Stikkordarkiv: Næringslivets sikkerhetsråd

Vernet få bryr seg om

Publisert av
4

Oppdatert 17. november: VG: Faren kan ha ligget død i tre år.

6. november:

Mann lå død i to år. De voksne barna hevder personvern var en årsak til at de ikke fikk kontakt med ham. Artikkelen er etter mitt syn på flere måter krenkende mot samme persons personvern. Døde kan ikke gi tilsvar i VG. Er det for få som bryr seg om personvern?

– – – – –

Noen har spredd personopplysninger om andre til et stort antall mennesker på Facebook og i brev. Uflaks? Slikt skjer … Det må man regne med … Ikke noe for andre å bry seg om?

Faksimile Nordlys.

 

(Mer: NRK: Bank bøtelagt for spredning av personopplysninger.)

Opplysninger som kan knyttes til en person er definert som personopplysninger. Det trenger ikke bare være slikt som navn og personnummer, men også for eksempel bilder, opplysninger om når bilen din passerte bomstasjonen, forbruksmønster, personprofil og opplysninger om ditt kundeforhold til en bedrift eller en offentlig etat. Google har flere ganger bommet kraftig ved å lansere tjenester som ikke tar tilstrekkelig hensyn til personvernutfordringer.

Personopplysningsloven setter krav til hvordan slike opplysninger skal behandles. Gjennom menneskerettsloven er også den europeiske menneskerettskonvensjonen gjort til norsk lov. Der heter det i artikkel 8 om retten til respekt for privatliv og familieliv:

1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.

Faksimile VG.

Selv om noen oppfører seg som om det ikke skulle være slik, gjelder personopplysningsloven også for tidligere politifolk og andre i den i beste fall «grå sikkerhetsbransjen».

Mer: Privat overvåking – utenfor kontroll.

Poenget er at hver enkelt innbygger skal ha en beskyttelse mot misbruk av personlig informasjon eller krenkelse av sitt personvern. De som skal inn på ditt private område må ha lov til det.

Mange bryr seg ikke om slikt:

«Personvern, liksom! Hva skal vi med det? Jeg har da ikke noe å skjule. … Jeg liker å bli sett og lagt merke til. … Så lenge man ikke har gjort noe galt så må det jo være greit at myndigheter og andre både overvåker, samler og behandler personopplysninger om oss, ikke sant?»

Det er lov til å ikke bry seg om eget personvern. Enhver står fritt til å tatovere sitt eget personnummer i panna, skravle i vei om egne helseforhold til tilfeldige man møter på gata eller la være å sette passord på offentlige og private innloggingstjenester. Det er kort sagt ikke noe lovforbud mot å være hverken totalt uinteressert, dum eller bare naiv om sitt eget personvern i dette landet. Derimot kan man ikke bare gi blaffen i andres personvern fordi man selv mener det ikke er veldig viktig.

Mange bryr seg lite om personvern inntil det en dag kanskje er for sent å gjøre noe med det. Overfor de som forvalter andres personopplysninger stilles det noen minimumskrav.

-Norske virksomheter blir stadig bedre til å behandle personopplysninger, men det er fortsatt altfor mange som ikke følger regelverket. Mangel på kunnskap og ressurser hevdes å være de viktigste årsakene
Ifølge Mørketallsundersøkelsen 2010, fra Næringslivets sikkerhetsråd, sier 80% av norske virksomheter at de kjenner til personopplysningsloven. Likevel oppgir bare 52% at de har internkontroll for håndtering av personopplysninger.

-Det at så mange virksomheter kjenner til regelverket, men likevel ikke følger det er en utfordring for Datatilsynet, sier Leif T. Aanensen, avdelingsdirektør i Datatilsynet.

De er der og de følger med så godt ressursene strekker til, men skal og kan ikke ta ansvaret den enkelte selv har for å sikre seg og virksomheten.

[polldaddy poll=4040707]

Mer om personvern:


Bloggurat

Blogglisten

Twingly BlogRank

 

Mer:

VG: Den amerikanske handelskommisjonen (FTC) vil si nei til nettsporing av hensyn til personvernet. Forbrukerombudet støtter forslaget. VG: Lar seg ikke såre av kritikken. VG: Nytt Facebook-virus med bildefunksjon. (Kan krenke ditt og andres personvern.)

Computerworld: EU krever sterkere personvern. Strengere krav til brukerdata kan bety problemer for Facebook.

Big business

Publisert av
7

Informasjon kan være gull verdt. En idrettskjendis bidrar til at media gir et lite gløtt av hva som skjer i den private sikkerhetsbransjen når det gjelder informasjonstyveri.

VG, TV 2: Arrestordre på Landis. (Forhistorien i Dagbladet: Slik ble Tour de France-skandalen spiondrama.)

Datainnbrudd, informasjonstyveri og informasjon på avveie er ikke mindre utbredt i Norge enn i andre land. Kanskje heller mer utbredt i Norge, i takt med mer utbredt teknologi og digital forvaltning.

Norge har «noen av verdens beste miljøer» på datainnbrudd/datasikkerhet i Forsvaret. De er til salgs eller gratis tilgjengelig for kjente, om man tolker manglende reaksjoner i Skah-saken. (Mer: Alvor bak farsen, og: Forsvar til salgs.)

– – –

Basert på svarene norske bedrifter selv ga i 2007 sto like gjerne norske virksomheter som utenlandske bak industrispionasjen mot dem. Uavhengig av det kan de som utøver datainnbruddet sitte i et helt annet land enn oppdragsgiveren.

Fra rapporten FoU og innovasjon, NHO Norsk Industri, 2007.

Sensitiv informasjon på avveie har vært et økende problem de siste årene. Bevisstheten om det, og innsatsen for å begrense det, ser ikke ut til å ha økt tilsvarende. Det meste av oppmerksomheten er rettet mot næringslivet og informasjonstyveri eller  industrispionasje.

– Vi er litt for umodne. Vi er ikke bevisste nok på hvor lett det er å få tak i informasjon, sier daglig leder i Næringslivets sikkerhetsråd (NSR) Erland Løkken til Aftenposten.

Mange prøver seg. Hvem har ikke mottatt meldinger fra banken, Finn.no, diverse nettsamfunn eller nettbutikker om svindelforsøk og enkelte tyveri av informasjon?

Fra offentlig virksomhet er det verre å få slike erkjennelser. Man kan ikke se bort fra at en kommune eller et sykehus som roter bort en minnepinne med sensitiv informasjon,  eller der uvedkommende har fått tilgang, kanskje ikke har oppdaget det, eller ikke bryr seg om å varsle de som er eller kan være rammet.

Noen som har oppdaget det gir ansatte munnkurv om hendelsen. Av hensyn til kommunens eller sykehusets omdømme, som da altså veier tyngre enn hensynet til alle mulig rammede.

Med økt digitalisering av informasjon og ny teknologi kan en minnepinne lagre like mye informasjon som en lastebil med dokumenter. Hvis uvedkommende hadde fylt opp en lastebil med pasientinformasjon eller klientinformasjon fra ditt sykehus eller kommunens rådhus, så hadde kanskje noen reagert?

Ikke bare er det lettere å finne lastebilen enn en forsvunnet minnepinne, men innsatsen som settes inn for å finne minnepinnen synes ofte å være bagatellmessig i forhold til om samme informasjon hadde forsvunnet i en lastebil. Dette til tross for at digital informasjon lett kan kopieres og spres ytterligere. I motsetning til gamle papirmapper som ikke like lett kan spres.

Mange tusen, kanskje mange hundre tusen kan rammes.

Jeg har selv vært på kurs der mange offentlig ansatte hadde med seg minnepinner de ikke en gang visste at det var sensitiv informasjon på. Selv etter at de fikk vite det, lot de minnepinnene ligge usikret i hotellets konferanselokaler mens de hadde pauser. Dette er resultater av en kultur i forvaltningen.

Ingen reagerer når offentlig ansatte tar med seg en digital kopi av store mengder sensitiv informasjon på en minnepinne. Noen ganger for å bruke minnepinnen på en datamaskin med lavere sikkerhetsnivå, eller kanskje en maskin som uvedkommende har skaffet seg tilgang til?

Fire av ti datamaskiner kan brukes av kriminelle uten at eieren vet det. De kan være infisert av alt fra programmer som leter etter passord, fødselsnummer og identitetsopplysninger til målrettede angrep på en bestemt maskin.

Den gjennomsnittlige lærer bryr seg ikke om å varsle når en minnepinne som også inneholder sensitiv informasjon er på avveie. (Det aller meste som forsvant med minnepinnen er jo ikke sensitivt, så da er det vel ikke så farlig?)

Et inntrykk flere har delt med meg er at offentlige virksomheter som opplever at sensitiv informasjon om elever, pleietrengende eller andre kommer på avveie,  gjennomgående ofrer mindre ressurser på å skaffe det tilbake, eller informere de berørte, enn hva private virksomheter gjør.

Dette kan forklares med at for de private virksomhetene representerer informasjon på avveie mulig tapte inntekter. Og å ikke informere kan bety et omdømmetap de ikke aksepterer.

Når offentlig ansatte mister sensitiv informasjon er det gjerne andre enn de selv som rammes. Og offentlige ledere vurderer det som et omdømmetap å innrømme realiteter innen nivået på informasjonssikkerhet, og i noen tilfeller dårlig tilgangskontroll, innen sitt ansvarområde.

Derfor er det lettere å fnyse foraktelig over syklisten Landis og tenke: Slikt skjer i alle fall ikke her.

 

– – –

Mest lest på Norske forhold sist uke, pr 15. februar.

1. Skritt for skritt.

2. Avslørt.

3. Strengere straffer.

4. Hysj, vi kan ikke snakke høyt om det.

5. Støtter norske muslimer denne mannen?


Bloggurat

Blogglisten

Twingly BlogRank

Forsvarsministeren vil gi offiserer yrkesforbud (VG). Offiserenes fagforening reagerer, ikke uventet. Hvem vinner krigen? Den med lovlig politisk makt, eller de som tar seg til rette i mangel av strengere reguleringer og sanksjoner?