Offentlige medarbejdere kigger i fortrolige oplysninger af nysgerrighed

41 kommentarer.  Hop til debatten
Offentlige medarbejdere kigger i fortrolige oplysninger af nysgerrighed
Illustration: iStock.
En ny analyse fra KMD viser, at omkring hver 12. offentligt ansatte har oplevet, at en kollega har slået borgernes fortrolige oplysninger op af nysgerrighed, og cirka hver femte offentligt ansatte har adgang til fortrolige oplysninger, som de ikke har brug for.
8. juni 2016 kl. 10:44
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Fortrolige oplysninger flyder på computerne i det offentlige og frister nysgerrige næser.

Godt en femtedel af offentligt ansatte har adgang til fortrolige oplysninger, de ikke har brug for, og 8 pct. har en kollega, der har kigget i fortrolige oplysninger af ren nysgerrighed.

Det viser en ny analyse, KMD har foretaget på baggrund af en rundspørge blandt lidt over 1.000 ansatte fra stat, regioner og kommuner.

Her viste det sig også, at knap hver fjerde deler sit password med kollegaer – primært af hensyn til produktivitet ifølge de ansatte selv.

Artiklen fortsætter efter annoncen

»Når knap hver fjerde deler passwords med kollegaer, og man kan opleve, at kollegaer slår fortrolige oplysninger op af ren nysgerrighed, er vi altså ikke i mål endnu,« siger Lars Neupart, der er sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed.

Deling af passwords og andre interne hændelser, der kompromitterer informationssikkerheden, er relativ almindelig i det offentlige, viser undersøgelsen.

Her har knap halvdelen svaret, at de i løbet af det seneste år har oplevet en eller flere af sådanne hændelser.

41 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
41
10. juni 2016 kl. 23:03

Det er heller ikke nemt, når IT-afdelingerne i det offentlige ikke forstår hvor vigtig sikkerhed er.

Min bedre halvdel har lige fået nyt login til en offentligt tilgængelig side (Tilgængelig fra Internet) . Password leveret af IT-afdelingen: 1234 Behøver jeg at nævne at brugernavn er nemt at gætte ?

SUK!

40
10. juni 2016 kl. 10:05

Hvis nogen bliver opdaget i at tilgå informationer uden en embedsmæssig årsag, og det bliver opdaget, kan personen se frem til alt fra en kraftig advarsel til en fyring og en politisag

Det er sikkert principielt set rigtigt. Der er dog et tydeligt billede af at risikoen for opdagelse er mikroskopisk.

Dels så kan en ansvarlig chef ikke undgå at vide, når hver fjerde deler login/password med kollegerne, hvilket gør at revisionssporet er ugyldigt. Det har der været flere eksempler på bla. hos Politiet. Dels ser det ud til at håndhævelse, kun er noget som foregår, hvis sagen kan bære en avisforside.

38
9. juni 2016 kl. 18:07

Langt de fleste offentlige IT-systemer i kommunalt regi logger allerede medarbejdernes tilgang til informationer fordi der er et lovkrav om det. Hvis nogen bliver opdaget i at tilgå informationer uden en embedsmæssig årsag, og det bliver opdaget, kan personen se frem til alt fra en kraftig advarsel til en fyring og en politisag.

Den fælles offentlige rammearkitektur, som et stigende antal offentlige instanser tilslutter sig i disse år, og ny EU lovgivning er i øvrigt igang med at skærpe kravene til adgangsstyring. Planen er at adgang bliver styret af jobfunktion og roller, så man har langt højere kontrol over hvem der kan se hvad. Faktisk synes jeg godt man kan sige det offentlige løber rigtigt hurtigt når det handler om at opbevare person data på en forsvarlig og sikker måde, og i hvert fald langt hurtigere end nogen privat virksomhed jeg har kendskab til.

Udfordringen ligger i selve overvågningen. Der er en række automatiserede systemer, men det kræver stadig en del menneskelig indblanding i den slags sager og det koster kort sagt penge. I en tid hvor staten sparer kraftigt på kommunerne ser jeg det mere som et spørgsmål om hvor vi som borgere helst vil bruge pengene. Vil vi helst have en ekstra pædagog eller skolelærer i vores børns institution eller vil vi have en sikkerheds konsulent der holder øje med sagsbehandlerne?

Personligt vil jeg hellere stole på det offentlige og bruge pengene på noget fornuftigt, men det er selvfølgelig lettere at mene når ens person data er totalt ligegyldige for alle andre end en selv.

37
9. juni 2016 kl. 10:16

Jeg vil nu også tro at det er et ret begrænset antal medarbejdere fra Geodatastyrelsen, der deltager i surveyen. Der er nok en hel del flere varme hænder fra hospitaler, hjemmepleje, jobcentre, socialforvaltning og undervisningssektoren med... sagt med andre ord .. Martins oplevelse af det offentlige gennem 20 år er næppe repræsentativ.

35
9. juni 2016 kl. 08:51

Der er ikke meget andet at sige, end at det er ledelsen, der fejler i uhyggelig grad! Det er jo en syg kultur, der skal rettes op på.

34
9. juni 2016 kl. 08:34

På hvilken baggrund mener du at kunne påstå, at de folk der har svaret på undersøgelsen lyver ?

Det var dog en voldsom udlægning af Martins indlæg.

Jeg synes egentlig at det er meget interessant at en person, der har arbejdet indenfor det offentlige i 20 år har en oplevelse, der nærmere modsvarer artiklens billede, end diskussionstrådens.

At hver tolvte har oplevet en medarbejder der har snaget, er jo nærmest blevet udlagt som at adgang automatisk medfører misbrug.

32
8. juni 2016 kl. 21:02

Jeg har arbejdet i offentlige (statslige) styrelser og forskningsinstitutioner i knapt 20 år. Jeg har ofte være tæt på, eller selv haft adgang til fortrolige data. Jeg kan slet ikke kende det billede som tegnes i artiklen. Det er mit indtryk at betroede medarbejdere, offentligt og privat ansatte, har høj integritet og er meget påpasselige med ikke at misbruge deres dataadgang.

30
8. juni 2016 kl. 19:14

Når det gælder email falder ikke-autoriseret adgang ind under straffelovens § 263 stk 1., så det er en forholdsvis dårlig idé at kaste sig ud i den slags. Strafferammen går op til 6 måneders fængsel, i øvrigt, så det er lige i den sammenhæng ikke et spørgsmål om hellighed eller lignende.

Hvilke former for kommunikation er beskyttet af loven? Og kan reglerne sættes ud af kraft/begrænses?

  1. Jeg drev tilbage i slutningen af 90'erne og starten af 0'erne et datingsite. Brugerne sendte mange beskeder mellem hinanden, og jeg kunne, hvis jeg ville, have fulgt med i kommunikationen ved at sende noget SQL afsted mod min SQL Server.

  2. Jeg var tilknyttet udviklingsteamet på en større chat for knap 15 år siden, og her kunne både udviklere og "co-admins" læse med i brugernes chats.

Ville en udnyttelse af muligheden for at følge med i kommunikationen her være en overtrædelse? Kunne ejeren af platformen sætte reglerne ud af kraft, fx ved at skrive muligheden for adgang ind i brugsbetingelserne?

27
8. juni 2016 kl. 18:39

Jesper:

Jeg misforstod det nu på en anden måde, idet jeg simpelthen læste det forkert som om, du tale om, at det var medarbejderen, der var "vigtig nok" :-) Afgjort min fejl!

26
8. juni 2016 kl. 18:37

Siger du dermed at der er sat "hvem kikker på" flag på udvalgte mennesker ?
Eller er det nærmere sådan at pres udefra gjorde det nødvendigt efterfølgende at checke loggen for snushaner/høns ?

Det kan være begge dele.

Ja, nogle systemer i det offentlige understøtter, at man kan sætte en "giv chefen [eller andre] besked om, at den-og-den-medarbejder har kigget på denne record"-markering. Så må modtageren af advarslen tage stilling til, om medarbejderen åbenlyst har haft behov for at tilgå oplysningerne, eller om der skal spørges ind til årsagen.

Om SKATs systemer har sådan en feature, eller om det kun blev opdaget, fordi en eller anden aktivt kiggede på opslagsloggen, skal jeg ikke kunne sige. Jeg har (heldigvis) ikke arbejdet for SKAT.

Under alle omstændigheder gennemføres der mange steder stikprøvekontrol. Min underviser i forvaltningsret nævnte, at det er et lovkrav, men jeg kan ikke lige umiddelbart finde ud af, hvor det kræves.

25
8. juni 2016 kl. 18:21

Jeg misforstod dit "vigtig nok", Jesper. Sorry.

Jeps, anførselstegnene var netop beregnet til at angive sarkasme :). Det er svært at kommunikere sarkasme på skrift, men det er selvfølgelig mit ansvar som afsender.

Og jo, den uautoriserede adgang til HTS' skattesag blev muligvis primært opdaget, fordi der var tale om en højt profileret sag (hvilket så understreger min pointe fra første indlæg). Det ville dog muligvis være opdaget alligevel - det uddyber jeg lige i et andet indlæg lige om lidt.

23
8. juni 2016 kl. 16:12

Amatørforståelsesspørgsmål: Uanset hvor tit., jeg får det at vide, så vil det ikke rigtigt fise ind, at folk faktisk så ubesværet kan sidde og læse mine mail undervejs - jeg har det med at fortrænge det. Er der noget som helst - ud over kryptering - som man kan gøre?

22
8. juni 2016 kl. 15:51

Min første private internet-host slettede de emails, hvor jeg talte grimt om ham i :). Jeg overvejede ikke at smide ham i fængsel, men skiftede omgående.

21
8. juni 2016 kl. 15:33

Jeg styrer lidt for mange domæner, og har derfor i et par årtier haft fuld adgang til at læse en del folks post (inklusive en exkærestes), uden at de har nogen chance for at opdage dette. Men jeg hverken gider, eller er specielt hellig - jeg vil bare ikke svine mig selv til ved at krydse den grænse. Uf!

Når det gælder email falder ikke-autoriseret adgang ind under straffelovens § 263 stk 1., så det er en forholdsvis dårlig idé at kaste sig ud i den slags. Strafferammen går op til 6 måneders fængsel, i øvrigt, så det er lige i den sammenhæng ikke et spørgsmål om hellighed eller lignende.

20
8. juni 2016 kl. 15:27

Lad os straks få indført sessionslogning

Det er tankevækkende – ikke? Der hvor sessionslogning kunne hjælpe, bekæmper man det.

Når man designer et ”sikkert system”, så fylder autorisationer og især styringen af autorisationer altså en hel del. Men det er også mit indtryk at netop denne del ofte overspringes i udbuddet.

Jeg ved godt at der er mange som SAP konsulenter som ikke ved det, men i SAP kan man i en periode på 14 dage gå ind og se ”hvad du så” som en slags tidsmaskine. Så har en skattemedarbejder f.eks. slået Caroline Wozniacki op, så ville han i SAP havde efterladt et tydeligt spor som analysekørsler ville udtage til kontrol.

Min nuværende kunde bruger et firefighter system til at håndter den dynamiske tildeling af rettigheder og det er da træls hver gang at skulle dokumenter hvorfor jeg f.eks. har tilgået personaleoplysninger såsom CPR, adresse og lønoplysninger eller lignende.

Men så er det hellere ikke værre, fordi jeg jo blot linker direkte fra firefightersystemet til sagsystemet og derfra fremgår det hvorfor jeg var inde på den pågældende medarbejder.

Men det som rigtigt tankevækkende er at KMD jo i meget vidt omfang bruger SAP suiten (KMD kalder det Opus) til at kommuner, regioner og staten, så sikkerhedsdirektøren som er citeret i artiklen kunne jo prøve ”at læse lidt på manualen”.

19
8. juni 2016 kl. 14:25

Fx som postmasters. Jeg styrer lidt for mange domæner, og har derfor i et par årtier haft fuld adgang til at læse en del folks post (inklusive en exkærestes), uden at de har nogen chance for at opdage dette. Men jeg hverken gider, eller er specielt hellig - jeg vil bare ikke svine mig selv til ved at krydse den grænse. Uf!

17
8. juni 2016 kl. 13:25

Det er jo en skandale. Lad os straks få indført sessionslogning, så vi kan holde øje med det.

16
8. juni 2016 kl. 13:10

Altså, har man en sag om hr Pedersen i Gyllinge så må man kikke på data/info vedrørende hr Pedersen i Gyllinge, får man så mistanke om et eller andet hvor andre måske indgår, SKAL det sendes op på højere niveau, hvor en udvidelse kan godkendes !

Der kunne man så ønske sig som borger, at man f.eks på borger.dk kunne se en audit log over alle sine data der er gemt i det offentlige, så man selv har en mulighed for at opdage et misbrug.

Det kunne fint være på afdelings/myndigheds niveau, men med mulighed for via lovkrav, at få udleveret hvem det specifikt er, der har set/arbejdet med/ændret ens data ved mistanke om misbrug.

15
8. juni 2016 kl. 12:37

Hvis den person, de ansatte har været lidt for nysgerrige om, er "vigtig nok" bliver der gjort noget ved det.

Siger du dermed at der er sat "hvem kikker på" flag på udvalgte mennesker ? Eller er det nærmere sådan at pres udefra gjorde det nødvendigt efterfølgende at checke loggen for snushaner/høns ? Jeg er "all in" angående nysgerrighed under den forudsætning at data/info IKKE er følsom og ALLE har lige adgang til data/info, det er den eneste måde at lære noget på ! Jeg vil under ingen omstændighed finde det mikroskopisk ok, at nogen titter på følsomme data/info med mindre, en pers. eller en gruppe, er relateret til en igangværende sag ! Altså, har man en sag om hr Pedersen i Gyllinge så må man kikke på data/info vedrørende hr Pedersen i Gyllinge, får man så mistanke om et eller andet hvor andre måske indgår, SKAL det sendes op på højere niveau, hvor en udvidelse kan godkendes !

14
8. juni 2016 kl. 12:30

Jeg misforstod dit "vigtig nok", Jesper. Sorry.

11
8. juni 2016 kl. 12:06

....ikke at gøre sikkerheden alt for sikker? Medicinalindustrien med dertil knyttede politikere og embedsfolk?

10
8. juni 2016 kl. 11:55

Er det så for at tilfredsstille fleres utilbørlige nysgerrighed at dette sættes igang ?https://www.version2.dk/artikel/staten-vil-nu-samle-staerkt-foelsommoe-patientdata-i-en-central-database-798872Der er måske ikke nok huller i systemet som det er nu, inkl elendig brugeradministration ! Har selv arbejdet i offentlig it for en del år siden, og nu vises det, at sikkerheden måske ligefrem er blevet endnu værre, DELE PASSWORDS var ikke en mulighed den gang, der hvor jeg var, det er jo vildeste absurde teater af værste skuffe ! Hvorfor er der overhovedet IT afdelinger, når sådan noget kan foregå, eller har It afdelingerne bare at gøre som hvem som helst giver med besked på ?

Det får mig til at tænke på hvordan tingene foregår i den fysiske verden, f.eks. der skal flere lig (som i døde mennesker) på bordet før tilstanden måske ændres, eller misbruget af info/persondata tilsyneladende ligeledes skal være omfattende før tilstanden måske ændres ! Dertil kommer at sjældent har/tager nogen ansvar i det offentlige, og tromler undersåtterne, for det kan vi nemlig !

9
8. juni 2016 kl. 11:45

Når knap hver fjerde deler passwords med kollegaer, og man kan opleve, at kollegaer slår fortrolige oplysninger op af ren nysgerrighed, er vi altså ikke i mål endnu," siger Lars Neupart

Det er principielt problematisk at tro, at den menneskelige nysgerrighed er noget, man kan "komme i mål med" ved at afskaffe eller ved seriøse samtaler. Problemet er ikke de ansattes nysgerrighed, men at muligheden for at udleve den på andres privatliv overhovedet forekommer. Mine sygejournaler skal simpelthen ikke ligge i en central database.

8
8. juni 2016 kl. 11:22

Kære Jakob,

Mange tak for din opmærksomhed. Det rigtige tal er, at 8 pct. har fanget en kollega i at slå fortrolige oplysninger op af nysgerrighed.

7
8. juni 2016 kl. 11:21

Region Sjælland gennemfører faktisk regelmæssige, stikprøvebaserede audits af logs over medarbejdernes opslag i EPJ og hvis det viser sig, at der er foretaget opslag, som ikke er relateret til deres arbejde, bliver medarbejderne kaldt til tjenstlig samtale (første gang).

Spørgsmålet er så hvor meget det nytter med denne form for logs og audit, hvis man sideløbende hermed har en stor mængde brugerkonti på tidligere medarbejdere, som ikke er blevet lukket, som det jo for nylig blev afsløret, at bl.a. Region Hovedstaden havde (var det ikke omkring 20.000?)

Det virker i mine øjne som en nærliggende risiko, at hvis man som medarbejder på et hospital får lyst til at lave et "Per Stig Møller"-agtigt nysgerrighedsopslag, så gør man det selvfølgelig fra en konto på en kollega, som er holdt op.

Det er vel ikke usandsynligt, at man kender passwordet til tidligere kollegers konti, da analysen jo netop viser, at medarbejerne låner hinandens konti for at spare tid...

6
8. juni 2016 kl. 11:17

Hvor pålidelige er den slags undersøgelser mon i det hele taget? Der må vel i hvert fald være tale om minimumstal.

5
8. juni 2016 kl. 11:11

hver 12. offentligt ansatte slår borgernes fortrolige oplysninger op af nysgerrighed

8 pct. har en kollega, der har kigget i fortrolige oplysninger af ren nysgerrighed

Hvis hver 12. har slået oplysninger op, så er der væsentligt flere end 8%, der har kollega, der har kigget i fortrolige oplysninger.

Hvis der er tale om at 8% har opdaget det, så kan man ikke udlede at hver 12. har gjort det.

Hvilket tal er det rigtige?

4
8. juni 2016 kl. 11:03

...og det er ansatte i teleselskaber/politiet/PET/FET/ministerier/bankerne/etc., og andre samfundskritiske organisationer med store databaser fyldt med fortrolige oplysninger, vidst heller ikke.

Kærlighed, misundelse, nysgerrighed, jalousi, hævngærrighed og selvretfærdighed kender ingen organisatoriske grænser.

3
8. juni 2016 kl. 11:01

Det kommer umiddelbart ikke som en overraskelse for mig. Et af mine familiemedlemmer har selv arbejdet indenfor det offentlige, hos SKAT, og inden hun gik på pension sagde hun at det ikke var unormalt at hun lige undersøgte ting om folk i sin omgangskreds. Som hun fortalte det, så var hun langtfra den værste til at slå den slags ting op. Hun nævnte dog også at efter de begyndte at registrere opslag, så stoppede hun selv med det. (Ikke at det retfærdigøre hendes gøren og laden på nogen måde)

Jeg arbejdede selv indefor Statens IT for nogle år siden og de logs jeg så på, bar ikke umiddelbart præg af at folk var stoppet med at slå personlige oplysninger op på folk, der ikke var relateret til deres arbejde. Men hvis der ikke er nogle konsekvenser ved det, hvorfor skulle de så stoppe?

2
8. juni 2016 kl. 10:53

er offentligt ansatte vist ikke meget anderledes skruet sammen end alle andre mennesker...

1
8. juni 2016 kl. 10:47

bare tak, vigtigt at få det frem i lyset!