrelsen og udgør dermed et endnu større mål.

Hvis man kigger på Panama-sagen så er det åbenlyst man ikke kan stole på enkeltpersoner når det gælder store mængder data og at data har stor værdi (på den ene eller anden måde).

Det vil derfor være interessant hvis version2 kunne spørge ind til hvad Sundhedsdatastyrelsen og Danmarks Statistik gør omkring pseodo-anonymisering. Og her er det vigtigt ikke at lade sig spise af med bullshit forklaringer om at man ikke kan snakke om dette af hensyn til sikkerheden. For hvis det er håndteret ordentligt så er der ikke noget sikkerhedsproblem. Og i øvrigt vil alle modtagere af data på den ene eller anden måde skulle forstå metoden alligevel, så informationen er allerede delvist ”tilgængelig”.

Bjarne Nielsen
Peter Jensen

Den her form for inkompetence og forsømmelighed i omgangen med fortrolige data bør få alvorlige konsekvenser for de ansvarlige personer. De enkelte ansatte der bærer ansvar i skandalen bør straffes med fængsel for grov pligtforsømmelse. Det er vigtigt at sende et signal om at pligtforsømmelse har alvorlige strafferetslige konsekvenser for at få de dataansvarlige personer til at tage sig i agt og opføre sig ansvarligt.

Andy Fischer

Jeg undrer mig også sommetider over, hvor alle de dedikerede linier forsvandt hen. De var selvfølgelig både dyre, besværlige, og krævede en in-house IT-funktion, så outsourcing-bølgen har nok erstattet dem med webservices over internettet. Tiden er måske kommet til at genetablere dem. Sikkerheden kunne øges meget med nogle velplacerede dedikerede linier.

Michael Cederberg

Hvor svært er det lige at få indkøbt nogen dedikerede linier til formålet? Og så kan man ovenikøbet køre stærk kryptering hvis man ikke stoler på leverandøren af fiberen.

Dedikerede linier hjælper ikke på sikkerheden uanset leverandøren. Hvis informationen er tilstrækkeligt værdifuld, så kan man grave ned til linjen og tappe den. Det er sket før, det sker helt sikkert nu og det vil også ske i fremtiden. Hvis en dedikeret linie skal give sikkerhed, så skal du fysisk beskytte den - fx ved at den løber gennem bygninger hvor der er begrænset adgang (og det er ikke perfekt). Hvis data er krypteret ordentligt kan man i princippet loope rundt om jorden gennem Putins forkontor og PLA's hacker centraler.

Alle er nødt til at forstå at information kun er beskyttet hvis der er en sikkerhedsbarriere omkring det (og 90 cm jord tæller ikke). Sikkerhedsbarrieren kan bestå af beton og alarmer, firewalls/begrænset adgang eller den kan bestå af kryptering. Det hele kræver viden og det er nemt at lave fejl.

Jan Olesen

Nu skal vi ikke lave avancerede million dyre løsninger for at løse simple lavpraktiske problemer.

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.

MPLS er ikke dedikeret eller nødvendigvis fiber.

Kjeld Flarup Christensen

Jeg undrer mig også sommetider over, hvor alle de dedikerede linier forsvandt hen. De var selvfølgelig både dyre, besværlige, og krævede en in-house IT-funktion,


De findes da stadigt, der er mange som bruger dem, ikke til at sikre kommunikation, men til at beskytte sig mod hackere o.lign. Vil man sikre sig skal man bruge kryptering. Min holdning er at det mest er spild af penge.

Kjeld Flarup Christensen

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.


Det burde være et minimumskrav.
PDF formatet kan også være krypteret.

Man kunne overveje, om sygehusenes mail systemer, skal fjerne ukrypterede pdf og zip filer.
Hvis man lægger et PDF dokument i EPJ systemet, skal det automatisk krypteres, hvis det ikke er, men hvor gemmer man så password? Ganske lavpraktisk kan man gemme password som kommentar til filen.

Det vil selvfølgelig være bøvlet at åbne filen, men det kunne hurtigt løses med en lille feature request, således at PDF læseren på kommandolinjen kan få overført password. På den måde vil man kunne sikre at alle filer er krypterede og at man ikke glemmer at kryptere inden man sender dem ud.

Mads Bendixen

Det lyder besværligt og vil bare give samme opførsel, som førte dette:
https://www.version2.dk/artikel/styrelseslaege-ville-sende-foelsomme-pat...

Gør man det for besværligt, bliver det ikke brugt. Og hvad der føles simpelt for en tekniker, er det langt fra for en kliniker.
Man skal huske på, at alle skal kunne bruge det. Vi taler her om titusindevis af brugere, der dækker hele spektret af IT-kundskaber - fra ingenting til store.

Kjeld Flarup Christensen

Det lyder besværligt og vil bare give samme opførsel, som førte dette:
https://www.version2.dk/artikel/styrelseslaege-ville-sende-foelsomme-pat...


Det var specifikt dette tilfælde jeg ville sikre.

Først og fremmest, så skal mail systemet ikke sende filen ukrypteret.

For det andet, når han fik filen, ville den allerede være krypteret, så selvom han uforvarende kom til at sende den til hele verden, ville der ikke være nogen skade sket.

Han kan så selvfølgelig sende kodeordet med, men så kan han altså ikke komme og sige bagefter, at han ikke var advaret.

John Jensen

Først og fremmest: Det er naturligvis ikke OK at nogen myndigheder sender fortrolige data ukrypteret!
Jeg arbejder hos Danmarks Statistik og forstår ikke at der endnu ikke er kommet en officiel kommentar, så her kommer en uofficiel:
Danmarks Statistik har gennem mange år forsøgt at få dataleverandører til at kryptere data eller at benytte sikre kanaler, hvor transportvejen er krypteret. At tale om en "krypto-barriere" hos Danmarks Statistik har således ikke hold i virkeligheden.
Det er dataleverandøren der er ansvarlig for kryptering af materialet såfremt der benyttes fysiske medier. Danmarks Statistik stiller sikker transport til rådighed i form af SFTP/FTPS eller HTTPS upload (selv sikker mail!), hvis der er tale om digital fremsendelse, men kan desværre ikke sikre sig imod at dataleverandører undlader at bruge disse og sender via fysiske medier.
I redegørelsen fra Sundhedsdatastyrelsen og igen i Version2's artikel er der desuden en misforstået sammenblanding af begreberne kryptering og pseudonymisering.
Kryptering:
Kryptering kan ske af enten af datamaterialet eller af transportvejen - hvis det er gjort korrekt, vil det ikke være muligt for uvedkommende at læse data under transporten. I det konkrete tilfælde har der ikke været foretaget nogen kryptering af det fysiske medie og det er samtidig blevet afleveret til en uvedkommende - rigtig kedeligt for os alle sammen, men godt at der er kommet debat om emnet.
Pseudonymisering:
Danmarks Statistik har brug for at krydse data fra forskellige kilder til forskningsbrug og i den forbindelse pseudonymiseres data - CPR-nummer og andre personhenførbare data erstattes med projektspecifikke nøgler således at det er muligt at krydse data indenfor samme projekt uden at det er muligt at finde enkeltpersoner.
Forskellige forskningsprojekter har forskellige nøgler således at forskere med adgang til flere projekter ikke har mulighed for at samkøre data og det er derfor ikke muligt at lade denne proces foregå andre steder end hos nogle få personer hos Danmarks Statistik. Disse ting logges naturligvis.
Ja - jeg er enig ift en del af bekymringerne, men mht Danmarks Statistiks rolle er jeg rimelig cool. Jeg har aldrig været ansat et sted med så stor fokus på sikkerhed!

Michael Cederberg

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.


Det burde være et minimumskrav.
PDF formatet kan også være krypteret.

Nej, nej, nej. Passwords er en fantastisk dårlig metode til at lave nøgler til kryptering. Hvis man laver en password generator der bruger hele det læsbare ASCII tegnsæt og har perfekt fordeling, så kræves der et 20 tegns password for at lave 128 bits entropi – good luck med at taste det password ind i en SMS. Hvis det er et password genereret af mennesker, så kræves der op i nærheden af 80-90 tegn for at opnå 128 bits entropi.

Det er et strålende godt eksempel på at sikkerheden kun er så stærk som det svageste link. Det er fuldstændigt ligegyldigt om man bruger AES-256, AES-128, 3DES eller RC4 (de sidste to har kraftige svagheder som gør at de ikke bruges mere) til kryptering hvis man vælger den dårlig nøgle. En nøgle lavet ud fra et password er i næsten alle tilfælde en meget dårlig nøgle.

Et andet eksempel er Sonys firmware signatur mekaniske for PS3. Her lavede man en strålende algoritme med digital signatur, men glemte at lave en ordentlig metode til generering af random data (den returnerede vist altid det samme). Resultatet var at brugere kunne signere deres egen hjemmelavede firmware. Kæden er kun så stærk som det svageste link.

Ja - jeg er enig ift en del af bekymringerne, men mht Danmarks Statistiks rolle er jeg rimelig cool. Jeg har aldrig været ansat et sted med så stor fokus på sikkerhed!

Strålende og fornuftigt indlæg. Det lyder som om DS har tænkt sig rigtigt godt om. Men når nu DS sidder inde med ekstreme mængder af sensitive information, så er det interessant at se på hvor mange i DS der reelt har adgang til ikke anonymiseret/ikke aggregeret data. Til beskyttelse mod brodne kar.

Det er også interessant hvilke politikker DS har for at levere ikke aggregeret data selv når det er anonymiseret. For selvom om man har anonymiseret CPR nummer og andre felter, så kan jeg udtænke mange tilfælde hvor kombinationer af andre felter i praksis vil give mulighed for samkøring. Endnu værre tilfælde, såfremt jeg havde hacket en enkelt styrelse og fået fx uddannelses information parret med adresse, CPR og et par andre ting, så kunne jeg måske lave en samkørsel der gav mig acceptabelt match mod anonymiseret data. Måske … måske … måske. Afhængigt af DS politik.

Jeg har i praksis ingen bekymring for aggregeret data. Jeg synes medicinal branchen, forsikringsselskaber, lomme-diktatorer i varme lande og skoleelever fint kan få adgang til aggregeret data. Vi har brug for bedre medicin, præcise forsikrings beregninger og kloge skoleelever. Til gengæld løber det mig koldt ned ad ryggen, når jeg ser mængden af ikke-aggregeret data der flyder rundt i samfundet.

Min bekymring kommer for eksempel når jeg ser Bent Hansen (formand for regionerne) skrive under overskriften ”Stop skræmmekampagnen om sundhedsdata”:

Her gives indtrykket af én stor datasuppedas, hvor danskernes sundhedsoplysninger sejler rundt frit tilgængeligt.

Det er ikke tilfældet, og det tjener intet formål at male et sådan skræmmebillede.

(citat: http://dagensmedicin.dk/stop-skraemmekampagnen-sundhedsdata/)

Og alligevel har vi eksempler på at stort set alle ansatte i en region har haft adgang til patientjournaler. Det er pga. af virkelighedsfornægtelse som Bent Hansens at vi konstant skal spørge ind til hvordan information flyder rundt, hvilken information, hvem der har adgang, hvorfor de har adgang, etc. Og vi skal begrænse flowet.

Vi skal gøre det uattraktivt og bøvlet at få udleveret og holde sensitivt data (specielt i store mængder) fordi det er måden at få offentlige styrelser, forskere og andre til kun at holde data hvis det er absolut nødvendigt. Hvis man fx krævede at alle systemer der havde personhenførbart data om mere end 200 personer skulle gennem en årligt IT sikkerheds revision, så ville meget data blive slettet og resten puttet i mere sikre systemer.

Anne-Marie Krogsbøll

Tak for fin og oplysende kommentar, John Jensen.

"At tale om en "krypto-barriere" hos Danmarks Statistik har således ikke hold i virkeligheden."

