Skat forsvarer brug af Teams: »Det påhviler den enkelte medarbejder at behandle oplysninger sikkert«

Illustration: Nanna Skytte
I sidste uge kunne Version2 i detaljer beskrive, hvorfor det svenske skattevæsen, Skatteverket, helt går uden om teams. UFST og Skatteministeriets koncern forsvarer nu et af tre punkter i en mail.

Som Version2 og Ingeniøren skriver her til morgen er der stor forvirring om, hvad man kan bruge cloudservices til og samtidig sikre, at danskeres følsomme oplysninger ikke ender i kløerne på især amerikanske efterretningstjenester.

Læs også: Sveriges skattevæsen sortlister Microsoft Teams – Skat kører videre

I Sverige bøvler man med den samme bekymring, der blandt andet har gjort, at man i Skatteministeriets koncerns svenske pendant, Skatteverket, helt vil undgå Microsoft Teams - som det danske skattevæsen bruger som sin primære chat-platform.

»Der har længe været en blind tro på, at Teams er en fantastisk løsning, men tjenesten klarede vores tryktest meget værre, end vi troede. Vi kunne slet ikke bruge Teams ud fra et GDPR-synspunkt,« siger Daniel Melin, der er analytiker hos den svenske skattemyndighed Skatteverket med henvisning til EU’s persondataforordning.

Trods svenskernes konkrete kritik har Version2 ikke formået at få et interview med Udviklings- og Forenklingsstyrelsen(UFST), der driver det danske skattevæsens it.

Den enkelte medarbejders ansvar

Nu skriver UFST i en mail til Version2, at Teams udelukkende bruges som konferenceværktøj:

»Det betyder, at der bliver afholdt møder via Microsoft Teams med lyd og billede, men det betyder også, at der ikke bliver sagsbehandlet dér. Personoplysninger og virksomhedsoplysninger må ikke deles via Microsoft Teams, for al sagsbehandling skal ske i de relevante sagsbehandlingssystemer, som alle er risikovurderet hver for sig,« skriver UFST, der stadig ikke ønsker at svare direkte på vores konkrete spørgsmål.

»Udviklings- og Forenklingsstyrelsen oplyser reglerne omkring personoplysninger i Informationssikkerhedshåndbogen, som alle medarbejdere i koncernen er forpligtet til at læse og følge, og som alle medarbejdere gennemfører et obligatorisk onlinekursus i; både ved deres ansættelsesstart og desuden en gang årligt. Det påhviler den enkelte medarbejder at behandle oplysninger sikkert”.

Adskillige andre problemer

Udover hele GDPR-spørgsmålet fandt svenskerne også andre problemer ved Teams. Først og fremmest fandt vores nordiske naboer det problematisk, at man skal blotte hele sin Active Directory (AD) for en amerikansk myndighed, der kan pålægges at sladre til amerikanske myndigheder og efterretningstjenester.

»Herunder navn, nummer, titler i vores organisation samt it-privilegier i vores systemer på alle vores medarbejdere,« sagde Daniel Melin til version2 og understregede, at det er en betragtelig sikkerhedsrisiko at blotte sin it-infrastruktur på den måde.

Derudover frygtede svenskerne at blive for fastlåste af løsningen på grund af Teams' tekniske struktur.

»Teams har brug for de andre Microsoft-produkter Exchange og Share Point, fordi beskeder sendt over Teams teknisk set sendes med Exchange og filer over Share Point. Så lock-in-effekten er meget større end for andre løsninger. Hvis vi vil skifte væk fra Teams senere, bliver det svært, fordi man ikke kan flytte metadata ordentligt med videre, og det er selvsagt et problem,« lød det fra Daniel Melin.

Endeligt var løsningen ret dyr, vurderede svenskerne.

Ingen af disse pointer ønsker UFST eller Skatteministeriets Koncern at forholde sig til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ben Arnold

Argumentet med at det er op til den enkelte medarbejder at tilføre den fornødne sikkerhed er ikke ret stærkt.

Ja, det påhviler enhver medarbejder at være med til at skabe og holde den samlede it-sikkerhed og persondatasikkerhed, men det er langt fra alle, der er oplyst nok i dette område.

