– Det er blevet lagt på ved en fejltagelse, det er meget beklageligt, og det er blevet pillet af, sagde kontorchef Rita Stensbjerg, Præstø Kommune, i P1 Morgen 20. oktober.
Hvorfor sagde hun det?
Jo, Præstø Kommune havde lagt stærkt personfølsomme oplysninger om 30 af kommunens borgere på internettet.
Problemet er måske, at der – bortset fra den kritik, som Præstø Kommune kan se frem til i næste års beretning fra Datatilsynet – ikke rigtig findes sanktionsmuligheder for den slags fejl.
Formaninger bidrager næppe
Der er naturligvis ingen myndighed, der med vilje blotlægger data om deres borgere, men lovgivningens præg af formaninger bidrager næppe til at sende et signal om, hvor vigtigt det er at være påpasselig og have (fejl)sikre systemer til publicering.
Samme problemstilling behandles i en ny rapport fra EPTA, det europæiske netværk for parlamentarisk teknologivurdering, som kan downloades på Teknologirådets hjemmeside.
I rapportens resumé udtrykkes bekymringen så skarpt som, at “så længe det ikke har nogen konsekvens at ignorere databeskyttelsesregler, vil der ikke være nogen tilskyndelse for industrien og offentlige instanser til at indbygge principper om beskyttelse af privatlivets fred i deres it-systemer og services.”
Man kan også læse eksemplet fra Præstø som et symptom på, at de vandtætte skotter mellem myndighedernes administrative systemer og det store åbne netocean bliver mere skrøbelige.
Man har også for årtier siden hørt om kommunale skraldespande, hvori man kunne finde print om borgernes socialsager.
Men nettet, selvbetjeningsløsningerne og kravet om administrativ effektivisering giver en farlig cocktail, hvor et forkert tryk på en knap kan medføre publicering til hele verden sekundet efter.
Ikke et ord om sikkerhed
I sidste uges CIO-tillæg til Computerworld handlede hovedhistorien om SOA – serviceorienteret arkitektur.
I Direktoratet for Fødevareerhverv er man langt fremme i skoene og fortæller blandt andet om, hvorledes “… kunden vil kunne få et overblik over alle sine engagementer med os … Han vil også kunne se, hvad han fik udbetalt sidste år.”
Og videre: “… Det nye serviceorienterede koncept skal bruges til at bryde siloer og grænser ned mellem myndigheder”.
Hverken hos direktoratet eller de to private virksomheder, der indgår i interviewet, tales der om sikkerhed eller beskyttelse af følsomme data.
Den slags data håndteres ellers i fuld udstrækning hos dem alle tre.
Da jeg for nogle år siden deltog i skrivningen af Hvidbog om it-arkitektur og den efterfølgende Håndbog om samme emne, viste det sig, at it-sikkerhed og SOA var et både uopdyrket og meget besværligt område.
Nogle af branchens ypperste havde samarbejdet i flere år om at skitsere en sikkerhedsarkitektur for SOA, men var stort set ikke nået ud af stedet.
Det ser ikke meget bedre ud i 2006. Langt de fleste sites, der beskæftiger sig med SOA, omtaler kun privacy i forbindelse med besøg på deres eget site.
En undtagelse er IEEE, der opregner en liste på 13 sikkerhedsfælder, man risikerer at falde i, når man indfører en serviceorienteret arkitektur.
For eksempel den med at de fleste firewalls lader webservice-requests passere uhindret, også selv om indholdet skulle være ondsindet kode.
Den i begyndelsen omtalte EPTA-rapport skriver: “…De overordnede mål om rationalisering af den offentlige administration fører til (udvikling af) systemer for e-government og e-sundhed med potentiale til at gøre borgere og patienter “gennemsigtige” og invadere privatlivets fred.”
Hertil kan man føje, at de fagre nye teknologier tilføjer en teknisk dimension af usikkerhed, som man kan frygte, vil give et grimt bagslag.
Torsten Møller Madsen er gartner.
