Udliciteringen af data i den svenske Transportstyrelse var tænkt som en smart sparefinte, men er endt som den største trussel mod rigets sikkerhed i nyere tid.
Østeuropæiske IBM-teknikere uden sikkerhedsgodkendelse har siden 2015 haft adgang til tophemmelige data. Det drejer sig blandt andet om registre over svenske jagerpiloters private adresser, samt lister, der gør det muligt at identificere hemmelige efterretningsagenter.
Også tekniske informationer om broer og vejes bæreevne har været tilgængelige, hvilket kan synes ligegyldigt, men er vital viden for fjender i tilfælde af en militær invasion.
Alvoren i datalækket stod klar før mandagens pressemøde, hvor statsminister Stefan Löfven forsøgte at redde sine ministre, ja, potentielt hele sin regering fra et mistillidsvotum i Riksdagen. Om det lykkes, er i skrivende stund uvist. Til gengæld står det klart, at skandalen ifølge Löfven bør føre til et opgør med den udliciteringslogik, der har regeret det offentlige Sverige de senere år.
»Den lange periode med privatisering og outsourcing ligger bag os,« konkluderede statsministeren.
Sveriges regering planlægger at fremsætte et lovforslag, der skal styrke kontrollen med udlicitering af statslige opgaver, der hidrører svenske borgeres private data.
Det er betimeligt. Skandalen er resultatet af sjusket udlicitering til IBM. Trods advarsler skubbede Transportstyrelsens generaldirektør på for at fravige lovkravet om sikkerhedsgodkendelse af IBM’s ansatte.
Hvorfor hun havde så travlt, at hun var klar til at bryde loven, er ikke udtømmende afdækket. Man må formode, at generaldirektøren har bekymret sig om mulige flaskehalse i privatiseringsøvelsen, som ville frarøve hende de sparegevinster, der er kerneargumentet for at udflytte følsomme svenske data til IBM’s serverparker i Rumænien og Serbien.
Danmark bør lære af Sveriges dyrt købte erfaringer. Selv om skandalen i Transportstyrelsen er unik, fordi den er så ekstrem, er den også udtryk for en farlig blanding af privatiseringsiver og manglende offentlig kontrol. Mekanismer, der også i Danmark har ført til et væld at dataskandaler.
I juni blev det afsløret, at KMD’s it-system har været utæt i 12 år, hvor det har været muligt at få adgang til danskeres navne og cpr-numre i 80 kommuner. I marts lækkede SKAT's IT-leverandør CSC flere CPR-numre og skatteoplysninger. Det var anden gang for CSC, der i juli 2014 lækkede 900.000 danskeres CPR-oplysninger fra den såkaldte Robinson-liste. Nårh nej, det var tredje gang for CSC, der i april 2012 fik hacket 19 gigabyte data, herunder CPR-numre, Schengen-registret og fire millioner danskeres kørekortoplysninger. CSC’s sikkerhedssystemer blev efterfølgende kritiseret for at være alvorligt mangelfulde.
Det er uforståeligt, at man kan lække følsom persondata, uden at det får konsekvenser. Den så vidt vides eneste straf til CSC i nyere tid er en bøde på 6,7 mio. kr. i 2012 for at have underbetalt 74 indiske medarbejdere i Danmark. Dårlig databehandling straffes med et skuldertræk. CSC, der for nylig skiftede navn til DXC Technology, driver fortsat omtrent 200 databaser for det offentlige.
Den ny persondatalov fra EU, som træder i kraft 24. maj 2018, skal derfor hilses velkommen. I tilfælde af datalæk skal virksomheder fremover kunne straffes med bøder på op til 20 mio. euro.
Udmærket – men hvad med det offentliges ansvar? Svenskernes problem startede jo med en fiks idé hos en embedsmand. Og hidtil har danske myndigheder ikke udvist nogen villighed til at sanktionere private it-udbydere. Man formoder, at også embedsværket skal åndes i nakken, før sikkerheden tages alvorligt.
I denne måned sendte Justitsministeriet så et lovforslag i høring, som fortolker persondataloven i en dansk kontekst. Desværre tager forslaget ikke stilling til, hvorvidt offentlige myndigheder også skal kunne idømmes bøder for at bryde tilsynspligten. Men det bør de.
Der er blot en måned siden, at Datatilsynet kritiserede alle regioner og 16 kommuner for mangelfuld databeskyttelse. Ingen kontrollerede, om de virksomheder, der varetog borgernes data, levede op til datasikkerhedsreglerne. Og så er højere bødestraffe til det private næsten omsonst.
Så længe myndighederne ikke tvinges til at føre tilsyn med it-firmaerne, og så længe firmaerne ustraffet kan lække private borgers data, vil hverken det offentlige eller det private tage borgernes sikkerhed alvorligt. Og så risikererer vi at ende med svenske tilstande.
Ja det virker helt grotesk ,at et flertal af Christiansborgs politikere hurtigt stemte for at give tiggere 14 dages ubetinget fængsel, når de ikke kan se at fejl i forbindelse med "vore" data ikke skal straffes.
Tænk at tiggeri ved et supermarkedet er værre end løsagtig omgang med "vore" data.
Hvorfor skulle det nytte at idømme offentlige virksomheder bøder for at bryde tilsynspligten? Det er jo alligevel bare skatteborgerne, der kommer til at betale de bøder - hvor skulle pengene ellers komme fra?
Hvis man vil lave sanktioner, der er effektive, skal man naturligvis gøre et PERSONLIGT ansvar gældende overfor den eller dem, der er ansvarlig for overtrædelsen. Med andre ord, lade dem betale bøderne af egen lomme. Det vil helt sikkert have en gavnlig præventiv effekt.
Jeg tror Danmark har præcis de samme problemer som Sverige. Vi har bare ikke kigget efter.
Der er sagen om kineserne som arbejdede for TDC- selvom andre lande nægtede at lade dem komme i nærheden af kritisk infrastruktur:
https://www.version2.dk/artikel/huawei-ansatte-ved-foelsom-tdc-kommandoc...
Eller tilladelsen til at de mest reaktionære amerikanske republikanere købte Nets:
http://www.dr.dk/nyheder/penge/mitt-romneys-guldaeg-og-de-haarde-drenge-...
Eller foræringen af rejsekortet til den franske våbenproducent Thales Group:
http://www.business.dk/transport/rejsekortet-koster-fransk-producent-ove...
Jeg synes der er nogle fundamentale ting som forfatteren ikke har forstået.
"Så længe myndighederne ikke tvinges til at føre tilsyn med it-firmaerne"
Det offentlige fører tilsyn, via revisions rapporter af deres systemer. Man prøver at skrive kontrakter med kontrol muligheder etc. etc. Det drejer sig ikke om tilsyn men om ansvar. Så længe man ikke stilles til ansvar, så er det lige meget. Man kan ikke outsource ansvaret. Det er det man prøver på, for revisions rapporterne som det offentlige får lavet, laves af revisions firmaer. Man prøver i meget høj grad at fralægge sig ansvaret.
"og så længe firmaerne ustraffet kan lække private borgers data, vil hverken det offentlige eller det private tage borgernes sikkerhed alvorligt. "
Igen så er det det offentliges ansvar, at deres data ikke lækkes. De private virksomheder er bare underleverandører. Man skal også huske på at de systemer (eller i det mindste de fleste), som har været omtalt i f.eks. Hacker sagen, og det KMD system der omtales i Lederen, er systemer som er lavet mens KMD og DataCentralen var offentligt ejet. Og hvis man ikke i kontrakten med de nu solgte gamle offentlig virksomheder har krav om øget sikkerhed.. så er det der jo ikke.
"Og så risikererer vi at ende med svenske tilstande."
Vi har langt langt værre tilstande en sverige. DET ER MEGET MEGET VÆRRE.
// Jesper
Det er det, jeg længe har frygtet; Danmark er solgt for en slik til stanglakrids :-(
Pendulsvigt i datakontol
Igen må vi konstatere i elektroniske data er ud af kontrol. Læs min helt egen historie om tab af data pga. manglende sikkerhed og kontrol i politiet.
https://www.information.dk/indland/2007/12/rette-angrebet-familie
@Kurt Loftkjær
Det er efter min mening fordi man har en helt forkert indstilling til data i det 'offentlige'. Man mener at data om personer er 'det offentliges' data. Det er det efter min mening ikke. Dine data.. er dine data. Det offentlige (inklusive politiet) skal så have 'ret' til adgang og brug af dine data, hvis man har en valid grund til det.
Jeg tror ved at vende tallerkenen rundt på den måde kunne sikre både at data kunne bruges mere aktivt alt imens man i så høj grad som muligt sikrer borgernes sikkerhed og privatliv.
// Jesper
Der er selvfølgelig en risiko ved at give data indsigt til en fremmed magt. Jeg personlig har dog aldrig oplevet større løft i professionalismen, end da et datacenter hvor jeg arbejdede med applikationerne blev flyttet fra Oslo til Bulgarien.
I øvrigt også interessant at se hvordan de mest succesfulde virksomheder i IT-branchen, gladeligt holder en stor del af deres aktiviteter i Silicon Valley, London og i Danmark i Viborg, Åbenrå og Odense!
Lønniveauet er højt disse steder og det er attraktivt at arbejde for disse firmaer. Gad vide hvorfor det offentlige i så stort omfang anvender branchens sølv- og broncevindere som CSC, KMD, IBM etc. med deres tilhørende outsourcede arbejdskraft i lavtlønsområder. Måske var det billigere for det offentlige at betale en selvdreven stjernemedarbejder en høj løn i Danmark, få en del tilbage i skat, end at rode rundt med knap så kvalificerede i udlandet via en bogreol fuld af kontrakter?
@Henrik Brøndum
"hvor jeg arbejdede med applikationerne blev flyttet fra Oslo til Bulgarien."
Faglighed og kompetence er ikke geografisk bestemt, der er dygtige folk i hele verden.
Dog må jeg sige, at i lande med stor lighed, der er % delen af kompetente folk som regel større, da det ikke i så høj grad er klasse, race eller køns bestemt hvem der får lov til at uddanne sig.
"Måske var det billigere for det offentlige at betale en selvdreven stjernemedarbejder en høj løn i Danmark, få en del tilbage i skat, end at rode rundt med knap så kvalificerede i udlandet via en bogreol fuld af kontrakter?"
Ja. det er kanon meget billigere. Husk på at en krone brugt på en medarbejde i Danmark, for det offentlige betyder at 70-80% kommer ind igen via skatter, afgifter etc. etc. Hvis man ligger en TCO betragtning for dette som 'det offentlige' er brug af Dansk arbejdskraft en 'nobrainer'.
Men stadig.. så er den bedste offentlige krone, en brugt på varme hænder og ydelser. Ikke en brugt på kolde IT fingre der taster på et tastatur.
// Jesper
Jesper Frimann, godt skrevet. Jeg har et nært familiemedlem i dansk IT-regi, og han siger nøjagtigt det samme som du.
"Hvorfor skulle det nytte at idømme offentlige virksomheder bøder for at bryde tilsynspligten? "
Man skal ikke gøre offentlige virksomheder ansvarlige. Man skal gøre personer ansvarlige. Ligesom med private firmaer.
Hvis alle har ansvaret (som i det offentlige har ansvaret) er der ingen der har ansvaret.
Nemlig. Embedsmændene/kvinderne skal mærkværdigvis ikke stilles til ansvar, dvs straffes, hvis de laver noget virkeligt gak-gak. De bliver på forunderlig vis fritstillet til tonerne af flere hundrede tusinde kroner i flere år frem. Mens ganske almindelige lønmodtagere må i kø for at få hjælp.
Godt Nyt and de vil stoppe tankeløs, ideologisk udlicitering. Vil Venstre lytte? Nej, de vil lave en double down på spin og vildledning.
Det er fuldstændigt ligegyldigt om drift at systemerne er udliciteret eller ej. På en lang række områder er det endda at foretrække at det er en privat virksomhed der håndterer drift, da man kan retsforfølge personer og firmer i den private sektor hvis de ikke overholder de love og regler der beskriver datadisciplinen.
Hvad der skal til er en ny måde at anskue data på.
1. Persondata i det offentliges regi skal tilhøre den enkelte borger.
1. Alle data skal krypteres
3. De-kryptering kan kun ske after aftale med data ejeren (love kan selvfølgelig tvinge de-kryptering)
4. Alle data skal inkluderes i en token strategi (tid, kontext, geografi osv)
5. Ejeren skal til enhver tid kunne se hvem der har tilgået data
@Nils Bøjden
Lige præcis. Men du glemmer, at det offentlige skal have kompetencen til at gennemskue fagligheden i IT. Det regime der kører i øjeblikket med embedsmænd, der ikke føler ansvar og outsourcer (i deres egne øjne) ansvaret til konsulent firmaer m.m. er bare ikke holdbart.
// Jesper
... men lige pludselig er der en, der ved en fejl er kommet til at dele alle fingeraftrykkene med Indien ...
- Jerrik -
@Jerrik Warfvinge
Hvorfra ved du, at dette ikke allerede er sket ?
Husk på at dine fingeraftryk ligger på dit pas. Så alle lande du har været rejst i har potentielt dine data. Og nu hvor lande som USA forlanger bio data på dit pas, så giver det jo kun mening, hvis de har adgang til den danske database med pasoplysninger (eller en kopi), som de kan matche dit pas op mod.
Tjaaaa ja..
// Jesper
// Jesper