Man kan derudover teoretisk måle medarbejdernes oplysthed og kendskab til sikkerheden ved hvor meget undervisning de har haft fra arbejdsgiveren af. Jeg forventer her ikke, at det er proportionalt med de ansvar, der pålægges den enkelte medarbejder. Én gang årligt en lille oplysningskampagne og én gang undervisning i starten af ansættelsen er altså langt fra nok. Medarbejdere hos Skat har delvis adgang til ret sensitive informationer, så det er langt fra proportionalt at man kun giver dem undervisning én gang om året. Det svarer til at man sender den overvægtige i klassen til at motionere én gang om året til aktivitetsdag, men ellers aldrig nævner det overfor ham igen, ej heller den ringe præstation til aktivitetsdagen.

Derudover er det organisationens ansvar at sikre ansvarlighed, også ift. awareness af medarbejdere. Og min intuition siger mig, at Skat IKKE har lavet (fyldestgørende) tests for at kontrollere, at alle har samme høje kendskab til it-sikkerhed og persondataret/persondatabeskyttelse, eller griber fyldestgørende ind, når testresultater viser sig at være dårlige.

  • 20
  • 0
#3 Henrik Juul Størner

Ja, det påhviler enhver medarbejder at være med til at skabe og holde den samlede it-sikkerhed og persondatasikkerhed

Men det er stadig organisationen der har ansvaret for at beskytte persondata, og for at vælge de redskaber og værktøjer som understøtter det.

At sige det er den enkelte medarbejders ansvar er simpel ansvarsforflygtigelse på ledelsesniveau.

  • 19
  • 0
#5 Allan Jensen

Jeg forstår simpelthen ikke, hvorfor der ikke er flere virksomheder der stiller krav til at sikre personoplysninger og for den sags skyld virksomhedsoplysninger. De prøver, at følge GDPR og så tror de, at de er undskyldt når de bruger Microsofts Cloud....fordi det gør alle de andre virksomheder jo også. Mange private virksomheder og det offentlige bruger næsten udelukkende Microsofts produkter. Og jeg har indtrykket af, at de ikke ved eller direkte ignorerer andre produkter end Microsofts. For i stedet for at bruge Teams, Zoom, Skype og alle de andre kan man kan bruge Jitsi Meet, som videokonference møder selvom man udelukkende bruger Microsoft som infrastruktur. Og så er der nogen der nok vil sige, jamen så bruger vi jo bare Jitsi' online platform og så er det jo bare dem der overvåger hele videomødet i stedet for Microsoft. Jo, det er rigtigt, hvis man benytter sig af jitsi.org.

Men Jitsi er Open Source og kan frit installeres på egen server internt i virksomheden. Jeg tænker der må vel sidde en hel masse vidende IT folk ude i de forskellige virksomheder, som kender til Jitsi' eksistens og at man kan installerer det på egen server og have sin videomøder i fred. Men måske kender de også kun til Microsoft nu hvor de ikke bliver lønnet for andet.

Og så er der nok nogen der vil sige, at brugerne er sikret med private samtaler fordi de forskellige udbydere tilbyder end-to-end kryptering i videomøderne. Men så vidt jeg ved kan en server da ikke behandle krypteret videotrafik uden først lige at dekrypterere det og krypterere det igen før det bliver sendt videre. Og så ryger hele ideen med at det er end-to-end krypteret.

Så derfor kør udelukkende egen videokonference server for at bevare virksomhedens fortrolige informationer, samt personoplysninger.

  • 9
  • 1
#8 Sune Marcher

Og så er der nok nogen der vil sige, at brugerne er sikret med private samtaler fordi de forskellige udbydere tilbyder end-to-end kryptering i videomøderne. Men så vidt jeg ved kan en server da ikke behandle krypteret videotrafik uden først lige at dekrypterere det og krypterere det igen før det bliver sendt videre.

Nu har jeg ikke studeret hvordan de forskellige videoapp protokoller er skruet sammen, men det er ikke umuligt at designe så serveren ikke får ukrypteret data – men det kræver naturligvis mere end TLS, og der er visse metadata du ikke slipper for at serveren har kendskab til.

  • 1
  • 0
#10 Morten Birkelund

Det er må ingen måde nødvendigt at udstille hele sit AD man kan selv bestemme hvilke felter som skal synkroniseres med Azure AD, yderligere kan Teams sættes op så fildeling og andre uhensigtsmessige ting ikke kan gøres.

Det giver så et Teams som er lidt begrænset i funktionalitet men det virker stadig fint til måder.

Og uanset hvor data ligger skal der passes på det, en hacker er ret ligeglad med hvilket land serveren står i.

  • 2
  • 3
Log ind eller Opret konto for at kommentere