Men er det ikke det indtryk, man får, når man læser redegørelsen? Som nævnt i artiklen er der desuden ting, som ikke fremgår af redegørelsen - ting, som det ellers kunne være nærliggende at give svar på, da de omtales som medvirkende grunde til det uheldige sagsforløb.
"Imidlertid skal data, der behandles hos Danmarks Statistik, ifølge den nye redegørelse krypteres ensartet, og derfor opstod miseren med at sende de mange følsomme sundhedsregisterdata ukrypteret - på to CD'er:
»Forskerservice (hos SSI, red.) kunne ikke pseudonymisere data på forhånd, da alle data forskeren skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være krypteret efter samme nøgle hos Danmarks Statistik,« lyder det i redegørelsen fra Sundhedsdatastyrelsen.
Hvorfor de to statsenheder ikke benyttede sig af et asymmetrisk kryptering med en offentlig-privat nøgle, fremgår ikke af redegørelsen.
Det fremgår hellere ikke, hvad det er i krypteringsbarrieren hos Danmark Statistik, der forhindrer, at data var pseudonymiserede, altså en kodning, som kan give en bedre beskyttelse af den enkelte registrerede, da det ikke umiddelbart er muligt at genkende vedkommende."

I redegørelsen fra Sundhedsdatastyrelsen og igen i Version2's artikel er der desuden en misforstået sammenblanding af begreberne kryptering og pseudonymisering.

Har du indtryk af, at der er direkte fejl i redegørelsen? Ser der ud til at være kastet "Mørkelygtelys" over dele af forløbet - Kan nogen f.eks. direkte have en interesse i, at det ikke forklares, hvordan ovennævnte er blevet en "barriere" for sikker omgang med data? Er der tale om diskret, men måske uberettiget, abeflytteri?

Det er muligt, at det vil være karriereforstyrrende for dig at besvare - i så fald er du tilgivet for ikke at svare :-) - Men når du nu giver så fin en forklaring på dele af sagen, så kunne vi andre måske også blive klogere af insideroplevelse af rapporten.

I hvert fald er det da meget bekymrende, hvis Sundhedsdatastyrelsen, hvis opgave det netop er at sikre vore sundhedsdata, ikke - i følge din kommentar - kan holde styr på grundlæggende begreber som "kryptering" og Pseudonymisering" - ikke engang når de skal give en redegørelse til ministeren. Så kan man jo godt blive bekymret for kvaliteten og sandhedsværdien af redegørelsen.

Mads Bendixen

Først og fremmest, så skal mail systemet ikke sende filen ukrypteret.


Man kan få mailfiltre der håndterer dette, f.eks. scanner for at udgående mails ikke indeholder cpr-numre, medmindre den er krypteret. Så skal afsenderen blot sikre sig at modtageren bliver verificeret som sikker at sende til, det tager et par sekunder efter mail-adressen er indtastet og hvis man alligevel trykker send mail inden det er sket, bliver mail'en blokeret.

De benytter sig endda af en eksisterende infrastruktur, så alle danskere i princippet kan bruge det.
https://www.nemid.nu/dk-da/om_nemid/hvad_er_nemid/sikker_e-mail/

Michael Cederberg

Har du indtryk af, at der er direkte fejl i redegørelsen? Ser der ud til at være kastet "Mørkelygtelys" over dele af forløbet - Kan nogen f.eks. direkte have en interesse i, at det ikke forklares, hvordan ovennævnte er blevet en "barriere" for sikker omgang med data? Er der tale om diskret, men måske uberettiget, abeflytteri?

Når man læser Sundhedsdatastyrelsens redegørelse så er den så tilpas uklar til at de netop ikke siger noget forkert. Det er nemlig rigtigt at de ikke kan anonymisere data inden det sendes til DS. Og anomisering er faktisk også en form for kryptering (en-vejs).

Så det er klassisk offentlige myndigheder: Vi har lavet en fejl og vi vil ikke indrømme andet end det vi er absolut tvunget til.

Man kan få mailfiltre der håndterer dette, f.eks. scanner for at udgående mails ikke indeholder cpr-numre, medmindre den er krypteret. Så skal afsenderen blot sikre sig at modtageren bliver verificeret som sikker at sende til, det tager et par sekunder efter mail-adressen er indtastet og hvis man alligevel trykker send mail inden det er sket, bliver mail'en blokeret.

Data skal ikke sendes per mail. Hvis det er en dataleverence der skal ske med jævne mellemrum, så skal det automatiseres. Ellers opstår der for nemt fejl.

Anne-Marie Krogsbøll

Nu er det anden gang i dag, jeg hører om NemId Sikker e-mail. Jeg har aldrig før hørt om det.

Er den let at anvende? Pålidelig? Let at installere? Egnet til Linux? Er den sikker?

Og sidst, men ikke mindst: Hvis der eksisterer en sådan mulighed, hvorfor er det så overhoved et problem at sende sikre mails i det offentlige? Det burde vel i så fald være et spørgsmål om, at diverse ledelser i tilstrækkeligt overbevisende stærke vendinger melder ud, at det er et krav at anvende dette, når man sender personfølsomme oplysninger.

Det lyder ligesom lidt for let - men hvorfor er dette ikke løsningen?

Michael Cederberg

En-vejs-kryptering?!?

Hash-funktioner hører under kryptologi. Jeg skrev ikke "en-vejs-kryptering" (selvom det er en populær benævnelse af hash-funktioner), men en "form for kryptering (en-vejs)". Men der ligger ofte et symmetrisk block ciffer inde i hash-algoritmer. Man kan faktisk altid lave den transformation, selvom resultatet ikke altid er perfekt.

Bjarne Nielsen

Hash-funktioner hører under kryptologi. Jeg skrev ikke "en-vejs-kryptering" (selvom det er en populær benævnelse af hash-funktioner), men en "form for kryptering (en-vejs)"

Jeg kan godt se, hvad du mener, men jeg synes, at du tillader dig nogen grad af kunstnerisk frihed. Og jeg synes godt nok, at det er en farlig formulering (jeg kommer nedenfor til at sige noget, som du helt klart vil finde indlysende, men der er også andre som lytter med).

Når jeg stopper op her, så er det fordi at der tilsyneladende er en mental kortslutning blandt mange dataansvarlige imellem kryptering, anonymisering og pseudonymisering, hvor de alle i praksis bliver mere eller mindre ligestillet (senest set i den famøse redegørelse fra Sundhedsdatastyrelsen, hvor det virker til, at de har rodet godt rundt i det).

Korrekt implementeret, nutidig kryptografi giver nogle meget stærke forventninger til sikkerheden. Det gør anonymisering så bare ikke, og at snakke om det som "en form for kryptering" giver derfor nogle helt forkerte (og for ukyndige, farlige) forventninger.

Eller sagt på den måde: der findes mange former for "envejsfunktioner", og det er langfra dem alle, som er kryptografisk stærke.

Jeg har før været inde på den indbyggede modstrid i anonymisering: hvis data skal gøres ordentligt anonymt, så forsvinder det værdifulde som oftest. I praksis vil anonymisering derfor som oftest ske med meget let hånd.

Og selv hvis data er kørt igennem en kryptografisk stærk envejsfunktion, så står vi stadig tilbage med det problem, at det er muligt at gøre det igen. Et eksempel: hvis mit navn er hashet før det kommer på en liste af ihærdige kværulanter, så er det nemt at se om mit navn findes på listen af ihærdige kværulanter (man hasher bare mit navn igen og ser om værdien findes). Og er listen så reelt anonymiseret?

Peter Hansen

Det er dataleverandøren der er ansvarlig for kryptering af materialet såfremt der benyttes fysiske medier. Danmarks Statistik stiller sikker transport til rådighed i form af SFTP/FTPS eller HTTPS upload (selv sikker mail!), hvis der er tale om digital fremsendelse, men kan desværre ikke sikre sig imod at dataleverandører undlader at bruge disse og sender via fysiske medier.


Selvfølgelig kan I da sikre jer mod det, hvis I vitterlig var optaget af problemstillingen. Det offentlige har jo allerede lovgivet om obligatorisk digital selvbetjening for borgerne, så kunne I nok også tvinge de øvrige myndigheder til at indberette digitalt, hvis I havde sat foden ned noget før og eksempelvis nægtet at modtage fysiske forsendelser af hensyn til sikkerheden.

