Fra tid til annen blir vi påminnet at det er bare flaks det ikke har gått galt, skikkelig galt, på grunn av data på avveie. Forrige uke kom voldsdommen med redusert straff fordi gjerningspersonen begikk innbrudd i tillegg til vold. I går fikk vi høre om hvordan idrettsforbundet lakk sensitiv og fortrolig informasjon med høy risiko og potensielt livstruende konsekvenser. Samtidig vedgår de at «Idrettsforbundet har kjent til risikoen». Vær redd, veldig redd.
En av flere fellesnevnere i disse sakene er at enkeltindivider har fått eller kan få tilgang til sensitiv informasjon som ikke var ment for dem. I voldssaken gjennom et datainnbrudd. I NIF IT (Norges Idrettsforbund IT) saken som et resultat av en eller flere grusomme feil (eller features?) gjort i beste mening av NIF IT.
Vi vet at data på avveie i voldssaken ledet til grov vold, i fadesen hos idrettsforbundet vet vi ikke, eller i det minste jeg vet ikke, og vi kan bare håpe at det ikke har ledet til alvorlige (volds)hendelser.
En problematisk mulighet i den minst farlige enden av skalaen er at noen har oppdaget informasjon om noen de kjenner, men at det ikke har skjedd noe utover det. Det katastrofale er (som digi skriver) at «personer med fortrolig (kode 7) eller strengt fortrolig adresse (kode 6)» kunne bli eksponert.
Ikke en hvilken som helst lekkasje eller risiko
Vi snakker altså ikke om en hvilken som helst lekkasje og risiko her. Adressesperre kode 7 eller «fortrolig adresse» innebærer at adressen din ikke skal gis ut til private.» Adressesperre kode 6, også kjent som «strengt fortrolig adresse» innebærer at opplysninger om adressen din ikke skal gis ut til noen.» Da skal det selvsagt heller ikke tilgjengeliggjøres via idretten.
Saken har utspring i bevisst forenkling for å utnytte mulighetene digitalisering gir for brukeren gjennom sammenkobling av databaser, noe som isolert sett kan være bra. Isolert sett. I dette tilfellet ble det katastrofalt. Når data kobles, skapes merverdi – merverdi for den som får tilgang på data. I dette tilfellet var det mulig, og la oss håpe en teoretisk mulighet, for at folk på flukt fra overgripere fikk nye hemmelige identiteter og adresser avslørt til de(n) de skjuler seg for.
NIF IT, altså idrettsforbundet, hadde laget en søkefunksjon som muliggjør søk på epostadresser for å koble familiemedlemmer. Det er klart det er fint for foreldre å koble seg selv og egne barn sammen. Søket var imidlertid tilgjengelig for den som ville. Det vil si, det var mulig å søke på circa 80 prosent av de registrerte i basen og få opp sensitiv informasjon om dem. Når det var 80 prosent, og ikke 100 prosent som var rammet av den grove feilen var det fordi NIF IT hadde laget en sikkerhetsløsning som beskyttet de resterende 20 prosentene.
Utilstrekkelig sikkerhetsløsning
Eller, å kalle det en sikkerhetsløsning er å ta hardt i. Løsningen var basert på at brukeren selv skulle både varsle sitt lokale idrettslag og validere egen informasjon opp mot folkeregisteret. Det siste en håpløs manøver og barriere de fleste antagelig ikke en gang klarer å se for seg hva innebærer. Et klassisk eksempel på at man baserer seg kun på
Å kalle det en sikkerhets-løsning er å ta hardt i.
teknologi og ikke reflekterer over den praktiske virkeligheten menneskene befinner seg i. Eller som Bruce Schneier sier: «If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology». Og forresten, hvem mener det virker som en god ide at folk som lever med hemmelig identitet og/eller adresse skal kringkaste det inn i det lokale idrettslaget?
Denne saken viser med all tydelighet at den kommende personvernforordningen, aka GDPR, er nødvendig. IT-sjefen i NIF IT sier til Digi at det er «synd at det offentlige pøser milliarder inn i digitalisering, og så opplever vi som den største frivillige organisasjonen budsjettkutt.» De siste par årene med både debatt og fokus på penger i norsk idrett tyder vel på alt annet enn at det mangler penger i idretten. Dette er vel heller et spørsmål om kompetanse og vilje til å prioritere pengene til it-sikkerhet fremfor reiser som ikke tåler dagens lys? Kanskje trenger vi også en debatt om det gamle frivillige Norge helt uten videre skal få digitalisere alle innbyggere i Norge og hvilke krav de må innfri eller om staten og folkeregisteret skal få en utvidet rolle?
Vil NIF IT bli et 2017 nyord for å dumpe sensitiv og fortrolig informasjon slik andre ord tidligere har oppstått for å søke eller sende penger? Hvor mange flere slike saker må vi få, i verste fall med katastrofalt menneskelig utfall, før it-sikkerhet i stor nok grad settes på agendaen? Ledere, og andre ansvarlige, som har drift med data om kunder, partnere og andre må straks undersøke om de har den nødvendige kontrollen og kompetansen. Og forresten de som ikke har begynt å forberede seg på GDPR har dårlig tid, vi snakkes mer om det!
Les mer om EUs nye personvernregler her: GDPR: De som ikke har stålkontroll på disse 5 tingene, risikerer gigantbøter » (Digi Ekstra)
