Digital sikkerhed i Danmark 2013

Transcription

Digital sikkerhed i Danmark 2013
Digital sikkerhed
i Danmark 2013
Årsrapport fra Rådet for Digital Sikkerhed
Kolofon
DIGITAL SIKKERHED I DANMARK / 2013
Udgivet juni 2013 af Rådet for Digital Sikkerhed som pdf-fil.
Redaktion:
Birgitte Kofod Olsen (ansv.)
Shehzad Ahmad
Steffen Stripp
Bjørn Kassøe Andersen
Bidragydere:
Ivan Damgaard
Lars Stig Jørgensen
Anette Høyrup
Lars Højberg
Layout:
Jette Nielsen, Dansk Metal
Fotos:
Colourbox
Kontakt:
www.digitalsikkerhed.dk
[email protected]
DIGITAL SIKKERHED I DANMARK / 2013
2
Forord
Vi har brug for mange gode kræfter for at sikre tryg
­it-anvendelse i Danmark.
Der ligger et stort potentiale i brugen af digitalisering,
cpr-numre, udnyttelse af big data og cloud computing,
medico udstyr og meget mere. De nye muligher giver også
store udfordringer i forhold til at sikre, at vi som borgere
kan have tillid til de systemer, der opbygges og anvendes.
Det gælder, hvad enten de anvendes i samfundets tjeneste
eller til kommercielle formål.
Med oprettelsen af Rådet for Digital Sikkerhed i slutningen
af 2012 fik vi skabt en stærk aktør, som kan være med
til at løfte denne opgave. Rådet for Digital Sikkerhed er
uafhængigt af politiske og private interesser og har med
sin brede sammensætning af organisationer, myndigheder,
virksomheder og forskere en vidensmæssig robusthed, der
gør det muligt for os kvalificere debatten og at bidrage til
udviklingen af en sund digital kultur.
Vi har i vores første periode brugt kræfter på etablere
en organisatorisk platform. Vi har også udvalgt en række
strategiske indsatsområder, hvor vi mener, at det danske
samfund har udfordringer, der skal håndteres. En væsent­
lig del af Rådets arbejde foregår i en række arbejdsgruppe,
hvor vores medlemmer med deres indgående viden og
erfaring om it-sikkerhed og privatlivsbeskyttelse sætter
mål for vores arbejde og omsætte dem til aktiviteter.
For formandsskabet har det været vigtigt at lægge fun­
damentet til et livskraftigt og robust råd, både når det
gælder vidensopbygning, organisering, medlemstilslut­
ning, administration og økonomi. Vi er i løbet af vores
første generalforsamlingsperiode kommet langt med mål
og vidensopbygning, og vi har formidlet Rådets mål og
synspunkter, både i medierne, via høringssvar til offentlige
myndigheder, konferenceoplæg, deltagelse i møder og
seminarer og på vores hjemmeside.
I det kommende år vil vi fokusere på forsat tilgang af
medlemmer og på at styrke den aktive dialog med vores
interessenter. Vi ønsker også at igangsætte flere udad­
vendte aktiviteter, der kan bidrage til, at vi opfylder vores
ambition om at fremme tryg it-anvendelse i fremtidens
digitale samfund.
Formand
Birgitte Kofod Olsen Næstformand
Shehzad Ahmad
INDSATSOMRÅDER 2013-2015
•
•
•
•
•
•
•
Borgernes sikkerhed
Webfiltrering
Persondataforordningen
Digital autentifikation
Big data og cloud computing
Medico-udstyr
Cyberwar
www.digitalsikkerhed.dk
DIGITAL SIKKERHED I DANMARK / 2013
3
PRIVACY OG SAMFUNDSANSVAR
Første del af 2013 har med fornyet styrke vist omfanget af
de problemer vi står over for i forhold til dataindbrud og
handlen med stjålne data og personidentiteter. Vi har set
hvordan CPR-oplysninger for alle danskeres kørekort er
blevet hacket ved et dataindbrud, som først blev opdaget
længe efter det fandt sted. Samtidig professionaliseres
omsætning af stjålne data, som nu for eksempel kan købes
automatiseret via illegale webshops på samme måde, som
vi kender det fra legale handelsaktiviteter. Problemerne
har nået et niveau, hvor de påvirker vitale samfunds­
interesser.
Danmark satser i disse år markant på øget offentlig digi­
talisering. Folketinget har vedtaget, at 80 % af al relevant
kommunikation med borgerne som udgangspunkt frem­
over skal være digital. Set i det lys er der stort behov for
øget fokus på beskyttelse af vores persondata.