Hvis der virkelig havde været nogen myndigheder, der var så obsternasige, at de henviste til, at det var deres ret at sende fysisk post, så kunne I nok også have fået en lovændring - det er jo lykkedes staten at få tvunget alle borgere til at betjene sig selv digitalt, så mon ikke I kunne have meget godt af at tage jeres egen medicin?

Sandheden er selvfølgelig, at det har været "politisk bekvemt" for ledelsen hos Danmarks Statistik at henvise til, at det naturligvis er afsendermyndighederne, der har ansvaret for sikkerheden ved at sende data til dem og man derfor ikke har haft noget ønske om at tage ansvar for processen ved at stille obligatoriske krav.

John Jensen

Sandheden som du så selvfølgeligt definerer den, er lidt mere uklar for mig.

Danmarks Statistik kan ikke bare lave lovgivning og tro mig at det er ikke nemt at få sat fingeraftryk på lovgivningen, når det gælder noget så "kedeligt" som kryptering.

En lovgivning sikrer i øvrigt ikke imod at nogle bryder den.

Jeg skal være den første til at klappe, når vi kan smide alle emails med vedhæftet fortroligt materiale eller andre data, der er sendt ukrypteret i skraldespanden (ikke windows hvor den kan genskabes) og sige at vi ikke KAN modtage dem fordi de ikke er krypteret

John Jensen

Hej Anne-Marie

Tak for feedback!

Redegørelsen er noget rodet efter min og andres mening (den er blevet kommenteret officielt her: https://www.version2.dk/artikel/danmarks-statistik-afviser-blankt-paasta... , men det regner jeg med at du har helt styr på) og jeg tror at den er det pga uvidenhed og ikke for at flytte aber.
Det er naturligvis bekymrende for alle når "kompetente" myndigheder træder ved siden af på denne måde.
Igen kan jeg kun sige at jeg som ansat hos Danmarks Statistik er "belæmret med" en høj grad af sikkerhed. Jeg får kun adgang til data som jeg har brug for i forbindelse med en bestemt statistik. Alt hvad jeg laver bliver logget og jeg risikerer at skulle til "forhør" ift de søgninger jeg har lavet

Peter Hansen

Danmarks Statistik kan ikke bare lave lovgivning og tro mig at det er ikke nemt at få sat fingeraftryk på lovgivningen, når det gælder noget så "kedeligt" som kryptering.


Bekendtgørelse af Lov om Danmarks Statistik, §3 stk. 2:

Styrelsen træffer beslutning om, i hvilket omfang og på hvilken måde de i §3a og §§8 - 12 nævnte oplysninger skal indhentes.

Du har to modargumenter og som jeg ser det, er de begge tilbagevist ved det faktum, at I allerede har hjemmel i lovgivning til at stille krav jfr. ovenstående.

Resten er blot et spørgsmål om mod / vilje fra den ansvarlige ledelses side.

John Jensen

Peter Jensen:
Danmarks Statistik kan godt stille krav, og det gør vi gerne, men det bliver altså ikke overholdt :-(
Derfor hilser jeg også denne debat velkommen, da det forhåbentlig vil give anledning til mere bevågenhed i "relevante kredse"

Anne-Marie Krogsbøll:
Ja, det er en anden diskussion. Jeg er selv skeptisk overfor adgangen til data og samkøringen af disse, men kan blot sige at det i Danmarks Statistik sker på et "need to know" basis og at det naturligvis bliver logget hvem der tilgår hvad og på hvilken måde.
Der bliver desuden lavet stikprøver ift. at de få personer, som rent faktisk har adgang til data også kan redegøre for deres brug af denne adgang.
P.t. er der et projekt i gang ift helt at afskærme data med følsomme data og pseudynomisere dem inden der er (få) brugere, der får adgang til dem.
Jeg er selv rimelig tryg ift Danmarks Statistiks adgang til data, som har haft denne adgang i mange år og for mig at se se tager sikkerhed meget alvorligt, men er noget mere skeptisk ift at data skal deles mere på tværs i staten.
Alene det at det er problematisk for nogle institutioner at kryptere data (eller at bruge en sikker kanal) inden de udveksles giver mig gåsehud!

Bo Zachariasen
Log ind eller Opret konto for at kommentere