Leder: Vellykket digitalisering kræver tillid – så sløs ikke med den!

For præcis et år siden rapporterede Rigsrevisionen, at den var helt gal med beskyttelsen af fortrolige data hos en række statslige organisationer, herunder politi og sundhedsvæsen.

Mest kritisabelt var det, at logningen af bevægelser i systemerne og uønsket dataadgang var mangelfuld eller ikke-eksisterende.

På Version2 konkluderede it-fagfolk, at ingen kunne vide sig sikre på, om uvedkommende havde haft næsen i de følsomme data.

Man græmmes derfor, når Rigsrevisionen – trods garantier fra system­ejerne om forbedringer – nu igen kan afsløre elendigheder, herunder manglende overvågning og logning, i en række systemer med særligt følsomme sundheds- eller socialdata, skriver Version2s redaktør Henning Mølsted i en leder i Ingeniøren i dag.

Blandt andet er den gal med det net, som står for udvekslingen af patientdata. Der stilles ikke krav om kryptering af data, private leverandører får udleveret administrator­adgang uden tilstrækkelig begrundelse, og man udarbejder ikke årlige sikkerhedsvurderinger.

Desværre får man ofte det indtryk, at de offentlige chefer går rundt i en glasklokke af selvforståelse om, at det er jo bare mig, venlige Lars eller søde Lisbeth, der indsamler jeres data og udvikler it-systemer med dem – i den bedste mening, forstås.

Problemet er bare, at med over 100.000 ansatte i sundhedsvæsnet er der selvfølgelig brodne kar, som kunne finde på at udnytte de svagt beskyttede systemer til at snage i oplysninger om ekskærester, naboer og kolleger, fortsætter lederen..

Og hvis ikke de ansatte, så hackere fra ondsindede statsmagter eller kriminelle, der vil kræve løsesummer for at frigive følsomme data, de har låst inde,efter såkaldt ransomware – eller for ikke at offentliggøre dem.

Kun ved en systematisk, aftalt og besluttet strategi om minutiøs overvågning af it-sikkerheden i det offentlige kan risikoen for uhyrlige datalæk sænkes til et acceptabelt niveau, og befolkningens tillid genvindes og sikres.

Læs hele lederen her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Det er godt, at der bliver peget på at tabet af tillid er en overset og reel trussel imod de drømme, som drømmes om digitaliseringen.

Jeg er nu ikke sikker på, at den største trussel imod tilliden er onde ansatte eller ubarberede IT-kriminelle fra udlandet. Det er ikke de data, som sniger ud af bagdøren i mørket, som er det værste. Det er de data, som trilles ud af fordøren i fuldt dagslys.

Eksempler som DAMD, hvor de, som skulle holde øje med dem som holder øje, sætter kikkerterten for det blinde øje, og først ikke vil indrømme, at det er forkert, og derefter gør alle mulige krumspring for at beholde deres tyvekoster og hælervarer, er værre. Men endnu værre er det, at misbruget og overgrebet nu bliver legaliseret i regi af den såkaldte "Sundsdatastyrelse".

Det skaber heller ikke tillid, når man møder et offentligt system, hvor man oplever, at alt hvad man siger vil blive registreret og brugt imod en. Jeg har bekendte som har oplevet gamle udsagn blive brugt ude af sammenhæng og groft overfortolket som begrundelse for urimelige afgørelser (og jeg tør godt sige det, for sagen er blevet genoptaget ... det sker ikke uden bestemt ikke af sig selv). Det gør selvfølgelig at man begynder at passe på, hvad man siger og hvem man siger det til.

Det bliver ikke bedre af, at disse oplysninger ikke deles flittigt med alle i det offentlige (og det er allerede mange), men at man nu også vil 'nyttiggøre' dem i privat regi. Gad vide hvornår ens bankrådgiver begynder at hyggesnakke om den stil, som man skrev i 8. klasse?

  • 16
  • 0
Anne-Marie Krogsbøll

Lige i øjet, Bjarne. En ting er, at mange ansatte "på gulvet" ikke har den fornødne viden og opmærksomhed på datasikkerheden - det viljen oppefra til at gøre noget seriøst for at tage sikkerhed og privatliv alvorligt, der er den største tillidsdræber.

Rigsrevisionens rapport er jo sådan set et skridt i den rigtige retning - men det er tillidsdræbende at se, at så mange af disse centrale institutioner stadig ikke - på trods af mange års tilsyneladende fokus på området - har tjek på det. Det giver uundgåeligt den oplevelse, at alvorligt tager man det alligevel ikke helt, for så var det vel kommet på plads nu.

Og faktisk får jeg nærmest en voksende, ikke dalende, fornemmelse af, at man fra magthavernes side spiller dobbeltspil på området "udnyttelse af data". At man skaber flere og flere bevidste smuthuller, undtagelser og skalkeskjul for udnyttelsen af vore data, uden at vi helt opdager det.

Eks. den nye sundhedslov, som giver Sundhedsdatastyrelsen og Sundhedsministeren udvidede beføjelser til at bestemme udnyttelsen af data - uden yderligere kontrol, så vidt jeg har forstået. Uden logning, uden samtykke, uden pligt til at orientere, uden en brugbar offentlighedslov - og uden indsigt i parti- og kandidatkasser!

  • 10
  • 0
Kristian Sørensen

Desværre får man ofte det indtryk, at de offentlige chefer går rundt i en glasklokke af selvforståelse om, at det er jo bare mig, venlige Lars eller søde Lisbeth, der indsamler jeres data og udvikler it-systemer med dem – i den bedste mening, forstås.

Jeg husker med gru, væmmelse og afsky at chefen for Digitaliseringsstyrelsen Lars Frelle sagde dette, næsten ordret, på DrivingIt konferencen for et par år siden.

Han så helt uforstående ud i hovedet da hele sagen buede og han derefter fik læst og påskrevet. det var som om han slet ikke forstod hvorfor folk i salen var dybt utilfredse med den indstilling til forvaltning af vore allesammens data.

  • 7
  • 0
Finn Christensen

..chefen for Digitaliseringsstyrelsen Lars Frelle sagde dette, næsten ordret..

Stakkels Frelle-Petersen var en ung løve i 2001, samt deltog ifm. med arbejdet til den såkaldte Bonnerup rapport[1], indeholdende vores første dybtgående analyse af problemerne ifm. store offentlige IT-projekter.

Når Frelle-Petersen endnu "ikke forstår" og sektoren stadig gentager varianter af de samme fejl, som blev kortlagt i en rapport fra 2001, mangler viden jo ikke og vi behøver ikke kortlægge de samme fejl igen og igen[2].

Så der er jo kun manglende vilje tilbage samt det ubekvemme ved at bede om penge til at sikre borgernes data bedst muligt. Det koster en formue (xx mia.) og kræver et stort mandskab til styring og kontrol (Registertilsyn m.fl.).

Datasikkerhed er som kloakker en nær skjult og usynlig del af infrastrukturen, og jeg antager djøf'er foretrækker at sælge synlige kioskbasker-projekter til folket på borgen, da de 17x af medlemmerne alligevel ved langt mere om Flipper og Fjæsbog end om borgenes data, og manglende datasikkerhed.

[1] Teknologirådet rapporten ”Erfaringer fra statslige IT-projekter – hvordan gør man det bedre?”(Bonnerup rapporten) [1] Praktiske råd til fremtidens IT-projekter http://www.tekno.dk/pdf/projekter/p01_Appendix_it_proj.pdf [2] Einstein definerede sindsyge som: “at gentage den samme handling igen og igen og forvente et nyt resultat hver gang”. Han sagde også at genier tager det komplekse og gør det enkelt.

  • 2
  • 0
John Foley

Rigtig god artikel Henning Mølsted. Din leder sætter fokus på det væsentligste og den kendsgerning at der mangler en formel og tværsektoriel cybersikkerhedsstategi, der kan adressere og være med til at løse problemerne. Alle de instanser, der burde gøre noget, melder hus forbi, når det går galt. Det har vi set gang på og, og det vil også ske fremover. Desværre. Der mangler en koordinerende og struktureret aktør, et cybersikkerheds råd, med repræsentanter fra det offentlige, private og forskningsverdenen, under statsministeriet, før der kan ske noget effektivt. Center for Cybersikkerhed (CFCS) forsøgte for et par år siden at formulere én strategi. Men det var hastværk og makværk, udarbejdet efter de ønsker, som Forsvarets Efterretningstjeneste mener alle de andre end dem selv skal gøre. CFCS strategien har i øvrigt intet med en strategi er gøre, og efterlever hverken EU's eller ENISA's anvisninger til en cyberssikkerhdsstrategi. Sammelignet med alle de andre EU landes strategier, falder den fuldstændig til jorden, og gør intet for at sikre det danske samfund eller dets borgere i cyberspace. CFCS er en del af Forsvarets Efterretningstjeneste og har helt andre interesser at pleje end befolkningens sikkerhed, herunder de små- og mellemstore virksomheder samt borgerens personfølsomme oplysninger lagret i utallige offentlige myndigheder, styrelser, regioner og kommuner samt private virksomheder.

  • 3
  • 0
Log ind eller Opret konto for at kommentere