Et flertal af virksomheder og organisationer tager unødvendige chancer ved at bruge rigtige brugerdata, når de tester nye applikationer. Det viser en engelsk undersøgelse foretaget af Compuware og Ponemon Instituttet.
Undersøgelsen viser, at 58 procent af virksomhederne i England bruger rigtige brugerdata i stedet for at anonymiserede data i forbindelse med udviklingen af nye systemer.
De rigtige data indeholder ofte personfølsomme oplysninger om medarbejdere og kunder, som eksempelvis cpr-numre, helbredsoplysniger, adressedata og kontooplysninger.
Originalt scenarie
Hos DK-Cert er leder Shehzad Ahmad bange for, at de danske tal ligner de engelske. Og det er et problem, fordi testmiljøer ofte er langt mindre sikre, end ved systemer der er i drift.
"Det er ofte det, der er problemet i testmiljøer. Login og passwords er svage, og pludselig blotter man data for alle andre også," siger Shehzad Ahmad.
Virksomhederne benytter typisk egne databaser til test-miljøet. Og dermed er det altså virksomhedens egne kunder og medarbejdere der risikerer at få blottet personfølsomme data, hvis sikkerheden ikke er i orden, fortæller Shehzad Ahmad.
"Det er fordi man ønsker så originalt scenarie som overhovedet muligt," siger Shehzad Ahmad.
Ideen med at bruge de rigtige data er på den måde at sikre at den bedst mulige test af den nye applikation eller det nye system.
"Det kan man jo godt forstå. Men man glemmer bare at der er tale om følsomme oplysninger som på ingen måde skal ud," siger Shehzad Ahmad.
En mulighed for at undgå sikkerhedsproblemet er ifølge forfatterne af den engelske undersøgelse at bruge anonymiseret testdata.
Hos DK Cert fortæller Shehzad Ahmad at leverandører af systemer også kan tilbyde dummydata til udviklingsfasen.
"Og for man sådan et tilbud er det da bare om at bruge det, og så stille og roligt at få tilpasset," siger han.
Bruger man rigtige data er det vigtigt at sikre at testmiljøet ved at ændre standard kodeord og gennemkonfigurere systemet grundigt.
"Når man tester i et testmiljø, er der sikkert mange sikkerhedsaspekter, man ikke har taget højde for," siger Shehzad Ahmad.
Danske tal bedre
Hos Dansk IT mener Ingrid Colding-Jørgensen, næstformand i Rådet- for IT & Persondatasikkerhed, at færre danske virksomheder bruger rigtig data i testmiljøer end den engelske undersøgelse viser.
Hun har indtryk af, at mange virksomheder bruger dummydata under udviklingsfasen af et nyt system.
"Der sker store strukturerede test i store virksomheder. Men der sker jo også test i små virksomheder, hvor de ikke nødvendigvis er ligeså oplyste og opmærksomme," siger Ingrid Colding-Jørgensen.
Ifølge Ingrid Colding-Jørgensen er det nemlig sværere for de små virksomheder, som måske ikke har de samme ressourcer til at holde sig opdaterede om lovgivningen.
Persondatalov gælder også i testmiljø
Går der noget galt under testfasen, så persondata kommer i forkerte hænder, er det persondataloven som gælder, fortæller hun.
Men dataene er faktisk allerede opfattet af persondataloven i det øjeblik, man bringer sine data ind i testmiljøet. Loven siger nemlig, at man skal beskytte sine data på betryggende vis.
Derfor er det faktisk et brud på persondataloven, hvis testmiljøet er mindre sikkert end virksomhedens livemiljø, fortæller Ingrid Colding-Jørgensen.