IT

– På sikkerheten løs

Leif Hamnes
15. jan. 2010 - 10:22
Vis mer

Generalsekretær Per Morten Hoff i IKT-Norge var raskt ute da den rødgrønne regjeringen la fram sitt høringsdokument om den betente saken sist fredag (se fakta).

– Kundene får til syvende og sist regningen for at staten skal kunne overvåke dem. Det er nådeløs frekkhet fra regjeringens side, tordnet Hoff.

Ingen bønn

Selv om regjeringen i det 60 sider lange dokumentet ikke tar stilling til om direktivet skal bli en del av norsk lov, gjøres noen premisser klare allerede nå:

  • Alle kommersielle aktører omfattes, og får selv ansvar for å velge – og finansiere – sin lagringsløsning.
  • Lokaliseringsdata fra mobile bakkestasjoner skal med.
  • Alle data lagres like lenge (mellom 6 og 24 måneder).

Rammer de små

Per Morten Hoff mener særlig små telekom-utfordrere får en urimelig tilleggskostnad.

– Det må bygges opp separate systemer for dette. Disse er kostbare, og for spesielt de mindre aktørene blir dette konkurransehemmende. Vil disse systemene da bli sikre nok, i en presset økonomisk situasjon? spør Hoff.

Erfaringer fra kontinentet tyder på at svaret er «nei».

Under den nordiske sikkerhetskonferansen NordSec i oktober ble det uttrykt bekymring fra flere av deltakerne, som spant fra multinasjonale IT- og telekomaktører til EU-kommisjonen.

Vage regler

– Mitt inntrykk fra deltakerne var at flere land opplever at operatørene har økonomisk interesse av å vanne ut kravene til sikring og adgangskontroll til dataene, sier Åsmund Skomedal, direktør for IT-forskningen ved Norsk Regnesentral (NR).

Skomedals avdeling samarbeider for tiden med blant andre Difi om spørsmål rundt identitetsforvaltning og tilgangskontroll i offentlige elektroniske tjenester.

– Mange av de samme problemstillingene gjelder for datalagring. Nødvendig sikkerhet krever at løsningene er gjennomtenkt, godt planlagt, og bygd til sitt formål fra bunnen av, sier Skomedal.

- Kakeboks for ID-tyver

Men trenger vi være så redde for at disse dataene skal havne i uvedkommendes hender?

Definitivt ja, mener Datatilsynets informasjonsdirektør Ove Skåra.

Les også: Datalogger: En honningkrukke for kriminelle

– Opplysninger om hvem du ringer til, eller på andre vis kommuniserer med, hvor ofte og hvor lenge, er av stor interesse for ID-tyver, utpressere og industrispioner, for å nevne noen, sier Skåra.

Det vil bli bortimot umulig å kontrollere at sikkerheten er god nok, mener han.

– Vi snakker om hundrevis av aktører som skal lagre disse dataene, men hvor ikke alle er like seriøse. Vi er bare 35 ansatte her, sier Skåra.



Ingen tekniske krav

Dagens regelverk er hva man kaller «funksjonsbeskrevet», forklarer seksjonssjef Fredrik Knudsen i Post- og teletilsynet.

– Det er ingen spesifikke krav til eksempelvis kryptering eller tilgangsstyring, men målkrav om å sørge for at uvedkommende ikke får tilgang, sier Knudsen.

Dette er imidlertid også de mest fornuftige, mener han.

– Ekom-tilbyderne har selv de beste forutsetningene til å velge sikringstiltak, uten detaljerte pålegg fra oss, sier Knudsen.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.