Gammel Opinion
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Eneste redning: Anstændighed

Data-læk: Se og Hør-skandalen har forarget mange, men den slags sager er set før, og der vil komme mange flere i fremtiden.

De rystede alle opgivende på hovedet, mine it-direktørkollegaer fra store offentlige og private virksomheder, da vi mødtes i vores netværk den forgangne uge. Årsagen var de mange forargede reaktioner der prægede overskrifterne om Nets’ Se og Hør skandale. For det er langt fra første gang, at følsomme data bliver lækket, og det bliver næppe den sidste. Ved de.

It-systemer og processerne omkring dem er skabt af mennesker. Derfor indeholder de fejl, der kan udnyttes. Enten af insidere som i Nets-skandalen, eller af indbrudstyve som i CSC-sagen for under et år siden. Risikoen kan mindskes ved rettidig omhu og tilstrækkelige investeringer, men helt forsvinde kan den aldrig. I denne uge kom det da også frem, at ansatte hos SAS, Navair og Rigshospitalet også havde sendt fortrolige oplysninger til Se og Hør. De bliver næppe de sidste. For at understrege dette budskab stjal en hacker-gruppe meget følsomme data fra skyldnerregisteret RKI og overdragede dem til Politiken. Som en demonstration af ” hvor meget sikkerheden halter”, som de skrev.

Men i fremtiden bliver den slags datalækager endnu sværere at forebygge og afsløre, i takt med at it-driftsopgaver bliver globaliseret og i takt med at it-tjenester leveret via internettet bliver almindelige.

Langt fra første gang

Nets-skandalen er usædvanlig ved sit omfang, både i varighed og i mængden af personer og organisationer, som burde have stoppet den. Men ellers ikke. Det er set mange gange før, at det ikke er den datasansvarlige eller deres driftsleverandør, som opdager sikkerhedsproblemer. Som da hackeren Gottfrid Svartholm Warg havde brudt ind i nogle af Politiets systemer. Her var det hverken Politiet eller deres it-leverandør CSC, som opdagede it-indbruddet. Det var det svenske politi, som advarede det danske politi, da de efterforskede Wargs datakriminalitet i svenske datacentraler.  Ser man på globale erfaringer er billedet det samme: It-indbrud eller lækager kan være uopdagede i årevis.

Det har aldrig været muligt at undgå datalækager, og det bliver sværere i fremtiden. Selvom straffen for datatyveri er hård, vil der altid være nogen, som vil tage chancen.

Per Palmkvist Knudsen, , it-direktør i JP/Politikens Hus

Årsagen er enkel: Selvom der i alle it-systemer dannes store mængder logs, kan it-specialister med tilstrækkeligt mange rettigheder skjule deres spor. Derudover kan det være vanskeligt at afsløre unormal adfærd, selv om man har avancerede systemer til formålet. Forskellen mellem ulovlige handlinger og helt legitime opgaver kan være lille.

Opmærksom ledelse nødvendig

Det mest effektive værn mod datamisbrug er derfor opmærksom og god ledelse, der konsekvent handler, når noget er forkert. Som inden for sundhedsvæsenet, hvor sundhedsprofessionelle altid bliver politi-anmeldt af National Sundheds-it, hvis de læser oplysninger i det Fælles Medicinkort, de ikke må. Det sker fem-ti gange om året om året, fordi patienter undrer sig over deres log på Sundhed.dk eller pga stikprøver udført af myndigheden. Grundlaget er skabt af politikerne, som har skrevet denne regel ind i særloven, der regulerer området.

Men denne slags spor kan som skrevet fjernes af it-eksperter. Derfor er det også afgørende at de ansvarlige ledere for it-specialisterne holder øje med deres ansattes adfærd og baggrund. Både når de ansættes, og mens de er ansat. Det bliver imidlertid sværere – i takt med globaliseringen af it-drift.

Global udfordring

Det bliver mere og mere almindeligt, at danske virksomheder som TDC og store IT-selskaber som IBM flytter it-specialistopgaverne fra Danmark til lavtlønsområder i Østeuropa, Kina eller Indien. For på den måde at holde omkostningerne nede.  Det gør det mere vanskeligt - fra Danmark - at spotte en medarbejder, som pludselig har lidt for mange penge, eller udviser anden mistænkelig adfærd.  

Men udviklingen stopper ikke der: Fremtiden er fyldt af it levereret via internettet, hvor det ikke altid er klart, hvor data er gemt, endsige hvem der har tilgang til dem. Et simpelt eksempel: Min Apple-telefon har fået en ny facilitet, jeg på ingen måde har bedt om eller bevidst tilladt. Den medfører, at der er kommet en dagsoversigt, der let aktiveres, selv når telefonen er låst. Her vises dagens vejr, aktiekurser og andre slags uskadelige oplysninger. Men også information som ”Lige nu burde det tage 38 minutter at køre hjem”. Hvor ved min telefon fra hvor jeg bor? Det ved den bare - åbenbart. Den forholder sig også detaljeret til min kalender. Fx kan den finde på at skrive: ”I morgen ser travl ud. Der er planlagt 17 begivenheder, den første starter kl 8”.  Alt sammen data, som sikkert vil kunne målrette annoncer til mig. Men også data, som i omfang får Nets-sagens informationer til at ligne barnemad. Uden at jeg ved hvor de er gemt, eller hvem der har adgang til dem.

EU forsøger at dæmme op for denne udvikling i det kommende Databeskyttelsesforordning. Men den kan blive svær at håndhæve i en global verden. Det viste en dom for nylig, hvor Microsoft af en amerikansk dommer blev pålagt at udlevere data, selvom disse var gemt hos virksomhedens irske datterselskab. Alligevel blev Microsofts cloud-kontrakter, som nogle af de første, blå-stemplet efter tre års grundige eftersyn af det såkaldte Article 29 Working Party, der repræsenterer de 28 nationale datatilsyn i EU.

Vigtigste lektie

Konklusionen er rystende enkel: Det har aldrig været muligt at undgå datalækager, og det bliver sværere i fremtiden. Selvom straffen for datatyveri er hård, vil der altid være nogen, som vil tage chancen. Så længe der er nogen, er villige til at bruge eller betale for den slags oplysninger. Lige som indbrudstyve bryder ind i folks boliger, fordi alt for mange er villige til at købe stjålne varer.

Dermed er Nets-sagen på alle måder også en Se-og-Hør-skandale. Men det bliver næppe den sidste. Det bør alle data-ansvarlige huske, og prøve at undgå. Også når de overvejer at udflage it-specialistopgaver.

Læs også
Top job