De fleste danskere har tillid til, at både myndigheder og
virksomheder håndterer vores persondata på en sikker
og korrekt måde. Vi værdsætter de fordele og bekvem­
meligheder, som digitaliseringen giver os. Ofte glemmer
vi imidlertid, at privatlivsbeskyttelsen er fundamental og
afgørende i et demokratisk samfund, både som værdi og
princip. Uden respekt for vores privatsfære – hvad enten
vi har rollen som borger eller kunde – risikerer vi en mar­
kant øget generel mistillid. Den vil vise sig både i forhold
til offentlige myndigheder og i form af et mere utrygt
forretningsmiljø. Det åbner også en reel risiko for, at vores
individuelle frihed begrænses.
For danske virksomheder er det oplagt at arbejde med
­privatlivsbeskyttelse som led i deres samfundsansvar.
Effektiv beskyttelse af kundedata bidrager til at opfylde
menneskeretten til privatlivsbeskyttelse. Det grundlæg­
gende princip bør være, at data, der kan henføres til per­
soner, kun meddeles til dem, der faktisk har brug for dem
for at udføre deres arbejde, og at oplysningerne slettes,
når der ikke længere er brug for dem.
Den seneste tids afsløringer har vist, hvor omfattende
overvågning den amerikanske efterretningstjeneste NSA
har mulighed for udføre. På blandt andet den baggrund
må vi forvente, at brugere og forbrugere i fremtiden i langt
højere grad vil efterspørge it-løsninger, der garanterer
persondatabeskyttelse.
Privatlivsbeskyttelse er derfor også ved at blive interessant
ud fra en forretningsmæssig synsvinkel. Der er ved at op­
stå et nyt marked for udvikling og udbredelse af redskaber
og tjenester til privacy by default og privacy by design,
hvor beskyttelsen er bygget ind i it-arkitekturen. Et andet
område, der er på vej frem, er privacy impact assessments, hvor man i forbindelse med etablering af nye syste­
mer analyserer og vurderer, hvordan produkter, løsninger
og procedurer spiller sammen med vores persondata.
Rådet for Digital Sikkerhed arbejder for, at privatlivsbeskyt­
telse og betryggende brug af data tænkes ind som en del
af det samfundsansvar, som både private virksomheder og
offentlige myndigheder har. Det er helt nødvendigt, at vi
holder fast i vores demokratiske værdier som grundlag for
en tryg og effektiv digitaliseringsproces.
Rådet for Digital Sikkerhed har peget på behovet
for en afløser for CPR nummeret og arbejder på
forslag til nye former for digital autentifikation.
www.digitalsikkerhed.dk/formaal/arbejdsgrupper/digital-autentifikation/
DIGITAL SIKKERHED I DANMARK / 2013
4
CPR-NUMRE KAN IKKE BRUGES TIL
­IDENTIFIKATION
Indbruddet i politiets kørekortregister hos CSC har skabt
bred opmærksomhed, omkring et problem, som i mange
år har været velkendt og veldokumenteret: CPR-numre
hverken kan ellerbør bruges til identifikation. Alligevel er
både det offentlige og private virksomheder fortsat med at
benytte løsninger, hvor CPR-numret giver adgang til både
serviceydelser og for eksempel oprettelse af telefonabon­
nementer og låneoptagelse. Det gør det muligt at overtage
en anden persons identitet og er en del af forklaringen på
det øget antal identitetstyverier i Danmark.
Problemet er følgende: Hvis man kender en persons fødsels­
dato og køn, er der teoretisk set kun 270 mulige CPR numre
for den pågældende person. Reelt er der imidlertid endnu
færre: Der fødes i Danmark kun ca. 80 drenge og 80 piger
hver dag. Da CPR-numrene som regel tildeles i rækkefølge,
skal man typisk blot igennem de første numre på listen for at
finde det rigtige. I gennemsnit er 40 gæt altså nok, hvis man i
forvejen kender køn og fødselsdag. Det er oplysninger, som er
nemme at finde for offentlige personer eller via de oplysnin­
ger, som mange mennesker selv offentliggør på nettet.
Mange af de myndigheder og virksomheder, som benytter
CPR til identifikation i deres webtjenester, tillader et større
eller mindre antal fejlindtastninger, og de meddeler når
det indtastede nummer er forkert. Dermed kan den som
vil gætte et personnummer blot fortsætte med at gætte,
indtil det rigtige nummer er fundet. Det kan gøres ma­
nuelt, eller det kan automatiseres med simpel program­
mering. Yderligere er CPR-numre i stort omfang allerede
lækket og gjort tilgængelig på nettet, enten via datatyveri
eller ved at personer, som ikke er klar over problematik­
ken, for eksempel har offentliggjort deres CV på nettet
inklusive deres CPR-nummer.
Uanset hvad vi stiller op, kan en persons CPR-nummer ikke
betragtes som hemmeligt. Man kan sammenligne det med
et journalnummer eller et telefonnummer, og både bor­
gere, myndigheder og virksomheder skal lære at betragte
det som en nemt tilgængelig og ikke-hemmelig oplysning.
Det offentlige og private virksomheder skal stoppe med
at benytte CPR-nummeret som identifikation, og det er
et politisk ansvar at få dette til at ske. Når en kunde eller
bruger logger ind, skal identifikationen i stedet ske via for
eksempel et kundenummer eller brugernavn, som ikke er
koblet til CPR-nummeret.
En mere sikker identifikation kan ske via NemID, eller via
personligt fremmøde kombineret med identitetsbevis
og underskrift. I forhold til NemID er der imidlertid også
problemer, idet CPR-nummeret her fortsat accepteres som
brugernavn. I virkeligheden har private virksomheder som
regel slet ikke brug for at kende et CPR-nummer. Deres
egentlige behov er typisk at verificere en adresse, en per­
sons alder eller at personen faktisk er den vedkommende
giver sig ud for at være.
Det er helt nødvendigt, at det offentlige og politikerne
nu kommer på forkant i forhold til denne problematik.
Vi har hårdt brug for et system til identifikation, der er
uafhængigt af CPR-nummeret, og som giver virksomhe­
derne adgang til de personoplysninger, de reelt har brug
for, uden at det involvere alle mulige andre former for
personlige data. Fremtidens løsninger på dette område
skal inkludere brug af kryptering, adskillelse af identifikati­
on og autentifikation, at borgere kan have flere forskellige
ikke-forbundne brugerprofiler, og at borgere får mulighed
for selv at opbevare egne persondata. Rådet for Digital
Sikkerhed arbejder på en række anbefalinger til brugere og
virksomheder omkring disse forhold.
Arbejdsgruppen består af:
• Ivan Damgård (Aarhus Universitet)
• Jørn Guldberg (IDA-IT)
• Jakob Pagter (Alexandra Instituttet A/S)
• Henning Mortensen (DI-Itek)
• Henrik Biering (Peercraft)
DIGITAL SIKKERHED I DANMARK / 2013
5
CYBERSIKKERHED
Det stigende omfang af cyberkriminelle aktiviteter gør os
sårbare. Det øger behovet for effektive it-strukturer og
institutioner, der både fokuser på it-sikkerhed og på privat­
livsbeskyttelse. Det er en væsentlig forudsætning for at vi
som borgere kan få adgang til et cyberspace, vi har tillid til.
Digitalisering og cybersikkerhed skal derfor respektere
­vores grundlæggende rettigheder til privatliv, persondata­
beskyttelse og ytringsfrihed, og samtidig sikre tilgænge­
lighed til tjenester, der er vigtige for vores hverdag.
Et nyt EU direktivforslag vil gøre det obligatorisk for med­
lemslandene at oprette en national sikkerhedsmyndighed,
der har ansvar for netværks- og informationssikkerhed
(NIS), og også at sikre en effektiv national CERT (Computer
Emergency Response Team). Derudover skal medlemslan­
dene udarbejde en national NIS-strategi med analyser af
de risici, vi står overfor.
Rådet for Digital Sikkerhed har i et høringsvar til direktiv­
forslaget opfordret til, at en sådan analyse medtager en
kortlægning og definition af samfundets kritiske infrastruk­
tur. Der er i dag et kompliceret samspil mellem forskellige
typer af infrastrukturer, både kritiske og almindelige, hvor
netop den gensidige afhængighed betyder, at det vi be­
tragter som ”almindelig”, faktisk ofte er ”kritisk”.
Rådet for Digital Sikkerhed støtter opbygningen af en myn­
dighedsstruktur, der adskiller det civile beredskab fra den
nationale sikkerhedsmyndighed. Rådet mener, at der skal
være en klar adskillelse mellem de civile og de militære/
efterretningsmæssige opgaver.
EU har også fremlagt forslag til en Cyber Security Strategy,
der har raising awareness som et indsatsområde. Målet
er at borgerne bliver bedre til at vurdere deres risiko, når
de færdes i cyberspace. Rådet for Digital Sikkerhed har i
denne sammenhæng understreget behovet for en øget
indsats, og argumenteret for at opgaven med fordel kan
placeres hos den nationale CERT.
Rådet for Digital Sikkerhed er i dialog med
DKCERT, GOV-CERT og Center for Cybersikkerhed
om sikkerhed og overvågning på internettet.
FORSVAR I CYBERSPACE
Forsvarsminister Nick Hækkerup fortalte på Dansk IT’s
sikkerhedskonference i januar 2013, at det danske militær
nu arbejder med en ny dimension i forsvaret. Hidtil har
forsvaret arbejdet på land, til vands og i luften. Nu er også
cyberspace involveret. Regeringen har sat handling bag
ordene. Med det seneste forsvarsforlig er oprettet et nyt
dansk it-sikkerhedscenter, Computer Network Operations,
som skal styrke forsvarets defensive og offensive opera­
tioner i cyberspace.
Den danske oprustning til cyberwar er ikke et isoleret
­fænomen. Den følger en global udvikling, og noget lignen­
de foregår i øjeblikket hos NATO og i USA, Kina, Nordkorea
og formentlig i alle lande. Man må spørge, om denne
oprustning kan sammenlignes med starten på atom­våbenoprustningen, og om vi faktisk har travlt med at finde veje
til at regulere og mindske cyberwar-oprustningen?
Cyberwar handler om, at stater udfører eller støtter
indtrængen eller anden aktivitet, som påvirker en anden
stats computere eller netværk med henblik på at udøve en
skadevirkning.
Høringssvar vedr. EU’s Cyber Security Strategy: www.digitalsikkerhed.dk/nyheder/nyhederfraraadet/nyhed/article/152/
DIGITAL SIKKERHED I DANMARK / 2013
6
Umiddelbart kan der tænkes på DDOS-angreb, hvor
adgang til bestemte websider hindres, eventuelt i kombi­
nation med at websiderne ændres. Sådanne angreb kan
og bliver på nuværende tidspunkt gennemført af enkelt­
personer og grupper. Men det er ubetydeligheder i forhold
til de skader, der kan forvoldes, når en stat involverer sig i
udviklingen af cybervåben og udførelse af angreb.
Stuxnet, som blev udviklet til angreb i Iran for at ramme
landets atom-industri, gav et lille kig ind i de mulige trusler.
Det var et dedikeret ondsindet programmel, som gik direkte
efter at påvirke bestemte industrielle processer. Efterfølgende
analyser har vist, at der har ligget en kompleks og omfattende
indsats bag udviklingen af Stuxnet. Det har krævet meget
detaljeret indsigt i de computersystemer, som skulle angribes,
og meget store udviklings- og programmeringsresurser.
Cybervåben kan være rettet mod at ramme fjendens militære
kapacitet. De kan også være rettet mod samfundets grund­
læggende infrastruktur, herunder el, vand, varme, sundheds­
sektoren og den finansielle sektor. Et problem er, hvordan
man kan afgrænse cyberangreb til at være rettet mod militæ­
re mål. Konsekvenserne synes uundgåeligt at ramme bredt i
civilbefolkningen. Et forudsigeligt scenario er, at et cyberan­
greb i fremtiden kan få meget alvorlige konsekvenser i form
af ødelagte samfund og døde og tilskadekomne personer.
Krig har regler som er fastlagt i internationale konventio­
ner. Det er ikke klart, i hvilket omfang disse konventioner
også omfatter cybervåben. Aktuelt ser vi en tendens til,
at stater benytter cyberwar, uden der er krig. Forløbet
omkring Stuxnet er blevet anført som eksempel på dette,
og USA har fremført at der udført cyberangreb med med
opbakning fra Kina. Måske kræver cyberwar nye internati­
onale regler. Biologiske og kemiske våben er ikke tilladt, og
der er regler for angreb mod civilbefolkningen. Har vi nu
brug for tilsvarende internationale regler for anvendelse
cybervåben og iværksættelse af cyberangreb? Et særligt
påtrængende spørgsmål er, om det, som kaldes ’hvilende
skadelig kode’, også hører til på listen over cybervåben.
Oprustningen er i gang, og det er på tide, at offentlighe­
den involveres i en debat. Rådet for Digital Sikkerhed vil i
denne sammenhæng bidrage med viden og debatindlæg
om national og international regulering af udvikling og
anvendelse af cybervåben.
Arbejdsgruppe består af:
•
•
•
•
•
Birgitte Kofod Olsen (Tryg)
Shehzad Ahmad (DKCERT)
Steffen Stripp (PROSA)
Henning Mortensen (DI ITEK)
Lars Højberg (TDC)
EU-FORSLAG TIL NY PERSONDATA­
FORORDNING
Der er brug for øget beskyttelse af vores persondata, og
nye regler fra EU er på vej i form af en persondataforord­
ning. De nye fælles EU-regler får direkte relevans i forhold
til, hvordan myndigheder og virksomheder fremover skal
forholde sig ved databrud, for eksempel det meget om­
fattende indbrud i politiets kørekortregister hos CSC, som
blev offentligt kendt i juni 2013.
I takt med den massive vækst i indsamling og brug af per­
sonlige oplysninger – både i offentligt og privat regi – ud­
fordres datasikkerheden, og det aktualiserer behovet for,
at borgerne i højere grad får kontrol over egne oplysnin­
ger. Samtidig vokser myndighedernes opgave med at føre
tilsyn med området. Rådet for Digital Sikkerhed finder det
derfor positivt, at specielt disse områder har EU-Kommis­
sionens fokus i det forslag til en ny persondataforordning,
som blev fremsat 25. januar 2012.
DIGITAL SIKKERHED I DANMARK / 2013
7
EU-Kommissionen foreslår, at der indføres et princip om at
indbygge databeskyttelse i it-løsningerne fra start (”Privacy
by Design”), og at virksomheder, som udfører risikofyldt
databehandling, skal foretage konsekvensanalyser om
databeskyttelse (”Privacy Assessments”). Forslaget omfatter
også en pligt til uden unødig forsinkelse at underrette både
databeskyttelsesmyndighederne og de berørte fysiske perso­
ner om brud på datasikkerheden, og der er krav om, at visse
virksomheder skal udpege en databeskyttelsesansvarlig.
For den enkelte borger vil EU-Kommissionens forslag give
øget kontrol over egne oplysninger. Det sker via skærpede
reglerne om information, samtykke og indsigt i egne op­
lysninger. Der indføres også en ”ret til at blive glemt”, som
i praksis er en udvidet sletteadgang og en ret til ”datapor­
tabilitet”, dvs. adgang til at man som borger kan vælge at
flytte data fra én tjenesteudbyder til en anden. Forslaget
indeholder også særregler for børn, fordi de ofte er min­
dre bevidste end voksne om risici, konsekvenser, garantier
og rettigheder, når det gælder personoplysninger.
Forslaget indebærer, at de nationale databeskyttelsesmyn­
digheder får større uafhængighed og flere beføjelser. Det
sker blandt andet ved at give dem adgang til at pålægge
virksomheder store bøder på op til 2 % af virksomhedens
samlede årlige omsætning. Samarbejdet mellem databe­
skyttelsesmyndighederne på tværs af EU udvides, og den
såkaldte ”Artikel 29-dataekspertgruppe” opgraderes til et
databeskyttelsesråd på EU-niveau for at styrke en ensartet
håndhævelse af forordningen.
Vedtagelsen af den nye forordning trækker ud, selv om
emnet har været en topprioritet under det irske formand­
skab. Indholdet diskuteres stadigt heftigt internt og med
stakeholders i Kommissionen og Parlamentet, så det er
uklart, hvornår reglerne – og med hvilket indhold – bliver
en realitet. Samtidig diskuteres, om forslaget i stedet skal
udmøntes i et direktiv og dermed i stedet implementeres
nationalt af de enkelte landes regeringer. Beslutningen
om dette er blevet udskudt af Rådet til september 2013.
Den danske regering ønsker at sikre den danske offentlige
sektor mest mulig fleksibilitet, og har derfor argumenteret
imod, at forslaget vedtages som en forordning.
Rådet for Digital Sikkerhed følger tilblivelsen af person­
dataforordningen og formidler viden om, hvordan de nye
regler kommer til at påvirke persondatabeskyttelse og tryg
it anvendelse.
Arbejdsgruppen består af:
• Henning Mortensen (DI ITEK)
• Anette Høyrup (Forbrugerrådet)
• Rikke Frank Jørgensen (Institut for
­Menneskerettigheder)
MEDICO-TEKNISK UDSTYR OG
­INFORMATIONSSIKKERHED
Medico-teknisk udstyr er indbygget i de apparater, vi
møder, når vi behandles på sygehusene og hos lægen. Det
gælder for eksempel røntgenscannere, blodtryksmålere og
analyseapparater til blodprøver.
Mange af disse apparater er koblet op på it-netværk, og
de opsamler og lagrer personhenførbare oplysninger.
Efterfølgende lagres resultaterne ofte i de it-systemer, der
understøtter patientbehandlingen.
Rådet for Digital Sikkerhed har sat fokus på sikkerheden i
medico-teknisk udstyr gennem dialog med leverandører
og brugere af udstyret. Vores mål er at afdække de udfor­
dringer, der knytter sig til beskyttelse af data og udstyr.
DIGITAL SIKKERHED I DANMARK / 2013
8
Vi har blandt andet identificeret følgende sikkerhedsmæs­
sige aspekter:
• R
isiko for spredning af skadelig software (vira,
orme m.v.). Dette hænger sammen med, at
­udstyret placeres på interne netværk. I nogle tilfælde kan operativsystemer og tredjeparts-­software
på udstyret ikke opdateres, i andre ti
­ lfælde har
producenten fastsat, at anti-virus software ikke
må installeres eller opdateres.
• Der lagres personhenførbare informationer
på ­udstyret. Der kan være problemer i forhold
til brugerautentifikation, autorisation,
data­­­­be­skyttelse m.v.
• Informationer opsamlet og lagret på medico-­
teknisk udstyr overføres til organisationens
­it-systemer. Der kan være problemer i forhold
de procedurer, som anvendes.
• Leverandører udfører fjernsupport på udstyret
via netadgang eller på stedet med brug af USBsticks. Dette kan indebære sikkerhedsrisici.
Vi undersøger emnet fra to vinkler. Den ene er en analyse
af de lovkrav, som gælder på persondataområdet og de
kvalitetskrav, der stilles til produktion af medico-teknisk
udstyr (herunder 93/42 EEC Medical Device Directive, ISO
13485:2000 og FDA/21 CFR 820). Spørgsmålet er, om det
er muligt at overholde alle disse krav, som de foreligger,
eller om sikring af udstyret vanskeliggøres på grund af
lovgivningskravenes forskellige udgangspunkter? Hvis det
sidste er tilfældet, vil vi indgå i dialog med lovgiverne for
at sikre harmonisering af kravene.
Den anden vinkel tager udgangspunkt i de organisatoriske
og tekniske forhold hos leverandør og kunde. Her arbejder
vi blandt med følgende muligheder:
• Inddragelse af sikkerhedsfolk og it-driftsorgani­
sationen tidligt nok i indkøbsprocessen, både
hos leverandør og kunde.
• Anvendelse af netværkssegmentering mellem
medico-teknisk udstyr og it-netværket.
• Anvendelse af protokoller og kryptering på
netværket.
• Trusselsbilledet er ikke statisk, og nye risikosce­
narier skal løbende vurderes i forhold til eksisterende installationer.
• Gennemførsel af risikovurderinger.
Rådet for Digital Sikkerhed har oplevet en god og kon­
struktiv debat med og mellem leverandører og bruger­
organisationer. Vi vil på et senere tidspunkt dokumentere
og formidle vores konklusioner på digitalsikkerhed.dk.
Arbejdsgruppen består af:
• Lars Stig Jørgensen (Region Sjælland)
• Henning Mortensen (DI ITEK)
• Jørn Guldberg (IDA-IT)
WEBFILTRERING
Børnepornografi er ifølge straffeloven og internationale
konventioner ulovligt, og det er ødelæggende for børns
psykiske og sociale udvikling. Ikke desto mindre er billeder
af seksuelle overgreb på børn relativt nemt tilgængelige
på nettet, og de spredes via almindeligt udbredte digitale
tjenester.
DIGITAL SIKKERHED I DANMARK / 2013
9
Som situationen er i dag, giver internettet og den digitale
teknologis udvikling mulighed for at producere, tilgå og
distribuere børnepornografi jorden rundt med få tastetryk.
Børnepornografi kan tilgås via stort set alle former for
internetteknologi, herunder websider, mail, instant mes­
saging, internet relay chat, peer2peer netværk og sociale
netværk.
Både staten og virksomheder har et ansvar for, at børn
beskyttes mod seksuelle overgreb og mod at blive udnyt­
tet pornografisk. Mængden af tilgængelig børneporno er
imidlertid stigende, og det viser, at der er et øget behov
for beskyttelse af børnene. En måde at beskytte børnene
på er at vanskeliggøre udbredelsen af børnepornografi, for
på den måde at nedsætte de økonomiske incitamenter og
samtidig gøre det mere risikofyldt for bagmændene.
En af metoderne til at forhindre spredning af børnepor­
nografi er webfiltrering. Brugen af webfiltrering rejser
imidlertid et dilemma. Det er velkendt at metoden kan be­
grænse adgangen til lovligt materiale, og dermed kommer
til at gribe ind i borgernes ytrings- og informationsfrihed.
Bekæmpelse af børnepornografi kræver en indsats fra alle
dele af samfundet. Der er brug for både politiske, juridiske
og tekniske vinkler, så vi får blik for de dilemmaer, som
en indsats afstedkommer. Rådet for Digital Sikkerhed vil
bidrage til debatten om egnede redskaber og komme med
konkrete forslag til, hvordan børnepornografi imødegås
mest effektivt.
I 2012 modtog Red Barnets hotline 3013 anmeldelser - mod 2385 i 2011. 98 procent af
anmeldelserne drejer sig om hjemmesider, resten
fordeler sig blandt andet på peer2peer netværk,
nyhedsgrupper og chat. Red Barnet vurderer, at
næsten 25 procent af anmeldelserne handlede
om hjemmesider med ulovligt indhold, som der
ikke tidligere havde været kendskab til. Det svarer
til næsten 14 nye hjemmesider om ugen i 2012
(kilde: Red Barnet, Årsberetning 2012).
Arbejdsgruppen består af:
• Lars Højberg (TDC)
• Tom Engly (Tryg)
• Lars Underbjerg (tidligere NITEC,
nu Telenor Broadcast)
• Kuno Sørensen (Red Barnet)
BORGERNES DIGITALE SIKKERHED
– AKTUELLE UDFORDRINGER
En kvinde i Frederikssund modtager en mail fra Skat med
besked om, at hun skal have penge tilbage. Hun udfylder
det skema, der linkes til, med navn og kontooplysninger.
Nogle dage senere beder hendes bank hende bekræfte, at
hun ønsker at overføre 2.000 euro til en konto i udlandet.
Historien, der stod i Lokalavisen den 15. marts 2013,
er et godt eksempel på en af de it-sikkerhedsmæssige
udfordringer, danske borgere står overfor. Med såkaldt
phishing forsøger svindlere at franarre borgerne fortro­
lige oplysninger. Ofrene ledes til forfalskede websiderne
via e-mails med forfalskede afsenderoplysninger. Derfor
er der brug for, at borgerne bliver bedre til at genkende
phishing-mails, når de modtager dem.
En anden væsentlig udfordring ligger i at holde software
på brugernes pc’er og andre enheder opdateret. Mange
softwareudbydere indbygger metoder til automatisk op­
datering. Alligevel kører mange brugere videre med foræl­
dede versioner af programmer og styresystemer.
Når der er sårbar software på en pc, risikerer brugeren at
blive offer for såkaldte drive-by downloads. Det vil sige,
at når borgeren besøger et websted, bliver der installeret
skadelige programmer på pc’en, uden at brugeren opdager
det. Webstedet kan være et legitimt websted, der er over­
taget af kriminelle. De har installeret et såkaldt exploit kit,
DIGITAL SIKKERHED I DANMARK / 2013
10
der automatisk afprøver en række kendte sårbarheder
på de pc’er, der besøger webstedet, og som udnytter de
huller, det finder.
Smartphones, tavlecomputere og andre bærbare enhe­
der stiller nye krav til sikkerheden. De mobile enheder er
med os overalt. Dermed er risikoen for, at de bliver tabt
eller stjålet langt højere. Så borgerne må lære at beskytte
sig mod datatab. Hvis telefonen forsvinder, er det vigtigt,
at borgerens data ikke forsvinder sammen med den. Og
det er en fordel, hvis man også kan forhindre tyven i at få
adgang til data på enheden.
Bærbare enheder og de tilhørende datatjenester, der
oftest har form af såkaldte cloud-løsninger, indebærer
også udfordringer for beskyttelsen af persondata. Her skal
borgerne lære at tage stilling til, hvilke data de er villige til
at dele – og for hvilken pris.
Rådet for Digital Sikkerhed arbejder for at forbedre it-­
sikkerheden for landets borgere. Det er nødvendigt, fordi
en stadig større del af vores liv leves digitalt. Dermed
bliver der flere data, der skal beskyttes. Første skridt vi har
taget er udarbejdelsen af de ”10 tips til din digitale sikker­
hed”, som er beskrevet i det følgende.
Arbejdsgruppen består af:
• Shehzad Ahmad (DKCERT)
• Jesper B. Hansen (ESL-foreningen)
• Lars Stig Jørgensen (Region Sjælland)
• Mette Nikander (C-Cure)
• Anette Høyrup (Forbrugerrådet)
• Ivan Damgård (Århus Universitet)
• Claus Noer Hjorth (Medierådet for
Børn og Unge)
• Christian Wernberg-Tougaard (IT-Branchen)
• Niels Christian Juul (Roskilde Universitet)
10 TIPS TIL DIN DIGITALE SIKKERHED
Der har gennem tiden været en del forskellige udgaver
af ”10 gode råd” om it-sikkerhed til de danske borge­
re. ­Rådene har ændret sig i takt med den teknologiske
udvikling, men mange af dem er fortsat de samme. Rådet
for Digital Sikkerhed har valgt at påtage sig opgaven med
at samle og formidle hvad vi nu kalder for ”10 tips til din
digitale sikkerhed”. Mens man som fagperson eller læser
af denne årsrapport nok kender dem alle, har det fortsat
betydning, at opdateret og autoritativ information af den­
ne type er nemt tilgængelig og kan bruges i informationsog undervisningssammenhænge.
Rådet for Digital Sikkerhed ser de aktuelle ”10 tips” som
et første skridt i retning af en mere omfattende kam­
pagneindsats, som vi ønsker igangsætte. Vi er i denne
sammenhæng åbne for samarbejde med andre aktører
og sonderer aktuelt muligheden for at fremskaffe finansie­
ring. Vi mener, at der er stort behov for både at adressere
offentligheden generelt og i høj grad også en målrettet
indsats i forhold til uddannelsessektoren, hvor it-sikkerhed
og privatlivsbeskyttelse bør være emner, som alle modta­
ger undervisning i.
Vi er opmærksomme på, at det allerede nu er vanskeligt
at udforme en simpel 10-punkts liste, som er relevant
for alle. Der vil fremover være brug for, at anbefalinger
vedrørende digital sikkerhed i højere grad segmenteres,
både i forhold til målgrupper, færdighedsniveau og hvilke
enheder, brugeren benytter.
DIGITAL SIKKERHED I DANMARK / 2013
11
Vores aktuelle 10 tips fremgår af boksen her på siden,
og de er tilgængelige i en mere detaljeret version på
www.digitalsikkerhed.dk.
1.Beskyt dig mod skadelige programmer
med et antivirusprogram
2. Hold dine enheder opdateret
3.Undgå skadelige downloads når du
besøger hjemmesider
4.Pas på når nogen uopfordret sender
dig e-mail
5. Brug gode passwords
6. Tag sikkerhedskopier af dine data
7. Beskyt dine persondata
8. Pas på flytbare medier
9. Undgå åbne trådløse netværk
10.Brug din sunde fornuft – og bed om
hjælp hvis du er i tvivl
RÅDET FOR DIGITAL SIKKERHED I DEN
­OFFENTLIGE DEBAT
Rådet for Digital Sikkerhed har siden oprettelsen i novem­
ber 2012 markeret sig i den offentlige debat om tryg it
anvendelse.
Rådet har på nuværende tidspunkt 44 medlemmer, herun­
der næsten alle relevante interesseorganisationer samt en
række offentlige organisationer, virksomheder og forskere.
Status over periodens aktiviteter:
• Abonnenter på elektronisk nyhedsbrev: ca. 200
• Abonnenter på pressemeddelelser: ca. 300
• Pressemeddelelser (nov. 2012 – juni 2013): 3
• Interviews/medieomtaler (nov. 2012 – juni 2013): ca. 40
• Høringssvar (nov. 2012 – juni 2013): 4
• Konferenceoplæg (nov. 2012 – juni 2013): 2
ØKONOMISK STATUS
Rådets regnskabsår følger kalenderåret og blev økonomisk
etableret 1. januar 2013.
Det blev ved den stiftende generalforsamling besluttet, at
der skulle opkræves et kontingent for 7 måneder for perio­
den frem til 1. juli 2013. Nyt kontingent vil blive opkrævet i
juli måned for perioden 1. juli 2013 til 30. juni 2014.
Der er indbetalt kontingent fra 43 medlemmer, i alt 119
tkr. TDC og Ældresagen har valgt at støtte Rådet med eks­
tra frivillige bidrag på i alt 64 tkr. Endvidere er modtaget
27 tkr. fra det nu nedlagte Rådet For Større IT-Sikkerhed,
som var med til at stifte Rådet. Vi takker for disse bidrag.
De samlede indtægter udgør 210 tkr.
Rådet har frem til 15. juni 2013 haft udgifter til sekretari­
atsbistand i forbindelse med afholdelse af den stiftende
generalforsamling, etablering af foreningen formelt og
administrativt og oprettelse af hjemmesiden. Dernæst har
Rådet haft udgifter til sekretariatsfunktioner samt bistand
til kommunikation, som omfatter blandt andet pressemed­
delelser, etablering af nyhedsbrev, indhold på hjemmeside
og udarbejdelse af høringssvar. De samlede udgifter udgør
167 tkr.
Det kan heraf beregnes, at Rådets formue med udgangen
af pr. 15. juni 2013 er 43 tkr.
Kasserer i Rådet for Digital Sikkerhed er Steffen Stripp
DIGITAL SIKKERHED I DANMARK / 2013
12