Krypto-barriere hos Danmarks Statistik banede vej for CD-læk af 1,1 mio. danskeres helbredsoplysninger

Nej, nej, nej. Passwords er en fantastisk dårlig metode til at lave nøgler til kryptering. Hvis man laver en password generator der bruger hele det læsbare ASCII tegnsæt og har perfekt fordeling, så kræves der et 20 tegns password for at lave 128 bits entropi – good luck med at taste det password ind i en SMS.

Intet problem med pwd på 50+ rnd tegn. Pwd kan overføres til og fra mobil via a) USB kabel b) QR code, skærm - cam c) Blutooth d) WiFi, fx via AirDroid

Peter Jensen: Danmarks Statistik kan godt stille krav, og det gør vi gerne, men det bliver altså ikke overholdt :-( Derfor hilser jeg også denne debat velkommen, da det forhåbentlig vil give anledning til mere bevågenhed i "relevante kredse"

Anne-Marie Krogsbøll: Ja, det er en anden diskussion. Jeg er selv skeptisk overfor adgangen til data og samkøringen af disse, men kan blot sige at det i Danmarks Statistik sker på et "need to know" basis og at det naturligvis bliver logget hvem der tilgår hvad og på hvilken måde. Der bliver desuden lavet stikprøver ift. at de få personer, som rent faktisk har adgang til data også kan redegøre for deres brug af denne adgang. P.t. er der et projekt i gang ift helt at afskærme data med følsomme data og pseudynomisere dem inden der er (få) brugere, der får adgang til dem. Jeg er selv rimelig tryg ift Danmarks Statistiks adgang til data, som har haft denne adgang i mange år og for mig at se se tager sikkerhed meget alvorligt, men er noget mere skeptisk ift at data skal deles mere på tværs i staten. Alene det at det er problematisk for nogle institutioner at kryptere data (eller at bruge en sikker kanal) inden de udveksles giver mig gåsehud!

Danmarks Statistik kan ikke bare lave lovgivning og tro mig at det er ikke nemt at få sat fingeraftryk på lovgivningen, når det gælder noget så "kedeligt" som kryptering.

Styrelsen træffer beslutning om, i hvilket omfang og på hvilken måde de i §3a og §§8 - 12 nævnte oplysninger skal indhentes.

Resten er blot et spørgsmål om mod / vilje fra den ansvarlige ledelses side.

Hej John Jensen.

Tak for uddybning - godt at høre, der er styr på tingene internt i DS, selv om jeg sikkert ikke er enig i de konkrete tilladelser, der gives til udtræk af data. Men det er en lidt anden diskussion.

Hej Anne-Marie

Tak for feedback!

Redegørelsen er noget rodet efter min og andres mening (den er blevet kommenteret officielt her: https://www.version2.dk/artikel/danmarks-statistik-afviser-blankt-paastand-krypto-barriere-932113 , men det regner jeg med at du har helt styr på) og jeg tror at den er det pga uvidenhed og ikke for at flytte aber. Det er naturligvis bekymrende for alle når "kompetente" myndigheder træder ved siden af på denne måde. Igen kan jeg kun sige at jeg som ansat hos Danmarks Statistik er "belæmret med" en høj grad af sikkerhed. Jeg får kun adgang til data som jeg har brug for i forbindelse med en bestemt statistik. Alt hvad jeg laver bliver logget og jeg risikerer at skulle til "forhør" ift de søgninger jeg har lavet

Sandheden som du så selvfølgeligt definerer den, er lidt mere uklar for mig.

Danmarks Statistik kan ikke bare lave lovgivning og tro mig at det er ikke nemt at få sat fingeraftryk på lovgivningen, når det gælder noget så "kedeligt" som kryptering.

En lovgivning sikrer i øvrigt ikke imod at nogle bryder den.

Jeg skal være den første til at klappe, når vi kan smide alle emails med vedhæftet fortroligt materiale eller andre data, der er sendt ukrypteret i skraldespanden (ikke windows hvor den kan genskabes) og sige at vi ikke KAN modtage dem fordi de ikke er krypteret

Det er dataleverandøren der er ansvarlig for kryptering af materialet såfremt der benyttes fysiske medier. Danmarks Statistik stiller sikker transport til rådighed i form af SFTP/FTPS eller HTTPS upload (selv sikker mail!), hvis der er tale om digital fremsendelse, men <strong>kan desværre ikke sikre sig imod at dataleverandører undlader at bruge disse og sender via fysiske medier.</strong>

Hvis der virkelig havde været nogen myndigheder, der var så obsternasige, at de henviste til, at det var deres ret at sende fysisk post, så kunne I nok også have fået en lovændring - det er jo lykkedes staten at få tvunget alle borgere til at betjene sig selv digitalt, så mon ikke I kunne have meget godt af at tage jeres egen medicin?

Sandheden er selvfølgelig, at det har været "politisk bekvemt" for ledelsen hos Danmarks Statistik at henvise til, at det naturligvis er afsendermyndighederne, der har ansvaret for sikkerheden ved at sende data til dem og man derfor ikke har haft noget ønske om at tage ansvar for processen ved at stille obligatoriske krav.

Hash-funktioner hører under kryptologi. Jeg skrev ikke "en-vejs-kryptering" (selvom det er en populær benævnelse af hash-funktioner), men en "form for kryptering (en-vejs)"

Jeg kan godt se, hvad du mener, men jeg synes, at du tillader dig nogen grad af kunstnerisk frihed. Og jeg synes godt nok, at det er en farlig formulering (jeg kommer nedenfor til at sige noget, som du helt klart vil finde indlysende, men der er også andre som lytter med).

Når jeg stopper op her, så er det fordi at der tilsyneladende er en mental kortslutning blandt mange dataansvarlige imellem kryptering, anonymisering og pseudonymisering, hvor de alle i praksis bliver mere eller mindre ligestillet (senest set i den famøse redegørelse fra Sundhedsdatastyrelsen, hvor det virker til, at de har rodet godt rundt i det).

Korrekt implementeret, nutidig kryptografi giver nogle meget stærke forventninger til sikkerheden. Det gør anonymisering så bare ikke, og at snakke om det som "en form for kryptering" giver derfor nogle helt forkerte (og for ukyndige, farlige) forventninger.

Eller sagt på den måde: der findes mange former for "envejsfunktioner", og det er langfra dem alle, som er kryptografisk stærke.

Jeg har før været inde på den indbyggede modstrid i anonymisering: hvis data skal gøres ordentligt anonymt, så forsvinder det værdifulde som oftest. I praksis vil anonymisering derfor som oftest ske med meget let hånd.

Og selv hvis data er kørt igennem en kryptografisk stærk envejsfunktion, så står vi stadig tilbage med det problem, at det er muligt at gøre det igen. Et eksempel: hvis mit navn er hashet før det kommer på en liste af ihærdige kværulanter, så er det nemt at se om mit navn findes på listen af ihærdige kværulanter (man hasher bare mit navn igen og ser om værdien findes). Og er listen så reelt anonymiseret?

En-vejs-kryptering?!?

Hash-funktioner hører under kryptologi. Jeg skrev ikke "en-vejs-kryptering" (selvom det er en populær benævnelse af hash-funktioner), men en "form for kryptering (en-vejs)". Men der ligger ofte et symmetrisk block ciffer inde i hash-algoritmer. Man kan faktisk altid lave den transformation, selvom resultatet ikke altid er perfekt.

Og anomisering er faktisk også en form for kryptering (en-vejs).

En-vejs-kryptering?!?

Nu er det anden gang i dag, jeg hører om NemId Sikker e-mail. Jeg har aldrig før hørt om det.

Er den let at anvende? Pålidelig? Let at installere? Egnet til Linux? Er den sikker?

Og sidst, men ikke mindst: Hvis der eksisterer en sådan mulighed, hvorfor er det så overhoved et problem at sende sikre mails i det offentlige? Det burde vel i så fald være et spørgsmål om, at diverse ledelser i tilstrækkeligt overbevisende stærke vendinger melder ud, at det er et krav at anvende dette, når man sender personfølsomme oplysninger.

