Overkill med GDPR-sikkerhed

Natbillede, der i forgrunden viser den trekantede husgavl med hvis kant og bagved nathimlen over Nuuk med nordlys

Nordlys over Nuuk
Foto Mikael Hertig 2015

 

Det vilde overkill

Hvis sikkerhed slår livet omkring sig ihjel, er det dødssikkerhed. Men verden skal fungere.  De fleste af os, der arbejder sammen med andre i systemer, kan selv gøre op, hvor mange ugentlige og månedlige timer vi spilder på, at der ikke er adgang til data, at computeren er nede eller langsom og så videre. En del af den tabte tid skyldes overdrevne krav til fortrolighed. Derfor er jeg som it-sikkerhedskyndig ved at få nok af alt det pis, vi udsættes for i det daglige. Gjorde man manglende tilgængelighed på danske arbejdspladser op i økonomiske tab, ville vi nok nå en størrelsesorden, der kunne finansiere afhjælpning af fattigdom hos kontanthjælpsmodtagere. Det skriger altså på oprør.

 

Det er min opfattelse, at vi kunne have haft en mere demokratisk retning med Open Source arkitektur i offentlig forvaltning.

 

 

Sikkerheds opdeles i tre aspekter

  • Tilgængelighed
  • Integritet
  • Fortrolighed

Tilgængelighed indebærer, at der er adgang til data, som folk skal arbejde med.

Integritet indebærer, at der skal være overensstemmelse mellem oprindeligt formål og anvendelse. , hvad data er indsamlet til, og hvad de bliver brugt til. Det er et tema, der burde diskuteres meget mere, end det bliver, for eksempel i forbindelse med Big Data, internet of things etc.

Fortrolighed indebærer, at den dataansvarlige skal tage de fornødne tekniske og organisatoriske forholdsregler imod, at data kommer uvedkommende i hænde. Et vigtigt aspekt er data, der indirekte eller direkte kan henføres til personer. Sådanne data kaldes persondata. Særligt følsomme data (religiøs tilhør, politisk orientering, seksuel orientering mv. ) kaldes følsomme persondata.

Sammenrodningen af de to begreber lander altid til det meningsløse begreb “personfølsomme data”. Det er som en isvaffel med lun remoulade.

 

 

Der er gået bananas i it-sikkerhed: Almindelig mail er sikker mail

Jeg har beskæftiget mig i årevis med persondatasikkerhed. Jeg har repræsenteret Dansk Standard i EU ved tilrettelæggelsen af GDPR. Moderne krypteringsteknologi er udbredt overalt. Det er meget længe siden, konsulenterne kunne stå og hævde, at email ikke skulle være sikker. De stillede sig op med store pædagogiske armsving og hævdede frejdigt, at det at sende en email svarede til at “sende et åbent brevkort”. Postbudet og alle andre kunne læse det undervejs. Men sådan har det ikke været de sidste 5 år. gmail, jubii, yahoo etc. er sikret med kryptering af typen TLS.

Styrken af krypteringen er helt på højde med NEM-ID. Uvedkommende får ikke mulighed for at snuppe brevkortet og læse det. Så derfor er standardsvaret fra kommuner og firmaer, der forlanger nem-id forkert, når de hævder, mailen ikke er sikker. De er bare afhængige af interne instrukser og til en vis grad misforstået lovgivning.

 

 

Kryptering og fortrolighedsteknologi

Man bliver nødt til at forstå noget om mailsikkerhed og kryptering for at finde ud af,  hvad det her handler om. Den simple kryptering handler om, hvordan man sender noget, for eksempel et dokument fra en afsender til en modtager.

 

Simpel krypering =symmetrisk kryptering

Du kender den gammeldags måde, hvor den ene sender til den anden. De aftaler et fælles kodeord, så man kan åbne den passwordbelagte fil. Normalt bruger man kryptering til det. For feinscmeckere hedder algoritmen tit AES 128 eller AES 256.
Man låser op og i med samme nøgle. Filen oversættes fra klartekst til kaudervælsk kryptokode ved hjælp af et program, hvor kodeordet indgår på en specifik måde. Sådan en fil, sådan et kryptodokument kan kun åbnes med kodeord og nøgle. Det er sikkert, hvis kodeordet ikke kompromitteres. Nøglen kaldes den hemmelige nøgle

Nøgleudveksling: asymmetrisk kryptering

Hvis der skal automatiseres og udveksles symmetrisk krypterede datastrømme, så skal man sætte udvekslingen af data i system. Og her bruger man primtal. I sin meget simple fremstilling (passer ikke til virkeligheden, men letter forståelsen) så er resultatet af multiplikation mellem to primtal et resultat, der kun kan deles med det andet uden at give en rest.  Hvis hver person, der har nøgler, har en offentlig nøgle (modtagernøgle, der kan slås op i en telefonbog eller et tilsvarende register) og en privat nøgle. Den private nøgle bruges som KEK (nøglekrypteringsnøgle). Hvis den kompromitteres, så falder hele systemet med det. Traditionelt siger vi, at kvaliteten af et kryptosystem handler om, at ejeren af den hemmelige nøgle skal have den under sin hele og fulde kontrol. Men med Nem-id og Eboks ligger borgernes private nøgler i en offentligt drevet database under Nets. Borgeren har slet ikke den fulde kontrol over den private nøgle. Så i stedet for at have et frit og velfungerende afbalanceret system har vi fået et system, hvor det offentlige kontrollerer borgeren.

 

 

Tekst: Coercion is not censent

Tvang er ikke samtykke

 

Er det nødvendigt med en betroet tredjepart?

Går du hen til en grønthandler og køber en pose kartofler, vil du sikkert blive forbavset, hvis han beder om at se dit pas og skrive under på en kartoffelbestilling.

 

Et vigtigt stridspunkt er, hvor vigtigt det er at sikre sig, at modtageren nu helt uafviseligt er den person, men har identificeret og autentificeret. Nødvendigheden bør afhænge af den situation / relation, man er i. Går du hen til en grønthandler og køber en pose kartofler, vil du sikkert blive forbavset, hvis han beder om at se dit pas og skrive under på en kartoffelbestilling. Normalt foregår transaktionen ved, at du betaler kontant og tager posen med kartofler med  hjem.

Digitaliseringen har medført en overdrevet politik, hvor ingenting kan finde sted, uden at der er grund til at betvivle vedkommendes autencitet, eller hvor man med god grund kunne sænke kravet. Ligesom i kartoffeltilfældet gælder det ved betalinger i almindelighed, at autentificeringskravet er overflødigt. Navnlig, hvor borgeren betaler husleje, elektricitet, varme etc. kan det være helt ligegyldigt, hvem der betaler.

Det er også ligegyldigt, om borgeren, der rejser med toget, er Ulla eller Poul. Alligevel indbygges der en forfærdelig mistillid  systemerne, hvor der kræves pas eller tilsvarende id  for at køre med toget. Derved opstår der registre, som gør det muligt at følge os. Det kan næppe afvises, at i nogle tilfælde er sikkerheden for modtagerens identitet vigtig. Men det er en fejltagelse at tro, at en nemmere autentificering ikke ville kunne gøre det. Det viser pudsigt nok de kommercielle løsninger, hvor fx. telefonnummer et godt nok.

 

 

Håndslag eller offentlig godkendelse?

Billede af hpndtryk

Håndslag, håndtryk som bekræfter en aftale mellem to parter

Der er tale om to religioner: Håndslag eller officiel  genkendelse. Den basale teknik er stort set den samme, og de tekniske problemer er ens. Prøv at tænke på, hvem du omgås. Selv, hvis du er ved at score en kommende partner, så er det ligesom ikke særlig smart at bede vedkommende om at vise pas eller kørekort, før kysseaktiviteten går i gang under henvisning til, at man vil være helt sikker på, at vedkommende ikke faker sin identitet. Det kunne måske være meget smart, men i spillet for at opnå tillid er det formentlig helt ødelæggende. Tillid er vigtigere end kontrol i meget menneskelig adfærd.  Og det er humlen i diskussionen her.

Derfor er den ene persons genkendelse og dermed godkendelse af det andet  menneske, man omgås, i de fleste tilfælde uproblematisk. Vi er ovre i den øvelse, man ikke kalder “risikovurdering”, uden at det opleves på den måde.

Tillidsbaseret system: PGP og Open Source

Sådan er det med PGP. Folk godkender hinanden, og de står selv for at skabe, offentliggøre og sikre deres nøgler. Styrken viste sig journaistisk under Balkankrigene, så den statslige overvågning af fjendtlige journalister og fotografer blev udelukket. Der er et meget vigtigt andet aspekt: PGP er “Open Source“. Det er slet ikke noget tilfælde.  Der må ikke overlades hemmelige bagdøre og spionsystemer i kryptosystemet. Open Source betyder, at programsproget og programmørernes skrevne instruktioner til systemerne lægges helt åbent frem, så andre – ligesom i videnskabelig produktion – kan kontrolleres, kritiseres og forbedres af alle mulige andre personer.

Kontrol og mistillid: betroet tredjepart og kommer

Sådan er det ikke med kommerciel kryptering. Ganske vist fungerer krypteringen slet ikke uden interoperabilitet. Store dele af programmerne er fastlagt, så vejen fra algoritme til program er stort set specificeret, så den proprietære del er lille, men nok til, at leverandøren kan tjene på at levere serviceydelser og programmere tilretninger. Men det fungerer, dog uden at brugerne kan kontrollere, om der er bagdøre eller ikke. Det handler ofte om, hvilke måder, man indbygger og etablerer (=”implementerer”) produkterne på. Et sådant produkt er S/MIME. Da  vi i Dansk Standard i sin tid stod overfor at introducere digital signatur i Danmark, lavede vi stort set vores egen løsning. Men så kom vennerne fra FET og foreslog en løsning, hvor der tydeligvis var mulighed for at bryde brevhemmeligheden i mailløsningerne.

Der er således en sammenhæng, der handler om det politiske systems kontrol med borgerne. Det er dybest set et politisk valg, men den politiske diskussion har vi aldrig haft.

Det er min opfattelse, at vi kunne have haft en mere demokratisk retning med Open Source arkitektur i offentlig forvaltning.

Mit spørgsmål til Datatilsynet og svaret.

Jeg blev ringet op fra fjernvarmeselskabet, der ikke ville sende mig en regning uden brug af nem-id, fordi regningen efter selskabets politik skulle indeholde “personfølsomme data”. Jeg henvendte mig til Datatilsynet og fik følgende svar, sendt per almindelig TLS-mail.

Jeg brokkede mig, og det endte med, at de sendte mig en fil, der bestod i at fremsende en password-krypteret fil efter husmandsmetoden. Det fandt jeg mig i, men pointen: mailen er fint krypteret allerede, gik ikke op for nogen som helst.
Det er også overkill at kryptere med et ekstra kodeord.  Men skidt.

Nu kom svaret så fra Datatilsynet. Datatilsynet henviser til en tekst, der giver mindelser om min tid som IT-sikkerhedsleder i Københavns Kommune. Det er en god idé at kryptere. Ikke et ord om Nem-id. Intet!

Sagen er at ingen kan udveksle noget som helst i dag, uden at det pr automatik bliver krypteret. Det hele er indlejret alle vegne – gennem TLS. Derfor er det overhovedet ikke noget valg, om risikovurderingen giver det resultat, at man vil sende noget via “åbne brevkort”. Det kan ikke lade sig gøre.

Og skulle man sikre sig mod sniffing og bagdøre, så er svaret tillid, open source og PGP-lignende kryptering.

 

 

 

 

Datatilsynets svar

 

Ved e-mail af 29. maj 2019 har du rettet henvendelse til Datatilsynet vedrørende transmission af personoplysninger via e-mail.

 

Datatilsynet kan i den anledning henvise til tilsynets informationstekst om transmission af personoplysninger via e-mail:  https://www.datatilsynet.dk/emner/persondatasikkerhed/transmission-af-personoplysninger-via-e-mail/.

Det følger bl.a. af teksten, at både offentlige myndigheder og private virksomheder og organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko, der er forbundet med at transmittere fortrolige og følsomme personoplysninger med e-mail via internettet og gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå den identificerede risiko.

Det er i den forbindelse Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Datatilsynet kan vedrørende din konkrete forespørgsel oplyse, at svaret afhænger af, hvilke oplysninger der fremgår af den nævnte faktura. Hvis der fremgår fortrolige oplysninger, som eksempelvis personnummer så vil det være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af en faktura med e-mail via internettet.

Datatilsynet kan videre oplyse, at det i første række er den dataansvarlige, der skal vurdere, hvorvidt behandlingen af oplysninger om den registrerede sker inden for rammerne af databeskyttelsesreglerne. Datatilsynet skal igen henvise til, at det af tilsynets hjemmesidetekst om transmission af personoplysninger via e-mail fremgår, at når en e-mail afsendes fra den dataansvarlige, er det den dataansvarlige, der har ansvaret for den sikre fremsendelse til modtagerens mailserver.

Da det er den dataansvarliges ansvar, at kunne påvise, at der er truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, vil det som udgangspunkt være den dataansvarliges vurdering, der lægger til grund for, hvorledes personoplysninger kan transmitteres med e-mail via internettet.

Datatilsynet håber herved at have besvaret din henvendelse og foretager sig ikke yderligere i anledning heraf. Hvis du har yderligere spørgsmål, er du velkommen til at kontakte Datatilsynet igen, eventuelt telefonisk.

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *