Artikel top billede

SOA udfordrer privatlivets fred

Genbrug af offentlige it-systemer i form af SOA med generelle single-sign-on-løsninger risikerer at blive en trussel mod privatlivets fred, advarer sikkerhedsekspert.

Jagten på genbrug af offentlige it-systemer til brug for en serviceorienteret arkitektur (SOA) udfordrer privatlivsbeskyttelsen, hvis vi ikke undgår at bruge den laveste fællesnævners sikkerhed til beskyttelse af privatlivet.

Det siger Søren Duus Østergaard, senior eGovernment advisor hos IBM og formand for Alexandra Instituttets forskningscenter for sikkerhed, som i denne uge var taler på privacy-konferencen Pyt med Privatlivet.

Truslen fremkommer for ham at se, hvis man blot laver generelle single-sign-on-løsninger, altså en adgangsløsning hvor borgeren umiddelbart har adgang til samtlige systemer, uden at der etableres kontrol med, hvilke dele af de enkelte it-systemer, brugeren har adgang til.

"Det er den mindst smarte måde at gøre det her på, for der ligger jo sikkerhedsregler for, hvad den enkelte må få adgang til på enkelte systemer," siger Søren Duus Østergaard.

I stedet fremhæver han sundhed.dk som et eksempel på en løsning, hvor brugerne har en rollebaseret adgang. Til de forskellige systemer.

"Hvis du er læge, kan du få adgang til nogle oplysninger. Hvis du er patient, kan du få adgang til andre, typisk færre, mere specifikke oplysninger med et bestemt formål," siger Søren Duus Østergaard.

Den idé til adgang ser han gerne indført på alle offentlige og for den sags skyld også private systemer.

Hvem skal eje dine data

Ifølge Søren Duus Østergaard er en af problemstillingerne i forhold til privatlivets fred og offentlige systemer, spørgsmålet om, hvem der har ejerskabet over data.

"På længere sigt er holdningen nok, at det bør være den enkelte, som skal kunne gå ind og eje sine egne data," siger Søren Duus Østergaard.

Det vil til gengæld give et ansvar for den enkelte borger overfor at holde data ajour og opdateret og sikre, at det er de rigtige data, som er til rådighed for systemet.

"Hvis man tænker tanken igennem, vil man om nogle få år have en anden borgertilgang til begrebet privacy," siger Søren Duus Østergaard.

Alle data som et stort tag selv-bord

Ifølge Søren Duus Østergaard er spørgsmålet, hvilket samfund vi ønsker i fremtiden. Der er udsigt til flere dystopier for privacy, afhængigt af hvad vej vi vælger. En af mulighederne er big brother-samfundet, hvor staten ejer alle informationer om borgerne.

Omvendt har vi også muligheden for den globale landsby, hvor informationen flyder frit på nettet, og alle data er et stort tag selv-bord, en slags videreførelse af de helt unge netbrugers tilgang til privatlivsbeskyttelse, forklarer Søren Duus Østergaard.

"Det er nok ikke så hensigtsmæssigt, og det kan være meget svært at få den offentlige service til at fungere i sådan et samfund," siger Søren Duus Østergaard.

Muligheden for et fuldstændigt anonymt samfund er også reel. Men ifølge Søren Duus Østergaard dur denne samfundsstruktur ligesom de to førnævnte ikke, fordi grundlaget i et demokrati er, at man tager ansvar og identificerer sig i de sammenhænge, hvor det er nødvendigt.

"Det bliver formentlig ikke til noget, for vi kan ikke samtænke en offentlig service i sådan et miljø," siger Søren Duus Østergaard.

Derfor er løsningen ifølge Søren Duus Østergaard at opnå en formålsbestemt privacy, hvor borgeren kan nøjes med at afgive den information som er nødvendig i den givne sammenhæng og med borgerens viden om formålet.

Han peger på det kommende tyske id-kort som eksempel på en løsning, som opfylder dette krav.

Nok information i situationen

Ifølge Søren Duus Østergaard er Danmark det eneste land foruden Kroatien, som ikke har et internationalt europæisk id-kort. Tyskland har været længe om det, fordi landet har en meget krads datasikkerhedslovgivning, men er ved at indføre et kort, som har de omtalte kvalifikationer.

Kortet gør det eksempelvis muligt for borgeren at nøjes med at bevise, at han er en tysk statsborger, som er gammel nok til at købe alkohol eller stemme. Men han kan også afgive sin fulde id, eksempelvis i forbindelse med ansøgning om offentligt tilskud.

"Afhængig af informationen, bestemmer du selv hvor meget information du vil slippe," siger Søren Duus Østergaard.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere