DANSK IT  
E-mail:    Kodeord:    Login
Glemt dit kodeord? Skriv din e-mail ovenfor og klik her

4 hovedtemaer

DANSK IT's Råd for IT- og Persondatasikkerhed arbejder med 4 hovedtemaer

Hvert af disse hovedtemaer vil fremover blive understøttet af mere detaljerede emner, som vil blive fagligt bearbejdet. Som eksempler på dette kan nævnes beskyttelsen af borgerne, hvor de mere konkrete emner vil rumme såvel beskyttelsen af patienters personfølsomme data, som beskyttelsen af børn og ældre i deres færden på internettet. Tema-siden vil være dynamisk og kan således ændre sig fra tid til anden. Ved at klikke på hovedtemaerne enten i menupunktet til venstre eller i teksten nedenfor, vil man kunne se de respektive emner, der bliver eller har været behandlet.

Lovgivning & Standarder

At de enkelte nationalstater decideret udvikler deres egne it-sikkerhedsstandarder giver ikke megen mening. Dels fordi udfordringerne jo har international karakter, dels fordi der allerede findes endog særdeles gennemarbejdede standarder i den internationale arena.

Rådet vil arbejde på at sikre dansk indflydelse på standarder der måtte udspringe fra EU på en sådan måde at de samordnes med andre internationale standarder.

Hvilke standarder findes der?

DS 484:2005 - Standard for informationssikkerhed
Denne standard indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificerbar kvalitet. Standardens krav er i størst muligt omfang funktionelt betingede og baserede på teknisk og administrativ viden. Det er så vidt muligt undgået at give regler for standardiserede projekteringsmetoder, udførelsesmåder eller fysiske dele. I teksten forekommer henvisninger til andre danske og udenlandske standarder. Det vil dog kun i særlige tilfælde være nødvendigt at supplere med disse standarder.
Læs mere på Dansk Standard

DS/ISO/IEC 17799:2005 - Informationsteknologi - Sikkerhedsteknikker - Regelsæt for styring af informationssikkerhed
This International Standard establishes guidelines and general principles for initiating, implementing and maintaining information security management in an organization. The objectives outlined in this standard provide general guidance on the commonly accepted goals of information security management. This document may serve as a practical guideline for developing organizational security standards and effective security management practices, and to provide confidence in inter-organizational dealings.
læs mere på Dansk Standard

Information Security Forum (ISF) - Standard of Good Practise

ISF er en non-profit organisation, hvor medlemmerne er en række af verdens største virksomheder og andre som har særligt fokus på informationssikkerhed. Formålet med organisationen er, at medlemmernes informationssikkerhedsansvarlige arbejder sammen om at etablere world-best-practises inden for Informationssikkerhed.

Ud over en lang række rapporter, som kun er tilgængelige for medlemmerne, har forummet stillet deres Standard of Good Practise (SOGP) til rådighed for alle, sålænge den ikke anvendes med kommercielt salgsorienteret sigte.

Man må altså gerne bruge SOGP i sin egen virksomhed eller organisation sålænge sigtet er at forbedre sikkerheden i virksomheden selv.

SOGP er baseret på 16 års informationssikkerhedsarbejde og forskning samt investeringer i størrelsesordenen omkring 75 millioner US-dollars.

Der er altså tale om et signifikant og velgennemarbejdet materiale.

ISF-standarden ligger på dette link: http://www.isfsecuritystandard.com

Borgerbeskyttelse

Mens det ser ud til at sikkerheden blandt (større) virksomheder og myndigheder i den offentlige sektor bliver håndteret stadig mere professionelt, opleves en stigende trussel mod den almindelige borger. De stigende tal for virusangreb i dette segment dokumenterer, at der er betydelige problemer med it-sikkerhed i de danske hjem. Og at der er en divergens mellem befolkningens oplevede og faktiske sikkerhed. Hvilket ansvar kan pålægges den enkelte borger og hvilke generelle tiltag fra omverdenen kan øge fokus på problemstillingen og medvirke til at udbedre denne?

Patientdata beskyttelse

Rådet for IT- og Persondatasikkerhed støtter som grundholdning fremmelsen af it og digitalisering, men dette må naturligvis ikke ske på bekostning af privatlivets fred for borgerne, og især ikke på sundhedsområdet.

Der er politiske holdninger både for og imod en mere omfattende national elektronisk registrering af patientdata, og der er ganske tunge saglige argumenter på begge sider.

Rådet for IT- og Persondatasikkerhed mener, at privatlivets fred vejer tungest, men det betyder ikke at en registrering ikke kan finde sted, men blot at den skal og må være beskyttet!

Det betyder, at der bør etableres en national sikkerhedsløsning og en række kontroller, som beskytter disse data mod misbrug.

Risiko for misbrug

Det er f.eks. ikke svært at forestille sig, at en kendt person kunne blive til genstand for offentliggørelse af vedkommendes personlige medicinforbrug eller andet følsomt i den mere kulørte del af pressen. Det må kun være den læge eller sundhedsmedarbejder som reelt arbejder med en patient, der har adgang til pågældendes informationer, og ikke nødvendigvis en livslang indsigt.

Datatab eller -fejl

Man kommer også til at tage visse forholdsregler mod, at f.eks. en læge tager dybt sensitive patientdata med sig på et bærbart medie, som så risikerer at blive stjålet eller tabt. Dermed kan personfølsomme data komme i helt forkerte hænder og risikoen for misbrug er oplagt. Endvidere bør man være opmærksom på beskyttelsen af data-integriteten eller - datakorrektheden om man vil.

Da patienter jo vil blive medicineret og behandlet med udgangspunkt i de data, der findes i systemerne, skal disse være 100 procent korrekte. Dvs. at forskellige data-kørsler (f.eks. tabel-opgraderinger eller genindlæsning af tabt data) skal og må ske med en meget høj grad af akkuratesse.

Samtidig må der også gerne være en vis fleksibilitet, således at den enkelte borger selv kan tage stilling til, om sundhedsmyndighederne må få denne adgang eller ej.

Dialog med sundhedsmyndigheder og politikere

Rådet for IT- og Persondatasikkerhed er i øjeblikket i dialog med både folketingets sundhedsudvalg samt Indenrigs- og Sundhedsministeriet om disse ting.

Vi håber fra Rådets side, at man fra politisk hold vælger at se it- og persondatasikkerheden som det væsentlige element, hvormed man rent faktisk kan få digitaliseringen til at ske, til gavn for borgernes sundhed og helbred, i modsætning til at lade denne type væsentlige digitale fremskridt afvise.

Børn og unges sikkerhed under chat

Børn og unge skal kunne chatte sikkert
En række eksempler fra medierne, har rejst bekymring hos Råd for IT- og Persondatasikkerhed, omkring den sikkerhed der beskytter vores unge, når de færdes i forskellige chat-fora.

Råd for IT- og Persondatasikkerhed har etableret et samarbejde med Red Barnet, hvor vi i fællesskab vil gøre en indsats for at styrke både forældre og børns kompetencer når det gælder om at beskytte sine personlige data når man chatter.

Red Barnet har følgende gode råd man bør følge:

  • Behold altid dit navn, adresse og telefonnummer for dig selv.
  • Et personligt password er din helt egen identitet, så lad det være hemmeligt - også over for dine gode venner og voksne.
  • Det er fint nok at få venner på nettet, men fortæl dine forældre hvem, du møder. Husk at du ikke kan se den person, du taler med på nettet.
  • Hvis du vil mødes med nogen, du har talt med på nettet, så spørg dine forældre om lov. Mød dem kun, hvis dine forældre kan være tilstede.
  • Der er mange seje ting på nettet, men der er også noget virkelig ubehageligt. Fortæl altid nogle voksne, hvis du ser noget, du får det skidt over.
  • Chat kan være sjovt, men luk ned, hvis nogen på chatten opfører sig mærkeligt eller gør dig utryg. Lad være med at svare på spørgsmål om sex.

Sikkerhed på hjemme pc'en

Privatbrugeren er mål for angreb
En række undersøgelser viser, at næsten 80% af alle angreb fra internettet er rettet mod private internetbrugere. Dette skyldes naturligvis, at de private brugere er det "svageste led i kæden", da langt de fleste virksomheder og organisationer har etableret stærke sikkerheds-barrierer mod Internettet. Dette er langt fra tilfældet for de private brugeres vedkommende, for selv om en del private brugere har forstået at installere et antivirus program og en pc-firewall, så er det langt de færreste, der forstår at beskytte sig mod de mere avancerede angreb, der foregår "under radaren". Det kan f.eks. være et angreb på en systemsårbarhed, som firewall'en måske ikke beskytter imod, eller det kan være, at man får installeret en mere aggressiv form for spyware.

Råd for IT- og Persondatasikkerhed vil arbejde på at gøre det lettere og sikrere at være privat it-bruger i Danmark, således at systemerne leveres med den sikkerhed der er nødvendig, og hvor systemerne automatisk vedligeholdes over tid, så sikkerheden ikke korroderer efter nogle måneder.

Uddannelse

Udbudet af it-sikkerhedsuddannelse i Danmark er utilstrækkeligt.
I et perspektiv set helt fra skoleelever, over den daglige it-bruger til den professionelles anvendelse af it mangler vi indsigt, oplysning og reel uddannelse i it-sikkerhedskompetencer.

Skoleelever er storforbrugere af it. De møder it i undervisningen, i chat over pc'en med venner og gennem brug af avancerede mobiltelefoner. Uden et godt kendskab til de it-sikkerhedsrisici, kan de komme ud for dårlige oplevelser som f.eks. tab af data (opgaver), download af virus, spyware og ulovlige programmer/filer samt chat med uønskede personer.

Rådet for IT- og Persondatasikkerhed vil arbejde for at it-sikkerhed tages seriøst allerede i folkeskolen og vil arbejde for at it-sikkerhed er et væsentligt element i skolernes it-undervisning.

For den daglige brugere af it er uddannelsesbehovet og viden om it-sikkerhed lige så stort som hos skoleelever. Omgang med kodeord til netbank, e-handel og f.eks. det at tage backup af data kræver viden om de sikkerhedsrisici, der kan være forbundet hermed. Her ser Rådet for IT- og Persondatasikkerhed en stor opgave at sikre tryghed for brugerne - og det kan ske gennem information og uddannelse på f.eks. arbejdspladser, institutioner eller lign., hvor emner af it-sikkerhedsmæssig karakter kan indgå som den generelle uddannelse af it-brugere.

Leverandører

Hardwareleverandører og detailkæden spiller en vigtig rolle i forhold til at øge it-sikkerheden. Kan man f.eks. forestille sig en it-sikkerhedsmæssig følgepakke (10 gode skriftlige råd, obligatorisk virusprogram ved salg af hardware el. lign.) når forbrugeren anskaffer hardware?

Hvor står hardwareleverandører og detailkæderne efter deres egen opfattelse i forhold til generelle it-sikkerhedsmæssige udfordringer?

Ønsker de, som internetudbyderne, at spille en rolle, der f.eks. følger princippet om selvregulering?

Det er forhold som disse Råd for IT- og Persondatasikkerhed vil forholde sig til og i givet fald komme med anbefalinger om.


 
Kontakt for denne side: dansk-it@dansk-it.dk Senest redigeret: 7. marts 2008