Leder: Umoden it-iver i det offentlige bliver til farlig leg med vores data

Foto: monsitj/Bigstock
Det skal overvejes nøje, inden følsomme persondata sendes uden for EU, mener Ingeniøren og Version2 i denne leder.

I 50’erne og 60’erne mente bil­industrien, at der ikke var behov for sikkerhed som stærke bremser, seler og airbags. Problematikken beskrives i bogen ‘Unsafe at any speed’, og på Version2 sammenligner en tysk it-direktør internettet i dag med situationen dengang.

Heldigvis er nettet ikke helt frit. Vi har en persondatalov og en sikkerhedsbekendtgørelse, som bl.a. regulerer, hvordan offentlige myndigheder skal håndtere følsomme persondata. Men stort set hver gang Datatilsynet har razzia hos stat, regioner eller kommuner, findes eksempler – også grove – på overtrædelser.

For nylig var det Rigspolitiet, der af Datatilsynet blev taget i at sende politidata til behandling hos det dansk-amerikanske selskab Chainalysis i USA uden at have det juridiske grundlag på plads. Chainalysis analyserer data på kryptovalutaen bitcoin for at spore cyberkriminelle, der f.eks. kræver løsepenge i den digitale valuta via ransomware.

Situationen er altså ironisk nok, at dansk politi selv bryder loven i jagten på kriminelle.

Vores egen undersøgelse fra foråret afslørede, at hver anden offentlige hjemmeside sender data om brugernes adfærd videre til internationale reklamegiganter. Det udstiller en it-umodenhed i det offentlige, der måske utilsigtet bliver ‘unsafe at any speed’.

I Sverige blev ministre fyret, da det kom frem, at deres transportstyrelse ignorerede væsentlige sikkerhedsbestemmelser, da man overlod it-driften til IBM og underleverandører i blandt andet Serbien og Tjekkiet.

Miseren betød, at ikke-sikkerhedsgodkendte medarbejdere fik adgang til særlig følsom persondata – herunder hemmelige identiteter på svenske sikkerhedsfolk og detaljer om landets infrastruktur.

Den positive historie bag de gentagne eksempler på sjusk med vores data er, at det offentlige udviser stor iver for at tage moderne it-redskaber i brug. Det kan sikre et mere effektivt og retfærdigt samfund.

Men den manglende modenhed og ignorancen over for sikkerheds­risici kan gøre historien til en gyser i en verden, hvor hverken kriminelle forbrydere eller stater tøver med at bruge it-våben og sikkerhedshuller til at skade såvel nationer som virksomheder og privatpersoner.

Nogle it-folk kalder det symbolik, når man vil beskytte europæiske persondata ved alene at regulere dataoverførslen til USA. For amerikanske myndigheder bruger andre indgange til vores data, f.eks. via indbyggede bagdøre i processorchips, styresystemer og apps.

Men resignation over den amerikanske masseovervågning bør ikke fritage vores offentlige myndigheder fra at følge loven. Snarere skulle de presse på for at få den strammet – f.eks. kunne man indgå privacy-alliancer med producenter af chips og software.

Iveren for at bruge de mange nye it-værktøjer må og skal følges med en stærkere ansvarlighed. Det skal overvejes nøje, inden følsomme persondata sendes uden for EU; måske sågar uden for vores egne grænser.

Et udgangspunkt om, at følsomme data bliver på dansk grund, medmindre der er meget væsentlige argumenter for at sende dem over grænsen, kunne være en god start. Og så må vi stille krav til de offentlige it-afdelingers kompetencer, så den afvejning sker med velovervejet modenhed, og Data­tilsynet møder færre overraskelser ved sine besøg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
Bjarne Nielsen

Et udgangspunkt om, at følsomme data bliver på dansk grund, medmindre der er meget væsentlige argumenter for at sende dem over grænsen.

Og næste naturlige skridt må være, at blive modne nok til at slet ikke at indsamle og opbevare følsomme data i større omfang end absolut nødvendigt.

PS: Der er også et stort behov for at holde firmaerne i ørerne, men vi skal i særlig grad være efter det offentlige, for her er der kun sjældent mulighed for fravalg.

Anne-Marie Krogsbøll

Et eksempel kunne være gårsdagens nyhed om Det tvungne Nationale Genom Center. https://aflyttet.dk/mini-sund-nationalt-genomcenter-bliver-database-med-...

Udover den principielle diskussion om det etiske, lovlige og rimelige i ved tvang at bemægtige sig borgernes samlede DNA, og oven i købet gøre det stort set uden offentlig debat, så er det også skræmmende, at man sætter dette i gang, få uger efter at Datatilsynet har påvist elendig datasikkerhed hos Sundheds- og Ældreministeriet, som kommer til at stå for dette.

Kan man forestille sig noget mere følsomt end en database over danskernes samlede dna-masse? Og det vil man overlade til sådanne nogle klamphuggere? Hvorfor venter man ikke, til det offentlige er i stand til at få grønne smileys over en kam, når Datatilsynet kommer forbi?

"Et udgangspunkt om, at følsomme data bliver på dansk grund, medmindre der er meget væsentlige argumenter for at sende dem over grænsen, kunne være en god start."

Enig - et godt sted at starte. Men jeg vil æde min gamle hat på, at ikke engang det enkle og indlysende råd vil man overholde i forbindelse med dette genom center.

Jesper Frimann

Jo, en ting er IT. Men det er jo et mere fundamentalt underliggende problem i offentlig regi.
Det er jo ikke kun i IT, at man bare kørerer derudaf uden sikkerhedssele, uden lys på og i den modsatte side af vejen alt imens man snakker i mobiltelefon med lukkede øjne.

Det er et mere grundlæggende problem, at man ikke har respekt for den faglighed der skal til at få tingene gjort ordentligt, rigtigt, til tiden og dermed også billigst.

Bare for at nævne nogle andre ikkeIT-brølere der har været fremme her på det sidste.

Forsvaret får bygget skibe af nordkoreanske tvangsarbejdere:
http://www.dr.dk/nyheder/indland/forsvarsministeriet-blev-advaret-om-nor...

Niels Bohr bygningen

http://politiken.dk/indland/art6149848/%C2%BBNogen-har-sovet-i-timen-her...

IC4 The Ongoing Story

https://www.b.dk/nationalt/overblik-de-skandaleramte-ic4-tog-gennem-tiden

Og ja.. man kunne blive ved.

// Jesper

Mikael Ibsen

og uden væsentlige videre konsekvenser sige "Vi skal blive bedre", når noget går galt, tjah, så bliver det ikke bedre.
Uden et personligt lederansvar, som det alle private virksomheder bliver pålagt næste år, er incitamentet til ansvarlig omgang med borgernes data i praksis yderst begrænset.
Beklageligt, men et uafvendeligt faktum, i fin samklang med den menneskelige natur...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017