Artikel top billede

SOA udfordrer privatlivets fred

Genbrug af offentlige it-systemer i form af SOA med generelle single-sign-on-løsninger risikerer at blive en trussel mod privatlivets fred, advarer sikkerhedsekspert.

Jagten på genbrug af offentlige it-systemer til brug for en serviceorienteret arkitektur (SOA) udfordrer privatlivsbeskyttelsen, hvis vi ikke undgår at bruge den laveste fællesnævners sikkerhed til beskyttelse af privatlivet.

Det siger Søren Duus Østergaard, senior eGovernment advisor hos IBM og formand for Alexandra Instituttets forskningscenter for sikkerhed, som i denne uge var taler på privacy-konferencen Pyt med Privatlivet.

Truslen fremkommer for ham at se, hvis man blot laver generelle single-sign-on-løsninger, altså en adgangsløsning hvor borgeren umiddelbart har adgang til samtlige systemer, uden at der etableres kontrol med, hvilke dele af de enkelte it-systemer, brugeren har adgang til.

"Det er den mindst smarte måde at gøre det her på, for der ligger jo sikkerhedsregler for, hvad den enkelte må få adgang til på enkelte systemer," siger Søren Duus Østergaard.

I stedet fremhæver han sundhed.dk som et eksempel på en løsning, hvor brugerne har en rollebaseret adgang. Til de forskellige systemer.

"Hvis du er læge, kan du få adgang til nogle oplysninger. Hvis du er patient, kan du få adgang til andre, typisk færre, mere specifikke oplysninger med et bestemt formål," siger Søren Duus Østergaard.

Den idé til adgang ser han gerne indført på alle offentlige og for den sags skyld også private systemer.

Hvem skal eje dine data

Ifølge Søren Duus Østergaard er en af problemstillingerne i forhold til privatlivets fred og offentlige systemer, spørgsmålet om, hvem der har ejerskabet over data.

"På længere sigt er holdningen nok, at det bør være den enkelte, som skal kunne gå ind og eje sine egne data," siger Søren Duus Østergaard.

Det vil til gengæld give et ansvar for den enkelte borger overfor at holde data ajour og opdateret og sikre, at det er de rigtige data, som er til rådighed for systemet.

"Hvis man tænker tanken igennem, vil man om nogle få år have en anden borgertilgang til begrebet privacy," siger Søren Duus Østergaard.

Alle data som et stort tag selv-bord

Ifølge Søren Duus Østergaard er spørgsmålet, hvilket samfund vi ønsker i fremtiden. Der er udsigt til flere dystopier for privacy, afhængigt af hvad vej vi vælger. En af mulighederne er big brother-samfundet, hvor staten ejer alle informationer om borgerne.

Omvendt har vi også muligheden for den globale landsby, hvor informationen flyder frit på nettet, og alle data er et stort tag selv-bord, en slags videreførelse af de helt unge netbrugers tilgang til privatlivsbeskyttelse, forklarer Søren Duus Østergaard.

"Det er nok ikke så hensigtsmæssigt, og det kan være meget svært at få den offentlige service til at fungere i sådan et samfund," siger Søren Duus Østergaard.

Muligheden for et fuldstændigt anonymt samfund er også reel. Men ifølge Søren Duus Østergaard dur denne samfundsstruktur ligesom de to førnævnte ikke, fordi grundlaget i et demokrati er, at man tager ansvar og identificerer sig i de sammenhænge, hvor det er nødvendigt.

"Det bliver formentlig ikke til noget, for vi kan ikke samtænke en offentlig service i sådan et miljø," siger Søren Duus Østergaard.

Derfor er løsningen ifølge Søren Duus Østergaard at opnå en formålsbestemt privacy, hvor borgeren kan nøjes med at afgive den information som er nødvendig i den givne sammenhæng og med borgerens viden om formålet.

Han peger på det kommende tyske id-kort som eksempel på en løsning, som opfylder dette krav.

Nok information i situationen

Ifølge Søren Duus Østergaard er Danmark det eneste land foruden Kroatien, som ikke har et internationalt europæisk id-kort. Tyskland har været længe om det, fordi landet har en meget krads datasikkerhedslovgivning, men er ved at indføre et kort, som har de omtalte kvalifikationer.

Kortet gør det eksempelvis muligt for borgeren at nøjes med at bevise, at han er en tysk statsborger, som er gammel nok til at købe alkohol eller stemme. Men han kan også afgive sin fulde id, eksempelvis i forbindelse med ansøgning om offentligt tilskud.

"Afhængig af informationen, bestemmer du selv hvor meget information du vil slippe," siger Søren Duus Østergaard.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere