Informasjonssikkerhet og cybersikkerhet

Datasikkerhet og hacking

Verden er fæl, og da spesielt Internett-verdenen! Truslene og farene ligger på lur nesten over alt i den globaliserte verdenen. Det finnes nok av datakriminelle kjeltringer der ute i den store stygge verden. Det er nok av dem som har datainnbrudd / cyberangrep, cyberspionasje og/eller cybersabotasje som sitt levebrød, og som er profesjonelle på dette. Vi vanlige dødelige IKT-brukere – som privatpersoner eller bedrifter – blir deres uskyldige ofre.

Denne artikkelen vil ta for seg tematikken informasjonssikkerhet, datasikkerhet, IKT/IT-sikkerhet og cybersikkerhet. Jeg har tidligere vært innom disse temaene før her i bloggen, men nå blir det altså en helt egen artikkel kun viet disse temaene.

Informasjonssikkerhet er et omfattende og komplisert tema, og det er i praksis et helt eget fagområde for “spesielt interesserte” som vil fordype seg i problematikken. Uansett er dette et temaområde som vi alle bør ha litt overfladisk/allmenn kjennskap til og bevisst forhold til, da det er aktuelt for absolutt alle som nyttiggjør seg av IKT. Dvs. i praksis tilnærmet alle mennesker i Norge.

Noen sentrale begreper

Mange vil fort knytte informasjonssikkerhet opp mot begrepene:

  • Konfidensialitet: Hindre tilgang for uvedkommende.
  • Integritet: Hindre endring/sletting fra uautoriserte personer.
  • Tilgjengelighet: Sikre tilgjengelighet (tilgang) til enhver tid for dem som har rett til/behov for opplysningene.

Eventuelt kan nevnte punkter suppleres med:

  • Robusthet: Virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand etter at et avvik eller tilsvarende har funnet sted.
  • Overholdelse: Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.
  • Det økonomiske spiller alltid en rolle. (Kan bli dyrt både å sikre seg for mye og for lite, førstnevnte pga. dyre løsninger og sistnevnte pga. økonomiske tap etter angrep osv.)

En definisjon av informasjonssikkerhet kan være: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.

I bedriftssammenheng går informasjonssikkerhet hånd i hanske med internkontroll og rutiner rundt dette. Risikovurderinger, ROS-analyser (risiko- og sårbarhetsanalyse) og risikostyring + tiltak er sentralt innenfor dette å sikre god informasjonssikkerhet.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Ofte benyttes begrepene litt om hverandre. En del sidestiller informasjonssikkerhet med datasikkerhet. Imidlertid er det en forskjell:

Datasikkerhet eller IKT/IT-sikkerhet: I hovedsak fokus på de IKT-tekniske aspekter. F. eks. Brannmurer, gode systemer for tilgangsstyring, tetting av sikkerhetshull via oppdateringer, løsninger for sikker tilgang utenfra, redundans osv.

Informasjonssikkerhet er noe mer omfattende enn “bare” teknologi og datasikkerhet/IKT-sikkerhet. Fokus rettes mot vidtrekkende sikring av informasjonsverdier, og ikke kun mot IKT-teknisk sikring av data. I tillegg til IKT-tekniske aspekter inngår også fysisk sikkerhet (f. eks. alarm/adgangssystem til rom, låsing, sikring mot naturkatastrofer osv.) og organisatorisk sikkerhet (lovverk, styringssystemer, rutiner, regler, avtaler, prosedyrer osv.). Den menneskelige faktor må heller ikke glemmes.  Personvern og beskyttelse av personopplysninger inngår også i informasjonssikkerheten.

Personvern har å gjøre med å sikre personopplysninger slik at uvedkommende ikke får tilgang på dem. Personopplysninger er opplysninger og vurderinger som kan knyttes mot identifiserbare enkeltpersoner. Informasjonssikkerhet omfatter personvern og mer til.

Et annet begrep som kan dras inn her er cybersikkerhet. Cybersikkerhet handler om å sikre fysisk infrastruktur og fysiske ting som er sårbare via IKT. Spesielt er dette aktuelt i disse IoT-tider (tingenes internett) hvor alt er på nett, inkludert sentrale samfunnsmessig viktige funksjoner og styringssystemer slik som vannverk, strømforsyning, kommunikasjonsnett osv.

Spesielt myndigheter og samfunnsmessig kritisk infrastruktur kan bli utsatt for cyberspionasje og/eller cybersabotasje. Ellers er det mange datakriminelle kjeltringer der ute som gjør det meste for lettjente penger.

Datakriminalitet må kunne kalles for en form for hvitsnippforbrytelser. Normalt benyttes dette begrepet i hovedsak som begrep rundt økonomiske lovbrudd/økonomisk kriminalitet (underslag, korrupsjon, skattesnyteri osv.) begått av personer i kraft av stilling, posisjon, nettverk og/eller tillit (ofte personer i overordnede betrodde stillinger, internt i en bedrift). Mye av datakriminaliteten har utgangspunkt i økonomisk vinning, og man bruker datanettverk (Internett) for å utføre angrepene. Noen ganger prøver man også å skape tillit via e-post-korrespondanse eller annen kontaktvirksomhet på forhånd.

Andre begreper som kan blandes inn i diskusjonen: Sikkerhet (generelt), beredskap, risiko, krisehåndtering, sårbarhet, trusler, beskyttelse, sikkerhetstiltak osv. Fire sentrale aktører som jobber med slikt: Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB).

Eksempler på trusler

Noen eksempler på trusler som lurer der ute, og som kan være en risiko både for privatpersoner og bedrifter (virksomheter):

  • Dataangrep mot diverse nett-/tjenesteleverandører med fare for at personopplysninger kan komme på avveie (banker, BankID, Netflix, sosiale nettverk, nettjenester osv.).
  • Direktørsvindel (Falske fakturaer som angivelig er godkjent av leder, og som må betales fort av en økonomiansvarlig til det som viser seg å være svindlernes konto.)
  • Utpressing (pengeutpressing, løsepengevirus, seksuell utpressing, hevnporno m. m.)
  • Telefonsvindel (f. eks. “spoofing”), gjerne kombinert med overtakelse/stjeling (forfalskning) av norske telefonnumre for å gi økt troverdighet blant ofrene
  • Skadevare og datavirus
  • Forsatt kommer det farlige lenker og skadevare via e-post, sosiale nettverk eller via besøk på kompromitterte nettsider
  • Hacking og hackerangrep
  • Kjente og ukjente sikkerhetshull i program- og maskinvare utnyttes
  • Falske nettsider for kjente firma (jf. nettfisking)
  • Falske oppdateringer som inneholder skadevare
  • Falske kampanjer via e-post, sosiale nettverk, nettsider osv. hvor det loves gratis eller billige produkter, men hvor man i stedet blir fralurt penger og/eller personopplysninger
  • Løsepengevirus
  • Nettfiske (phishing)
  • DDoS (distribuert tjenestenekt)
  • Identitetstyveri (ID-tyveri)
  • Utnyttelse av sårbarheter i programvare og/eller maskinvare
  • Nigeriasvindel eller Nigeriabrev
  • Microsoft-svindel (falske telefonsamtaler, oppringing fra angivelig Microsoft som påstår at det er problemer på din PC og som vil “hjelpe” deg)
  • BYOD (Bring Your Own Device)
  • Smarte TV-apparater, rutere, smarttelefoner, nettbrett, velferdsteknologi, smarthus-teknologi, SD-anlegg etc. kan hackes, kapres, utsettes for andre former for datainnbrudd eller sabotasje og benyttes i zombie-nettverk (botnett), uten at brukeren/eieren nødvendigvis vet om det
  • Det samme kan finne sted med de nye smarte og automatiske strømmålerne (AMS)
  • Data vi har gitt fra oss – bevisst eller i vanvare/uvitenhet – kan bli solgt eller delt tilnærmet uhemmet videre, jf. det amerikanske presidentvalget, Cambridge Analytica og Facebook-skandalen
  • Data, informasjon, avanserte analyser, maskinlæring og IKT kan benyttes til å påvirke valgkamper og opinionen blant folk
  • F. eks. Apple vet å “låse” og å “holde fast” på sine kunder via sine lukkede løsninger
  • Vårt komplekse digitaliserte samfunn – inkludert det typisk norske – er utsatt for mange trusler og potensielle sårbarheter

Lista er ikke uttømmende. Også noe overlapping mellom noen av punktene.

Hacket

Vi lever i en globalisert og digitalt grenseløs verden. Informasjonssikkerheten til oss her i Norge kan bli truet via hacking og fjernangrep foretatt fra jordens andre side.

 

Fem land – USA, Storbritannia, Canada, Australia og New Zealand – oppfordrer og ber teknologiselskapene om å bygge inn bakdører i krypterte enheter til bruk for myndighetene for å avsløre terrorisme. Foreløpig er det frivillig, men de truer med å gjøre det obligatorisk. Bakdører av denne typen, om enn planlagte, er det stor grunn til å være skeptisk til. De kan fort bli benyttet til andre formål enn de tiltenkte, og det kan også tenkes at de kan bli benyttet/utnyttet av andre ikke-tiltenkte instanser (hackere etc.). Digitalt grenseforsvar eller “tilrettelagt innhenting” kan også fort gå fra å være et gode til å bli misbrukt.

En stor utfordring for tiden er angrep mot og utnyttelse av svakheter i IoT-enheter (tingenes internett). Dette kan være alt fra brødristere, TV-apparater, andre husholdningsapparater, biler, styringssystemer osv. som er på nett. En del av disse nymotens nett-tilknyttede enheter har en lang vei å gå for å bli gode på sikkerhet. I alt for liten grad har det blitt tenkt på sikkerhet under designet og produktutviklingen av mange av disse enhetene.

BYOD (Bring Your Own Device), dvs. privat IKT-utstyr som brukes i bedriftens nettverk, kan være en utfordring sikkerhetsmessig. Utstyret er normalt sett ikke under virksomhetens konfigurasjonskontroll og lever på mange måter sitt eget liv. Pga. eierens manglende kompetanse eller oppmerksomhet rundt datasikkerhet kan utstyret representere en sikkerhetsrisiko. Systemer for beskyttelse mot skadevare og innlegging av nødvendige systemoppdateringer kan være fraværende.

Personvernet er truet!

Støtt og stadig er det saker i media om apper som enten overvåker deg, samler inn alt for mye med personopplysninger eller har ondsinnet kode innebakt. Aktører slik som Google og Apple prøver å rydde opp i dette i sine løsninger (Google Play og App Store), men det er en evigvarende kamp der det innimellom kan glippe litt.

Typisk for tiden er å få falske e-poster eller lenker via sosiale nettverk “fra” bank og skatteetat, eller fra Elkjøp, Netflix, flyselskaper, Apple etc. Man skal få igjen penger på skatten eller få kjøpt et produkt billig (eller gratis), som fordrer innlegging av “litt” opplysninger først. Man kan også bli bedt om å oppdatere sine personopplysninger, profil eller passord på en nettjeneste (webmail osv.), hvor det gjerne spilles på sikkerheten. Svindel og humbug fra ende til annen, men det kan være noe vanskelig å oppdage at det er svindel da nettsider etc. ser ekte ut.

Det står å lese hos Tek.no at nordmenn er rike, godtroende og naive. Vi lar oss lure av ondsinnede e-poster med farlige lenker eller vedlegg i seg. Vi kommer fra et tillitsbasert samfunn hvor vi stoler på andre, og det blir et aldri så lite kulturkrasj når vi møter den store stygge verden på nettet bestående av blant annet proffe svindlere.

Jeg synes det via media støtt og stadig er avsløringer rundt store og vellykkede hackerangrep mot kjente nettjenester, f. eks. Google, Facebook osv. Selv hos store aktører som investerer mye i sikkerhetsløsninger finner det sted vellykkede datainnbrudd, og passord og annen informasjon kommer på avveie. Ingenting er 100 % sikret mot å kunne bli hacket.

En annen side av saken er hvor mye man kan stole på store aktører (multinasjonale konsern) slik som Google, Facebook, Apple, Microsoft, Amazon med flere, da våre personopplysninger og annen informasjon benyttes av slike firmaer som en handelsvare. Til dels driver de nesten til og med spionasje på sine kunder.

Det er i en del tilfeller snakk om falske nettsider proft laget (kopiert), hvor det virker som om man skal få noe gratis eller “steinbillig”. Først må man legge inn en haug med personopplysninger, kontonummer og f. eks. passord, som medfører at man i neste runde potensielt blir utsatt for svindel. Uærlige sjeler fanger opp personopplysninger, passord etc. som de senere kan misbruke til f. eks. økonomisk vinning eller ID-tyveri. Selvsagt får man ikke noe som helst gratis eller “steinbillig”, da det er alt for godt til å være sant. Det blir ingen “gratis lunsj” (les: produkt), men kan man bli utsatt for masse kjedelige konsekvenser (tap av identitet og/eller penger).

En del (sårbare) nordmenn – gjerne godt voksne mennesker – har blitt lurt av kjærlighetssvindel. Personer mer eller mindre på jakt etter en kjæreste mottar en venneforespørsel via sosiale medier. Personen i den andre enden framstår som en troverdig person, og det oppstår en avstandsforelskelse. Personen i den andre enden er en tålmodig kjeltring som bruker masse tid på å bygge opp tillit. Chat blir blant annet benyttet til utstrakt kommunikasjon mellom de to.

Deretter begynner pengemaset hvor offeret blir lurt til å overføre store summer angivelig til helsebehandling, reiser, livets opphold eller tilsvarende. Personen i den andre enden har selvsagt hatt en falsk profil, og vedkommende er langt fra den personen som han/hun har utgitt seg for å være. Alt viser seg å være svindel og humbug, et skuespill for å få svindlet til seg penger fra godtruende nordmenn som tror for godt om andre.

Mye av svindelen nevnt ovenfor starter ofte med “phishing”, som på “godt norsk” kan kalles for nettfiske eller phiske (digital snoking). Dette kan finne sted via f. eks. falske nettsider, mottatte e-poster med lenker eller vedlegg i, via chat (lynmeldinger) eller via mobiltelefon (SMS-meldinger osv.). Angriperen utgir seg for å være noen andre enn det de er – gjerne et kjent firma som man har et kundeforhold til (bank, Netflix, Microsoft osv.), med mål om å lure fra offeret brukernavn, passord, koder, kredittkortopplysninger osv.

Ofte blir man via lenker sendt til en falsk nettside (gjerne proft utformet, eller kopiert ned til minste detalj fra den ekte siden) med et “lureskjema” (nettside) som man blir oppfordret til å fylle ut. Man blir f. eks. bedt om å oppdatere sine betalingsopplysninger på en tjeneste eller tilsvarende, men hvor lenken fører til en falsk nettside som gir angriperne alle dataene man fyller ut. F. eks. kan man bli lurt til å oppgi kredittkort-nummer, CVC2-kode, PIN-kode m. m., som igjen gir svindlerne nok opplysninger til at de kan gjennomføre pengesvindel (trekke penger fra konto).

Verdt å sjekke ut:

Vårt samfunn er i ferd med å bli helt gjennom-digitalisert, og nesten all aktivitet er avhengig av IKT (informasjons- og kommunikasjonsteknologi) for å fungere. Fint og flott i seg selv, men dette gjør oss også ekstremt sårbare. Katastrofer eller større angrep som slår mye av teknologien ut vil medføre store problemer for mye av landets infrastruktur. Betalingsløsninger kan slutte å fungere, ikke-fungerende styringssystemer for strøm, vann og avløp kan skape problemer for leveransen av disse produktene og også leger og helse er avhengig av teknologien i sin hverdag. Internett, mobil og TV/radio kan også bli satt ut av spill, noe som vil gi store konsekvenser for de fleste av oss som er helt avhengig av at denne teknologien fungerer i vår hverdag.

Digital svindel eller nettsvindel

Ifølge nyhetsoppslag hos TV 2 29.08.2018 svindles nordmenn for nærmere fem milliarder (5 000 000 000) kroner i året via digitale plattformer. Blant annet svindles det med:

  • Kjærlighetssvindel.
  • Trangen til raske penger, f. eks. investeringsbedrageri. Man blir lurt til å gå inn med penger i et “prosjekt” som skal gi stor og kjapp avkastning. Enkelt og greit for godt til å være sant, noe det også da er.
  • Salg av ting som folk ikke har peiling på, f. eks. kryptovaluta, gull, edle metaller, valutaspekulasjoner m. m. Også her blir man kraftig lurt, dvs. rundlurt.

Norske myndigheter og institusjoner (banker m. m.) regner med å klare å stanse “bare” 590 millioner kroner i år av pengene som er på vei til kriminelle i utlandet. De kriminelle bruker pengene på blant annet våpen, prostitusjon, narkotika og luksus.

Selv har jeg mest sympati /empati med dem som blir lurt for penger via kjærlighetssvindel. Mennesker blir utnyttet i en sårbar situasjon, og det spilles på lykke og følelser i stor grad. Om noen blir svindlet pga. deres pengegriskhet og drømmen om kjappe penger engasjerer meg ikke i like stor grad.

En god del havner altså på limpinnen og blir utsatt for nettsvindel. Nordmenn er muligens noe naive og godtroende i sin framferd på nettet, og i tillegg har de kriminelle blitt mer og mer proffe i sine svindelforsøk. Det finnes mange personer som har det som jobb å svindle andre. En del av svindlerne går grundig til verks med forarbeidet, og de kan drive med tillitsbygging overfor det framtidige offeret over en lengre periode.

I tillegg til alt dette har man jo falske konkurranser på nettet, gjerne via sosiale medier. Tradisjonell datahacking og diverse ulike former for datainnbrudd er stadig “populært” blant svindlere.

 

Trusselbildet ifølge NorSIS

Trusler og trender (i ikke-teknisk språk) mot individer og virksomheter i vår digitale hverdag 2017-18, ifølge NorSIS:

  • Informasjonstyveri
  • Vanvare
  • Løsepengevirus
  • Direktørsvindel
  • Industrispionasje
  • Sabotasje
  • Identitetstyveri
  • Datingsvindel
  • Personutpressing
  • Krenkelser

Kilde: https://norsis.no/trusler-trender-2017-18/

Det blir også nevnt utfordringene for oss alle med dagens IoT-trend (“tingenes internett”). Den store bruken av sosiale medier, og den medfølgende mulighetene for sosial manipulering er en del av dagens virkelighet. Vi lever i det digitaliserte samfunnet med bruk av skyen, masse nettjenester m. m. Alt dette gir muligheter for sårbarheter som kan bli utnyttet til cyberkriminalitet og cyberkriminelle.

Utviklingen av Internett

I nettets barndom for oss vanlige brukere (på midtre og siste del av 1990-tallet) framstod det som en desentralisert, frigjørende, demokratisk, usensurert, uregulert og nesten anarkistisk kommunikasjonskanal. Det var høy grad av ytringsfrihet og gode muligheter for den enkelte å gjøre det vedkommende fant for godt. Til tider gikk vel friheten litt vel langt og endte over i misbruk (ulovligheter) riktignok.

Etter hvert har nettet utviklet seg i en negativ retning sett med mine øyne. Det har blitt et globalt nettverk for overvåking, dataangrep og kommersiell utnyttelse. De store konsernene har styringen med agendaen, og oss som hører til grasroten ties mer eller mindre i hel og blir overkjørt av de store.

(Nå må man oppsøke det mørke nettet eller dypnettet for å få full frihet. Imidlertid er vel dette nettet mest for anonyme «kjeltringer» og ulovligheter.)

 

PST: Trusselvurdering 2019

Politiets sikkerhetstjeneste (PST) har presentert sin trusselvurdering for 2019. De største truslene slik PST ser det:

  • Statlig etterretningsvirksomhet mot Norge og norske verdier.
  • Politisk motivert vold (ekstreme islamistiske grupper, terrorangrep).
  • Trusler mot myndighetspersoner.

En del av disse truslene og farene kan finne sted via digitale medier / informasjonsteknologi. PST er spesielt opptatt av muligheten for cybertrusler fra land slik som Kina og Russland.

IOCTA-rapport fra Europol 2019

Ifølge IOCTA-rapporten 2019 til Europol er utpressingsprogrammer (“ransomware”) fortsatt den største trusselen. Heldigvis har volumet av denne typen angrep gått noe ned, takket være diverse igangsatte tiltak.

Utenom løsepengevirus / utpressingsvare / utpressingsprogramvare er det ifølge rapporten en del tilfeller av kompromittering av data via phishing-angrep, datainnbrudd, datalekkasjer og skadevare designet for innsamling av sensitive data. Ødeleggende / destruktive angrep / sabotasjeangrep mot infrastruktur m. m. er også sentrale deler av det store bildet.

Sikkerhetsselskapet Trend Micro sin 2018-rapport

Sikkerhetsselskapet Trend Micro har publisert sin årlige “Security Roundup”-rapport som omhandler år 2018. Digi.no skriver noen ord om funnene i denne rapporten i sin artikkel:

Norge ligger på femteplass i verden når det gjelder direktørsvindel. Andre trender i 2018 i tillegg til direktørsvindel er: Kryptokapring og nettfiske (“phishing”-angrep). Løsepengevirusene (“ransomware”) på sin side viser en nedadgående tendens.

Google-rapport for Android-plattformen 2018

Ifølge rapport fra Google er en stor sikkerhetstrussel på Android-plattformen klikksvindel. Det er da snakk om bruk av programvare / systemer for å generere / simulere mange klikk på annonser for å påvirke reklameinntektene / reklameutgiftene, enten til seg selv (skape inntekter) eller sine konkurrenter (skape utgifter).

Andre sentrale trusler er trojanere, SMS-svindel og spionasje-funksjonalitet i apper.

Beskyttelse og tiltak

Datakriminaliteten vil neppe avta i tiden framover. Det vil stadig dukke opp nye trusler og angrep. I vårt digitaliserte samfunn hvor vi finner IKT over alt blir man i høyeste grad sårbare. Sårbarheten kan vi ikke springe fra så lenge som vi lever i en globalisert og digitalisert verden, og hvor det er gode penger i å drive med cyberkriminalitet. Forbrytelsene kan foretas via nettet uten å være fysisk til stede der som forbrytelsene reellt finner sted.

Tekniske sikringstiltak er selvsagt viktig. Brannmurer og tetting av sikkerhetshull er eksempler på tekniske tiltak. Imidlertid blir aldre sikkerheten bedre enn det svakeste leddet.

På brukernivå er tofaktorautentisering (totrinnsbekreftelse, noe du vet + noe du har) en fornuftig måte å beskytte seg på. Bevissthet rundt valg av fornuftige passord, skifting av passord, ulike passord til ulike tjenester osv. er også enkle tiltak som minsker risikoen for å bli hacket betraktelig.

Det svakeste leddet er ofte mennesker, og den menneskelige faktor må ikke undervurderes eller glemmes. Mennesker kan lures og manipuleres til å foreta seg ting på innsiden av brannmuren som gjør tekniske sikringstiltak tilnærmet ubrukelige og unyttige. Ofte må det foretas organisatoriske endringer for å få økt sikkerhetsnivået. Informasjonssikkerhet handler om mye mer enn bare teknologien.

Menneskene må “dresseres” skulle jeg til å si. Opplæring i informasjonssikkerhet og holdningskampanjer for å gjøre oss alle mer bevisste kan være nødvendige tiltak. Vår kritiske sans må opptrenes, slik at vi ikke uten videre trykker i vilden sky på alle lenker og e-poster som kommer vår vei.

Barn og unge må ikke glemmes i det store bildet. Holdningskampanjer, opplæring og andre former for bevisstgjøring kan være aktuelt for å få dem til å bli trygge nettbrukere som utviser nettvett.

Oss godt voksne er født inn i verden før teknologien gjorde sitt inntog for fullt. For å bli gode cyberborgere kan det være nødvendig med diverse tiltak som gjør oss bedre i stand til å bruke teknologien på en fornuftig måte og til å ta bedre beslutninger. Nettvett kan være tingen også for godt voksne.

Ifølge Nasjonal sikkerhetsmyndighet (NSM) finnes det fire effektive tiltak mot dataangrep, hvor det påstås at disse tiltakene alene stopper opp mot 90 % av dataangrepene:

  1. Oppgrader program- og maskinvare.
  2. Installere sikkerhetsoppdateringer så fort som mulig.
  3. Ikke tildel administrator-rettigheter til sluttbrukere.
  4. Blokker kjøring av ikke-autoriserte programmer (“hvitelisting”).

Kilde: Nasjonal sikkerhetsmyndighet (NSM): Fire tiltak stopper opp mot 90 prosent av dataangrep

Avansert teknologi mot avanserte trusler

Selv om kommentaren til teknologisjef Nils Ove Gamlem i Check Point gjengitt i Digi.no er mer eller mindre reklame for Check Point sine sikkerhetsprodukter gjengir jeg noen punkter fra innlegget, noe omskrevet.

Det har i 2018 vært diverse store kyberangrep som har blitt førstesidestoff i mediene. I den forbindelse setter forfatteren opp en liste over noen kybertrender for år 2019 basert på det tilbakelagte året:

  • Det blir mer og mer “populært” med skadevare som graver etter digitalt gull, dvs. krypto-valuta og krypto-miners som finner sted uoppdaget på vårt utstyr og generere kontinuerlige inntekter for de kriminelle som står bak.
  • Angrep mot mobiltelefoner som er dårlig sikret.
  • Innbrudd rettet mot skytjenester.
  • Maskinlæring og AI kan misbrukes til å utvikle bedre skadevare.
  • Land og stater som angriper og påvirker andre er en bekymringsfull utvikling.
  • Organisasjoner har sviktet rundt dette å ta i bruk bedre sikkerhetsrutiner og produkter for å beskytte sine nettverk og enheter. Blant annet utfordres sikkerheten av IoT, velferdsteknologi, medisinske enheter, selvkjørende kjøretøy og andre mobile enheter.

Check Point sin løsning er nanosikkerhetsagenter.

 

Informasjonssikkerhet og internkontroll er en kontinuerlig prosess som man aldri blir ferdig med. Arbeidet må hele tiden revideres, og nye tiltak må tas i bruk for å stoppe nye typer trusler.

Det kan ofte være aktuelt å leie inn ekstern kompetanse og konsulenter. En utfordring er stor mangel på fagfolk innenfor informasjonssikkerhet. Det er et skrikende marked for enda flere flinke fagfolk og eksperter innenfor informasjonssikkerhet, cybersikkerhet og datasikkerhet.

Bransjespesifikke CERT-team (Computer emergency response team) som kan bistå i kartleggingen og oppryddingen kan også ha noe for seg.

Alt er ikke personopplysninger

Via fokus på personvern, GDPR, personopplysningsloven etc. har det vært et visst fokus på verning av personopplysninger. Spesielt er det en del bevissthet rundt å hindre uvedkommende tilgang på sensitive personopplysninger, slik som f. eks. helseopplysninger.

Innenfor informasjonssikkerhet er personvernet viktig, men det finnes også annen informasjon som må vernes selv om det ikke er snakk om personopplysninger. F. eks. kan det være ønskelig å unngå at følgende typer opplysninger kommer på avveie, blir manipulert eller blir gjort utilgjengelige:

  • Forretningshemmeligheter (f. eks. oppskrifter)
  • Strategier
  • Produktutvikling
  • Beslutninger rundt bruk av virkemidler for å oppnå konkurransefortrinn osv.
  • Kontraktsmessige forhold
  • Styrings-/driftssystemer (PLS-systemer, SD-anlegg osv. som kan bli manipulert eller satt ut av drift, jf. cybersikkerhet)
    Osv.

Også informasjon som ikke er personopplysninger må i en del tilfeller beskyttes. Hvis ting feiler kan man i verste tilfelle risikere at en bedrift går konkurs.

Cybersikkerhet

Cybersikkerhet

Ikke bare-bare for små og mellomstore bedrifter

Små og mellomstore bedrifter (SMB) har ofte ikke nødvendige kompetanse internt når det gjelder informasjonssikkerhet og datainnbrudd m. m. Det kan være begrenset med hjelp som lett kan innhentes.

Noe kompetanse kan leies inn ved behov fra markedet, men her kan det være store utfordringer med å finne de rette som virkelig kan jobben og vet hva de driver med. Politiet har ofte begrensede ressurser og kompetanse til at man kan stole på dem.

Et godt eksempel på utfordringene framgår av denne artikkelen:

Her er det helt sikkert store mørketall. Mange datainnbrudd eller andre brudd mot informasjonssikkerheten blir neppe anmeldt og/eller offentlig “annonsert”. Det er liten åpenhet rundt angrep, og det er noe “flaut” å innrømme at man har blitt utsatt for slikt.

Lover og regelverk

GDPR (General Data Protection Regulation, Personvernforordningen 2016/679) har så vidt blitt nevnt tidligere. Ny “Lov om behandling av personopplysninger (personopplysningsloven)” og tilhørende forskrift + personvernforordningen (EU) har trådt i kraft sommeren 2018. Poenget med dette regelverket er å beskytte/styrke personvernet og harmonisere reglene i hele Europa (EU). Reglene gir en god del føringer med rettigheter og plikter for den enkelte av oss og for de virksomhet som behandler personopplysninger. Det står mer å lese om GDPR i egen artikkel (lenke) om personvern.

Fra 1.1.2019 trer ny sikkerhetslov – Lov om nasjonal sikkerhet (sikkerhetsloven) – + forskrifter i kraft. Denne loven vil blant annet omhandle forhold relatert til informasjonssikkerhet og tilgjengelighet. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, hvor blant annet sikring av digital infrastruktur innenfor samfunnskritiske områder inngår.

Straffeloven er selvsagt også aktuell i forbindelse med informasjonssikkerhet og eventuelle datainnbrudd hvor gjerningsmann blir tatt. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

I likhet med folk flest er jeg sløv med å lese brukervilkårene til programvare jeg installerer på min PC eller til nettjenester som jeg tar i bruk. Vilkårene som man fort bare aksepterer uten å ha lest dem (grundig) sier som oftest en god del om leverandørens behandling av opplysninger, informasjonssikkerhet etc. Strengt tatt burde man virkelig sette seg inn i slike ting før den nye teknologien tas i bruk.

Myndighetene som en trussel

Myndighetene og deres aktiviteter kan bidra til å true informasjonssikkerheten/datasikkerheten og personvernet. Den vanlige kvinne og mann kan bli stemplet som en potensiell lovbryter og/eller terrorist som “må” utsettes for overvåkning og kontroll. Dataene som samles inn kan bli misbrukt eller komme på avveie.

Det kan blant annet se ut for at ny e-tjenestelov (Lov om Etterretningstjenesten, forslag til ny lov) vil gi Etterretningstjenesten (E-tjenesten) vide fullmakter til å overvåke datatrafikk som krysser den norske grensen. Mer konkret: Regjeringen vil ha endringer i etterretningstjenesten-loven som gir E-tjenesten muligheter for å lovlig lagre metadata fra all digital trafikk som krysser landegrensen. Innføring av digitalt grenseforsvar (DGF) eller “tilrettelagt innhenting” med masseovervåkning av norske borgere går virkelig hardt utover personvernet og privatlivet til oss lovlydige borgere.

Datatilsynet – som er personvernets forkjempere og forsvarere – er som forventet negative. Den massive overvåkningen kan rokke med demokratiet, medfører et for stort inngrep i retten til privatliv og kan være i strid med menneskerettighetene. Både ITavisen og Digi har skrevet om denne saken og om Datatilsynets meninger. Ifølge Digi har Datatilsynets direktør Bjørn Erik Thon uttalt noe tilsvarende dette: – Vanskelig å klemme dette monsteret av en lov innenfor menneske­rettighetene. Vil loven være kroken på døra for bruk av visse typer for kryptering?

Fra USA har vi friskt i minne Snowden-avsløringene rundt overvåkning. Det var (er) ikke måten på hva NSA (National Security Agency) samlet inn av opplysninger om og overvåket uskyldige mennesker som ikke var mistenkt for noe som helst. Å behandle alle slags mennesker som potensielle terrorister og forbrytere er litt av et menneskesyn. Selv er amerikanerne livredde for kinesernes overvåkning, hvor Trump blant annet vil forby – bannlyse – mobiltelefoner og mobilutstyr fra kinesiske produsenter slik som ZTE og Huawei.

Også i Norge advares det mot å bruke Huawei mobiltelefoner, og i enda større grad mot at nevnte leverandør eventuelt får lov til å bygge ut 5G-nett i Norge via leveranser av senderutstyr og annen infrastruktur. PST opplever det som høyst problematisk hvis Huawei får slippe til med utbygningen. Man er redde for leverandørens (eventuelle) nære forbindelser til det kommunistiske (og autoritære / diktatoriske) styret i Kina, og for at Kina skal kunne drive etterretning og overvåkning via utstyret mot blant annet lille Norge.

USA på sin side kommer med det som mest minner om trusler. Det trues eller advares om konsekvenser for EU-land som samarbeider med Huawei eller andre teknologiselskaper fra Kina i forbindelse med innføring av 5G og tilsvarende sentral infrastruktur. Redselen for cyber-spionasje fra myndighetsnivå i Kina er stor.

Mai 2019 kom nyheten om at Trump HELT forbyr amerikanske selskaper å bruke utenlandsk teleutstyr som kan være en “fare for landets sikkerhet”. Dette forbudet klarte han å få i stand via en erklæring om “nasjonal nødssituasjon”, som igjen medførte at han kunne legge ned et forbud for amerikanske selskaper å bruke utenlandsk utstyr som “utgjør en uakseptabel risiko”.

Produsentnavn og land nevnes ikke, men det er ingen tvil om at forbudet blant annet rettes mot Kina-produsenten Huawei. Og alt dette kommer i stand bare pga. ubegrunnede påstander og indisier fra presidenten og hans folk. I USA – hvor de har flinke folk i f. eks. NSA, FBI og CIA – har de ikke klart å framskaffe et eneste håndfast bevis på at Kina VIRKELIG driver med overvåkning og spionasje via f. eks. Huawei-utstyr. Bare ubegrunnet synsing, redsel og storpolitikk som ligger bak dette vaset av et forbud.

Vi må ikke være naive. Det sitter proffe aktører der ute som lever av å hacke og bryte gjennom sikringstiltak / sikkerhetshull. En del av dem har til og med nære knyttinger til myndighetene, eller er til og med finansiert og del av ulike lands statsapparat.

Dataene fra “lovlig” myndighetsstyrt overvåkning kan komme på avveie og i hendene på uønskede aktører, eller de kan bli benyttet til andre formål enn de tiltenkte. Innsamlede data kan lett benyttes til massiv spionasje, overvåkning og rangering av et helt lands befolkning (borgere), jf. Kina sine systemer for “sosial kreditt” basert på massiv overvåkning, store databaser og AI-systemer (kunstig intelligens).

Kina sitt planlagte system for sosiale poeng (sosialt poengsystem) som er under uttesting enkelte steder høres noe skremmende ut, ja. Systemet minner nesten om et dataspill, hvor man får eller kan miste poeng. Det legges opp til et sosial poengsystem eller sosial kreditt, hvor man kan bli straffet for overtredelser eller få plusspoeng for god oppførsel. Overtredelser slik som å gå på rød mann kan medføre at man mister poeng, og hvis tilstrekkelig antall poeng mistes kan dette medføre straffer slik som f. eks. å bli nektet bruk av hurtigtog, fly, reduserte karrieremuligheter eller redusert hastighet på Internett.

I et land som Kina kan digitalt diktatur lett innføres, da de “slipper” å forholde seg til faktorer slik som personvern, informasjonssikkerhet og menneskerettigheter. Sett fra myndighetenes side er nok dette et slikt system en ønskedrøm som går i oppfyllelse. Endelig får de nødvendige verktøy tilgjengelig for å klare å holde full kontroll over sin store befolkningsmengde, og systemet kan også bidra til at opptøyer og forsøk på å splitte landet blir unngått eller stoppet allerede i startfasen.

Chip under huden

Noe “helt nytt” er chip under huden, i hånden.  Det blir visstnok mer og mer utbredt med mikrochipper som plasseres under huden i hånden, og spesielt i Sverige har dette “tatt av”. Tilbud om chip under huden blir gjerne gitt av arbeidsgiver, og denne kan i første omgang benyttes blant annet som adgangskort, utskrift og betaling av mat i kantina. Flere bruksområder kommer nok etter hvert.

Verken Datatilsynet, LO eller NHO ser på dette som helt uproblematisk. Slike chipper reiser en hel rekke spørsmål rundt sikkerhet (fare for hacking etc.), personvern, overvåkning, lovlighet og om de bli innført under kollektivt press. (Enkelte blander også noe Bibelsk inn i saken, noe jeg skal la ligge i denne omgang.) Det kan nok være lurt å tenke seg om både to og tre ganger før man aksepterer en slikt inngrep med innplanting av en chip i kroppen.

Arbeidsgiver

En trussel mot informasjonssikkerheten og ikke minst personvernet kan være arbeidsgiveren. Ifølge undersøkelser er det mange næringslivstopper og ledere – 1 av 5 – som leser de ansattes sin epost, selv om dette ikke lovlig uten at en saklig grunn for kontrolltiltak foreligger. Arbeidsgiver sniker, og de stoler ikke på sine ansatte.

Det har også vært diverse saker hvor arbeidsgivere har overvåket de ansatte med ulovlige kameraløsninger, lydopptak osv.

Avslutning

I dagens teknologiske og digitaliserte virkelighet er informasjonssikkerhet et sentralt tema. Vår avhengighet av IKT gjør oss digitalt sårbare. Økt fokus og bevissthet rundt informasjonssikkerhet blir sentralt i fortsettelsen for forhåpentligvis å unngå de verste sikkerhetsbruddene.

Datakriminelle tar ikke ferie, og de vil hele tiden kjøre på med sine forsøk på angrep. Det blir en langvarig kamp eller krig mellom “oss” og “dem”. Tiltak må igangsettes for å beskytte informasjonen vi besitter på en god måte. Beklageligvis vil det aldri la seg gjøre å beskytte informasjonen 100 %, og noen datainnbrudd og informasjon på avveie må vi nok bare lære oss å leve med.

Lenker

Eksterne:

Interne (blogg.brr.no):




Æ er skeptisk (Rema 1000)

Google Play: Æ – Rema 1000

Rema 1000 “gnåler” i form av reklame på TV og mas i butikkene om at kundene må ta i bruk Æ. Æ er deres siste markedsføringsstunt.

Jeg er som forventet (?) svært skeptisk til nyskapningen. Rema gjør det neppe av veldedighet. Det er ganske sikkert i hovedsak kjeden og butikkene som tjener på opplegget, og ikke oss kunder og forbrukere. Kunder “bindes” og lokkes til å bruke deres butikker som sine prefererte butikker.

Det lokkes med 10 % lavere pris på fersk frukt og grønt samt samme rabatt på de 10 varene man personlig bruker mest penger på. Rabattene trekkes fra i kassa før betaling.

Masse persondata og informasjon om den enkelte persons handlemønster lagres hos Rema. Denne informasjonen om den enkeltes kjøpsadferd er gull verdt for kjeden. Løsningen truer og krenker oss kunders personvern slik jeg ser det.

Æ er ifølge dem selv:

“Æ er et personlig verktøy som hjelper deg å spare penger på det du handler mest.  Med appen får du i tillegg full oversikt over handleturene dine og kan til enhver tid se hvor mye du har brukt og spart.”

En App kan lastes ned til iPhone og/eller Android mobiltelefon.

Jeg har for mange år siden sagt min ærlige mening om hva jeg synes om slike systemer. Jeg har faktisk en egen gammel nettside om saken som heter “NEI til bonuskort!”:

Fra nevnte gamle nettside gjentar jeg følgende, med noen tilføyde parenteser for å få den opprinnelige teksten litt mer tilpasset til Æ-løsningen:

Om bonuskort, skrevet i den tiden kampene gikk mellom Domino (finnes ikke lenger) og Trumf:

Er vi som forbrukere tjent med disse kortene? NEI!

  • Å administrere det kompliserte kortsystemet (eller App-løsningen) koster en del penger. Disse pengene tar butikkene igjen ved å plusse på prisene.
  • Å gi ut “bonusgevinster” (eller rabatter) koster også penger. Butikkene driver ikke veldedighet! For å finansiere gildet må forbrukeren betale!
  • Mye penger har gått med på å reklamere for kortene (samt for tjenesten Æ). Denne utgiftsposten må også kundene bekoste.
  • Kortene (Æ-løsningen med sin App) binder oss til faste butikker. Dette er gunstig for butikkene men ikke for forbrukerne. Vi bør stå fritt til å velge den butikken vi selv vil handle i!
  • Mange kunder velger å gå til anskaffelse av flere konkurrerende bonuskort (eller andre bonusordninger i form av App, betalingskort osv.). Kortselskapene oppnår dermed ikke den lojaliteten de er ute etter. For kundene betyr flere bonuskort forvirring angående hvilket kort som skal brukes i hvilken butikk, de økonomiske gevinstene for kundene blir små osv. Hvorfor skal vi rett og slett ha bonuskort som gjør vår hverdag mer komplisert?
  • Kortene gjør forbrukerne mer opptatt med å samle poeng (rabatter) enn å se på prisene.
  • Kortbruken gjør det også mulig for butikkene å registrere mye om den enkelte forbrukers adferd. Hva han / hun handler, når, i hvilke butikker etc. Heldigvis finnes det strenge regler for personvern og datasikkerhet her i landet, men gudene må vite om butikkene / kjedene som er knyttet opp mot Trumf / Domino (eller Æ til Rema 1000) følger disse reglene.

La oss få billigere varer uten bonuskort som kompliserer hverdagen!

 

Rema 1000 sin Æ-løsning er ny, men bygger jo i stor grad på de samme prinsippene omtalt ovenfor. Samme kritikk som tidligere tiders bonuskort kan rettes mot nykommeren Æ.

Bruken av Æ eller deltakelse i andre kundeprogrammer/kundeklubber har en del konsekvenser. Som det framgår av en Dinside-artikkel i lenkelista er det (minst) fire ting man må være klar over: 1) Alle kjøp lagres i detalj (hva, når, hvor), 2) innsamlet informasjon kan gis videre, 3) handlevanene til den enkelte studeres og 4) du har krav/muligheter på å få vite hva de vet om deg (personopplysninger og hvordan de behandles).

En helt annen ting med Rema 1000 som jeg heller ikke liker er deres begrensninger i sortiment. Enkelte kjente merkeprodukter finnes ikke og er erstattet av deres egne varianter eller andre billigmerker som slettes ikke er så gode som originalen.

Vi handler ganske mye på Rema 1000, selv om konseptet til kjeden slettes ikke appellerer til meg – lavpris lagerfølelse med dårlig utvalg. Der vi bor er nemlig ikke valgene så store. Det står i hovedsak mellom Rema 1000, Kiwi og lokalbutikken (Joker). Hvis flere valg hadde vært tilgjengelige i nærheten av bosted skulle jeg så gjerne ha handlet annet sted enn på Rema. Æ-tullet har ikke akkurat gjort meg mer positiv til kjeden.

Både Æ og Trumf tatt i bruk privat

Jeg (vi) har gått på en kjempestor smell her. Både Æ og Trumf har jeg (vi) tatt i bruk privat. Selv om jeg generelt sett er skeptisk til slike bonuskort, bonusprogrammer og lojalitetsprogrammer har begge disse nevnte løsningene likevel blitt naturlig del av hverdagslivet. Det er faktisk noen kroner å spare, så jeg måtte la prinsippene fare i jakten på økonomiske besparelser.

Vi handler (normalt) mye dagligvarer både på Rema og Joker (lokalbutikken), og det er vel alt i alt greit å ta med seg de rabatter og tilbud man kan få. Fra tidligere tider har jeg (vi) også et Coop-kort, men dette blir lite brukt her vi nå bor (langt til nærmeste butikk). Bensinkort eller kundekort via Måløy Havneservice (MH24) har vi liggende i bilene våre. I tillegg har visstnok kona også noen medlemskap i kundeklubber til diverse butikker og kjeder (klesbutikker, interiør, hotellkjeder m. m.)

Ja, dette er litt dobbeltmoral og jeg taler til dels med to tunger. Fullt klar over dette! Fallet er stort, men jeg kan leve med det! Prinsipielt er jeg fortsatt skeptisk til programmene og kortene, men i praktisk livsførsel hvor man er litt økonomisk ansvarlig er det vanskelig å styre unna dem.

 

Lavpris og lavpris. Reitan-familien, familien som står bak Reitangruppen som eier Rema-kjeden, har gjort gode penger på kolonialhandel / dagligvarehandel. Eierne tjener nok vel så mye på lavpris-konseptet til Rema som kundene sparer. Dagligvarehandel er “big business” hvor toppene sitter igjen med gode penger på tross av såkalt lavpris-konsept.

Det sies at Rema gjør Norge billigere. Mitt svar på dette er at pris ikke er alt! Hvorfor ikke bare gi kundene OK priser og produkter på direkten uten å komplisere ting med et bonusprogram og en app? Jeg tenker nok at Rema og andre lavpriskjeder med sine priskriger og kundeprogrammer primært gjør ledelsen og aksjonærene/eierne rikere. Sekundært tilbys det billigere varer til kundene.

Teknologien, i form av appen Æ, benyttes til å komplisere forbrukernes hverdag. Det blir også vanskeligere å sammenlikne priser mellom ulike kjeder og butikker. Rema sitt tidligere slagord “Det enkleste er ofte det beste” er tydeligvis glemt og forlatt. Til syvende og sist er det også forbrukerne som må ta regningen for å utvikle, vedlikeholde og drifte appen og systemene rundt.

Jeg skulle ønske nordmenn var flinkere til å bruke sin forbrukermakt mot Rema og tilsvarende lavpriskjeder. Det finnes da viktigere momenter enn pris. Jeg for min del skal med glede betale litt mer for varene for å få et stort sortiment med kvalitetsprodukter. Tross alt bruker vi kun oppimot 12 % av vårt budsjett på mat, selv om dette å spise seg mette er et viktig fysiologisk behov som med fordel kan dekkes med kvalitetsprodukter i stedet for med lavprissubstitutter.

Enkelte kjeder har en “forkjærlighet” for å erstatte, eller i hvert fall supplere, kjente, kjære og gode produkter med sine egne merkevarer. NorgesGruppen har blant annet Eldorado og First Price (Unil), og Rema 1000 har en del produkter som kun er merket med deres kjedenavn, og Coop har også sine egne varemerker (Coop Kaffe, Røra fabrikker og Gomanbakeriene m. m.). Slike produkter skaper også noe irritasjon hos meg. Hvis jeg skal få si min ærlige mening er enkelte av disse substituttproduktene direkte dårlige sammenliknet med originalproduktene. Ja takk til mer vekt på kvalitet og litt mindre vekt på pris. (Fysj og fy, det er mye dårlig innenfor Eldorado og First Price!)

I sosiale media er det mer eller mindre i gang et “folkeopprør” mot Rema 1000. Det hevdes at man bør boikotte kjeden. Årsaken til ønsket om boikott er mest pga. kjedens “krig” mot sine leverandører. Rema ønsker seg langsiktige og eksklusive “bestevenn”-avtaler med utvalgte leverandører. Leverandører som Rema ikke klarer å oppnå gode avtaler med risikerer å miste hylleplassen i butikkene. Lave priser og lite vareutvalg (slanke antall merkevarer i sortimentet) er og blir deres hovedstrategi. Produkter fra blant annet Lerum, Mack og Olden er vei ut av butikkene.

Selv om jeg anser både Æ og bestevenn-strategien til Rema som “teite” påfunn kommer jeg ikke til å boikotte dem. Boikott blir for “barnslig”. De andre aktørene er neppe hakket bedre. En del av de andre butikkene og kjedene er med i Trumf-samarbeidet eller har sine egne kundekort og kundeprogrammer. Og den ene butikkkjeden/gruppen er vel ikke særlig verre enn den andre når alt kommer til alt overfor sine leverandører.

Påskesesongen 2017 – med senere videreføring – innfører Rema 1000 “palmeoljeboikott av Freias (Mondelez) påskeegg. Årsaken er innholdet av palmeolje i eggene. Også en del andre produkter har de funnet erstatninger for som ikke inneholder den omstridte palmeoljen. Vet ikke helt hva jeg skal mene om dette, utenom at jeg for min del fortsatt kjøper Freia påskeegg i andre butikker med den beste samvittighet. Tenker også at det er andre forhold enn et ekte miljøengasjement som ligger bak kjedens valg.

Enkelte er heller ikke glade for Rema 1000 sine ønsker rundt frislipp for søndagsåpne butikker. Den lønnsmessige behandlingen av enkelte ansatte er visstnok heller ikke særlig god fra kjedens side. Enkelte kjøpmenn føler også at kjeden har gitt dem munnkurv til å uttale seg og å komme med kritikk mot kjeden de tilhører. Og i tillegg til alt dette kommer app-en og kundestrategien Æ.

(At Æ er et trøndersk uttrykk skal jeg ikke gjøre noe stort poeng ut av her. Det er mindre interessant.)

I forbindelse med julehandelen 2018 får Rema 1000 også en del kritikk. Denne gangen går kritikken på at de geografisk forskjellsbehandler kundene. Det har i en periode vært store forskjeller i prisene på de samme produktene alt etter hvor i landet den enkelte butikk ligger.

Det har i den senere tid blitt ganske tyst om hele Æ-satsingen, fokuset er kraftig nedtonet. Den har neppe gitt de effekter de så for seg da de innførte konseptet. Slagordet til Rema er i utgangspunktet “Bare lave priser”, men de kjører likevel på med diverse kampanjevarer og “stunts”. Tidligere var deres konsept å ikke ha tilbudsvarer, da angivelig alle varer var gunstig og lavt priset.

Nå er det lett å rette mye kritikk mot den norske franchisekjeden med dagligvareforretninger som går under navnet Rema 1000, eller å rette tilsvarende kritikk mot Reitangruppen som står bak Rema 1000 + diverse. Det er vel neppe grunn til å tro at de to andre store aktørene på markedet, Norgesgruppen og Coop, er så mye bedre enn Rema. De jobber alle sammen med å bruke sin markedsmakt til å tvinge gjennom bedre vilkår og priser fra sine leverandører. Når det gjelder markedsandeler er det Norgesgruppen som er størst etterfulgt av Coop og med Rema som minstemann.

Rema 1000 har i en periode mistet markedsandeler. Muligens skyldes dette uklar strategi samt en del dårlige valg over en lengre periode. På en måte hadde det nesten vært litt til pass hvis Rema 1000 måtte gi opp.

På den annen side er det kjedelig hvis Rema 1000 forsvinner og blir kjøpt opp eller “spist” av en av de andre norske aktørene. Utenom Rema har vi kun to andre store aktører i dagligvarebransjen:

  • Norgesgruppen: Med kjedekonseptene Joker, Meny, Kiwi, Spar m. m.
  • Coop: Med kjedekonseptene Obs, Coop Mega, Coop Prix, Coop Marked, EXTRA, Matkroken m. m.

I tillegg har man Bunnpris som delvis er en frittstående kjede av dagligvarebutikker/forretninger. De har pr. nå et innkjøps- og distribusjonssamarbeid/logistikksamarbeid med Norgesgruppen, mens de tidligere i en periode hadde en tilsvarende avtale og samarbeid med Reitan. Lidl (tysk lavpris dagligvarekjede) sitt forsøk på å erobre Norge for noen år siden ble som kjent en fiasko.

Litt konkurranse og tap av markedsandeler får de nevnte aktørene fra nye nettaktører som driver med hjemlevering- og matkasseselskaper. Noen kjente utfordrere er disse: Godt Levert, Adams matkasse, Kolonial.no, Handleriet.no og Morgenlevering.no. Riktignok dekker ikke disse nye aktørene hele landet.

For konkurransesituasjonens skyld og kundenes valgfrihet bør det muligens ikke bli færre aktører enn i dag. Flere aktører fører til en mer skjerpet konkurranse aktørene imellom.

Det er nok også sant det som står i en av lenkene i bunnen av denne artikkelen: “Den virkelig store ulven som Reitan ikke vil være bestevenn med lenger, er nemlig amerikansk. Og heter Coca-Cola.” Enkelte leverandører/produsenter har stor makt som igjen rammer kjedene og til slutt oss kunder.

Dagligvarekjedene har litt å svare for når det gjelder miljøvern – eller mangelen på dette. Masse unødvendig emballasje benyttes, og ofte leveres det alt for store pakninger og kjøres på med lokketilbud. Vil blir “lurt” til å handle inn mer enn det vi strengt tatt trenger, noe som igjen ofte medfører kasting av utgåtte varer som vi ikke klarer å bruke opp eller spise opp innen utløpet av holdbarhetsdatoen.

Kiwi påstår januar og februar 2019 at de driver med “momskutt” på fiskeprodukter, noe som selvsagt er høyst villende. Merverdiavgiften til staten kommer man ikke utenom om man vil eller ei. De har nok innført noen priskutt ca. tilsvarende matmomsen på fiskeprodukter i en avgrenset periode, men helt hvor store kuttene i virkeligheten er virker noe svevende. Verken Rema eller Coop setter pris på “stuntet” fra sin konkurrent. Kiwi på sin side selger masse fiskeprodukter pga. kampanjen.

Det er ikke bare Rema som kjører på med kundekort og kundeklubber. Veldig mange kjeder også i andre bransjer enn dagligvare (klær, kjøkkenutstyr etc.) vil ha kundene inn i og registrert i sine kundeklubber. Man blir lokket med rabatter for å få folk til å registrere seg. I etterkant av registrering av “medlemskapet” blir man dynget ned med e-poster med reklame for å friste oss til å handle enda mer hos den konkrete leverandøren. Alle slike kort, kundeklubber og registrering av personopplysninger kan medføre at vårt personvern blir svekket, og å opprettholde god nok informasjonssikkerhet blir også utfordrende.

Æ er enkelt og greit skeptisk til Æ-konseptet. Det gagner nok kjeden og butikkene mer enn meg som forbruker. Jeg er noe skeptisk til å gi Rema 1000 så mye oversikt over mine handlevaner og kjøpemønstre som bruken av Æ-løsningen gir dem.

Lenker:




Personvern, informasjonssikkerhet, internkontroll (bedrift)

Personvern

Dagens seriøse tema er personvern, informasjonssikkerhet og internkontroll på bedriftsnivå. Et tungt og kjedelig tema vil nok noen si, men jeg synes både det er interessant og relevant. Mange tar alt for lett på denne viktige tematikken, og kunnskapsnivået kan nok være ganske sviktende både blant privatpersoner og bedrifter.

Min videre vinkling i denne artikkelen er preget av at jeg er offentlig ansatt i kommunal virksomhet. Samtidig er jeg opptatt av og interessert i IKT og teknologiens muligheter.

Å ha en del noe rigide regler og lover for personopplysninger og personvern kan til tider virke noe byråkratisk. Hensikten er imidlertid å unngå krenkelser av personvernet og å oppnå tilfredsstillende informasjonssikkerhet. Det er innimellom oppslag i media der rutinene har sviktet og personopplysninger har kommet uvedkommende i hende, noe som kan være veldig krenkende og ødeleggende for den som blir rammet. Datatilsynet er “vaktbikkja” som passer på at reglene blir fulgt og som blant annet kan utstede bøter ved lovbrudd.

Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er ikke lovlig. Det er også viktig å sikre tilfredsstillende informasjonssikkerhet slik at personopplysninger ikke kommer uvedkommende i hende, blir endret/slettet av uautorisert personell eller at opplysningene ikke er tilgjengelige for dem som virkelig trenger dem.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Hva er personvern?

For enkelte er muligens personvern et tvetydig eller nesten uforståelig begrep. Personvern har lite eller ingenting med fysisk vern av personer å gjøre. Det personvern omhandler er vern og beskyttelse av våre personopplysninger, hvor personopplysninger er opplysninger eller vurderinger som kan knyttes til identifiserbare enkeltpersoner.

Engelskspråklige har det noe lettere med et bra og beskrivende begrep for personvern. Der brukes begrepet “privacy” som i stor grad via selve ordet forteller hva det er snakk om. Muligens skulle vi ha hatt et klarere og tydeligere begrep enn personvern på norsk? Generelt er mange av diskusjonene innenfor personvern preget av mangel på klart språk. Det blir ofte mye “stammespråk” for spesielt innvidde.

Personvern går i grove trekk ut på å verne privatlivets fred, ha kontroll over våre egne personopplysninger og beskyttelse mot uønsket innsyn/misbruk. Alle virksomheter bør ha et bevisst forhold til sin omgang med personopplysninger for å kunne beskytte sine kunders eller tjenestemottakeres interesser innenfor personvern.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Regelverk

For en bedrift er det (heldigvis) ikke rett fram å igangsette utstrakt behandling av personopplysninger. Ofte foreligger det meldeplikt til Datatilsynet og i enkelte tilfeller også konsesjonsplikt. En del grunnkrav må være oppfylt før behandling av personopplysninger igangsettes: Behandlingsgrunnlag må foreligge, personopplysninger kan bare brukes til et uttrykkelig angitt og saklig formål (f. eks. lovpålagte oppgaver), tilstrekkelige og kun relevante opplysninger for formålet kan behandles, kun korrekte og oppdaterte opplysninger må benyttes og opplysningene slettes når det ikke lengre er bruk for dem. Å samle på mange personopplysninger som ikke trenges bare pga. det er “kjekt å ha” dem er altså ikke lovlig. Annen bruk av innsamlede personopplysninger (til annet formål) enn den tiltenkte er er normalt sett ikke lov.

Spesielt er reglene strenge rundt behandling av sensitive personopplysninger. Sensitive personopplysninger er informasjon om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, strafferettslige forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger.

Informasjonssikkerhet: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet skal ivareta noen hensyn:

  • Sikre personopplysningene konfidensialitet (hindre tilgang for uvedkommende)
  • Sikre personopplysningene integritet (hindre endring/sletting fra uautoriserte personer)
  • Sikre personopplysningene tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).
  • Robusthet (virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand).
  • I tillegg kan et punkt som heter overholdelse føyes til. Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.

Forkortelsen for disse tre hensynene (de tre første) er enkelt og greit KIT.

Før GDPR: Regelverket på området var personopplysningsloven og personopplysningsforskriften.

En del plikter (for virksomhetene) og rettigheter (for den registrerte) følger av reglene. Ledelsen har et spesielt ansvar for at reglene blir etterfulgt og at nødvendige rutiner m. m. utarbeides. Mye av tankegodset fra tidligere regler er videreført og noe videreforedlet under GDPR.

PS! Ny “Lov om behandling av personopplysninger (personopplysningsloven)” har erstatte den gamle loven sommeren 2018. Samme dokument inneholder også forordningen på norsk:

  • “EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR]”

Det er også en egen “Forskrift om behandling av personopplysninger”.

GDPR som begrep “utgår” vel mer eller mindre på norsk. En mer passende betegnelse er: POLF. POLF = Personopplysningsloven med forordning.

Internkontroll

Personopplysningsloven stiller krav til internkontroll i form av planlagte/systematiske tiltak, rutiner og dokumentasjon som skal sikre etterleving av regelverket. For å få på plass lovpålagt internkontroll innenfor informasjonssikkerhet i egen virksomhet har Datatilsynet laget en omfattende malsamling som etter utfylling tilfredsstiller lovverket. Malene består av følgende hoveddeler:

  • Styringsdokument internkontroll med oversikt over personopplysninger som blir behandlet.
  • Ledelsens gjennomgang
  • Sikkerhetsmål- og strategi
  • Sikkerhetsorganisasjon
  • Rutiner for håndtering av personopplysninger
  • Risikovurdering (jf. ROS-analyser)
  • Sikkerhetsinstruks brukere
  • Informasjonshåndtering
  • Sjekkliste for nyansatte og ansatte som slutter
  • Taushetserlæring
  • Sikkerhetsinstruks leder
  • Sikkerhetsinstruks sikkerhetsansvarlig
  • Beskrivelse av informasjonssystemet
  • Driftsrutiner
  • Overordnet IT-beredskapsplan
  • Fysisk sikkerhet
  • Avvikshåndtering og egenkontroll
  • Avviksskjema
  • Egenkontrollsskjema
  • Rapport fra avvikshåndtering og egenkontroll med forslag til tiltak

Kilde: Datatilsynet, maler for internkontroll og informasjonssikkerhet (lenke fjernet da den var “død”). Ser ut for at GDPR-innføringen gjør denne veilederen overflødig/utdatert.

Å ha gode rutiner for internkontroll på personvernområdet er selvsagt også viktig under GDPR. Imidlertid er det mindre detaljerte formkrav til hvordan ting skal gjøres i praksis under det nye regimet. Datatilsynet har utarbeidet en ny veiledning rundt internkontroll og informasjonssikkerhet tilpasset GDPR, og her er det også et utvalg med maler og støtteverktøy.

Dokumentasjonen er oppdelt i styringsdokumenter, gjennomføringsdokumenter og kontrolldokumenter.

Det finnes masse begreper og definisjoner i dokumentasjonen fra Datatilsynet og i lovverket. Blant annet kan man lese om de ulike rollene m. m.: Behandlingsansvarlig, sikkerhetsansvarlig, systemeier/dataeier, databehandleravtaler etc. Mer informasjon om disse temaene er tilgjengelig via Datatilsynets nettsider.

Å få på plass gode rutiner rundt internkontroll er ganske arbeidskrevende med masse dokumentasjon, rutiner m. m. som skal utarbeides, menhttp://www.datatilsynet.no/Sikkerhet-internkontroll/ det er likevel viktig å prioritere dette ikke minst for å få økt bevissthet rundt håndtering av personopplysninger og hvordan man kan hindre misbruk av dem. Brudd på tilliten og tap av omdømme pga. bedriften gjør seg skyldig i krenkelser av personvernet vil neppe de fleste bedrifter ønske å oppleve.

Overføring av personopplysninger til utlandet i disse outsouching-tider (utkontraktering) er ikke nødvendigvis helt rett fram hvis ting skal gjøres lovlig. Stort sett går det greit å overføre til andre EU/EØS-land eller land som Europakommisjonen har godkjent. Tidligere gikk det også greit å overføre til USA via “Safe Harbor”-beslutningen, men nå er denne kjent ugyldig av EU-domstolen. EUs standardkontrakt kan visstnok benyttes i stedet og Datatilsynet skal varsles. I etterkant har Privacy Shield”-avtalen (avtale mellom EU og USA om overføring av personopplysninger fra Europa og USA) erstattet den ikke-gyldige “Safe Harbor”-avtalen.

USA sin lov CLOUD Act (Clarifying Lawful Overseas Use of Data Act) fra 2018 er en utfordring for personvernet for oss i Norge og Europa. Loven innebærer at amerikanske myndigheter får full tilgang til alle data som lagres i skytjenester eid av amerikanske selskaper, også her i Europa. Med en gang det er snakk om noe som muligens kanskje kan innebære ulovligheter kan amerikanske myndigheter igangsette etterforskning, overvåkning og gå gjennom våre data. F. eks. rammer dette tjenester slik om OneDrive, Azure og sosiale medier med amerikansk opphav/eierskap. Loven ignorerer og hopper helt bukk over GDPR.

Amerikanske selskaper med europeiske servere kan altså komme i sterk “skvis” mellom amerikansk lovgivning i form av “Cloud act” og europeisk lovgivning i form av GDPR. Myndighetene i USA kan kreve at amerikanske tilbydere (selskaper) av skytjenester må utlevere data, uavhengig av hvor i verden dataene er lagret og selv om dataene omhandler europeiske og ikke amerikanske statsborgere.

Dette kan f. eks. ramme nordmenn hvis de av amerikanske myndigheter blir mistenkt for å ha gjort noe i strid med amerikansk lovgivning, hvor data blir krevd utlevert til amerikanske myndigheter fra sky-maskinene i et europeisk land. Utlevering av data til USA vil være påkrevd i henhold til Cloud act, men i strid med GDPR. Et amerikansk selskap vil selvsagt adlyde sine myndigheter i USA mer enn myndighetene i EU.

Ifølge Apple-topp Tim Cook mangler USA noe tilsvarende som Europa og EU sin GDPR (General Data Protection Regulation, ny personopplysningslov / personvernforordning). Personopplysninger brukes som en lukrativ handelsvare, og som våpen mot oss med militær presisjon og effektivitet. Overvåkning finner sted med profitt som mål.

Våren 2017 har det vært en del snakk om gamlingen med helseopplysningene til Helse Sør-Øst (HSØ). I forbindelse med utkontraktering (utflagging av IKT-driften) har ca. 110 utenlandske IT-arbeidere uten tjenstlig behov hatt full tilgang på sensitive personopplysninger (helseopplysninger). Sensitive personopplysninger i form av pasientjournaler tilhørende 2,8 millioner nordmenn har vært tilgjengelige for IT-arbeider i blant annet India, Bulgaria og Malaysia. Enkelte betegner dette som en total katastrofe for personvernet.

Datatilsynet har funnet alvorlige lovbrudd og utstedt millionbøter etter Helse Sør-Øst sin outsourcing-skandale. Det meste har gått galt i prosessen, og alt tyder på at informasjonssikkerhet og personvern har vært sterkt nedprioritert underveis. Det stilles kritikk blant annet rundt manglende risikovurderinger, manglende sikkerhetsledelse, pulverisert ansvar og en ikke-forankret utkontraktering.

Et godt utgangspunkt innenfor informasjonssikkerhet er å stille spørsmålet: Hva er du redd for?

Det er viktig å ha oversikt over hvilke personopplysninger som behandles av virksomheten. Ut fra denne oversikten kan det foretas risikovurderinger. Steder med store risikoer og med stor sannsynlighet for avvik kan tiltak utarbeides og igangsettes.

Normen, Feide, bøter, arkivloven og KiNS

Til hjelp i arbeidet med å få på plass internkontroll eller styringssystem for informasjonssikkerhet kan “Normen” være til god hjelp. Fra nettsiden til Normen har jeg “sakset” følgende: “Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket, og er utarbeidet av representanter for sektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett, er avtalerettslig forpliktet til å følge Normen.”

Kilde: www.normen.no

Selv om hovedfokuset til Normen er helse- og omsorgssektoren har det blitt gjort masse bra arbeid der som også andre sektorer kan ha nytte av. I tillegg til å ha foretatt tolkninger og konkretisering av lovverket på helse- og omsorgsområdet tilfredsstiller Normen de krav som stilles i personopplysningsloven og personopplysningsforskriften i forbindelse med personvern og informasjonssikkerhet.

Parallelt med “Normen” som er opptatt av informasjonssikkerhet i helse-, omsorgs- og sosialsektoren finnes det noe liknende innenfor utdanningssektoren. Der finnes Feide, som en er forkortelse for Felles Elektronisk IDEntitet. Feide er et system for sikker identifisering i utdanningssektoren. For å kunne ta i bruk og “koble seg på” Feide kreves det inngåelse av en kontrakt. Vertsorganisasjonen må tilfredsstille en del krav (behandling av personopplysninger, IKT-reglement, teknisk løsning, førstelinjesupport) for å kunne ta i bruk Feide. Det har blitt tenkt på sikkerhet i Feide-løsningen.

Jeg har fått med meg at min tidligere arbeidsplass, Eigersund kommune, fikk besøk og kontroll av Datatilsynet våren 2014. De ble vel mer eller mindre “tatt på senga”. En god del avvik ble avdekket (manglende internkontroll, manglende dokumentasjon, manglende risikovurdering etc.) og et overtredelsegebyr på kroner 150 000 har blitt utstedt (opprinnelig sum på bot var kroner 250 000, som senere ble redusert med kr 100 000 til kr 150 000). Det kan fort bli små-dyrt å slurve på området internkontroll!

Arkivloven med forskrift som gjelder for offentlige virksomheter vil sannsynligvis bli endret (myket opp) til å tillate lagring av digitalt arkivmateriale i utlandet. Det er vel ikke tvil om at det kan være behov for å modernisere arkivlovgivningen. Imidlertid reiser selvsagt skylagring/skyarkiv i utlandet en del sikkerhetsmessige spørsmål. Kjedelig hvis den offentlige “indrefileten” i form av lagrede arkivdata, inkludert sensitive data, skulle komme helt på avveie.

Jeg var 25. oktober 2016 deltaker på KiNS-sikkerhetsseminar på Sandane. Dette var et interessant og matnyttig seminar der mange av temaene i denne bloggartikkelen ble “touchet” innom. For ansatte i kommunal virksomhet som er opptatt av informasjonssikkerhet anbefales medlemskap i KiNS (Foreningen Kommunal Informasjonssikkerhet).

Nye personvernregler fra 2018

Nye personvernregler fra 2018

EU har våren 2016 vedtatt ny personvernforordning som ble iverksatt i Norge 20.07.2018. Den nye personvernlovgivningen gjelder altså også for Norge som et “assosiert” medlem av EU gjennom EØS-avtalen. EU har sett behovet for et bedre personvern og et modernisert regelverk, slik at det ikke blir rett fram for vilkårlig og planløs behandling av personopplysninger.

En “bivirkning” av EUs nye personvernregler er at EU kan få makt over Norge i personvernsaker. Det er opprettet et europeisk personvernråd som kan fatte bindende vedtak som angår Norge (EØS), og hvis Datatilsynet ønsker å klage på vedtakene er det EU-domstolen som blir ankeinstans.

Etter litt usikkerheter og forsinkelser trådte den nye personopplysningsloven og EUs personvernforordning i kraft 20. juli 2018 her i Norge. To hovedelementer:

  • EUs personvernforordning (GDPR) har blitt gjort til norsk lov.
  • En rekke bestemmelser (særnorske regler osv.) som supplerer reglene i forordningen.

Se eventuelt Datatilsynet sin nettside for mer informasjon.

Som tidligere blir det fortsatt sentralt å kartlegge personopplysninger som samles inn og benyttes av virksomheten. Hvilke personopplysninger benyttes og til hvilket formål er sentrale spørsmål. Andre relevante problemstillinger: Hvor (avdeling) benyttes opplysningene, i hvilke systemer, rettslig grunnlag/hjemmel/samtykke, informasjonsflyt, deling og er aktuelle prosedyrer på plass (f. eks. for sletting av personopplysninger, retten til å bli glemt). Fortsatt blir risikovurderinger, dokumentasjon og rutiner/prosedyrer viktige steg etter kartleggingen av bruken av personopplysninger.

Personopplysninger kan ikke samles inn og behandles bare pga. det er “kjekt å ha”. Det må foreligge grunnlag for behandling av personopplysninger, i form av samtykke eller lovhjemmel. En systematisk tilnærming til håndtering av personopplysninger må innarbeides i det enkelte firma.

Noen sentrale momenter rundt de nye reglene fra 2018:

  • Godt utgangspunkt hvis personvern og internkontroll er “på stell” etter dagens regler. Ifølge Datatilsynet kan vi pr. nå gjøre følgende:
    • Ha oversikt over hvilke personopplysninger som behandles, oppfylle dagens lovkrav, sette oss inn i det nye regelverket og etter påbegynne jobben med å lage rutiner for å følge de nye reglene.
  • Innebygd personvern som utgangspunkt for nye løsninger (den mest personvernvennlige innstilling som standard).
  • Borgerne/innbyggerne får også nye rettigheter, f. eks. dataportabilitet. Retten til innsyn, retting av mangelfulle personopplysninger og retten til å bli glemt (sletting) blir videreført/innført/utvidet.
  • Krav om personvernombud i mange virksomheter (blant annet i alle kommuner).
  • Vurdere personvernkonsekvenser og risiko før igangsetting av tiltak, med eventuelle forhåndsdrøftelser med Datatilsynet.
  • Strengere krav til avvikshåndtering.
  • Nye plikter til virksomheter og databehandlere.
  • Forståelig personvernerklæring (eller tilsvarende) blir et krav.
  • Fortsatt blir det behov for å inngå Databehandleravtaler med eksterne leverandører som behandler personopplysninger på vegne av en virksomhet.
  • Bøtene/gebyrene som kan skrives ut for manglende personvern blir mye større enn dagens.
  • Sikkerhetsavvik må varsles til Datatilsynet innen 72 timer. Brukerne som blir rammet må også varsles.
  • Reglene kan også gjelde for virksomheter utenfor Europa.
  • Alle bør samarbeide i egne nettverk og følge bransjenormer (godkjennes av Datatilsynet).
  • Fra kontroll til ansvarlighet,

Ellers er det “viktig” å bruke tre og fire bokstavers forkortelser på det meste:

  • DPO (Data Protection Officer): Enkelt og greit personvernombud.
  • GDPR (General Data Protection Regulation): Den nye Personvernforordningen.

I stedet for paragrafer i forordningen snakkes det om artikler i stedet.

Også under de nye reglene blir det viktig med oversikt over hvilke personopplysninger som behandles, forta risikovurderinger med utgangspunkt i lista fra forrige punkt og å ha etablert nødvendige rutiner for behandling av personopplysninger. Kanskje så mye som 90 % av GDPR er ikke noe spesielt nytt, da mye av reglene er kjente og en videreføring fra dagens lovverk.

Virksomhetens ansvar etter nytt regelverk

  • Fra kontroll til ansvarlighet: Nytt regelverk vektlegger virksomheters ansvarlighet og internkontroll, i stedet for forhåndskontroll (meldeplikt, konsesjonsplikt osv.) fra Datatilsynet som har vært praksis fram til nå. Melde- og konsesjonspliktene forsvinner.
  • Strengere sanksjoner enn i dag hvis etterkontroll viser at man ikke har orden.
  • Viktig prinsipp i det nye regelverket: Virksomheten som bruker personopplysningene har ansvaret for av personvernprinsippene overholdes (prinsippene om ansvar, integritet og konfidensialitet).
  • Fokus på den behandlingsansvarliges ansvar i stedet for krav om internkontroll.
  • Likevel: Internkontroll nødvendig for å kjenne virksomheten og for å gi oversikt over personopplysninger, som igjen er basis for risikovurdering.
  • Noe av behandlingsansvarliges ansvar:
    • Sørge for tilstrekkelig og forholdsmessig sikkerhet.
    • Må sørge for at personopplysningene er sikret mot uautoriserte eller ulovlig behandling, utilsiktede tap, ødeleggelse eller skade.
  • Viktig å sikre at personopplysninger behandles i samsvar med regelverket. Valgte tiltak for sikring skal eventuelt endres og oppdateres.
  • Fortsatt behov for internkontroll, rutiner og oversikt. Risikoer må vurderes.
  • Nytt krav om å ha oversikt over behandlingsaktiviteter (behandlingsansvarlig / databehandler). Skriftlig/elektronisk, tilgjengelig for Datatilsynet hvis de krever tilgang.
  • Krav om rutiner for å ivareta de registrertes rettigheter.
  • Den behandlingsansvarlige skal ha oversikt over en hel rekke med ting, og likeså må databehandler ha oversikt over en god del forhold. Se egne lister hos Datatilsynet.
  • Kravene til avviksbehandling, varsling og kontinuerlig arbeid med informasjonssikkerhet skjerpes:
    • Informasjonssikkerhet er en kontinuerlig prosess. Nye trusler dukker opp, ny teknologi, bransjenormer osv. Nye regler har mer konkrete beskrivelser av aktuelle tiltak og aktiviteter for å oppnå et tilfredsstillende sikkerhetsnivå.
    • Nye krav til avvikshåndtering og informasjon til de berørte foreligger.
    • Det blir strengere krav til varsling av sikkerhetsbrudd/avvik til Datatilsynet (72 timer).
    • Varsling av de berørte er det også nye regler for.
  • Protokoll over behandlingsaktiviteter skal utarbeides for alle virksomheter som behandler personopplysninger.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/

Vurdering av personvernkonsekvenser (DPIA) etter nytt regelverk

Vurdering personvernkonsekvenser er kun obligatorisk dersom behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. Risiko- og risikovurdering skal i så tilfelle gjøres sett med den registrertes perspektiv. Noen momenter:

  • Vurdering av personvernkonsekvenser: Blir en plikt i en del tilfeller ved innføring av nye systemer/ny teknologi tas i bruk.
  • Ansvarlig: Behandlingsansvarlig. Selve Oppgaven kan delegeres. Personvernombud (hvis slikt finnes) skal involveres (rådgivning), og likeså databehandler (hvis aktuelt).
  • Konsekvensvurdering skal gjøres før behandling av personopplysninger starter.
  • Behov eller ikke behov for konsekvensvurdering: Se Datatilsynet og deres kriterieliste.
    • Spesielt aktuelt/påkrevd ved automatiserte avgjørelser, systematisk overvåkning i stort omfang, sensitive personopplysninger er involvert, storskala behandling av personopplysninger, sammenstilling av datasett, overføring av data til land utenfor EU/EØS osv.
  • Vurderingenes innhold (personvernkonsekvenser) stilles det også noen konkrete krav til. Se Datatilsynet.
  • I enkelte tilfeller med høy risiko behov for forhåndsdrøftelse med Datatilsynet.
  • Risikovurdering versus vurdering av personvernkonsekvenser:
  • Risikovurdering av informasjonssikkerheten:
    • Risikoen for en virksomhet og dens behandlinger som adresseres.
    • Det gjøres en vurdering av risiko ved brudd på sikring av konfidensialitet/fortrolighet, integritet og tilgjengelighet + robusthet.
    • Fokus: Virksomheten og dens behandlinger.
  • Vurdering av personvernkonsekvenser:
    • Håndtere risiko for de registrertes rettigheter og friheter.
    • Den registrerte i fokus, konsekvenser for vedkommende.
    • Den registrertes perspektiv: Konfidensialitet/fortrolighet, integritet, tilgjengelighet. I tillegg: Åpenhet, mulighet til å gripe inn, kan ikke kobles.

Kilde: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/vurdering-av-personvernkonsekvenser/

Veileder om behandlingsgrunnlag

Behandlingsgrunnlag, det er her alt starter. For å være lovlig må behandling av personopplysninger ha et behandlingsgrunnlag, det være seg et samtykke, lovparagraf (hjemmel) eller nødvendig ut fra opplistede lovlige grunner. Spesielt strengt er dette for sensitive personopplysninger. Kjekt å ha-forhold til personopplysninger er ikke et lovlig behandlingsgrunnlag.

Kilde, hvor det står mer om lovlige/gyldige behandlingsgrunnlag:  https://www.datatilsynet.no/regelverk-og-skjema/veiledere/veileder-om-behandlingsgrunnlag

Det finnes også en veileder rundt hvordan lage bransjenorm (atferdsnorm) etter nytt regelverk. Nyhet mai 2018 er at veilederen til databehandleravtale er klar.

Hele pakken eller lista med veiledere som det norske Datatilsynet har laget til: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/

Verdt å sjekke ut: Se punktliste / forenklet oversikt med tittelen: “Nye personvernregler fra 2018. Hva betyr det for din virksomhet?” Lenke:

I juli 2017 ble ny lov om behandling av personopplysninger sendt ut på høring, med høringsfrist 16. oktober 2017. Uoffisiell norsk oversettelse av personvernforordningen følger med i bunken, samt høringsnotat inkludert utkast til lov om behandling av personopplysninger (personopplysningsloven) tilpasset forordningen.

I utsendelsen fokuseres det blant annet på (sitat):

I dag sender Justis- og beredskapsdepartementet ut forslag til ny lov om behandling av personopplysninger på høring.

Forslaget bygger på EUs nye personvernforordning og vil føre til et mer enhetlig regelverk i Europa. Det vil dermed bli enklere både for personer og bedrifter å forholde seg til lovgivning i, og til å få gjort sine rettigheter gjeldende i, hele EU/EØS.  Regelverket er også bedre tilpasset den teknologiske utviklingen.

Lovforslaget og forordningen viderefører hovedprinsippene i gjeldende lov. Det er likevel enkelte endringer, blant annet:

  • Den registrertes rettigheter er styrket på flere punkter. Blant annet innføres en ny rettighet for registrerte til å motta personopplysninger om seg selv og overføre disse fra en tjenestetilbyder til en annen (dataportabilitet).
  • Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private behandlingsansvarlige.
  • Dagens melde- og konsesjonsplikt for behandling av personopplysninger bortfaller. Den erstattes med en plikt for den behandlingsansvarlige til selv å utrede personvernkonsekvenser og rådføre seg med Datatilsynet dersom konsekvensutredningen viser at behandlingen medfører høy risiko for personvernet.
  • Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr og departementet foreslår derfor at overtredelser av loven ikke lenger skal være straffbare.
  • Det innføres en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige med virksomhet i flere stater bare skal forholde seg til én tilsynsmyndighet i EU/EØS.

Kilde: Regjeringen.no: Ny lov om behandling av personopplysninger på høring – pressemelding

 

Et irritasjonsmoment knyttet opp mot GDPR-innføringen er alle dem som ønsker å gjøre god business (butikk) på innføringen. Mange firmaer og konsulenter står klare med sine tips og råd til blodpriser. De kjører på med skremselspropaganda og skor seg virkelig på innføringen gjennom å drive oversalg av sine “fantastiske” tjenester og kompetanse. Det høres ut for at alt vil gå skeis hvis ikke dyre konsulenter, konsulenttjenester, jurister og IKT-revisorer leies inn.

Direktoratet for e-helse har en del nyttig informasjon om EUs personvernforordning (GDPR), inkludert verktøy for implementering. Diverse maler for kartlegging og analyse er tilgjengelig. Se også Normen for mange nyttige tips.

Mange bruker tiden til GDPR feil

Henrik Dagestad i BDO hevder at mange bruker den knappen tiden til innføring av GDPR feil. Hans korte og greie liste om hva man bør fokusere på fram til den nye personopplysningsloven trer i kraft:

  1. Skaff deg oversikt over hva som faktisk klassifiseres som personopplysninger, og kartlegg hva dere reelt sett behandler av personopplysninger i virksomheten.
  2. Finn ut hvilken rett dere har til å behandle personopplysningene. Ikke fokuser utelukkende på samtykke, men vurder også andre rettslige grunnlag virksomheten kan ha til å behandle personopplysninger.
  3. Gjennomfør en risikovurdering. Vurder verst tenkelige tilfeller, og ta en ærlig gjennomgang av hvilke mulige konsekvenser det kan få for personvernet til den enkelte hvis personopplysningene kommer på avveie, plutselig ikke er tilgjengelige eller ikke er oppdaterte.
  4. Ta en vårrengjøring. Lag gode rutiner, og kvitt deg med alle data som inneholder personopplysninger du ikke kan eller bør lagre.

Kilde: “Computerworld: Mange bruker tiden til GDPR feil” og “BDO blogg (Henrik Dagestad): 100 dager igjen: Slik bør du jobbe med GDPR-innspurten”.

 

Personvernerklæring

I forbindelse med nettsider og andre løsninger og systemer for behandling av personopplysninger kommer begrepet personvernerklæring inn som et sentralt begrep. Personvernerklæring blir også enda viktigere etter den nye personvernforordningen trer i kraft. Første skritt er å skaffe seg oversikt over hvilke behandlinger av personopplysninger som blir foretatt.

Ifølge Datatilsynet bør en personvernerklæring inneholde opplysninger av følgende type:

  1. Hvem er behandlingsansvarlig?
  2. Hva er formålet med behandlingen av personopplysninger?
  3. Hva er det rettslige grunnlaget?
  4. Hvilke personopplysninger behandles?
  5. Hvor hentes opplysningene fra?
  6. Er det frivillig å gi fra seg opplysningene?
  7. Utleveres opplysningene til tredjeparter?
  8. Hvordan slettes og arkiveres opplysningene?
  9. Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
  10. Hvordan sikres opplysningene?
  11. Kontaktinformasjon.

Kilde: “Datatilsynet: Hva skal personvernerklæringen inneholde?” (side har blitt fjernet).

I stedet for den nå fjernede informasjonen fra Datatilsynets nettside om personvernerklæring kan veilederen “Informasjon og åpenhet” være av interesse. Der står det blant annet ramset opp hva virksomheten skal gi informasjon om:

  • Om virksomheten (kontaktdetaljer/kontaktinformasjon m. m.)
  • Om behandlingen (personopplysninger som behandles, formål, behandlingsgrunnlag osv.)
  • Om forholdet til andre virksomheter (eksterne mottakere av personopplysninger osv.)
  • Om den enkeltes rettigheter (innsyn, sletting, begrensning, dataportabilitet og å protestere. Samtykke, klagemuligheter osv.)
    Om automatiserte individuelle avgjørelser
    Om nye formål
    Om konsekvenser (spesielt viktig hvis det foreligger en særskilt risiko for den enkeltes rettigheter og friheter)
    Om endringer (varsling m. m.)

Det er ikke noen helt spesifikke formkrav av typen hvordan ting skal gjøres i detalj for å få distribuert informasjonen. Personvernerklæring kan være en måte.

Denne bloggen er en privat/personlig blogg og er ikke pålagt å ha en personvernerklæring eller tilsvarende. Likevel har jeg laget meg en noe forenklet personvernerklæring.

Undersøkelse om sikkerhet

Norsk Informasjonssikkerhetsforum (ISF) har ifølge Digi.no gjennomført en undersøkelse om sikkerhet. Et bra og beskrivende sitat fra denne undersøkelsen er:

  • Roten til god sikkerhet ligger ofte mellom ørene på de ansatte.

Den menneskelige faktor, sikkerhet og trender

Den menneskelige faktor i form av ansatte er sentral for å oppnå god informasjonssikkerhet. Aktuelle tiltak kan være opplæring, bevisstgjøring, etablering av prosesser/rutiner og risikovurderinger. Ansattes sikkerhetskultur og sikkerhetstankegang må opparbeides i form av blant annet økt kompetanse og bevisstgjøring. Informasjonssikkerhetskultur og god netthygiene må opparbeides. Gode holdninger, kunnskaper og rutiner er sentralt.

Ansatte må få opplæring og bevisstgjøring rundt dette som har med informasjonssikkerhet og personvern å gjøre. Det må foreligge både gode rutiner og ikke minst holdninger på sikkerhetsområdet. En kritisk suksessfaktor for sikkerhetsarbeid kan ofte være dette at sikkerhetsarbeidet har forankring i ledelsen. Personvern og informasjonssikkerhet blir aldri bedre enn det svakeste leddet.

Det kan hevdes at Norge er Europamestere i naivitet. Vi har et tillitsbasert samfunn. Datakriminelle har store muligheter til å kunne lure oss når vi står der med nisselua godt dratt ned over ørene. Ofte spiller de kriminelle på følelser, fristelser, frykt og tillit, noe som gjør av vi i vår naivitet går på deres limpinne.

Informasjonssikkerhet og personvern består selvsagt av en teknisk faktor også. Det er sentralt med gode brannmurer og å holde programvare og andre IKT-systemer oppdaterte (patchet). Eventuell soneinndeling av nettet og kun tjenstlige tildelte rettigheter/rettighetskontroll må det være orden på.

Cybersikkerhet har jeg skrevet noen ord om i min andre artikkel om personvern. Å lage til gode systemer for cybersikkerhet for å beskytte seg mot cybertrusler kan gå på kompromiss med personvernet. All teknologi (infrastruktur, utstyr m. m.) vi omgir oss med og som er knyttet opp mot nettet gjør oss ekstremt sårbare for trusler og angrep. For å beskytte oss innføres overvåkning og loggføring, som igjen i verste tilfelle kan true personvernet.

En utfordring på bedriftsnivå er bruken av skygge-IT/IKT i bedrifter. Med skygge-IT/IKT tenkes det på IKT-løsninger som har blitt tatt i bruk uten tillatelse fra IKT-avdelingen. Typisk har det heller ikke blitt utført skikkelige risikovurderinger før slike systemer tas i bruk. F. eks. finnes det masse kjekke skytjenester, hvor mange av dem også er gratis i bruk (reklamefinansierte). Ukritisk bruk av skygge-IKT kan utsette virksomheten for sårbarhet og angrep utenfra. Bedriftssensitive data kan komme på avveie, og bruken kan kompromittere virksomhetens IKT-systemer. I verste tilfelle kan bruken av skygge-IKT medføre tap av tid, penger, omdømmetap og alvorlige datatap. Gode retningslinjer som følges kan motvirke at skygge-IKT blir et problem.

Teknologien har gjort oss fremmedgjort. Det er mange ledd og verdikjeder der vi kun har delvis oversikt over hva som skjer. Den digitale sårbarheten er allerede stor, og den blir ikke mindre i tiden framover. Personvernet er under et enormt teknologisk press.

Noen trender i årene framover vil være: Digitalisering, “Big data”, “Internet of Things” (IoT) / Tingenes Internett, kunstig intelligens/ “Artificial Intelligenc” (AI), roboter og kryptering. All denne nye teknologien vil ha personvernmessige sider samt sårbarhet og informasjonssikkerhet knyttet opp mot seg. Ellers vil økt bruk av skytjenester og trenden med BYOD også medføre at det er masse å gripe tak i på sikkerhetsområdet. Utfordringene blir ikke akkurat mindre i tiden som kommer.

I forbindelse med bedrifters offshoring og/eller outsourcing (utkontraktering) av IKT-drift kan det oppstå noen ekstra utfordringer rundt personvern og informasjonssikkerhet. Det blir vanskelig å ha full oversikt over verdikjeden, og det kan finnes utro tjenere eller dårlige (og ukjente) ledd i kjeden. Enkelte land har dessuten et slappere forhold til personvern enn f. eks. det Norge har.

Det er vel grunn til å tro at store datasenter er mer utsatt for forsøk på datainnbrudd enn det enkeltbedrifter normalt sett er. Store senter blir mer fristende mål for hackere. På den annen side kan man håpe og tro at store datasentre tilbyr proff drift, overvåkning og sikkerhet.

Opprettelse av flere CERT-grupper vurderes her i landet. Slike “blålys-grupper” kan være et viktig bidrag i kampen mot datakriminalitet. CERT er ifølge Wikipedia en forkortelse for “Computer emergency response teams” og er ekspertgrupper som håndterer større IKT sikkerhetshendelser.

I en kronikk om IT-sikkerhet publisert på Digi.no tar Maria Bartnes og Erlend Andreas Gjære, SINTEF, tak i noen sentrale problemstillinger. Tittelen på kronikken er “Unyttig å gi de ansatte skylden for dårlig IT-sikkerhet”. Noe av innholdet fritt gjengitt er dette:

Dårlige brukeropplevelser tvinger IT-brukere til å ta risikable valg. Man omgår sikkerhetsreglene pga. reglene er vanskelige å etterleve og gir dårlig brukeropplevelse. Velmente sikkerhetstiltak kan komplisere IKT-bruken såpass mye at brukerne finner veier rundt tiltakene og rutinene, som igjen går på kompromiss med sikkerheten. Føyer til for egen regning: Altså det evige dilemmaet mellom brukervennlighet/enkelhet kontra sikkerhet.

Det er viktig å forstå brukerne og at sikkerhetstenkningen kan være et hinder i hverdagen. Gode funksjonelle systemer gir positivt innstilte brukere som dermed også blir mer mottakelig for opplæring rundt IKT og sikkerhet.

Det nevnes også viktigheten for samspill mellom mennesker, organisasjon og teknologi. Eller som jeg lærte under studietiden: PSO-utvikling (personutvikling, systemutvikling og organisasjonsutvikling).

Andre lover

Straffeloven er selvsagt også av interesse når det gjelder personvern og eventuelle datainnbrudd hvor gjerningsmann blir tatt eller tilsvarende. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

Innenfor det offentlige er man vant til å forholde seg til § 13 i offentlighetsloven og i forvaltningsloven. Disse paragrafene omhandler taushetsplikt (nynorsk: teieplikt). Lenker til paragrafene:

Ny sikkerhetslov

Ny sikkerhetslov med forskrifter skal etter planene ikraftsettes fra 1.1.2019. Denne loven vil i høyeste grad ha innvirkning på bedrifters tenkning rundt informasjonssikkerhet og tilgjengelighet, noe som er nært beslektet med personvern som denne artikkelen omhandler. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, inkludert sikring av all digital infrastruktur innenfor samfunnskritiske områder.

Loven vil trolig omfatte tjenester der tilgjengeligheten er viktig for grunnleggende nasjonale samfunnsfunksjoner og samfunnsviktige tjenester, f. eks. strøm, vannforsyning, helse, olje, gass, betalingsformidling, samferdsel, forsvar m. m. I tillegg videreføres beskyttelsen av gradert informasjon fra dagens lov. Loven vil blant annet gjelde for offentlig virksomhet (stat, fylke, kommune), og også private aktører vil i en del tilfeller bli underlagt lovverket.

Det er viktig med sikring av digital infrastruktur, og ikke bare fysiske enheter (bygg og infrastruktur). Den nye loven er bedre tilpasset dagens digitale virkelighet og sårbarheten pga. IKT enn den gamle loven. Det er mer konkrete krav til sikringen enn i tidligere lov.

En utfordring med den nye loven er at den legger opp til en ikke-samordnet beslutningsstruktur. Det gis rom for at de enkelte departementene selv kan vurdere hva som er sikkert nok innenfor sitt område. Dette kan potensielt medføre ulikheter mellom de ulike sektorene og departementene.

Noen lenker om sikkerhetsloven:

Avslutning

Dette var bare en liten touch borti et svært og omfattende tema. Temaet kan oppleves som noe tungt og kjedelig, men egentlig burde det være av interesse for flere. Konsekvensene som kan oppstå ved krenkelser av personvernet og dårlig informasjonsikkerhet er såpass store og uønskede at man bør ta tak i problematikken. Økt bevissthet kan medføre at man kan forhindre enkelte av sikkerhetstruslene fra å inntreffe. Dokumentasjon og rutiner i form av internkontroll er første skritt på veien for å sikre forsvarlig behandling av personopplysninger. Neste skritt er etterlevelse av rutiner og at alle ansatte virkelig følger dem (ikke selvsagt), samt avvikshåndtering.

Mer: Kortversjon/oppsummering – Personvern, informasjonssikkerhet og internkontroll, ikke tilpasset GDPR (PDF, 0,7 MB).

Lenker:




Facebook på godt og ondt

Facebook

I en kort periode var jeg medlem av gruppa “Vi som har eller skal adoptere fra kina” (lukket gruppe). Dette medlemskapet fikk meg til å bli enda mer bevisst på hvor overflatisk det som har med Facebook (og andre sosiale medier) er.

Gruppa utviklet seg til å bli en ren skryteplass. Masse fine bilder av barn som har blitt adoptert fra Kina. Fint og flott det, men det ble rett og slett litt for mye skrytealbum og ikke en gruppe for seriøse diskusjoner. Det ble også litt for mye skryt av 72-timersprogrammet for adopsjon (“barn med spesielle behov”) som sentrale talspersoner har benyttet seg av, mens vi andre som har stått i LANG kø for “normal” tildeling (opptil ca. 7 år) nesten ble latterliggjorte.

Forsøk på seriøse diskusjoner ble enten tiet i hel eller innleggene “forsvant” (ble fjernet av gruppas administrator?).

En interessant diskusjon som ble reist var om det er helt greit at man legger inn masse høyoppløselige bilder og masse fakta om barna som har blitt adoptert, gjerne tilbake til de var på barnehjem eller tilsvarende i Kina. Bilder m. m. vil jo bli liggende i lange tider på Facebook og dessuten har jo Facebook tilnærmet ubegrenset bruksrett til bildene (kan gi dem bort, selge dem til andre osv.). Både utlegging av detaljert informasjon og bilder kan krenke barnas personvern og bli en belastning for dem i framtiden.

Dette tydet på å bli en interessant diskusjon som jeg både tenkte å følge med på og også delta i. Slik ble det ikke. Dagen etter diskusjonen ble påbegynt ble hele startinnlegget slettet. Tydeligvis ble det en for seriøs diskusjon som tråkket enkelte på tærne.

Nå er det ikke adopsjon og Kina som er hovedtemaet for denne artikkelen. Det jeg er litt opptatt av er hva man bruker og ikke bruker Facebook til. Skal det bare bli en plass for overflatiskhet? Kun glansbilder og skrytebilder av seg selv og sine, kun positive opplevelser og erfaringer, lykkelige ytringer, skryt av hvor flink man selv eller andre i familien er, sitater, morsomheter, spill osv.? Eller er det rom for litt mer dype diskusjoner og ytringer uten at det ender opp med useriøsitet, usakligheter, latterliggjøring og personangrep?

Fra en tidligere skrevet artikkel om personvern tar jeg også med meg følgende momenter relatert til Facebook og andre tilsvarende sosiale nettverk:

  • En tilsynelatende vilkårlig sensur og håndhevelse av deres egne retningslinjer. Dette går på ytringsfriheten, folkeopplysningen og demokratiet løst.
  • Enkelte former for bilder og ytringer tillates ikke, mens andre ting som det virkelig er grunn til å reagere på (sett med norske øyne) passerer sensuren uten problemer.
  • Noe helt annet (etikk/moral) er at selskaper slik som Facebook bedriver kreativ regnskapsføring/bokføring for å unngå betaling av skatt.
  • Hva med alle personopplysninger som man frivillig gir Facebook tilgang på? Opplysninger kan misbrukes!
  • Kan bilder og informasjon som man legger ut på Facebook skape problemer i ettertid? F. eks. nakenbilder, festbilder etc. kan “forfølge” en person i lange tider.

Facebook og deres partnere truer personvernet (Privacy): Mars 2018 stod det i media om at privat informasjon om femtimillioner Facebook-brukere er på avveie/misbrukt. Privat informasjon har blitt hentet ut fra Facebook av Cambridge Analytica uten å hente spesifikt samtykke fra brukerne og i strid med reglene til Facebook. Innsamlet informasjon har blant annet blitt benyttet til å påvirke det amerikanske presidentvalget (målrettet politisk reklame mot amerikanske velgere). Det er neppe snakk om innbrudd eller hacking, men utnyttelse av de muligheter som ligger i Facebook. Visstnok skal Facebook ha foretatt noen forbedringer og innstramminger slik at det samme ikke kan skje på nytt i like stor alvorlighetsgrad

Facebook som medium med mange “venner” og følgere egner seg ikke akkurat til sjelesorg og sensitive personlige utleveringer. Imidlertid finnes det vel en mellomting mellom det dypt personlige og det totalt overflatiske?

Muligens vil “allmuen” at Facebook og andre sosiale medier kun skal bli overflatiske skrytearenaer uten rom for de dype diskusjoner? Er det kun rom for det “politisk korrekte” og det “allment aksepterte”? Er det ikke rom for annerledestenkende personer og diskusjoner?

Lenker:




Skyen (“Cloud Computing”, nettsky)

Skyen (Cloud Computing)

For tiden er det et motefenomen og mye “hype” på IKT-området rundt nettskyen. Nettskyen går også under betegnelser som skyen, cloud, “cloud computing” eller Software as a service (SaaS). Kjært barn har mange navn som det så fint heter.

Ifølge Wikipedia kan “cloud computing” defineres som: “Alt fra dataprosessering og datalagring til programvare på servere som står i eksterne serverparker tilknyttet internett.”

Hva er egentlig så fancy og nytt med nettskyen? Tjenester ute på nettet har vært med oss i en god del år allerede. Og lengre tilbake i datahistorien var det diverse datasentraler (f. eks. Rogalandsdata) lokalisert rundt forbi både her i Norge og i verden forøvrig som betjente “dumme” lokale terminaler (tynnklienter). Selvsagt åpner de senere års utvikling på bredbåndsfronten opp noen nye muligheter i forhold til tidligere tjenester.

Datanett

Vanlige tjenester som mange av oss benytter i det daglige er i slektskap med skytjenestene. Av slike tjenester kan jeg f. eks. nevne Facebook, Google sine mange tjenester, Hotmail / Outlook og andre tjenester fra Microsoft og nettbank. Webhotell, e-post og diverse applikasjoner som kjøres via nettet kan også defineres til å være beslektet med begrepet skyen.

Amazon Web Services, Microsoft Azure og Google Cloud Platform er kjente leverandører og produktpakker som tilbyr serverkapasitet i nettskyen på timesbasis (kan sammenliknes med et kraftverk for strøm). Fordelen med å leie kapasitet i skyen er at det er enkelt å oppgradere eller oppskalere kapasiteten hvis behovene øker (eller eventuelt nedskalere). Man betaler bare for de ressursene som er i bruk, og det er fort gjort å ta i bruk nye tjenester og ny funksjonalitet. Mange asiatiske leverandører er også “på hugget” for å kapre kunder i Europa til sine skyløsninger.

Komplekse lokale servere som medfører en del driftsmessige utfordringer kan fjernes fra den enkelte bedrifts egne lokaler. I stedet leies nødvendig serverkapasitet fra skyen. En del frykter for jobbene til lokalt driftspersonell (IKT / IT – konsulenter og systemansvarlige), hvor allerede en god del drifting og utvikling av IKT-systemer allerede har blitt utkontraktert / outsourcet til f. eks. India. En utfordring kan være å få overført “sære” (egenutviklede, gamle eller lite standardiserte) applikasjoner til å være en del av skyen. Kontrakter og avtaler må også være slik at man virkelig får det man ønsker å få, og med muligheter for å komme ut igjen av kundeforholdet hvis ting ikke fungerer som forventet. I hovedsak blir det mye standardprodukter og hyllevare som kan tilbys via skyen.

Det skrives uansett opp og ned og i mente om nettskyen i IKT-relaterte fagblader og nettsider. “Alle” må hoppe på skyen og hvis man er avventende følger man ikke med i tiden eller dagens trender. Alt dette som har med skyen og utkontraktering (outsourcing) er på mote for tiden.

Selvsagt har jeg som IKT-interessert stor tro på skyen. Tjenester via nettet har allerede blitt en del av vår hverdag og i framtiden vil det nok bare bli ennå viktigere enn i dag. Likevel synes jeg nok hele skytenkningen er litt vel overeksponert i enkelte kretser. Alt og alle skal være en del av skyen.

Jottacloud

Selv har jeg i noen år benyttet meg av skylagringstjenesten Jottacloud til sikkerhetskopiering (backup). Ifølge deres egen nettside tilbyr de: “Ubegrenset lagring, verdens beste personvern, alt tilgjengelig, trygt lagret, synkroniser pc, nettbrett og mobil med Jottacloud og ha alle filer tilgjengelig for deling og arbeid.” En stor fordel sett fra mitt ståsted er at JottaCloud holder til i Norge og dermed følger norsk lovverk og regler for personvern. Overføringen er også kjapp, noe som vel har sammenheng med at tjenesten er norsk (kort transportvei med kjappe linjer).

I en periode benyttet jeg meg av både JottacloudGoogle Drive, Dropbox og Microsoft OneDrive. Særlig på Android var ikke Jottacloud sin klientprogramvare særlig bra tidligere. Etter hvert har svakhetene og problemene blitt fikset opp i og mer funksjonalitet har kommet på plass, så nå bruker jeg desidert mest Jottacloud. Til enkelte “midlertidige prosjekter” er jeg innom OneDrive innimellom, mens de to andre nevnte skytjenestene for lagring har jeg ikke brukt på en lang stund.

Det er trygt og greit å ha Jottacloud som holder til her i Norge. Det er ikke bare-bare å bruke skytjenester fra leverandører i Trump-landet (USA). Amerikanerne setter gladelig personvern og privatlivets fred til sides i sin jakt på terrorister, IS/ISIL og andre “bad guys”). CIA, FBI og ikke minst NSA (National Security Agency har gode muligheter med myndighetenes velsignelse til å kunne “snike” i data og å overvåke, alt i sin iver etter å beskytte og verne landets interesser.

Spesielt viktig for meg er å ha sikkerhetskopi (backup) av min bildesamling. Pr. dags dato (september 2017) har jeg liggende ca. 45 GB med bilder (og video) fordelt på ca. 17.700 filer hos Jottacloud. Grunnen til at bildene ikke tar enda mer plass er at jeg fotograferer dem i vanlig .JPG-format og ikke i plasskrevende .RAW-format. Har heller ikke noen stor samling med videoer.

Når dette skrives “okkuperer” jeg totalt ca. 500 GB (ca. 1/2 Terabyte) med lagringsplass hos Jottacloud. For å lagre denne datamengden hos dem betaler jeg rett over kroner 700,- pr. år.

Jottacloud (dagens logo)

Dette var litt om bruk av skyen privat. I virksomhetssammenheng (bedrifter) blir ting noe mer komplisert. Spesielt er jeg som kommunalt ansatt opptatt av nettopp denne sektoren og eventuell nyttiggjøring av skytjenester her. Imidlertid har jeg både privat og i jobbsammenheng begynt å “snuse” på Google sine skytjenester i forbindelse med Chrome OS og Chromebooks.

Det kan være greit å nevne noen begreper rundt sky:

Ulike typer skytjenester:

  • Programvare som tjeneste (Software as a Service, SaaS)
  • Plattform som tjeneste (Platform as a Service, PaaS)
  • Infrastruktur som tjeneste (Infrastructure as a Service, IaaS)

Leveransemåter:

  • Den allmenne skyen/offentlig tilgjengelig sky (Public cloud)
  • Privat sky (Private cloud)
  • Hybridsky (mellomting mellom de to andre)

Før flytting av tjenester og data ut i skyen, spesielt ut i den offentlige skyen,  er det viktig å blant annet vurdere forhold slik som:

  • Hva slags data blir behandlet, risikovurderinger må foretas (ROS), databehandleravtaler må tegnes, det må sørges for at inngåtte avtaler er i henhold til norsk lovverk, vurderinger rundt informasjonssikkerhet må foretas og ta hensyn til personvernet og lovgivningen rundt dette.
  • Hvor behandles og lagres data (hvor ligger datasentrene)? Hvem har systemtilgang på dataene (drifter databaser osv.), og i hvilke land sitter disse teknisk driftsansvarlige? Det er ikke ok for Datatilsynet eller for den enkelte virksomhet at dataene havner i hvilket som helst land. EU/EØS er i hovedsak uproblematisk, men det er slettes ikke alle andre land det foreligger tillit til og/eller avtaler med.
  • Ansvarsfordelingen mellom kunde og leverandør må avtales og avklares. Hvem har ansvaret for sikkerhetskopiering f. eks.?
  • Avtaler og betingelser er sentralt og viktig! Man blir fort bastet og bundet til en leverandør, slik at det ikke er helt rett fram å si opp avtalen eller å skifte leverandør. Datauthenting og dataportabilitet er det viktig å ha avtaler på.

Pr. dags dato er det noe problematisk å flytte arkivverdig materiell ut i de store utenlandske skytjenestene. Det samme gjelder for regnskap/bokføring. Arkivlovgivning og bokføringslovgivning har noen begrensninger/hindringer for slikt. Systemer med mye sensitive personopplysninger kan også være noe utfordrende å flytte ut. (De juridiske hindringene nevnt her blir det sannsynligvis forholdsvis fort ordninger på.)

Ansvar for sikkerheten: Hvem har ansvar når det går galt med sikkerheten i skyen (datatap, phishingangrep, kriminelle etc.) er det viktig å tenke på. Leverandørene vil neppe ta det fulle og hele ansvaret, og det mest naturlige er vel en form for ansvarsfordeling. Også her som i mange situasjoner stemmer utsagnet ingen systemer er sterkere enn sitt svakeste ledd. Hvis det er gode sikringstiltak på skynivå blir en måte å gå rundt dette å rette angrep mot klientnivået / klientsiden. En interessant artikkel om denne problematikken er denne:

Ellers har det i media vært en del uheldige saker hvor data og drifting har blitt flyttet til skyen i det store utland og problemer har oppstått. Statoil og Helse Sør-Øst er blant dem som har hatt noen uheldige opplevelser.

Nettsider verdt å besøke: Difi Anskaffelser.no: Kva er skytenester? og KS: Lagring i nettsky er både effektivt og økonomisk

Selv om jeg opplever dette med “skyen” som noe vel “opphypet” er det ingen tvil om at denne teknologien og løsningene har kommet for å bli. Selv er jeg en storfornøyd bruker av Jottacloud og flere skytjenester vil nok komme til å bli tatt i bruk her privat for min del etter hvert. Skyen kommer også for fullt innenfor virksomheter, inkludert innenfor kommunal virksomhet. Skyen har kommet for å bli, og det nytter ikke å overse denne teknologien.

 




Personvern og datasikkerhet

Personvernet er truet!

Informasjons- og kommunikasjonsteknologi (IKT) kan være et effektivt hjelpemiddel (og i noen tilfeller en tidstyv) i vår hverdag, men teknologien skaper også utfordringer rundt dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Selv om jeg jobber med IKT og på mange måter er en teknologifreak, ser jeg også en del farer, problemer og utfordringer som teknologien medfører.

Innimellom blir dette med personvern og datasikkerhet nevnt i media, men i forhold til mange andre saker synes jeg mediedekningen er heller moderat på dette området. Kritikk mot helsevesenet, enkeltskjebner, kritikk mot regjeringens politikk, flyktningestrømmen, innvandrings- og asylpolitikken får mye større dekning i media enn personvernet.

Personvern kan defineres som: “.. et krav om selv å kontrollere når, hvordan og hvor mye informasjon om egen person som spres til andre parter.” Vi har alle retten på et privatliv og til å bestemme over våre egne personopplysninger. Personvern handler om beskyttelse av opplysninger (personopplysninger) som kan knyttes til identifiserbare enkeltpersoner.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Både via det vi selv foretar oss samt via tabber hos offentlige myndigheter eller i næringslivet hender det at personopplysninger og informasjon om den enkelte spres til personer og instanser som ikke burde hatt denne informasjonen. Innimellom skjer det krenkelser mot personvernet, noen av dem svært grove.

Personvern og datalagring

Personregistre, elektroniske spor og Datatilsynet

Hver enkelt nordmann er registrert i drøssevis ulike personregistre (hundre- eller tusenvis). De fleste tenker i liten grad på at disse opplysningene kan komme på avveie, bli misbrukt eller solgt til ulike tredjeparter. I det siste har det f. eks. vært en oppblomstring av ID-tyverier, hvorav en del av disse skyldes personopplysninger som har kommet på avvei fra elektroniske registre eller pga. den enkeltes uvørenhet på nettet. Vi blir også utsatt for målrettet reklame basert på hva vi har foretatt oss på nettet i form av besøkte nettsider, søk, statuser og likes.

Vi legger fra oss masse elektroniske spor i vår hverdag. Handel på nettet, bruk av betalingskort i butikk eller minibank, surfing på nettet, bruk av nettbank, bruk av mobiltelefon, passering av bompengeringer, videoovervåkning osv. legger igjen elektroniske spor. Stort sett er slike elektroniske spor ufarlige forutsatt at den som registrerer dataene ikke misbruker dem samt har høy datasikkerhet som hindrer data fra å komme på avveie. Imidlertid skjer det innimellom datalekkasjer som gir uvedkommende aktører tilgang på personinformasjon. Spesielt alvorlig er det hvis sensitive data og informasjon, f. eks. helseopplysninger, kommer på avvei.

Mange nettjenester som vi benytter oss av fører til at mange elektroniske spor blir lagt igjen. Datakommunikasjonen kan gå gjennom mange ledd (mange kokker, mye søl!), hvor mange av kommunikasjonsleddene er ukjente for den vanlige bruker. Underveis i overføringskjeden blir ting loggført og det finnes mange muligheter for uønsket tapping av informasjon og overvåkning.

For tiden er det enkelte som ønsker å få avskaffet kontanter (sedler og mynter). Ikke alle er like glade for dette, da dette blant annet kan gi noen utfordringer for personvernet. Bruk av kort medfører at vi legger igjen masse elektroniske spor, og da gjerne enda mer omfattende spor enn ved bruk av rabattkort (bonuskort). Bankkort (minibankkort, kredittkort, betalingskort jf. Visa og MasterCard) brukes over alt på kryss og tvers uavhengig av kjede eller type handel (netthandel, fysisk i butikk osv.). Om vi bør ha tillit til at bankene forvalter informasjonen som elektronisk kortbruk medfører på en god måte kan absolutt diskuteres.

Dette med farene rundt kortbruk som eneste betalingsmåte hvis kontantene forsvinner stod det en glimrende artikkel om på Dinside. Artikkelen er basert på uttalelsene til Hans Christian Færden, grunnlegger av “JA til kontanter”. Utenom personvernet var han innom andre faktorer slik som: Nedetid i bankene, samfunnsikkerhet, bankenes makt (og misbruk av makt) til å stenge kontoer m. m. Fører et kontantløst samfunn til at vi fjerner oss fra demokratiet og går inn i “bankokratiet”? En FrP-kar av alle ting har også skrevet et interessant innlegg: “Stå opp for personvernet – si ja til kontanter“.

Datatilsynet er vaktbikkja som med personopplysningsloven i hånden skal sørge for at aktører som oppbevarer personopplysninger gjør det som er mulig for å sikre et bra personvern. Takk og pris for at nevnte tilsyn og lovverk finnes! Vi trenger noen som beskytter oss mot uheldig spredning av personinformasjon!

En sentral person i norsk sammenheng som var forkjemper for personvernet var Georg Apenes. Han døde 2. oktober 2016. Apenes var sjef for Datatilsynet i en årrekke og kom med mange sentrale innspill og var en god “vaktbikkje” innenfor personvern. Ifølge ham var det nødvendig med muligheten for en privat sfære for å kunne beholde rettsstaten og demokratiet.

Fødselsnummer og brudd på personvernet

Et svakt punkt her i Norge er fødselsnummeret/personnummeret som blir brukt i mange sammenhenger. Dette er en unik identifikator som gjør det veldig lett å koble sammen informasjon fra forskjellige dataregistre. Heldigvis finnes det regelverk som skal hindre ukritiske koblinger av registre og data. Lov om behandling av personopplysninger (personopplysningsloven) § 12 skal sikre at fødselsnummer kun blir benyttet når det er saklig grunn for det.

I medier hører man “støtt og stadig” om brudd på personvernet. Kundelister med personopplysninger kommer på avveie, universiteter og høgskoler klarer å publisere studentlister på nett med fulle fødselsnummer, postlister og innsynsløsninger på nett inneholder sensitive data/gradert informasjon osv. I tillegg blir informasjon gjort tilgjengelig etter hacking-inngrep/datainnbrudd. Mange hverdagslige krenkelser av personvernet finner altså sted, gjerne pga. menneskelige feil.

Facebook og andre sosiale media

Enkelte personer er lite kritiske til hva de skriver på Facebook (og andre sosiale nettverk) eller hvilke bilder de legger ut. Ulike app-er som samler inn masse ulike personopplysninger tillates og tester som har som formål å “stjele” personopplysninger kjøres helt ukritisk. En del bloggere tenker heller ikke særlig langt. Uheldig informasjon som legges ut, f. eks. festbilder eller nakenbilder, kan skape problemer i framtiden når man skal søke på jobb eller tilsvarende. Nettet blir også brukt til å mobbe eller til å drite hverandre ut ved å publisere støtende informasjon om andre.

En annen utfordring med Facebook er deres tilsynelatende vilkårlige sensur og håndhevelse av retningslinjer. Enkelte former for bilder og ytringer tillates ikke, mens andre ting som det virkelig er grunn til å reagere på (sett med norske øyne) passerer sensuren uten problemer. Dette går på ytringsfriheten, folkeopplysningen og demokratiet løst. Noe helt annet er at selskaper slik som Facebook bedriver kreativ regnskapsføring/bokføring for å unngå betaling av skatt.

Personvern er en ting. Med hjelp av teknologien og da spesielt via sosiale medier kan demokratiet være truet pga. påvirkning og manipulering. Det finnes sterke krefter som vil demokratiet vondt. Digitale algoritmer (roboter) kan forenkle komplekse politiske spørsmål, og folks oppfatninger og valg blir utsatt for manipulering. Digitale trusler foreligger, roboter “overtar” makta. Facebook-parlamentet kan bli en realitet.

I tillegg finnes det mer manuelle metoder, f. eks. trollfabrikker som også bruker Facebook, sosiale medier og Internett til å sette dagsordenen og drive sterk grad av påvirkning.

Facebook og deres partnere truer personvernet (Privacy): Mars 2018 stod det i media om at privat informasjon om femtimillioner Facebook-brukere er på avveie/misbrukt. Privat informasjon har blitt hentet ut fra Facebook av Cambridge Analytica uten å hente spesifikt samtykke fra brukerne og i strid med reglene til Facebook. Det er neppe snakk om innbrudd eller hacking, men utnyttelse av de muligheter som ligger i Facebook. Visstnok skal Facebook ha foretatt noen forbedringer og innstramminger slik at det samme ikke kan skje på nytt i like stor alvorlighetsgrad.

Personvern og verning om privatlivets fred er vel ikke Facebook sin spesialitet. Der i gården leves det av å samle inn og å selge personopplysninger. Til tider virker det som om de har gått litt vel langt med å dele personopplysninger med både seriøse og useriøse aktører, alt for pengenes og inntjeningens skyld. Mye av dette skjer uten at brukerne er fullt klar over hva som skjer. 

Nettskepsis styres av moralsk panikk

  • Har lest uttalelser av typen at hele nettskepsisen som enkelte har styres av moralsk panikk.
  • Spesielt Facebook-avsløringene hvor personlig informasjon fra millioner av mennesker har blitt misbrukt av Cambridge Analytica har skapt panikk.
  • Mål med informasjonsbruken: Påvirke det amerikanske presidentvalget, dvs. påvirke på en forholdsvis skjult måte demokratiske prosesser rundt et valg.
  • Folk sletter sine Facebook-kontoer i ren redsel.
  • Selv har jeg ingen planer om å forlate Facebook, men jeg er litt kritisk til hva jeg legger ut her.
  • Alle søk, delinger og likes vi foretar oss fanges opp av Facebook, blir loggført og lagret.
  • Smarte algoritmer benyttes til å bearbeide informasjonen og til å presentere selektert informasjon rettet mot den enkeltes interesser. Dette vil gi oss informasjon og reklame med større relevans.
  • Nye nyhetsaktører er på banen. Det er viktigere enn noen gang å vurdere troverdigheten til aktørene, og ikke minst å bedrive kildekritikk aktivt.
  • Skolene har også et stort ansvar å lære opp kommende generasjoner i dette. Problemet er at skolene ikke alltid henger med i den teknologiske utviklingen.
  • Sosiale medier og andre nettressurser kan i verste tilfelle true privatlivet og personvernet dramatisk. Demokratiet kan også bli truet.
  • Litt kritisk sans og bevissthet fra oss brukere/mennesker kan være på sin plass!

 

Mange apper knyttet opp mot Facebook opererer med alt for store tilganger på data. Mange kjører ukritisk i gang med diverse tester, spill og små-apper inne i Facebook uten å tenke på konsekvenser og på hvilke data man gir appene sjansen til å hente ut. Dessuten kan eksterne apper som man logger seg inn i via Facebook sitt system for identifisering også få tilgang på masse Facebook-data, noe vi gladelig sier ja til under første gangs oppsett/oppkobling.

Facebook vet ufattelig mye om den enkelte og vedkommende sin vennekrets. Når og hvor ting skjer, hvilke linker som trykkes på, likes som gis, samtaler som gjennomføres osv. osv. Ja, Facebook truer virkelig den enkeltes personvern med sin massive innsamling av data.

Nett og nettjenester

Nettjenester slik som Google (søk og andre tjenester), Apple (Apple ID og tjenester der denne benyttes m. m.) og Facebook samler inn ufattelige mengder med informasjon om våre surfevaner, interesser osv. Vi får servert reklame tilpasset våre interesser og leverandørene har god tilgang på personopplysninger om den enkelte. Vi ofrer gladelig noe av personvernet for å få tilgang på gratis nettjenester som vi finner interessante.

Personvern

Det media i en viss grad har klart å formidle er alle farene som ligger og lurer ute på nettet. Det har vært flere tilfeller der virus og trojanere samt sikkerhetshull i Windows har blitt benyttet til diverse svindelforsøk. Likevel ser det ut for at enkelte ikke lærer og ikke tar dette som har med datasikkerhet på alvor. Det finnes ennå PC-brukere som ikke forstår at de må ha et antivirusprogram (samt beskyttelse mot spionprogramvare) som er oppdatert på sin PC samt viktigheten av å kjøre Windows Update og tilsvarende oppdateringer (Flash, Adobe Reader, Java osv.). Bruk av “brannmur” på sin PC / nett er et must i den mindre snille verdenen vi bor i!

Av og til begynner jeg å lure på om nordmenn er en gjeng med naive nisser med nissehua godt dratt ned over ører og øyne. Folk kan være svært naive i sin bruk av Internett. Stadig blir enkelte nordmenn lurt av sjekketjenester der det sitter en kjeltring i andre enden, folk tror de har vunnet store pengesummer og gir gladelig fra seg personopplysninger for å innkassere pengene (som ikke finnes) og folk går på det gamle trikset med at man får en e-post fra “banken” med beskjed om å oppgi PIN-kode etc. Resultatet er at man blir svindlet for penger eller utsatt for ID-tyveri.

Noen hundretusen nordmenn har blitt utsatt for identitetstyveri (ID-tyveri) i løpet av de siste årene. Noen av disse tyveriene skyldes naivitet og skjødesløshet, men det er heller ikke tvil om at kjeltringene har blitt mer og mer proffe og utkrøpne. De fleste av oss kan oppleve å bli utsatt for identitetstyver.

Svindelforsøk pr. e-post i form av Nigeriabrev går tydeligvis heller ikke av moten. Likeså er det en del annen nettfisking (“phishing”) som innimellom krever sine ofre. Enkelte går på limpinnen etter å ha mottatt beskjed om å ha vunnet en stor gevinst i et lotteri. Diverse personopplysninger må oversendes for å få utbetalt den store gevinsten, og da er det gjort! Man blir svindlet og personvernet har blitt dypt krenket.

Mye kunne også ha vært skrevet om uvøren oppbevaring og utlevering av brukernavn og passord, for enkle passord som lett lar seg knekke osv. Selv har jeg opplevd å finne datamaskiner der brukernavn og passord er klistret opp på skjermen med merketape. Et IKT-system blir ikke sterkere enn det svakeste leddet. Om teknologien i seg selv holder mål klarer ofte vi brukere å rote det til. Vi har gjort oss veldig avhengig av IKT i vår hverdag, noe som gjør oss svært sårbare når teknologien svikter. Ofte skyldes problemene som oppstår med IKT brukerfeil.

Den 21. oktober 2016 var det et massivt dataangrep som medførte at masse nettjenester ble gjort utilgjengelige. Ifølge nyhetene fra var dette det første store Tingenes Internett-angrep. Webkameraer, videospillere, sensorer, målere etc. ble hacket og satt til å kjøre massiv trafikk mot DNS-tjenere i form av et DDOS-angrep. Sikkerheten innebygd i en del av Tingenes Internett-enhetene skal visstnok være svært dårlig. Samfunnet basert på IKT er virkelig sårbart mot ondsinnede teknologikrefter!

Cybersikkerhet

Man kommer vel nesten ikke unna dette begrepet heller i en slik artikkel som dette. Cybersikkerhet dreier seg om sikring av ting (infrastruktur, utstyr m. m.) som er sårbare via IKT. Det er mange cybertrusler som truer cybersikkerheten. Masse teknologi er knyttet opp mot Internett, og all denne teknologien og teknologibruken gjør oss sårbare for angrep via nettet.

En utfordring er at god cybersikkerhet kan true personvernet. Overvåkning og loggføring innføres (proaktive tiltak) for å få kontroll med sikkerheten, noe som fort kan gå på bekostning av personvernet. Personvern og cybersikkerhet kan ofte være to motstridende hensyn. Å finne en fornuftig og god balansegang er ikke alltid så enkelt.

God brukervennlighet og sikkerhetstiltak er heller ikke alltid bestevenner. Gode tekniske sikringstiltak kan gjøre IKT-løsningene vanskeligere og mer tungvinte å benytte seg av. Masse autorisering og “mas” for å få tilgang på dataene man ønsker å jobbe med.

Stor digital sårbarhet i Norge

Det hevdes at den digitale sårbarheten er stor i Norge. Norge blir mer og mer sårbart når det gjelder IKT-sikkerhet og sikkerhetskompetanse. Blant annet er det forholdsvis akutt mangel på kryptologer. Det pekes på tre hovedutfordringer:

  • Behov for flere studieplasser innen IKT og IKT-sikkerhet.
  • Behov for digital kompetanseheving for dem som allerede jobber.
  • Behov for økt bevissthet rund IKT-sikkerhet blant folk flest.

Overdramatisering av truslene

Nettsiden Digi.no gjengir diverse interessante uttalelser fra Hans Christian Pretorius som jobber hos Nasjonal sikkerhetsmyndighet (NSM). Han hevder blant annet fritt gjengitt:

  • Det ropes for mye ulv, ulv!
  • Norge har aldri blitt angrepet (ødelegge, skade), men vi har blitt utsatt for spionasje og kriminelle handlinger.
  • Det skjer angrep, men ting overdramatiseres.
  • Behov for mer presisjon rundt beskrivelsene av truslene.
  • Drittlei av å høre om Stuxnet.
  • Zerodays sårbarheter/nulldagssårbarheter fokuseres det for mye på. Utnyttelsen av slike er tilnærmet null.
  • Det er som oftest kjente sårbarheter som blir utnyttet.
  • Fortsatt viktig med sikkerhetsoppdateringer / patcher / feilfikser.

Det er ikke tvil om at det finnes mange trusler mot datasikkerheten “der ute”. Stadig blir både bedrifter og privatpersoner utsatt for mer eller mindre målrettede angrep, data kommer på avveie, tjenestenektangrep gjør ressurser utilgjengelige i perioder og personvernet blir truet. En form for cyberkrig raser, men å stadig rope varsko her og utbrodere truslene med store bokstaver kan virke mot sin hensikt. Til slutt tas ikke truslene på alvor pga. vi har hørt alt for mye mas og store ord om tidligere mindre vesentlige angrepsforsøk.

Datalagringsdirektivet og tilsvarende avtaler/lovforslag

En sak i de senere år som jeg hadde trodd skulle ha skapt mye debatt er datalagringsdirektivet (DLD). Innimellom har direktivet vært nevnt i media, men den helt store samfunnsdebatten og diskusjonen har ikke oppstått i kjølvannet av denne saken. Selv mener jeg at direktivet griper såpass inn i den enkeltes liv og personvern at man bør gjøre seg opp en mening om direktivet. Jeg er skeptisk til direktivet da jeg synes de negative konsekvensene for personvernet er større enn gevinstene som oppnås. Nå har HELDIGVIS EU-domstolen konkludert med at datalagringsdirektivet er ulovlig, så vi får håpe at den ballen legges totalt død for alltid.

Onsdag 21. desember 2016 kom følgende gladnyhet“Datatilsynets direktør Bjørn Erik Thon er klinkende klar – EU-domstolens kjennelse onsdag om at masselagring av data er ulovlig, er en svært viktig dom og en seier for personvernet.” Det må foreligge konkret mistanke om alvorlige lovbrudd for å kunne masselagre data av typen f. eks. tekstmeldinger og trafikkdata.

Tidligere ble det i USA presentert et lovforslag rundt Stop Online Piracy Act (SOPA) (og PIPA, Protect IP Act). Den opprinnelige hensikten er å forhindre ulovlig spredningen av opphavsrettslig materiale på Internett og stoppe falske varer, men jeg kan godt forstå dem som er negative til forslaget. Det kan nok fort oppleves som aktiv sensur som (delvis) hindrer ytringsfriheten og nettets frihet, samt at overvåkningen delvis vil krenke personvernet. Da mange tjenester og datasentraler ligger i USA vil jo amerikanske beslutninger også påvirke oss i Europa. DNS-blokkering m. m. er også aktuelt som tiltak i Norge. Ifølge Wikipedia har prosessen stoppet opp: “Den 20. januar 2012 erklærte Lamar Smith at utredning av lovforslaget om SOPA, såvel som lovforslaget om PROTECT IP Act, var trukket tilbake på ubestemt tid.”

Det ble også en periode snakket om avtalen ACTA (Anti-Counterfeiting Trade Agreement), nok en noe kontroversiell avtale rundt håndhevelse av immaterielle rettigheter og opphavsrett. Dette er en WTO-avtale som mange land ønsket å slutte seg til. Denne avtalen vil etter en dels syn innskrenke ytringsfriheten og det frie Internett. Imidlertid ble denne avtalen forkastet av Europaparlamentet etter massive protester.

Frihandelsavtalen for tjenester (TISA, Trade in Services Agreement) og frihandels- og investeringssamarbeid (TTIP, Transatlantic Trade and Investment Partnership) som det foregår lukkede forhandlinger om støttes av dagens regjering. Det skulle ikke undre meg om slike avtaler også kan true personvernet på en eller annen grad hvis de blir gjennomført.

Offentlige myndigheter

Politiets sikkerhetstjeneste (PST), politiet og Nasjonal Sikkerhetsmyndighet (NSM) er stadig på banen og ønsker større muligheter for å overvåke og å drive med dataavlesning (les: hacking) med den hensikt å oppklare/avverge organisert kriminalitet og/eller terror. Fine og edle formål i seg selv, men også dette kan være noe truende mot personvernet. Dette at uskyldige folk kan oppleve å bli overvåket er ikke jeg tilhenger av. Man bør være uskyldig til det motsatte bevist og ikke motsatt.

Oppdatering september 2016: Politiet og PST har blitt gitt lov til å bedrive dataavlesing. Igjen er begrunnelsen jakt på terrorister og kriminelle. Pga. kryptering etc. holder det ikke lenger med bare gammeldags avlytting av kommunikasjonen. Nå har myndighetene blitt gitt lov i enkelte sammenhenger å “hacke” enheter for å få tilgang på informasjon før kryptert forsendelse finner sted. Tidligere justis- og beredskapsminister Anders Anundsen bedyrer at dette ikke utfordrer personvernet eller truer rettssikkerheten. Skeptisk!

Politiet ønsker å få det slik at de med loven i hånden kan tvinge personer mistenkt for kriminelle forhold til å låse opp mobiltelefoner og andre tilsvarende elektroniske enheter. Disse er ofte beskyttet med fingeravtrykk, og pr. dags dato kan ikke politiet kreve at eieren av enheten låser den opp med sin finger.

Sjefen for etterretningstjenesten, Kjell Grandhagen, er ikke snau i sine uttalelser desember 2015. Han vil ha tilnærmet frie tøyler til å overvåke all tele- og datatrafikk. Dette begrunnes med kampen mot terror, organisert kriminalitet osv. Dette bryter totalt med grunnleggende personvern og tillit. Hvis det lages bakdører som gir etterretningstjenesten tilgang til å kunne snoke og avlytte vil også denne bakdøra fort kunne benyttes av mer tvilsomme aktører som ønsker tilgang på data.

Ifølge et utvalg nedsatt av Forsvarsdepartement (Lysne II-utvalget) bør E-tjenesten få overvåke innholdet i all internett- og telefontrafikk som krysser Norges landegrense, dvs. digitalt grenseforsvar (DGF). Dette vil omfatte alle nordmenn, uavhengig om den enkelte er mistenkt eller ei for noe kriminelt. Tydeligvis er det enkelte som ser fanden på veggen og vil bruke alle tilgjengelige midler med begrunnelse at man ønsker å unngå kyberangrep og terrorisme. Demokratiske rettigheter og personvern ofres gladelig av politikerne i kampen mot terror. Det er fare for formålsutglidning og misbruk, og det er vanskelig å se at forholdet mellom kost og nytte er balansert.

Som forventet (og takk og pris!) er Datatilsynet i sin høringsuttalelse negative (klart nei) til et digitalt grenseforsvar slik som Lysne II-utvalget skisserer. Ifølge Datatilsynet er utvalgets forslag både i strid med menneskerettighetene og Grunnloven. Dessuten rokker forslaget hvis det blir vedtatt ved grunnleggende verdier. Tiltakene med storstilt datainnsamling er også lite målrettet. På mange måter framstår planene om et digitalt grenseforsvar som datalagringsdirektivet i ny innpakning. Hvis DGF blir innført vil det ramme vidt, bredt og lite målrettet.

DGF er, navnet til tross, ikke et grenseforsvar. Systemet består i å ta kopi av alle dataene som flyter over grensene våre. Det er et datalagringssystem. Men da regjeringen i 2016 utredet og nå foreslår å innføre dette systemet, valgte de å kalle det noe annet.

Kilde: Morgenbladet: Vi kan ikke se den grense inni nettet (Sigve Indregard)

 

I forslag til ny lov om Etterretningstjenester sendt ut på høring november 2018 legges det opp til at Etterretningstjenesten (E-tjenesten) skal få viljen sin og få innfridd sine ønsker. I lovforslaget gis E-tjenesten vide fullmakter til å overvåke all datatrafikk som krysser den norske grensen (inn/ut av landet). Myndighetene truer informasjonssikkerheten og personvernet, og de stempler den vanlige kvinne og mann som en potensiell lovbryter eller terrorist med denne massive overvåkningen i det “godes” tjeneste. Innsamlede data kan bli misbrukt eller komme på avveie.

At alle nordmenn mistenkes for å være kriminelle til det motsatte er bevis er etter mitt syn et svært negativt menneskesyn, og en form masseovervåkning som jeg finner som lite ønskelig. Overvåkningen truer vår frihet.Vi kan ende opp med storebror ser deg samfunn (Orwellsk overvåkingsstat) tilsvarende lukkede land som vi ikke liker å sammenlikne oss med. Nå gjenstår det å se om utvalgets forslag + lovforslaget blir vedtatt politisk. Med dagens regjering kan det vel tenkes at galskapen til og med blir vedtatt.

Helt enkelt er det ikke dette med grenseforsvar. Vi har nok om vi liker det eller ei behov for et effektivt digitalt forsvar, og det er behov for å modernisere lovverket rundt etterretning og etterretningstjenesten. Det som er problematisk er grensegangene mellom hemmelig overvåkning, internasjonalt forsvar og samarbeidet, personvern og ønsket til normale folk å kunne opptre med anonymitet i en del situasjoner.

Det digitale grenseforsvaret og den massive overvåkningen dette forsvaret medfører kan true ytringsfriheten. Det meste av vår datatrafikk krysser landegrensene på et eller annet tidspunkt, og via grenseforsvaret blir vi alle mistenkeliggjort og stemplet som potensielle kriminelle lovbrytere. Mer overvåkning kan føre til at vi i større grad enn i dag sensurerer oss selv, og på den måten innskrenker ytringsfriheten. Vi får et et overvåkningssamfunn som ingen ønsker å ha – utenom myndighetene, overvåkningen og militæret da.

Personvern, masseovervåkning og digitalt grenseforsvar (DGF) er beklageligvis temaer som i liten grad opptar normale innbyggere samt politikere. Mange er likegyldige, mens andre godtar alle former for overvåkning så lenge det kan bidra til å bekjempe terrorisme og kriminalitet. Litt mer nyansering og kritisk tenkning rundt slike problemstillinger hadde ikke vært å forakte.

Forslaget om et utstrakt grenseforsvar viser hvordan målet helliger middelet. Når samfunnssikkerhet settes opp mot privatlivet og personvern er det fort samfunnssikkerheten som vinner. Når det er snakk om å ta potensielle kjeltringer eller terrorister som truer rikets sikkerhet tillates de fleste midler brukt. Å få til en bra grensegang mellom sikkerhet og vern rundt privatlivet er slettes ikke lett.

Bakdører bygget inn i teknologiprodukter – tiltenkte og ikke-tiltenkte – kan være en stor trussel mot sikkerheten og personvernet. Dette at enkelte lands myndigheter ivrer for innføringen av slike bakdører i terrorbekjempelsens navn beroliger ikke meg. Slike bakdører kan fort bli utnyttet til andre formål enn de tiltenkte.

Rett skal være rett: En stor og alvorlig trussel mot Norge (og andre land!) er digital etterretning og spionasje utført av ulike utenlandske aktører, inkludert myndigheter og terrororganisasjoner. E-tjenesten med venner prøver å bekjempe slik virksomhet, men alt vil ikke la seg stoppe.

Nå er det ting som tyder på at E-tjenesten allerede i ganske stor detaljgrad overvåker nordmenns telefonsamtaler og sosiale medier-bruk fra Eggemoen utenfor Hønefoss, Ringerike kommune.

Storesøster ser deg

Svein Egil Omdal, journalist i Stavanger Aftenblad, har skrevet et interessant fripenn-innlegg. Blant annet er han innom at ny og effektiv teknologi er i ferd med å gjøre opprør mot makten og overvåkningen tilnærmet umulig. (Hans beundring av partiet Venstre velger jeg å hoppe bukk over.)

Det snakkes om innføring av digitalt grenseforsvar. Vår frihet innskrenkes jevnt og trutt med stadig mer overvåkning. Det skjer stadig avveininger mellom sikkerhet kontra personvern, hvor ofte den angivelige sikkerheten gjerne vinner. Innsamlet informasjon kan være gjenstand både for vanlig bruk og misbruk.

Etter å ha framsatt en del eksempler på situasjoner hvor personvernet er truet pga. avansert overvåkning basert på ny og effektiv teknologi avslutter han med:

  • “Alt dette blir gjort i aller beste hensikt. Det trengs derfor flere som innser at veien til det undertrykkende samfunn er brolagt med gode begrunnelser.”

Kilde: Stavanger Aftenblad (Svein Egil Omdal): Storesøster ser deg

 

I forbindelse med FrP sitt landsmøte våren 2017 dukket saken om lagring av IP-adresser i 1/2 år opp (i dag maksimalt 21 dager). Justisminister Per-Willy Amundsen med flertallsstøtte i partiet ønsker seks måneders lagring av IP-adressen (hvem som var knyttet til en konkret IP-adresse på et gitt tidspunkt). Justisminister Per-Willy Amundsen (Frp) sier han ikke har noen forståelse for at noen skal ha behov for å skjule IP-adressen sin. Med andre ord skal alle bli mistenkeliggjort, eller sagt på en annen måte: Alle er kjeltringer til det motsatte er bevist. Målet er å beskytte mot terror, overgrep, pedofili osv., og det virker som om målet helliger middelet. Nå er dette pr. dags dato kun et forslag fra FrP og ikke gjennomført politikk.

Nå har også Tollvesenet kastet seg inn i “kampen” med ønsker om å overvåke all biltrafikk som krysser grensen til Norge. Tollvesenet ønsker å få lov til å fotografere og registrere alle biler som krysser landegrensen med lagring av dataene i 1/2 år. Datatilsynet sier på sin side at dette er masseovervåking av uskyldige mennesker, og at de er bekymret for at opplysningene skal bli brukt av andre offentlige etater.

Personvernet under press

Personvernet er støtt og stadig under press fra mange kanter. Det er mange gode argumenter for å samle inn, bearbeide og oppbevare større og større mengder med personopplysninger. Imidlertid går dette gjerne på bekostning av personvernet og privatlivets fred. Jeg som innbygger ønsker ikke at samfunnet skal bli slik at alle i utgangspunktet blir mistenkeliggjort for ulovligheter som medfører behov for økt overvåkning. Selv er jeg mer tilhenger av at det må foreligge en konkret grunn til mistanke før personovervåkning settes inn som virkemiddel. Til det motsatte er bevis er vi alle gode medborgere som ikke trenger å bli overvåket og kontrollert.

BlackVue dashcam

Bilkamera eller dashbordkamera begynner å bli ganske normalt å ha i bilen, ikke minst for å kunne dokumentere og bevise sin uskyld i eventuelle kollisjoner og/eller forsikringssaker. Vel og bra i seg selv.

Høsten 2018 har det vært litt berettiget fokus mot bilkameraene fra BlackVue. Disse røper – som et standardvalg – bilens posisjon (GPS), fart, retning og presenterer video- og lydopptak i sanntid uten at sjåførene vet om det til hvem som helst. Disse tingene blir delt offentlig. Via en nettside med kart på kan man søke opp og gå inn på hvilken som helst bil.

Dette er selvsagt helt krise for personvernet. Slik overvåkning vil folk flest ikke ha noe av, uten å ha gitt sitt helt klare og spesifikke samtykke. Det er helt hull i hodet at den koreanske produsenten legger opp til at dette skal være standardvalget på deres leverte utstyr. Etter at fokus har blitt rettet mot saken – via media – blir det selvsagt en ordning på disse problemene.

Etter TV 2 sine avsløringer har dashcam-giganten BlackVue valgt å legge seg paddeflate, og de ber brukerne sine om unnskyldning. Det gjøres nå endringer slik at man selv aktivt må velge å dele videostrømmen offentlig via innstillinger. Standardinnstillingen blir at denne delingen er skrudd av.

Lenker:

 

Alle trenger og bør ha ønsker om å få beskyttet sitt privatliv og sine personopplysninger. Enkelte hevder at de har “ingenting å skjule”. Dette er en kraftig forenkling og en misforståelse. I Norge som er et fritt land går det greit enn så lenge, men det er slettes ikke bra i totalitære land at alle personopplysningene er i hendene på myndighetene med medfølgende straffereaksjoner osv.

Personopplysninger som benyttes til tilpasset markedsføring er irriterende nok i seg selv. En mye verre ting er muligheten for hackere til å få tilgang på lagret informasjon. Ikke minst vil tingenes internett med alt fra strømmålere til alle slags sensorer på nett gi utfordringer for personvernet. Automatiske strømmålere med rapportering tilbake til energiverket har vekket litt debatt, og da mest pga. påståtte helseproblemer (stråling). Det finnes også dem som mener av personvernet er truet, gjennom at energileverandøren via de automatiske rapporteringene får mye innsikt i den enkeltes hverdagsmønster og liv.

 

Smartklokker for barn/GPS-klokker for barn

Ifølge artikkel på Datatilsynets nettside:

“Forbrukerrådet har avdekket alvorlige sikkerhetsbrister i smartklokker/mobilklokker for barn. Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet.» Klokkene har “alvorlige sikkerhetshull, upålitelige trygghetsfunksjoner og manglende forbrukervern”.

“Disse klokkene hører ikke hjemme i butikkhyllene, og enda mindre på en barnearm.”

Problemene gjelder ikke bare for smartklokker. Samme utfordringer finnes med diverse andre Internett-tilkoblede produkter og “Internet of things” (IoT)/tingenes internett generelt. Andre produktkategorier med tilsvarende utfordringer: Leketøy, babycall-utstyr, overvåkingskameraer, helseutstyr og lignende.

Datatilsynet griper inn desember 2017. Gator får pålegg om å stanse all behandling av personoppplysninger om sine kunder pga. ikke god nok informasjonssikkerhet i smartklokkene de leverer. Lignende vedtak blir også gitt overfor PepCall AS og GPS for barn – Smartprodukt AS. Behandlingen og flyten av personopplysninger virker å være helt ute av kontroll for enkelte av produsentene/leverandørene.

For egen regning: For en del produsenter er nok de kommersielle interessene betydelig viktigere enn personvern, forbrukervern og data-/informasjonssikkerhet.

Kilder:

 

Undersøkelse viser at mange kunder frykter for personvernet ved bruk av fordelsapper hos matvarekjedene, f. eks. Rema 1000 sin Æ-app. Det fryktes for at matvarekjedene misbruker innsamlede personopplysninger. Hele 69 % av de som har lastet ned appene er i en viss grad bekymret for eget personvern.

Det skjer masse innsamling, lagring og bearbeiding av personopplysninger, både i privat og offentlig (statlig) regi. En god del av overvåkningen er både i gråsonen og til tider langt over på feil side av det akseptable.

Den kjappe teknologiske utviklingen har åpnet nye muligheter. Økt utbredelse av AI (kunstig intelligens), “big data” og dyp dataanalyse av digitale spor som vi etterlater oss truer personvernet. Noen går så langt og sier at personvernet (allerede) har tapt.

NorSIS: Trusler og trender 2017-18

Norsk senter for informasjonssikring (NorSIS) presenterer hvert år en vurdering av trusselbildet innen IKT-sikkerhet. Den nyeste vurderingen når dette skrives er: “Trusler og trender 2017–18 – Trusler i vår digitale hverdag – mot individer og virksomheter.” NorSIS har valgt ut ti trusler som rammer norske privatpersoner og virksomheter:

  1. Informasjonstyveri
  2. Vanvare (personlig ubetenksomhet m. m.)
  3. Løsepengevirus
  4. Direktørsvindel
  5. Industrispionasje
  6. Sabotasje
  7. Identitetstyveri
  8. Datingsvindel
  9. Personutpressing
  10. Krenkelser

Disse ti truslene truer definitivt også personvernet.

Konklusjon og avsluttende kommentarer

Jeg savner litt mer debatt og fokus på dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Vi nordmenn bør bli litt mer bevisste og kritiske til de farer som lurer innenfor bruk og utnyttelse av IKT. I dagens samfunn med fokus på analyser av “big data” blir det litt vel enkelt å overdrive innsamlingen og bearbeidingen av personopplysninger som i neste omgang kan medføre krenkelser av personvernet eller den personlige integriteten. Oss innbyggeres blåøydhet på området (vi bryr oss ikke om temaet!) kan fort straffe seg med at vi får et skremmende samfunn hvor storebror ser alt hva vi foretar oss! Blir Norge et Orwellske samfunn hvor alt vi foretar oss blir overvåket og styrt av myndighetene? Blir Norge til slutt et land av den typen som vi ikke ønsker å sammenlikne oss med, f. eks. Nord-Korea?

Hoveddelene av denne artikkelen ble skrevet før PRISM-, Edward Snowden (Snowden-saken)– og NSA-avsløringene. NSA (National Security Agency) har gjennom PRISM-programmet (NSA sitt topphemmelig elektronisk overvåkingsprogram/spionasjeprogram) kunnet overvåke det meste av data- og datatrafikk, både i USA og ellers i verden. USA har til og med spionert på europeiske toppledere, f. eks. Angela Merkel. Disse avsløringene som har nok vekket interessen for personvern hos enkelte. Greit at det kommer noe bra ut av nevnte sak!

Lenker:

Lenker relatert til det digitale grenseforsvaret (DGF):