Det lyder ligesom lidt for let - men hvorfor er dette ikke løsningen?

Ok, Michael Cederberg. Konklusionen er altså: Mørkelygten :-)

Vi må have en ny redegørelse, som vi kan forstå.

Har du indtryk af, at der er direkte fejl i redegørelsen? Ser der ud til at være kastet "Mørkelygtelys" over dele af forløbet - Kan nogen f.eks. direkte have en interesse i, at det ikke forklares, hvordan ovennævnte er blevet en "barriere" for sikker omgang med data? Er der tale om diskret, men måske uberettiget, abeflytteri?

Når man læser Sundhedsdatastyrelsens redegørelse så er den så tilpas uklar til at de netop ikke siger noget forkert. Det er nemlig rigtigt at de ikke kan anonymisere data inden det sendes til DS. Og anomisering er faktisk også en form for kryptering (en-vejs).

Så det er klassisk offentlige myndigheder: Vi har lavet en fejl og vi vil ikke indrømme andet end det vi er absolut tvunget til.

Man kan få mailfiltre der håndterer dette, f.eks. scanner for at udgående mails ikke indeholder cpr-numre, medmindre den er krypteret. Så skal afsenderen blot sikre sig at modtageren bliver verificeret som sikker at sende til, det tager et par sekunder efter mail-adressen er indtastet og hvis man alligevel trykker send mail inden det er sket, bliver mail'en blokeret.

Data skal ikke sendes per mail. Hvis det er en dataleverence der skal ske med jævne mellemrum, så skal det automatiseres. Ellers opstår der for nemt fejl.

Først og fremmest, så skal mail systemet ikke sende filen ukrypteret.

De benytter sig endda af en eksisterende infrastruktur, så alle danskere i princippet kan bruge det.https://www.nemid.nu/dk-da/om_nemid/hvad_er_nemid/sikker_e-mail/

Tak for fin og oplysende kommentar, John Jensen.

"At tale om en "krypto-barriere" hos Danmarks Statistik har således ikke hold i virkeligheden."

Men er det ikke det indtryk, man får, når man læser redegørelsen? Som nævnt i artiklen er der desuden ting, som ikke fremgår af redegørelsen - ting, som det ellers kunne være nærliggende at give svar på, da de omtales som medvirkende grunde til det uheldige sagsforløb."Imidlertid skal data, der behandles hos Danmarks Statistik, ifølge den nye redegørelse krypteres ensartet, og derfor opstod miseren med at sende de mange følsomme sundhedsregisterdata ukrypteret - på to CD'er: »Forskerservice (hos SSI, red.) kunne ikke pseudonymisere data på forhånd, da alle data forskeren skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være krypteret efter samme nøgle hos Danmarks Statistik,« lyder det i redegørelsen fra Sundhedsdatastyrelsen. Hvorfor de to statsenheder ikke benyttede sig af et asymmetrisk kryptering med en offentlig-privat nøgle, fremgår ikke af redegørelsen. Det fremgår hellere ikke, hvad det er i krypteringsbarrieren hos Danmark Statistik, der forhindrer, at data var pseudonymiserede, altså en kodning, som kan give en bedre beskyttelse af den enkelte registrerede, da det ikke umiddelbart er muligt at genkende vedkommende."

I redegørelsen fra Sundhedsdatastyrelsen og igen i Version2's artikel er der desuden en misforstået sammenblanding af begreberne kryptering og pseudonymisering.

Har du indtryk af, at der er direkte fejl i redegørelsen? Ser der ud til at være kastet "Mørkelygtelys" over dele af forløbet - Kan nogen f.eks. direkte have en interesse i, at det ikke forklares, hvordan ovennævnte er blevet en "barriere" for sikker omgang med data? Er der tale om diskret, men måske uberettiget, abeflytteri?

Det er muligt, at det vil være karriereforstyrrende for dig at besvare - i så fald er du tilgivet for ikke at svare :-) - Men når du nu giver så fin en forklaring på dele af sagen, så kunne vi andre måske også blive klogere af insideroplevelse af rapporten.

I hvert fald er det da meget bekymrende, hvis Sundhedsdatastyrelsen, hvis opgave det netop er at sikre vore sundhedsdata, ikke - i følge din kommentar - kan holde styr på grundlæggende begreber som "kryptering" og Pseudonymisering" - ikke engang når de skal give en redegørelse til ministeren. Så kan man jo godt blive bekymret for kvaliteten og sandhedsværdien af redegørelsen.

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.

Det burde være et minimumskrav.
PDF formatet kan også være krypteret.

Nej, nej, nej. Passwords er en fantastisk dårlig metode til at lave nøgler til kryptering. Hvis man laver en password generator der bruger hele det læsbare ASCII tegnsæt og har perfekt fordeling, så kræves der et 20 tegns password for at lave 128 bits entropi – good luck med at taste det password ind i en SMS. Hvis det er et password genereret af mennesker, så kræves der op i nærheden af 80-90 tegn for at opnå 128 bits entropi.

Det er et strålende godt eksempel på at sikkerheden kun er så stærk som det svageste link. Det er fuldstændigt ligegyldigt om man bruger AES-256, AES-128, 3DES eller RC4 (de sidste to har kraftige svagheder som gør at de ikke bruges mere) til kryptering hvis man vælger den dårlig nøgle. En nøgle lavet ud fra et password er i næsten alle tilfælde en meget dårlig nøgle.

Et andet eksempel er Sonys firmware signatur mekaniske for PS3. Her lavede man en strålende algoritme med digital signatur, men glemte at lave en ordentlig metode til generering af random data (den returnerede vist altid det samme). Resultatet var at brugere kunne signere deres egen hjemmelavede firmware. Kæden er kun så stærk som det svageste link.

Ja - jeg er enig ift en del af bekymringerne, men mht Danmarks Statistiks rolle er jeg rimelig cool. Jeg har aldrig været ansat et sted med så stor fokus på sikkerhed!

Strålende og fornuftigt indlæg. Det lyder som om DS har tænkt sig rigtigt godt om. Men når nu DS sidder inde med ekstreme mængder af sensitive information, så er det interessant at se på hvor mange i DS der reelt har adgang til ikke anonymiseret/ikke aggregeret data. Til beskyttelse mod brodne kar.

Det er også interessant hvilke politikker DS har for at levere ikke aggregeret data selv når det er anonymiseret. For selvom om man har anonymiseret CPR nummer og andre felter, så kan jeg udtænke mange tilfælde hvor kombinationer af andre felter i praksis vil give mulighed for samkøring. Endnu værre tilfælde, såfremt jeg havde hacket en enkelt styrelse og fået fx uddannelses information parret med adresse, CPR og et par andre ting, så kunne jeg måske lave en samkørsel der gav mig acceptabelt match mod anonymiseret data. Måske … måske … måske. Afhængigt af DS politik.

Jeg har i praksis ingen bekymring for aggregeret data. Jeg synes medicinal branchen, forsikringsselskaber, lomme-diktatorer i varme lande og skoleelever fint kan få adgang til aggregeret data. Vi har brug for bedre medicin, præcise forsikrings beregninger og kloge skoleelever. Til gengæld løber det mig koldt ned ad ryggen, når jeg ser mængden af ikke-aggregeret data der flyder rundt i samfundet.

Min bekymring kommer for eksempel når jeg ser Bent Hansen (formand for regionerne) skrive under overskriften ”Stop skræmmekampagnen om sundhedsdata”:

Her gives indtrykket af én stor datasuppedas, hvor danskernes sundhedsoplysninger sejler rundt frit tilgængeligt.</p>
<p>Det er ikke tilfældet, og det tjener intet formål at male et sådan skræmmebillede.

Og alligevel har vi eksempler på at stort set alle ansatte i en region har haft adgang til patientjournaler. Det er pga. af virkelighedsfornægtelse som Bent Hansens at vi konstant skal spørge ind til hvordan information flyder rundt, hvilken information, hvem der har adgang, hvorfor de har adgang, etc. Og vi skal begrænse flowet.

Vi skal gøre det uattraktivt og bøvlet at få udleveret og holde sensitivt data (specielt i store mængder) fordi det er måden at få offentlige styrelser, forskere og andre til kun at holde data hvis det er absolut nødvendigt. Hvis man fx krævede at alle systemer der havde personhenførbart data om mere end 200 personer skulle gennem en årligt IT sikkerheds revision, så ville meget data blive slettet og resten puttet i mere sikre systemer.

Først og fremmest: Det er naturligvis ikke OK at nogen myndigheder sender fortrolige data ukrypteret! Jeg arbejder hos Danmarks Statistik og forstår ikke at der endnu ikke er kommet en officiel kommentar, så her kommer en uofficiel: Danmarks Statistik har gennem mange år forsøgt at få dataleverandører til at kryptere data eller at benytte sikre kanaler, hvor transportvejen er krypteret. At tale om en "krypto-barriere" hos Danmarks Statistik har således ikke hold i virkeligheden. Det er dataleverandøren der er ansvarlig for kryptering af materialet såfremt der benyttes fysiske medier. Danmarks Statistik stiller sikker transport til rådighed i form af SFTP/FTPS eller HTTPS upload (selv sikker mail!), hvis der er tale om digital fremsendelse, men kan desværre ikke sikre sig imod at dataleverandører undlader at bruge disse og sender via fysiske medier. I redegørelsen fra Sundhedsdatastyrelsen og igen i Version2's artikel er der desuden en misforstået sammenblanding af begreberne kryptering og pseudonymisering.Kryptering:Kryptering kan ske af enten af datamaterialet eller af transportvejen - hvis det er gjort korrekt, vil det ikke være muligt for uvedkommende at læse data under transporten. I det konkrete tilfælde har der ikke været foretaget nogen kryptering af det fysiske medie og det er samtidig blevet afleveret til en uvedkommende - rigtig kedeligt for os alle sammen, men godt at der er kommet debat om emnet.Pseudonymisering:Danmarks Statistik har brug for at krydse data fra forskellige kilder til forskningsbrug og i den forbindelse pseudonymiseres data - CPR-nummer og andre personhenførbare data erstattes med projektspecifikke nøgler således at det er muligt at krydse data indenfor samme projekt uden at det er muligt at finde enkeltpersoner. Forskellige forskningsprojekter har forskellige nøgler således at forskere med adgang til flere projekter ikke har mulighed for at samkøre data og det er derfor ikke muligt at lade denne proces foregå andre steder end hos nogle få personer hos Danmarks Statistik. Disse ting logges naturligvis. Ja - jeg er enig ift en del af bekymringerne, men mht Danmarks Statistiks rolle er jeg rimelig cool. Jeg har aldrig været ansat et sted med så stor fokus på sikkerhed!

Det lyder besværligt og vil bare give samme opførsel, som førte dette:
<a href="https://www.version2.dk/artikel/styrelseslaege-ville-sende-foelsomme-pa…;.

Først og fremmest, så skal mail systemet ikke sende filen ukrypteret.

For det andet, når han fik filen, ville den allerede være krypteret, så selvom han uforvarende kom til at sende den til hele verden, ville der ikke være nogen skade sket.

Han kan så selvfølgelig sende kodeordet med, men så kan han altså ikke komme og sige bagefter, at han ikke var advaret.

Det lyder besværligt og vil bare give samme opførsel, som førte dette:https://www.version2.dk/artikel/styrelseslaege-ville-sende-foelsomme-patientdata-sig-selv-havnede-hos-it-kriminelle-930061

Gør man det for besværligt, bliver det ikke brugt. Og hvad der føles simpelt for en tekniker, er det langt fra for en kliniker. Man skal huske på, at alle skal kunne bruge det. Vi taler her om titusindevis af brugere, der dækker hele spektret af IT-kundskaber - fra ingenting til store.

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.

Man kunne overveje, om sygehusenes mail systemer, skal fjerne ukrypterede pdf og zip filer. Hvis man lægger et PDF dokument i EPJ systemet, skal det automatisk krypteres, hvis det ikke er, men hvor gemmer man så password? Ganske lavpraktisk kan man gemme password som kommentar til filen.

Det vil selvfølgelig være bøvlet at åbne filen, men det kunne hurtigt løses med en lille feature request, således at PDF læseren på kommandolinjen kan få overført password. På den måde vil man kunne sikre at alle filer er krypterede og at man ikke glemmer at kryptere inden man sender dem ud.

Jeg undrer mig også sommetider over, hvor alle de dedikerede linier forsvandt hen. De var selvfølgelig både dyre, besværlige, og krævede en in-house IT-funktion,

Hvorfor skulle det være mere sikkert personligt at aflevere den. Man kan få stjålet tasken undervejs. Eller tage fejl af adressen lige som posten.

Altså at man end ikke selv stoler på sine egne kompetencer?

Nu skal vi ikke lave avancerede million dyre løsninger for at løse simple lavpraktiske problemer.

De fleste kan vel finde ud af at klikke på "encrypt AES 256" knappen i winzip og sende koden out-of-band, f.eks email eller SMS.

MPLS er ikke dedikeret eller nødvendigvis fiber.

Patientdataforeningen har rejst sag ved EU om samkøringen af vore helbredsoplysninger i Landspatientregisteret:https://www.facebook.com/BevarTavshedspligten

Hvor svært er det lige at få indkøbt nogen dedikerede linier til formålet? Og så kan man ovenikøbet køre stærk kryptering hvis man ikke stoler på leverandøren af fiberen.

Dedikerede linier hjælper ikke på sikkerheden uanset leverandøren. Hvis informationen er tilstrækkeligt værdifuld, så kan man grave ned til linjen og tappe den. Det er sket før, det sker helt sikkert nu og det vil også ske i fremtiden. Hvis en dedikeret linie skal give sikkerhed, så skal du fysisk beskytte den - fx ved at den løber gennem bygninger hvor der er begrænset adgang (og det er ikke perfekt). Hvis data er krypteret ordentligt kan man i princippet loope rundt om jorden gennem Putins forkontor og PLA's hacker centraler.

Alle er nødt til at forstå at information kun er beskyttet hvis der er en sikkerhedsbarriere omkring det (og 90 cm jord tæller ikke). Sikkerhedsbarrieren kan bestå af beton og alarmer, firewalls/begrænset adgang eller den kan bestå af kryptering. Det hele kræver viden og det er nemt at lave fejl.

Jeg undrer mig også sommetider over, hvor alle de dedikerede linier forsvandt hen. De var selvfølgelig både dyre, besværlige, og krævede en in-house IT-funktion, så outsourcing-bølgen har nok erstattet dem med webservices over internettet. Tiden er måske kommet til at genetablere dem. Sikkerheden kunne øges meget med nogle velplacerede dedikerede linier.

Hvor svært er det lige at få indkøbt nogen dedikerede linier til formålet? Og så kan man ovenikøbet køre stærk kryptering hvis man ikke stoler på leverandøren af fiberen.

Den her form for inkompetence og forsømmelighed i omgangen med fortrolige data bør få alvorlige konsekvenser for de ansvarlige personer. De enkelte ansatte der bærer ansvar i skandalen bør straffes med fængsel for grov pligtforsømmelse. Det er vigtigt at sende et signal om at pligtforsømmelse har alvorlige strafferetslige konsekvenser for at få de dataansvarlige personer til at tage sig i agt og opføre sig ansvarligt.

Michael, jeg havde ikke set det komme, men vi er helt enige.

Og her er det vigtigt ikke at lade sig spise af med bullshit forklaringer om at man ikke kan snakke om dette af hensyn til sikkerheden. For hvis det er håndteret ordentligt så er der ikke noget sikkerhedsproblem.

Igen enig. Men mon ikke det sidste er problemet? Altså at man end ikke selv stoler på sine egne kompetencer?

... da man flyttede rundt på det. Men det er ikke det store problem i denne sag.

I mine øjne er de reelle problemer følgende:

1. Sundhedsdatastyrelsen opbevarer store mængder ultra sensitiv information om alle danskere på et centralt sted. Det gør Sundhedsdatastyrelsen til et meget interessant mål for hackere. Ydermere er det fristende for svage sjæle at lække denne information - hvad enten det sker af altruistiske eller pekuniære grunde.

2. Sundhedsdatastyrelsen sendte alt data i et ”batch” – dvs. hvis der skete en fejl, så blev alt data lækket. Og kryptering er ikke nok – der laves også fejl med kryptering (se fx Playstation 3 LV0 leak).

3. Danmarks statistik opbevarer endnu mere sensitive data end sundhedsdatastyrelsen og udgør dermed et endnu større mål.

Hvis man kigger på Panama-sagen så er det åbenlyst man ikke kan stole på enkeltpersoner når det gælder store mængder data og at data har stor værdi (på den ene eller anden måde).

Det vil derfor være interessant hvis version2 kunne spørge ind til hvad Sundhedsdatastyrelsen og Danmarks Statistik gør omkring pseodo-anonymisering. Og her er det vigtigt ikke at lade sig spise af med bullshit forklaringer om at man ikke kan snakke om dette af hensyn til sikkerheden. For hvis det er håndteret ordentligt så er der ikke noget sikkerhedsproblem. Og i øvrigt vil alle modtagere af data på den ene eller anden måde skulle forstå metoden alligevel, så informationen er allerede delvist ”tilgængelig”.

"Det var en manglende mulighed for at levere for-krypterede data til Danmarks Statistik, der banede vej for, at læsbare CPR-numre og ikke mindst helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere kom i hænderne på et kinesisk visumfirma tilbage i februar sidste år."

Nej det var det ikke. Det var muligheden for at overhovedet at trække ("samtlige") fortrolige oplysninger ud af systemet der var skyld i lækket. Hvordan skal vi som borgere kunne følge om vores oplysninger bliver misbrugt hvis de ikke er en del af systemet, men kan kopieres over på en cd?

Endelig arbejder styrelsen på at nedbringe behovet for dataoverførsler.

Jeg må tilstå, at jeg finder ovenstående udmelding mere bekymrende end eventuelle kineseres adgang til mine sundhedsdata. Nedbringelse af behovet for dataoverførsler betyder konsolidering af aktuel sundhedsdata i samme database, hvilket på sigt kan gøre meget større skade end et læk af en statisk kopi.

Altså!!, hvor svært kan det være at sætte sig ind i en bil og kører til destination for at personligt at aflevere pakken der frem for at benytte et mellemled som f.eks. post Danmark, eller hvad det nu hedder!!!...

Ingen af disse bortforklaringer ændrer på, at det er utilgiveligt at transportere data i klartekst over en usikker mekanisme. Det er trivielt fx at udveksle en symmetrisk nøgle over en separat kommunikationslinie og anvende denne nøgle udelukkende til kryptering under transporten. Det behøver ikke være sværere end at anvende krypteringsfunktionen i et af de gængse komprimeringsværktøjer. Det kan selv hr. og fru Jensen forstå, men åbenbart ikke SSI og DS

"Hvorfor de to statsenheder ikke benyttede sig af et asynkron kryptering med en offentlig-privat nøgle, fremgår ikke af redegørelsen. Det fremgår hellere ikke, hvad det er i krypteringsbarrieren hos Danmark Statistik, der forhindrer, at data var pseudonymiserede, altså en kodning, som kan give en bedre beskyttelse af den enkelte registrerede, da det ikke umiddelbart er muligt at genkende vedkommende."

Der er i redegørelsen altså ingen forklaring er på dette. Det ville da ellers være ret relevant at forklare, når man gør sig den ulejlighed at lave en redegørelse. Så hvorfor fremgår det ikke? Måske kommer svaret i morgen på Version2?