Datatilsynet godkjenner brannmurløsning

Datatilsynet har godkjent en nettverksløsning i Sørum Kommune der brukerne har tilgang til Internett, og der to brannmurer beskytter følsomme data i barnevern og sosialsaker.

Løsningen bygger på et Novell Nettverk (versjon 4.02) med Compaq-servere, Eagle-brannmurer og strenge regler for kryptering og håndtering av følsomme opplysninger. Hovedleverandøren er NIT, men også andre leverandører har bidratt til opplegget som bygger på standardkomponenter. Nettet fjerndriftes fra NIT.

Dette er første gang Datatilsynet godkjenner et såkalt "delt edb-system".

Den ytre brannmuren verner hele det kommunale nettet mot Internett. En indre brannmur verner systemene for barnevern og sosialtjenester fra resten av det kommunale nettet. Strenge interne rutiner og intern opplæring og bevisstgjøring står sentralt i den helhetlige løsningen.

- Sørum kommune har gjort et utmerket arbeid i å dokumentere sikkerheten, sier informasjonssjef Hege Njaa i Datatilsynet. - Derfor har de fått en ettårig tillatelse mot fortløpende rapportering til oss om endringer i systemet, og mot at de lager en sluttrapport.

I brevet som Datatilsynet sendte kommunen 22. mai begrunnes den tidsbegrensede tillatelsen med at saken er av prinsipiell karakter og at tilsynet utarbeider nye krav for denne typen løsninger. Det heter videre at Sørums erfaringer kan påvirke denne prosessen.

Blant de punktene Datatilsynet vil ha vurdert innen 1. februar 1998 er:

  • hvordan sikkerhetsorganisasjonen og spesielt ledelsen har fungert
  • hjemmearbeidsplasser: omfang og synspunkter fra brukerne
  • hvordan Internett er brukt og hvor mye av bruken er relatert til tjenestlige behov
  • nøkkeladministrasjon av krypteringsnøkler for ekstern pålogging og for kryptering av lagret informasjon.

Blant kravene fra Datatilsynet stilles følgende:

  • kommunerevisjonen skal ikke ha en kontinuerlig online tilgang til følsomme registre
  • brukere med hjemmekontor skal nytte engangspassord eller tilsvarende sterke autentiseringsmetoder
  • overføring av sensitive personopplysninger skal følge Datatilsynets krav til kryptering

Prosjektleder Steinar Sande i Sørum kommune understreker at løsningen er bygget opp fra grunnen av med tanke på sikkerhet.

- Vi har ikke bare sett på tekniske ting, som å legge opp brannmurene med et stort antall kontrollnivåer. Vi har satset sterkt på å bevisstgjøre brukerne. Vi har også opprettet et datasikkerhetsutvalg i kommunen, slik at sikkerheten ikke utvannes etter hvert som systemet bygges ut.

Sande svarer på rosen fra Datatilsynet med å understreke at kontrollorganet hele tiden har bidratt til et konstruktivt samarbeide.

Til toppen