Artikel top billede

Efter Se og Hør-skandalen: Disse virksomheder ved alt om dig

Flere private og offentlige virksomheder ved alt om dig fra dine besøg på hjemmesider, indlæggelser på hospitalet og mails fra hemmelige elskerinder. Spørgsmålet er så bare, hvordan de passer på dine allermest fortrolige data.

Hvis du ikke har noget at skjule, har du heller ikke noget at være bange for. 

Sådan har mantraet længe lydt fra fortalerne for mere overvågning - databaseret eller ej. 

Ikke desto mindre har Se og Hør-skandalen med bestikkelse af en IBM-ansat med indsigt i dankorttransaktionerne hos Nets åbnet Pandoras Æske for mere eller mindre vilde scenarier af overvågning af kendte og ukendte danskeres digitale liv. 

Hvad enten vi har noget at skjule eller ej. 

Derfor er det en politisk sag 
Computerworld har spurgt Teleindustriens direktør, Jakob Willer, om det er muligt for teleselskaberne at snage med i din og min færden på internettet via den såkaldte sessionslogning, hvor vores computeres IP-adresser samt de besøgte IP-adresser bliver loggede. 

Og her lyder svaret: Ja, den slags er muligt.

Jakob Willer indleder med at forklare, at IP-adresser relativt nemt kan oversættes til rigtige navne eller hjemmesider.

Dermed er det muligt for et teleselskab at følge med i, hvad en navngiven person hjemme i privaten har besøgt af hjemmesider i løbet af det seneste års tid. 

"På trods af, at vi ikke har haft nogen sager i lighed med Se og Hør-sagen, er der selvfølgelig en risiko for utilsigtet overvågning. For når man konstruerer disse datasæt, er der hurtigt nogen, der får en 'god' idé," lyder det fra Teleindustriens direktør. 

Her nævner han ud over Se og Hørs 'gode' idé om at bestikke en it-medarbejder med adgang til kendissers dankort-transaktioner også Skats forsøg på at bruge telelogning til at fælde danskere i udlandet, der er skattepligtige i Danmark. 

Jakob Willer pointerer i den sammenhæng, at politikerne har et stort ansvar for at fjerne den slags risici for datamisbrug ved at minimere antallet af dataindsamlinger om danskerne. 

"I teleindustrien er det dog meget tvivlsomt, at udleveringer af datasæt sker, fordi det kun er sikkerhedsgodkendt personale i de såkaldte politigrupper, der har adgang til internet-data," siger han. 

TDC strammer op alle steder 

Sikkerhedsgodkendt eller ej, så medgiver Jakob Willer samtidig, at hele Se og Hør-skandalen har givet anledning til, at stort set alle teleselskaber og andre virksomheder har måttet kigge indad og stramme op på deres interne procedurer.

Medarbejdere fyret for data-misbrug

Et af de steder er hos TDC, der ifølge selskabets kommunikationsmedarbejder Rasmus Avnskjold løbende sikkerhedsopgraderer på sine procedurer omkring selskabets databehandling. 

"Naturligvis er det svært at gardere sig mod bestikkelse, som der er tale om i Se og Hør-sagen. Vi er lovmæssigt forpligtede til at opbevare disse oplysninger (sessions- og telelogninger, red.), og hvis nogen blev bestukket, vil det i teorien kunne lade sig gøre at udlevere disse data." 

Rasmus Avnskjold fortsætter: 

"Jeg anser det for meget lidt sandsynligt, at teleoplysninger skulle blive udleveret, da det kun er et meget lille antal personer i politienheden, der har adgang til disse oplysninger. Disse personer er desuden sikkerhedsgodkendte og sidder fysisk bag låste døre i organisationen," forklarer han. 

Det handler om tillid 

Også landets hospitaler har været i søgelyset som steder, hvor der ligger endog meget fortrolige data om danskerne, herunder kendte danskeres syge- og sundhedshistorik. 

Her oplyser informations-sikkerhedskoordinator Brian Stenskrog Hansen fra Region Nordjylland, at regionens læger, sygeplejersker og andre klinikere dag og nat har brug for at kunne få adgang til patienternes journaler. 

"Derfor bygger hele vores daglige virke helt grundlæggende på tillid til, at klinikerne overholder deres tavshedspligt og lovgivningen i øvrigt i forhold til de opslag, de foretager i it-systemerne," forklarer Brian Stenskrog Hansen. 

Samtidig indskyder han, at sundhedsdata er så vigtige, at tilgangen til dem ikke alene kan være tillidsbaseret. 

"Vi har en sikkerhedsmodel, der giver en bruger adgang til at se patientens data, hvis vedkommende har en behandlerrelation til patienten," fortæller Brian Stenskrog Hansen. 

Fyret for datamisbrug 

Behandlerrelationen skal forstås som det kliniske personale, der arbejder på den afdeling, hvor patienten er i behandling. 

"En brugers adgang er gyldig, så længe brugeren arbejder på den behandlende afdeling, hvilket vil sige, at brugerens adgang til patienter på en given afdeling ophører, idet brugeren ikke længere arbejder der, eller patienten udskrives," lyder det fra Region Nordjyllands i-sikkerhedskoordinator. 

Han indskyder, at samtidig med at medarbejderne underskriver en juridisk bindende aftale om ikke at misbruge systemerne, bliver alle adgange i det elektroniske patientjournalsystem (EPJ) logget. 

"Der er log-opfølgning ved mistanke om misbrug," forklarer Brian Stenskrog Hansen blandt andet om logbrugen.

Danske Regioner oplyser i den sammenhæng om, at der på landsplan tidligere har været fyringer som følge af, at personale har slået op i patientdata uden grund.

Sådan beskytter Google dine data

Region Nordjylland afventer udfaldet i den verserende sag med datalækage mellem Se og Hør, Nets og IBM, før den vil tage stilling til, om der skal ske yderligere justeringer i dens forebyggende tiltag mod systematisk datamisbrug.

Google ved alt om dig 
Ude på internettet er der et selskab, der ved (næsten) alt om folks søge-præferencer og en hel del andet.

Det hedder Google. 

Her bliver alle dine googlinger gemt sammen med dine billeder, dokumenter og mails, hvis du ellers har en konto hos den amerikanske software-gigant.

Google oplyser til Computerworld, at på grund af den enkelte brugers datamængder på Googles servere bestræber selskabet sig også på at give brugerne et fuldt overblik og kontrol over deres egne data i et betjeningspanel

Her kan en Google-bruger blandt andet redigere og slette sit eget indhold.

"Det vigtigste i denne sammenhæng er naturligvis, at brugernes data er sikre, og at de er beskyttet fra at falde i hænderne på uvedkommende - om det så er ekskærester, sladderjournalister eller efterretningstjenester," forklarer Christine Sørensen, Googles talsperson i Danmark.

Hun fremhæver blandt andet også, at søgeselskabet oven på Snowden-afsløringerne af NSA's massive internet-overvågning er i gang med kryptering på alle sine tjenester.

Google har i den sammenhæng selv tidligere nævnt, at selskabet 'har samarbejdet med en vifte af eksperter - inklusive regerings-eksperter - for at beskytte brugerne mod cyberangreb', og at NSA-samarbejdet har været ufrivilligt og påtvunget. 

Datatab er katastrofe for Google 
Christine Sørensen fortæller, at brugernes informationer kun udleveres i særtilfælde - eksempelvis hvis en officiel myndighed med hjemmel i lovgivningen efterspørger en person, der er under mistanke for at have begået en kriminel handling.

Ifølge Google danske talsperson nægter it-selskabet ofte dataudlevering, når en myndigheds henvendelse har hvilet på et for spinkelt retsgrundlag.  

Samtidig påpeger hun, at der kun er få personer i selskabet med knap 50.000 medarbejdere, der kan få adgang til bruger-informationerne.

Hun ønsker ikke at gå i detaljer med Googles interne sikkerhedssystemer, men kan fortælle, at adgangen er rollebaseret, således at eksempelvis Googles kundeservice ikke bare kan hive informationer frem på selskabets mere end en milliard brugere.

"Hver adgang til oplysninger bør logges og kontrolleres på måder, som ikke er gennemskuelige for den enkelte medarbejder," fortæller hun om Googles bestræbelser på at holde uvedkommende og potentielle tys-tys-kilder fra data-fadet.

"Når alt kommer til alt, hviler hele vores forretning jo på, at vores brugere har tillid til os. Et sikkerhedsbrud med vores brugeres data er ganske enkelt det værste, der kan ske for os. Folk kan klikke sig væk fra Google på et millisekund, så vi er nødt til at være ekstremt nidkære omkring sikkerheden," runder Christine Sørensen af med.

Andre virksomheder, som ligger inde med tonsvis af data om dig og andre danskere, er bankerne og Skat.

Du kan her læse mere om, hvordan pengeinstituttet Nykredit værner om sine brugeres data, og hvordan skattefar sørger for, at ingen data forsvinder uretmæssigt ud fra Skat-serverne.

Politiundersøgelse skal se på om tys-tys-kilde har startet persondatakatastrofe


Efter Se & Hør-skandalen: Det kan it-branchen bruge den til




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere