Leder

Det er uforståeligt, at man kan lække følsom persondata, uden at det får konsekvenser

Alvoren i det svenske datalæk stod klar før mandagens pressemøde, hvor statsminister Stefan Löfven forsøgte at redde sine ministre, ja, potentielt hele sin regering fra et mistillidsvotum i Riksdagen

Alvoren i det svenske datalæk stod klar før mandagens pressemøde, hvor statsminister Stefan Löfven forsøgte at redde sine ministre, ja, potentielt hele sin regering fra et mistillidsvotum i Riksdagen

Patrik Österberg

26. juli 2017

Udliciteringen af data i den svenske Transportstyrelse var tænkt som en smart sparefinte, men er endt som den største trussel mod rigets sikkerhed i nyere tid.

Østeuropæiske IBM-teknikere uden sikkerhedsgodkendelse har siden 2015 haft adgang til tophemmelige data. Det drejer sig blandt andet om registre over svenske jagerpiloters private adresser, samt lister, der gør det muligt at identificere hemmelige efterretningsagenter.

Også tekniske informationer om broer og vejes bæreevne har været tilgængelige, hvilket kan synes ligegyldigt, men er vital viden for fjender i tilfælde af en militær invasion.

Alvoren i datalækket stod klar før mandagens pressemøde, hvor statsminister Stefan Löfven forsøgte at redde sine ministre, ja, potentielt hele sin regering fra et mistillidsvotum i Riksdagen. Om det lykkes, er i skrivende stund uvist. Til gengæld står det klart, at skandalen ifølge Löfven bør føre til et opgør med den udliciteringslogik, der har regeret det offentlige Sverige de senere år.

»Den lange periode med privatisering og outsourcing ligger bag os,« konkluderede statsministeren.

Sveriges regering planlægger at fremsætte et lovforslag, der skal styrke kontrollen med udlicitering af statslige opgaver, der hidrører svenske borgeres private data.

Det er betimeligt. Skandalen er resultatet af sjusket udlicitering til IBM. Trods advarsler skubbede Transportstyrelsens generaldirektør på for at fravige lovkravet om sikkerhedsgodkendelse af IBM’s ansatte.

Hvorfor hun havde så travlt, at hun var klar til at bryde loven, er ikke udtømmende afdækket. Man må formode, at generaldirektøren har bekymret sig om mulige flaskehalse i privatiseringsøvelsen, som ville frarøve hende de sparegevinster, der er kerneargumentet for at udflytte følsomme svenske data til IBM’s serverparker i Rumænien og Serbien.

Onsdag kunne Information afdække, at flere regioner stadig anvender Windows XP, som i weekenden blev ramt af det verdensomspændende cyberangreb ved navn Wannacry. I Region Midtjylland har man cirka 5.000 maskiner med det sårbare system, der befinder sig på hospitalerne og indgår i den daglige drift, mens de samtidig er på nettet. Arkivfoto
Læs også

Danmark bør lære af Sveriges dyrt købte erfaringer. Selv om skandalen i Transportstyrelsen er unik, fordi den er så ekstrem, er den også udtryk for en farlig blanding af privatiseringsiver og manglende offentlig kontrol. Mekanismer, der også i Danmark har ført til et væld at dataskandaler.

I juni blev det afsløret, at KMD’s it-system har været utæt i 12 år, hvor det har været muligt at få adgang til danskeres navne og cpr-numre i 80 kommuner. I marts lækkede SKAT's IT-leverandør CSC flere CPR-numre og skatteoplysninger. Det var anden gang for CSC, der i juli 2014 lækkede 900.000 danskeres CPR-oplysninger fra den såkaldte Robinson-liste. Nårh nej, det var tredje gang for CSC, der i april 2012 fik hacket 19 gigabyte data, herunder CPR-numre, Schengen-registret og fire millioner danskeres kørekortoplysninger. CSC’s sikkerhedssystemer blev efterfølgende kritiseret for at være alvorligt mangelfulde.

Det er uforståeligt, at man kan lække følsom persondata, uden at det får konsekvenser. Den så vidt vides eneste straf til CSC i nyere tid er en bøde på 6,7 mio. kr. i 2012 for at have underbetalt 74 indiske medarbejdere i Danmark. Dårlig databehandling straffes med et skuldertræk. CSC, der for nylig skiftede navn til DXC Technology, driver fortsat omtrent 200 databaser for det offentlige.

Den ny persondatalov fra EU, som træder i kraft 24. maj 2018, skal derfor hilses velkommen. I tilfælde af datalæk skal virksomheder fremover kunne straffes med bøder på op til 20 mio. euro.

Ved et pressemøde mandag lovede den svenske statsminister, Stefan Löfven, at regeringen vil foretage en undersøgelse af hele sagsforløbet omkring Transportstyrelsens udlicitering. Desuden vil den fremsætte ny lovgivning, der skal stramme it-sikkerheden i Sverige.
Læs også

Udmærket – men hvad med det offentliges ansvar? Svenskernes problem startede jo med en fiks idé hos en embedsmand. Og hidtil har danske myndigheder ikke udvist nogen villighed til at sanktionere private it-udbydere. Man formoder, at også embedsværket skal åndes i nakken, før sikkerheden tages alvorligt.

I denne måned sendte Justitsministeriet så et lovforslag i høring, som fortolker persondataloven i en dansk kontekst. Desværre tager forslaget ikke stilling til, hvorvidt offentlige myndigheder også skal kunne idømmes bøder for at bryde tilsynspligten. Men det bør de.

Der er blot en måned siden, at Datatilsynet kritiserede alle regioner og 16 kommuner for mangelfuld databeskyttelse. Ingen kontrollerede, om de virksomheder, der varetog borgernes data, levede op til datasikkerhedsreglerne. Og så er højere bødestraffe til det private næsten omsonst.

Så længe myndighederne ikke tvinges til at føre tilsyn med it-firmaerne, og så længe firmaerne ustraffet kan lække private borgers data, vil hverken det offentlige eller det private tage borgernes sikkerhed alvorligt. Og så risikererer vi at ende med svenske tilstande.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

  • lars søgaard-jensen
  • Torben K L Jensen
  • Espen Bøgh
  • Carsten Munk
  • Eva Schwanenflügel
  • Niels Duus Nielsen
  • ingemaje lange
  • Hans Larsen
lars søgaard-jensen, Torben K L Jensen, Espen Bøgh, Carsten Munk, Eva Schwanenflügel, Niels Duus Nielsen, ingemaje lange og Hans Larsen anbefalede denne artikel

Kommentarer

Dorte Sørensen

Ja det virker helt grotesk ,at et flertal af Christiansborgs politikere hurtigt stemte for at give tiggere 14 dages ubetinget fængsel, når de ikke kan se at fejl i forbindelse med "vore" data ikke skal straffes.
Tænk at tiggeri ved et supermarkedet er værre end løsagtig omgang med "vore" data.

Jette M. Abildgaard, Ken Sass, Bjarne Andersen, lars søgaard-jensen, Hans Larsen, Per Nielsen, kjeld jensen, Mikkel Kristensen, Torben Arendal, Bjarne Bisgaard Jensen, Peter Wulff, Niki Dan Berthelsen, Torben K L Jensen, Carsten Munk, Eva Schwanenflügel, ingemaje lange, Torben Bruhn Andersen, David Zennaro og Lise Lotte Rahbek anbefalede denne kommentar

Hvorfor skulle det nytte at idømme offentlige virksomheder bøder for at bryde tilsynspligten? Det er jo alligevel bare skatteborgerne, der kommer til at betale de bøder - hvor skulle pengene ellers komme fra?

Hvis man vil lave sanktioner, der er effektive, skal man naturligvis gøre et PERSONLIGT ansvar gældende overfor den eller dem, der er ansvarlig for overtrædelsen. Med andre ord, lade dem betale bøderne af egen lomme. Det vil helt sikkert have en gavnlig præventiv effekt.

Erik Karlsen, lars søgaard-jensen, Flemming Berger, Steen K Petersen, Bjarne Bisgaard Jensen, Johnny Winther Ronnenberg, Torben K L Jensen, Torben Skov, Carsten Munk, Susanne Andersen, Eva Schwanenflügel og Niels Duus Nielsen anbefalede denne kommentar
niels astrup

Jeg tror Danmark har præcis de samme problemer som Sverige. Vi har bare ikke kigget efter.

Der er sagen om kineserne som arbejdede for TDC- selvom andre lande nægtede at lade dem komme i nærheden af kritisk infrastruktur:

https://www.version2.dk/artikel/huawei-ansatte-ved-foelsom-tdc-kommandoc...

Eller tilladelsen til at de mest reaktionære amerikanske republikanere købte Nets:

http://www.dr.dk/nyheder/penge/mitt-romneys-guldaeg-og-de-haarde-drenge-...

Eller foræringen af rejsekortet til den franske våbenproducent Thales Group:

http://www.business.dk/transport/rejsekortet-koster-fransk-producent-ove...

Erik Karlsen, Runa Lystlund, Flemming Berger, Mikkel Kristensen, Kim Houmøller, kjeld jensen, Torben Skov, Susanne Andersen, Eva Schwanenflügel, Niels Duus Nielsen, Hans Larsen og Jesper Frimann Ljungberg anbefalede denne kommentar
Jesper Frimann Ljungberg

Jeg synes der er nogle fundamentale ting som forfatteren ikke har forstået.

"Så længe myndighederne ikke tvinges til at føre tilsyn med it-firmaerne"

Det offentlige fører tilsyn, via revisions rapporter af deres systemer. Man prøver at skrive kontrakter med kontrol muligheder etc. etc. Det drejer sig ikke om tilsyn men om ansvar. Så længe man ikke stilles til ansvar, så er det lige meget. Man kan ikke outsource ansvaret. Det er det man prøver på, for revisions rapporterne som det offentlige får lavet, laves af revisions firmaer. Man prøver i meget høj grad at fralægge sig ansvaret.

"og så længe firmaerne ustraffet kan lække private borgers data, vil hverken det offentlige eller det private tage borgernes sikkerhed alvorligt. "
Igen så er det det offentliges ansvar, at deres data ikke lækkes. De private virksomheder er bare underleverandører. Man skal også huske på at de systemer (eller i det mindste de fleste), som har været omtalt i f.eks. Hacker sagen, og det KMD system der omtales i Lederen, er systemer som er lavet mens KMD og DataCentralen var offentligt ejet. Og hvis man ikke i kontrakten med de nu solgte gamle offentlig virksomheder har krav om øget sikkerhed.. så er det der jo ikke.

"Og så risikererer vi at ende med svenske tilstande."

Vi har langt langt værre tilstande en sverige. DET ER MEGET MEGET VÆRRE.

// Jesper

Bjarne Andersen, Erik Karlsen, Flemming Berger, Kim Houmøller, kjeld jensen, Johnny Winther Ronnenberg, Torben Skov, Susanne Andersen, Eva Schwanenflügel og Niels Duus Nielsen anbefalede denne kommentar
Eva Schwanenflügel

Det er det, jeg længe har frygtet; Danmark er solgt for en slik til stanglakrids :-(

kjeld jensen, Torben K L Jensen og Torben Skov anbefalede denne kommentar
Jesper Frimann Ljungberg

@Kurt Loftkjær
Det er efter min mening fordi man har en helt forkert indstilling til data i det 'offentlige'. Man mener at data om personer er 'det offentliges' data. Det er det efter min mening ikke. Dine data.. er dine data. Det offentlige (inklusive politiet) skal så have 'ret' til adgang og brug af dine data, hvis man har en valid grund til det.
Jeg tror ved at vende tallerkenen rundt på den måde kunne sikre både at data kunne bruges mere aktivt alt imens man i så høj grad som muligt sikrer borgernes sikkerhed og privatliv.

// Jesper

Lise Lotte Rahbek, Henrik Brøndum, Jens Winther, Bjarne Andersen, Erik Karlsen, lars søgaard-jensen, Michael Hullevad, Flemming Berger, Eva Schwanenflügel, Susanne Andersen og Torben Skov anbefalede denne kommentar
Henrik Brøndum

Der er selvfølgelig en risiko ved at give data indsigt til en fremmed magt. Jeg personlig har dog aldrig oplevet større løft i professionalismen, end da et datacenter hvor jeg arbejdede med applikationerne blev flyttet fra Oslo til Bulgarien.

Henrik Brøndum

I øvrigt også interessant at se hvordan de mest succesfulde virksomheder i IT-branchen, gladeligt holder en stor del af deres aktiviteter i Silicon Valley, London og i Danmark i Viborg, Åbenrå og Odense!

Lønniveauet er højt disse steder og det er attraktivt at arbejde for disse firmaer. Gad vide hvorfor det offentlige i så stort omfang anvender branchens sølv- og broncevindere som CSC, KMD, IBM etc. med deres tilhørende outsourcede arbejdskraft i lavtlønsområder. Måske var det billigere for det offentlige at betale en selvdreven stjernemedarbejder en høj løn i Danmark, få en del tilbage i skat, end at rode rundt med knap så kvalificerede i udlandet via en bogreol fuld af kontrakter?

lars søgaard-jensen, Michael Hullevad, kjeld jensen, Bjarne Bisgaard Jensen, Johnny Winther Ronnenberg og Helene Kristensen anbefalede denne kommentar
Jesper Frimann Ljungberg

@Henrik Brøndum
"hvor jeg arbejdede med applikationerne blev flyttet fra Oslo til Bulgarien."

Faglighed og kompetence er ikke geografisk bestemt, der er dygtige folk i hele verden.
Dog må jeg sige, at i lande med stor lighed, der er % delen af kompetente folk som regel større, da det ikke i så høj grad er klasse, race eller køns bestemt hvem der får lov til at uddanne sig.

"Måske var det billigere for det offentlige at betale en selvdreven stjernemedarbejder en høj løn i Danmark, få en del tilbage i skat, end at rode rundt med knap så kvalificerede i udlandet via en bogreol fuld af kontrakter?"
Ja. det er kanon meget billigere. Husk på at en krone brugt på en medarbejde i Danmark, for det offentlige betyder at 70-80% kommer ind igen via skatter, afgifter etc. etc. Hvis man ligger en TCO betragtning for dette som 'det offentlige' er brug af Dansk arbejdskraft en 'nobrainer'.

Men stadig.. så er den bedste offentlige krone, en brugt på varme hænder og ydelser. Ikke en brugt på kolde IT fingre der taster på et tastatur.

// Jesper

Jonathan Smith, Michael Hullevad, Flemming Berger, Torben Arendal, Kim Houmøller, Per Nielsen, kjeld jensen og Eva Schwanenflügel anbefalede denne kommentar
Eva Schwanenflügel

Jesper Frimann, godt skrevet. Jeg har et nært familiemedlem i dansk IT-regi, og han siger nøjagtigt det samme som du.

Nils Bøjden

"Hvorfor skulle det nytte at idømme offentlige virksomheder bøder for at bryde tilsynspligten? "

Man skal ikke gøre offentlige virksomheder ansvarlige. Man skal gøre personer ansvarlige. Ligesom med private firmaer.

Hvis alle har ansvaret (som i det offentlige har ansvaret) er der ingen der har ansvaret.

lars søgaard-jensen, Michael Hullevad, Hans Larsen og Eva Schwanenflügel anbefalede denne kommentar
Eva Schwanenflügel

Nemlig. Embedsmændene/kvinderne skal mærkværdigvis ikke stilles til ansvar, dvs straffes, hvis de laver noget virkeligt gak-gak. De bliver på forunderlig vis fritstillet til tonerne af flere hundrede tusinde kroner i flere år frem. Mens ganske almindelige lønmodtagere må i kø for at få hjælp.

Kim Houmøller, Michael Hullevad og Hans Larsen anbefalede denne kommentar
Christian Lucas

Godt Nyt and de vil stoppe tankeløs, ideologisk udlicitering. Vil Venstre lytte? Nej, de vil lave en double down på spin og vildledning.

Nils Bøjden

Det er fuldstændigt ligegyldigt om drift at systemerne er udliciteret eller ej. På en lang række områder er det endda at foretrække at det er en privat virksomhed der håndterer drift, da man kan retsforfølge personer og firmer i den private sektor hvis de ikke overholder de love og regler der beskriver datadisciplinen.

Hvad der skal til er en ny måde at anskue data på.

1. Persondata i det offentliges regi skal tilhøre den enkelte borger.
1. Alle data skal krypteres
3. De-kryptering kan kun ske after aftale med data ejeren (love kan selvfølgelig tvinge de-kryptering)
4. Alle data skal inkluderes i en token strategi (tid, kontext, geografi osv)
5. Ejeren skal til enhver tid kunne se hvem der har tilgået data

Jan Nielsen, Eva Schwanenflügel og Jesper Frimann Ljungberg anbefalede denne kommentar
Jesper Frimann Ljungberg

@Nils Bøjden

Lige præcis. Men du glemmer, at det offentlige skal have kompetencen til at gennemskue fagligheden i IT. Det regime der kører i øjeblikket med embedsmænd, der ikke føler ansvar og outsourcer (i deres egne øjne) ansvaret til konsulent firmaer m.m. er bare ikke holdbart.

// Jesper

Jerrik Warfvinge

... men lige pludselig er der en, der ved en fejl er kommet til at dele alle fingeraftrykkene med Indien ...
- Jerrik -

Jesper Frimann Ljungberg

@Jerrik Warfvinge

Hvorfra ved du, at dette ikke allerede er sket ?
Husk på at dine fingeraftryk ligger på dit pas. Så alle lande du har været rejst i har potentielt dine data. Og nu hvor lande som USA forlanger bio data på dit pas, så giver det jo kun mening, hvis de har adgang til den danske database med pasoplysninger (eller en kopi), som de kan matche dit pas op mod.

Tjaaaa ja..

// Jesper

// Jesper