Artikel top billede

SOA udfordrer privatlivets fred

Genbrug af offentlige it-systemer i form af SOA med generelle single-sign-on-løsninger risikerer at blive en trussel mod privatlivets fred, advarer sikkerhedsekspert.

Jagten på genbrug af offentlige it-systemer til brug for en serviceorienteret arkitektur (SOA) udfordrer privatlivsbeskyttelsen, hvis vi ikke undgår at bruge den laveste fællesnævners sikkerhed til beskyttelse af privatlivet.

Det siger Søren Duus Østergaard, senior eGovernment advisor hos IBM og formand for Alexandra Instituttets forskningscenter for sikkerhed, som i denne uge var taler på privacy-konferencen Pyt med Privatlivet.

Truslen fremkommer for ham at se, hvis man blot laver generelle single-sign-on-løsninger, altså en adgangsløsning hvor borgeren umiddelbart har adgang til samtlige systemer, uden at der etableres kontrol med, hvilke dele af de enkelte it-systemer, brugeren har adgang til.

"Det er den mindst smarte måde at gøre det her på, for der ligger jo sikkerhedsregler for, hvad den enkelte må få adgang til på enkelte systemer," siger Søren Duus Østergaard.

I stedet fremhæver han sundhed.dk som et eksempel på en løsning, hvor brugerne har en rollebaseret adgang. Til de forskellige systemer.

"Hvis du er læge, kan du få adgang til nogle oplysninger. Hvis du er patient, kan du få adgang til andre, typisk færre, mere specifikke oplysninger med et bestemt formål," siger Søren Duus Østergaard.

Den idé til adgang ser han gerne indført på alle offentlige og for den sags skyld også private systemer.

Hvem skal eje dine data

Ifølge Søren Duus Østergaard er en af problemstillingerne i forhold til privatlivets fred og offentlige systemer, spørgsmålet om, hvem der har ejerskabet over data.

"På længere sigt er holdningen nok, at det bør være den enkelte, som skal kunne gå ind og eje sine egne data," siger Søren Duus Østergaard.

Det vil til gengæld give et ansvar for den enkelte borger overfor at holde data ajour og opdateret og sikre, at det er de rigtige data, som er til rådighed for systemet.

"Hvis man tænker tanken igennem, vil man om nogle få år have en anden borgertilgang til begrebet privacy," siger Søren Duus Østergaard.

Alle data som et stort tag selv-bord

Ifølge Søren Duus Østergaard er spørgsmålet, hvilket samfund vi ønsker i fremtiden. Der er udsigt til flere dystopier for privacy, afhængigt af hvad vej vi vælger. En af mulighederne er big brother-samfundet, hvor staten ejer alle informationer om borgerne.

Omvendt har vi også muligheden for den globale landsby, hvor informationen flyder frit på nettet, og alle data er et stort tag selv-bord, en slags videreførelse af de helt unge netbrugers tilgang til privatlivsbeskyttelse, forklarer Søren Duus Østergaard.

"Det er nok ikke så hensigtsmæssigt, og det kan være meget svært at få den offentlige service til at fungere i sådan et samfund," siger Søren Duus Østergaard.

Muligheden for et fuldstændigt anonymt samfund er også reel. Men ifølge Søren Duus Østergaard dur denne samfundsstruktur ligesom de to førnævnte ikke, fordi grundlaget i et demokrati er, at man tager ansvar og identificerer sig i de sammenhænge, hvor det er nødvendigt.

"Det bliver formentlig ikke til noget, for vi kan ikke samtænke en offentlig service i sådan et miljø," siger Søren Duus Østergaard.

Derfor er løsningen ifølge Søren Duus Østergaard at opnå en formålsbestemt privacy, hvor borgeren kan nøjes med at afgive den information som er nødvendig i den givne sammenhæng og med borgerens viden om formålet.

Han peger på det kommende tyske id-kort som eksempel på en løsning, som opfylder dette krav.

Nok information i situationen

Ifølge Søren Duus Østergaard er Danmark det eneste land foruden Kroatien, som ikke har et internationalt europæisk id-kort. Tyskland har været længe om det, fordi landet har en meget krads datasikkerhedslovgivning, men er ved at indføre et kort, som har de omtalte kvalifikationer.

Kortet gør det eksempelvis muligt for borgeren at nøjes med at bevise, at han er en tysk statsborger, som er gammel nok til at købe alkohol eller stemme. Men han kan også afgive sin fulde id, eksempelvis i forbindelse med ansøgning om offentligt tilskud.

"Afhængig af informationen, bestemmer du selv hvor meget information du vil slippe," siger Søren Duus Østergaard.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere