Ledelsen har hele tiden hevdet av utenlandske IT-arbeidere ikke får tilgang til sensitiv informasjon. Sannheten er en helt annen

[Tastaturskriver]

 

Så disse folkene skal sitte i India med driftsansvar med "redusert tilgang", uten å kunne se innholdsdata i SQL-serverne de skal drifte?

Alle som er oppegående på IT-drift og sikkerhet vet at dette i realiteten er umulig. Når da man ikke kan sikkerhetsklarere eller kreve taushetserklæringer som er rettslig gyldige i Norge for dette personellet - ja da forstår vi hva som er realiteten.

 

På samme måte som med passord, kan min fint kryptere sensitive data.

[Emancipate]

 

 

Så disse folkene skal sitte i India med driftsansvar med "redusert tilgang", uten å kunne se innholdsdata i SQL-serverne de skal drifte?

Alle som er oppegående på IT-drift og sikkerhet vet at dette i realiteten er umulig. Når da man ikke kan sikkerhetsklarere eller kreve taushetserklæringer som er rettslig gyldige i Norge for dette personellet - ja da forstår vi hva som er realiteten.

 

På samme måte som med passord, kan min fint kryptere sensitive data.

 

Passord skal absolutt ikke krypteres, de skal hashes. En slik hash kan ikke dekrypteres. Å "kryptere" sensitive data på samme måte som passord, betyr at man aldri får tilgang på dem igjen. Det er som å kjøre dem igjennom en makulator.

 

Uansett, selv kryptering på vanlig måte er uhensiktsmessig. Det hindrer f.eks. søk.

[Bolson]

 

 

Så disse folkene skal sitte i India med driftsansvar med "redusert tilgang", uten å kunne se innholdsdata i SQL-serverne de skal drifte?

Alle som er oppegående på IT-drift og sikkerhet vet at dette i realiteten er umulig. Når da man ikke kan sikkerhetsklarere eller kreve taushetserklæringer som er rettslig gyldige i Norge for dette personellet - ja da forstår vi hva som er realiteten.

På samme måte som med passord, kan min fint kryptere sensitive data.

Teknisk sett kan man kryptere både data i databasen, eventuelle fiildata osv. Men som pekt på - det er ikke nødvendigvis hensiktsmessig og det er faktisk uvanlig å gjøre dette. Det vil også medføre betydelige merkostnader - f.eks i behov for økt prosesseringskapasitet, omkoding av applikasjoner og databaselag osv. Totalkostnad ukjent.

 

Driftspersonell vil med all sannsynlighet også da ha tilgang til nødvendig kode for å dekryptere - så lenge de har tilgang til servere.

 

Sikkerhetseksperter som f.eks Sofie Nystrøm ved CCIS sier at å hindre "utenlandske" arbeidere fra å ha tilgang vil være svært krevende og kostbart.

[flogvit]

Nå skal jeg ikke kommentere om det er lurt å outsource drift av IT-systemer til utlandet.

 

Men kan noen si meg forskjellen på å la utenlandske arbeidere ha tilgang til data og å la norske arbeidere ha tilgang? Er det mer sannsynlig at noe lekkes hvis arbeiderne er utenlandske? Er det større sannsynlighet at "russland" kan kjøpe data fra utenlandske arbeidere?

 

Med norske arbeidere kan vi rettslig forfølge personer. Med utenlandske arbeidere må vi rettslig forfølge bedrifter. Noe mer som er forskjellig?

[Bytex]

Fordi i "utlandet" har de mye lavere lønninger og korrupsjon og bestikkelser er omtrent hverdagskost.

[Big_JT]

Faren for utro tjenere er vel like stor for utenlandske arbeidere som norske. Forskjellen ligger vel i at det er enklere å sortere/godkjenne norske arbeidere enn de utenlandske. Vil også tro at det er en god del enklere å straffeforfølge en nordmann enn en tilfeldig ansatt i India om noe går åt skogen....

 

Er også forøvrig enig med andre her om at det er meget krevende og komplisert å holde data på en server unna de som drifter serveren. Bruker å si at har en med onde hensikter fysisk tilgang (eller administratorrettigherer i dette tilfellet) til serveren har man tapt.

[Bolson]

Nå skal jeg ikke kommentere om det er lurt å outsource drift av IT-systemer til utlandet.

 

Men kan noen si meg forskjellen på å la utenlandske arbeidere ha tilgang til data og å la norske arbeidere ha tilgang? Er det mer sannsynlig at noe lekkes hvis arbeiderne er utenlandske? Er det større sannsynlighet at "russland" kan kjøpe data fra utenlandske arbeidere?

 

Med norske arbeidere kan vi rettslig forfølge personer. Med utenlandske arbeidere må vi rettslig forfølge bedrifter. Noe mer som er forskjellig?

 

Det er langt mer sannsynlig at data lekkes fra "utenlandske" arbeidere. Delvis ligger det i kulturforskjeller, de økonomiske insentivene for å lekke er også langt sterkere og lojalitet til arbeidsgiver er langt svakere. I tillegg finnes det knapt muligheter for "straff". Sosiale mekanismer vil også redusere sjansen for at en norsk ansatt vil lekke. Den norske kan risikere å lekke info om kjente,

 

F.eks ligger lønna til driftspersonell IT i Inida på ca 45 - 60 000 NOK pr år, da er f.eks en betaling på noen 100 tusen for å lekke info svært attraktivt. Ikke så attraktivt for en nordmann med 450 - 600 000 i lønn.

 

Jobbstruktur i utenlandske firmaer er også svært annerledes - med høy grad av gjennomtrekk - noe som minsker kontroll og øker risiko - og gjør det lettere for tredjepart å kjøpe info fra den ansatte (tidligere ansatte). Mangel på sosiale ordninger/sikkerhetsnett øker også risikoen.

 

Og så kan til og med arbeidstakers eget land tvinge til seg informasjon.

 

Og det er ikke enkelt å rettsforfølge bedrifter - og det er betydelige avgrensinger i hva man kan rettsforfølge. At man kan rettsforfølge bedrift betyr heller ikke så mye om bedriften ikke kan ta den ansatte.

 

Har man skrevet under på en taushetserklæring, så kan både bedrift og ansatt tas i ettertid.

 

Generelt bør man ha som prinsipp at sensitiv og sikkerhetsrelatert informasjon:

1. Ikke lagres utenfor norsk jurisdiksjon

2. Ikke er tilgjengelig for andre enn norske statsborgere med nødvendig klarering.

[Anders Jensen]

Styret i HSØ har gått til innkjøp av GDaaS (grave digging as a service) og de hadde tenkt seg å putte infrastrukturteamet til Sykehuspartner oppi der. Nå ser ut til at de har havnet på kanten selv, og godt er det for denne inkompetente gjengen i HSØ styret må være noe av det dyreste vi har på fastlandet.

[Anders Jensen]

Forresten må dette være det dummeste jeg noen sinne har hørt; "Serverne står i Norge så det er trygt". Hvor komplett uvitende må en være for å lire av seg noe slikt? Man burde fått inndratt retten til å bruke datamaskiner av slikt. Det er ikke 1978 nå, vi har Internett. 

 

Skal vi ta atom testen?

"atom missilene står i Norge så det er trygt at de styres fra utlandet". Ikke det nei?

[Oyvind68]

Er det noen som har kontaktinfo til en lege som ikke fører journaler?

 

Floskler som "ikke permanente, og de er nå stengt", "Vi har full kontroll", "Jeg har full tillit til avgjørelsen" er det nå stort sett bare idioter som sier eller tror på.

 

Jeg vedder på at det neste vi hører er at det har skjedd enda en feil, "men vi skal nå gå gjennom våre rutiner".

[Bolson]

Er det noen som har kontaktinfo til en lege som ikke fører journaler?

 

Floskler som "ikke permanente, og de er nå stengt", "Vi har full kontroll", "Jeg har full tillit til avgjørelsen" er det nå stort sett bare idioter som sier eller tror på.

 

Jeg vedder på at det neste vi hører er at det har skjedd enda en feil, "men vi skal nå gå gjennom våre rutiner".

 

Leger er pålagt å føre journal - og det er også i din interesse. Men vanlige fastleger fører ikke journaler i det systemet som det her er snakk om. Du må spørre din fastlege om hvilket system de bruker etc. Infodoc Plenario er en mulighet.

[Boeing]

Nå skal jeg ikke kommentere om det er lurt å outsource drift av IT-systemer til utlandet.

 

Men kan noen si meg forskjellen på å la utenlandske arbeidere ha tilgang til data og å la norske arbeidere ha tilgang? Er det mer sannsynlig at noe lekkes hvis arbeiderne er utenlandske? Er det større sannsynlighet at "russland" kan kjøpe data fra utenlandske arbeidere?

 

Med norske arbeidere kan vi rettslig forfølge personer. Med utenlandske arbeidere må vi rettslig forfølge bedrifter. Noe mer som er forskjellig?

 

Ved utvikling/vedlikehold av sensitiv informasjon, så må man sikkerhetsklareres. Da sjekkes det om du har vært i politiets søkelys etc. Jeg har selv blitt klarert i forbindelse med konsulentoppdrag. Å ikke gjøre dette med helseopplysninger synes jeg er uansvarlig, og totalt respektløst med tanke på pasientene. Det sier seg selv at det er utfordrende å sikkerhetsklarere personer som bor i India etter våre rutiner.

[Geir Amundsen]

Vi blåøyde Nordmenn blir lurt, lurt og atter lurt. Hun sier de har full kontroll, og at de har navnelister. Hva så, det forandrer jo ingen ting. Det betyr bare at du kan gå etter noen, hvis opplysninger kommer på avveie. Er det mer en 1 person, så er det så å si umulig å gjøre noe.

[00PGAP6H]

Det verste er egentlig at slike ting blir outsourcet i det hele tatt. Norske arbeidsplasser bør bli på norsk jord. Vi kan ikke bare skyte oss selv i foten slik.

[FADG8MDR]

Nå får det være nok idioti . Antar at det blir full gjennomgang og at hoder begynner å rulle.

[YT67JVJJ]

Slutt å tulle! Dette er en skandale. Bent Høie er en Intelligent fyr og jeg er helt overbevist om at han vil vurdere hele prosessen på nytt. Gjør han ikke det, kan man begynne å trekke konklusjoner.. Tydeligvis er mange i ledelsen hos HelseSørØst villige til å ofre mye bare for å få dette gjennom. En ting er sikkert, noen betaler prisen til slutt.

[Gjest Slettet+2534]

Nå får det være nok idioti . Antar at det blir full gjennomgang og at hoder begynner å rulle.

Husk at det er det offentlige det er snakk om her, der får slik saker veldig sjeldent konsekvenser av betydning for de ansvarlige; rett og slett fordi at de ansvarlige alltid unnskylder seg med at det var en systemfeil.

[bojangles]

Mtp hva NRK har avdekket og omfanget av tilgang samt at utenlandske brukere med admin tilgang også har kunnet gi full tilgang til nye brukere så må nesten regne med at alt av data er kompromittert og allerede er på kriminelles hender. Hva de evt. kan bruke slik data til vet en jo ikke. Men feks kan man ikke utelukke blackmail, salg av data til feks shady forsikringsselskap, etc.

 

Tenker at nå får vi som nasjon stoppe opp litt. Vi moderniserer i en takt som det nå  atter en gang viser seg medfører sikkerhetsrisiko. Indere har tilgang til olje og gass, vi har tidligere hatt littaurere som har driftet deler av banknettverket. Feil tilgang på nødnett og nå er altså alt av helseopplysninger i helse øst lekket.

 

For den jevne mann og kvinne spiller nok denne lekkasjen ikke veldig stor rolle, men for de som evt. blir offer og blir utsatt for kriminelle handlinger som følge av tapte helseopplysninger så kan denne saken få alvorlige konsekvenser.

 

Er vi sikre på at alt bør være lagret digitalt? Og om vi først bestemmer oss for å fortsette digitaliseringen og lagring av personsensitive data ja da må vi både rutiner og kvalifisert og sikkerhetsklarert personell til håndtere sensitive data.  Å drifte kritiske systemer med sensitive data fra lavkostland er virkelig en bjørnetjeneste. Både problemene med manglende sikkerhetsklarering, kulturforskjeller og ikke minst at denne typen outsourcing faktisk underminerer lokal kompetanse på sikt. 

 

Sensitive helseopplysninger burde aldri vært driftet fra utlandet. Skal vi modernisere i forvaltningen så får vi ta kostnadene som følger for å holde optimal sikkerhet. 

 

Hvem blir den første som må gå av som følge av dette? 

Endret 3. mai 2017 av bojangles

[Belfaborac]

"Dear Mr. _ _ _ _ _ _

 

For only a small recurring fee of $500/month we will ensure that medical data from your patient journal concerning your many haemorrhoid operations and your ongoing struggle with impotence and flatulence shall not come to the attention of your friends, neighbours, colleagues and the general public.  The fee will be payable for a period of 25 years or until you die, whichever comes first.

 

We look forward to a swift reply, followed by a long and fruitful partnership.

 

Best regards,

 

_ _ _ _ _ _ _ _ _"

[XIFXEGLO]

Så disse folkene skal sitte i India med driftsansvar med "redusert tilgang", uten å kunne se innholdsdata i SQL-serverne de skal drifte?

 

Høres ut som en helt suveren idé: omtrent som en buss-sjåfør med bind for øynene.

 

Ja, det er jo helt hårreisende. Hvis det i det hele tatt er teknisk mulig å hindre en som har administratorrettigheter til databasen fra å få tilgang til data er det løsning som garantert vil koste flesk. Og øke kompleksiteten, som igjen vil øke risikoen for feil.

 

Enten lyger ledelsen når de sier at konsulentene skal ha begrenset tilgang, eller så er de fullstendig uvitende. Begge deler er en gjenganger i IT prosjekt.

 

Og IT konsulentselskapene ler hele veien til banken.