onsdag den 30. september 2009

Privacy igen-igen

(Den kinesiske mur - kan mure beskytte mod angreb på Privacy?)





















I sidste uge afholdt IT- og telestyrelsen i samarbejde med DI ITEK, den franske og den tyske ambassade og forbrugerrådet en konference under overskriften 'The Net will not forget' om Privacy. Tilstrømningen var ganske pæn, større end den vi så ved maj måneds arrangement 'Pyt med Privatlivet', som Teknologisk Institut arrangerede, og hvor jeg havde fornøjelsen at være indlægsholder.
'The Net will Not Forget' gav ikke anledning til megen presseomtale, og interesseniveauet er som sådan nok ikke blevet højere end da Teknologirådet i 2006 lavede en rapport om 'ICT and Privacy in Europe' som en del af det europæiske EPTA-samarbejde.

Når interessen for privacy og beskyttelse af private data ikke er større i Danmark, hænger det formodentlig sammen med at vi i visse sammenhænge scorer højest som værende 'Verdens mest lykkelige befolkning'. I denne sammenhæng kan man spørge sig selv, om det også berettiger til at være tossegode.

Noget kunne tyde på det – for ikke nok med at vi har en solid tillid til vores offentlige myndigheder, vi kaster os også rask væk ud i offentliggørelse af personlige detaljer på Facebook, som mere end 2 mio af os er på, og der høres ingen protester i befolkningen, når politikerne på Københavns Rådhus og i Folketinget går ind for udvidet videoovervågning på Nørrebro, selvom ikke mindre end 44 internationale, seriøse studier ikke har været i stand til at påvise, at videoovervågning har anden præventiv effekt end en marginal reduktion af cykeltyverier og indbrud i biler.

Gus Hosein, en af de internationale talere på 'The Net will not Forget', fremviste en række eksempler på nye og raffinerede overvågningsteknikker, som dog nok vil kunne få selv sløve danskere til at reagere: Fra at være et tilbud til besøgende i Disneyland, kan man nu som forældre få udstyret sine børn med et 'no break' GPS-armbånd, så man kan sidde hjemme og se, hvor ens barn befinder sig, få en alarm når foruddefinerede grænser overskrides og kunne sikre sig, at barnet har en panikknap at trykke på, 'just in case'. Hvem sagde 'Curlinggeneration'?

Gus Hosein har tidligere gjort sig bemærket ved at fremhæve, at USA, UK, Kina og Sovjet er Verdens førende når det kommer til overvågning og kontrol af egne og andre landes borgere – og vel at mærke i den rækkefølge.

Men jeg vil påstå, at hvis ikke man forstår hvilken udvikling, der er i gang, og bliver bedre til både at styre og udnytte teknologien, så vil Danmark meget snart kunne være på linie med de 4 overvågningssamfund – og ikke nødvendigvis fordi en bevidst politisk linie fører denne vej, men fordi vi ganske simpelt ukritisk accepterer tilsyneladende fornuftige metoder til at passe på vores børn, vores biler, beskytte lokalsamfund mod kriminalitet, forhindre terrorhandlingerne på den ene side og skattesnyd på den anden – samtidigt med at vi jo 'ikke har noget at skjule', så alle billeder fra forskellige festlige sammenkomster og uheldige situationer lægges på nettet, fordi det er 'sjovt' – og fordi ingen rigtigt kan overskue konsekvensen.

Vi har – så vidt vi ved – her i landet kun oplevet få tilfælde af egentligt identitetstyveri, selvom forekomsten af forfalskede og stjålne danske pas hos illegale indvandrere efterhånden må være betragteligt.

Sidste gang man undersøgte de europæiske nationers holdninger til Privacy og Data Security, var Danmark i den laveste tredjedel og altså ikke særligt motiverede til at gøre noget ved det. Så derfor finder mange mennesker det helt naturligt, når private virksomheder beder om at få CPR-nummeret for at oprette een i deres kunderegister – ja nogle virksomheder giver endda prmæier og rabatter for at få det. Det er vi tilsyneladende ligeglade med, på trods af at sofistikerede Customer Relations Management systemer er i stand til at crawle nettet, finde sociale netværker som Facebook, Linkedin, Plaxo, Twitter, YouTube – og sammenligne den enkelte kundes profiler, netværker, ja sågar mønstre i søgning på nettet, så tilbud kan skræddersys og de derved i princippet gennemføre prisdifferentieringer og målrettede kampagner.

Der er ikke megen debat længere om registersamkøringer, og i stedet arbejder man nu målbevidst mod at etablere een indgang til alle offentlige borgerdata (Se borger.dk) – hvorved borgerens arbejde (= selvbetjening) lettes, men hvor fjernelsen af tidligere barrierer altså også nu gør det muligt at få et samlet overblik over alle borgerens forhold. Er det en trussel? Det beror på hvordan den enkelte oplever det. Og hvor godt det offentlige beskytter personlige data mod utilsigtede afsløringer – for ikke at tale om videresalg af data til private virksomheder.

De helt åbenlyse trusler kommer fra et antal kilder:

  1. Botnets

    Vi kan ikke forvente at alle er lige gode til at beskytte deres PC'ere mod virus og hacker angreb. Det betyder, at vi må regne med at et antal PC'ere er inficerede med trojanske heste, der kan fjernstyres og benyttes til cyber-angreb. Som Estland oplevede forrige år, Georgien og Kazakstan sidste år – massive angreb, der lammede landenes kommunikation over internettet med borgere og banker i op til en uge.

  1. Hackere/Fishing

    bliver mere sofistikerede – næste trin er forsøg på at lænse bankkonti ved at franarre folk pinkoder og bankkoder. Det har vi set et kraftigt stigende antal eksempler på, og det bliver ikke bedre før den nye digitale signatur er rullet ud – nu med et års forsinkelse.

  1. Regnekraft/lagerkapacitet

    Teknologien udvikler sig hastigt – beregningskapacitet og lagringskapacitet firdobles nu nærmest hvert andet år. Og det betyder at oversættelse fra et sprog til et andet, lagring af f.eks. Telefonsamtaler og skypesamtaler kan blive det næste mål for hackere, og en oversættelse til arabisk, russisk, amerikansk kan finde sted 'on the fly'.

  2. WI FI – forbrugeradfærd

    Samtidigt er det påfaldende så mange private WI FI anlæg, der står pivåbne og hvor også ganske almindelig trafik kan aflyttes og kopieres. Ja, vi ER lalleglade. CPR-numre flyder på nettet. Og en logningsaftale med teleselskaberne, der undtager små kollektiver er jo en klar hjælp til potentielle lovovertrædere og dermed er resten af logningsbekendtgørelsen en pestilens for flere og til ringe nytte.

Dilemmaet er altså klart: Vi skal beskytte os mod terrorisme og acceptere at 'nogen' med fornuftige retsmidler kan foretage overvågning, vi skal beskytte os mod at blive franarret og bestjålet, men det er ikke en statsopgave at beskytte os og certificere vores private PC'ere, men derimod nok at undervise os i HVORDAN vi kan beskytte os. Da truslerne ændrer sig, er et regulært kompetencecenter nødvendigt, som kan rådgive borgerne på den ene side og politikere og erhvervsliv på den anden. Det er ikke 'bare' en opgave for efterretningsvæsener.

I Sundhedssektoren er privacy mere end andre steder beskyttet af lovgivning, der kræver samtykke fra patienten for videregivelse af oplysninger. Her er faktisk flere dilemmaer: For det første skal vi redde patientens liv, og derudover har vi brug for patientdata til at bedrive forskning, og har derfor brug for pseudonym-tilgang til data på en kontrolleret måde.

Vi har brug for en meget finkornet styring af adgang til patientdata – men samtidigt behov for en høj effektivitet på hospitalerne - og vi har endelig brug for at have en klar lovgivning, der følger den teknologiske udvikling: Vi må forhindre at individers DNA-profil udleveres til private forsikrings- selskaber. Hvor man bør overveje lovgivning for at forhindre, at svage patienter bliver tvungent til 'frivilligt' at aflevere sådanne data.

Igen støder vi på parakdokset at lovgivningen uvægerligt altid vil halte efter den teknologiske udvikling. Lovgiver har ikke en chance for at forudse, hvad videnskaben kan frembringe næste år: Hjernescanninger som grundlag for en analyse af børns udviklingspotentiale? Gen-analyser til at forudse, hvem der bør gifte sig med hvem? Vi har allerede set tilsyneladende raske, unge kvinder der får operet bryster bort, fordi DNA-profilen siger, at sandsynligheden for at udvikle kræft er over 80% i den familie. Så næste dilemma er hvordan man beskytter borgerne mod forsikringsselskaber, arbejdsgivere – og måske sig selv!

Så vi kan konstatere, at vi har behov for følgende:

  • Klare retningslinier for etablering af offentlige såvel som private IT-systemer, der indeholder kortlægning af risiko for utilsigtede afsløringer af data, en analyse af hvad konsekvensen i så fald kan være, samt tiltag – både tekniske og organisatoriske, der på en balanceret måde reducerer risikoen for 'udslip'

  • En strategi og en klar plan for information til borgerne om hvordan de selv kan beskytte sig, hvor de kan få hjælp og rådgivning og – måske – oprettelse af testcentre, hvor de kan få adgang til at kontrollere deres udstyr

  • Tilskyndelse af udvikling af simple metoder til kryptering og til udvikling af granuleret databeskyttelse, som for eksempel påvist i PrimeLife, hvor ideen er, at den enkelte afslører præcis så stor en delmængde af vedkommendes identitiet som står i forhold til den transaktion, han/hun ønsker at udføre: Er man borger i Birkerød? er man myndig? Har man kørekort? Har man en patientjournal? Har man en bankkonto? Eller har man brug for at afsløre sion fulde (borger)identitet over for det offentlige – men derimod ikke ens indkøbsvaner og trafikmønstre?

  • En debat om hvordan lovgivning indrettes på en mere hensigtsmæssig måde end ved detailstyring – kort sagt, en grad af Anglisering af lovgivningen, der tillader udvikling af ny teknologi og en højere grad af fokus på formål og hensigten med lovgivningen.

I næste Blogindlæg vil jeg se på biometri og de hermed forbundne sikkerhedsfordele og risici.



Ingen kommentarer: