Aron Friðrik Georgsson skrifar:

Ef fyrirtæki þarf að geyma mikið magn upplýsinga sem þurfa að vera aðgengilegar víða nota þau flest skýjalausnir. Þær eru handhægar og geta minnkað kostnað og þörf á tækniþekkingu fyrir fyrirtæki. Skýjalausnir eru þó aldrei annað en tölvur hjá öðrum aðilum og því er mikilvægt að þeir aðilar fari vel með gögnin og gæti að öryggi sinna vefþjóna.

18. febrúar sl. greindi Computer Sweden frá því að 1177 Vårdguiden sem er innhringiþjónusta og upplýsingasíða fyrir sænska heilbrigðiskerfið, hefði óvart geymt 2,7 milljónir upptaka á opnum vefþjóni án nokkurar dulkóðunar. Upptökurnar eru símtöl sænskra notenda frá árinu 2013 til dagsins í dag og voru þær geymdar á mp3 og wav skráarformi sem hægt er að spila í öllum tölvum án vandræða.

Símtölin eru eins og gefur að skilja, mjög viðkvæmar upplýsingar og margar af þeim sennilega þær viðkvæmustu sem í boði eru. Fólk í Svíþjóð hringir í 1177 til þess að fá ráð frá hjúkrunarfræðingum sem svo leiðbeina fólki hvað sé best að gera og hvert eigi að snúa sér ef vandamálið krefst frekari kunnáttu. 1177 veitir ráðgjöf í öllu sem tengist heilsu allt frá hálsbólgu til geðheilsu. Á upptökunum eru upplýsingar um kennitölur, lyfjagjafir og marga aðra afar viðkvæma þætti sem snerta heilsu fólks. Ljóst er að enginn vill að slíkar upplýsingar leki út

Hvernig gerist svona leki? 1177 höfðu úthýst geymslu á þessum upptökum til þriðja aðila sem heitir Medicall, sem er skráð í Tælandi en eigendur eru sænskir. Ekkert lykilorð þurfti til þess að nálgast upptökurnar og voru samskiptin ekki dulkóðuð. Þarna er ljóst að verkferli voru ófullnægjandi og vart til staðar.

Til þess að koma í veg fyrir svona mál er góð regla að stunda aðeins viðskipti við fyrirtæki sem hafa gott orðspor og eru vottuð af þriðja aðila. Stjórnkerfi sem hafa verið vottuð gagnvart staðlinum ISO 27001 segja viðskiptavinum að fyrirtæki hugi að öryggi upplýsinga. Verkferli og verklag eru skilgreind, stjórnkerfi upplýsingaöryggis reglulega prófað og unnið að umbótum þegar á þarf að halda. Einnig er framkvæmt áhættumat á öllum upplýsingaeignum og áhættumeðferðir búnar til ef áhættan þykir of mikil.

Fullkomið öryggi er ekki til en hlíting við öryggisstaðla er margfalt betri en ekkert öryggi eins og í tilviki 1177 og Medicall. Þetta mál er góð áminning um að aldrei er of varlega farið með persónuupplýsingar og viðkvæm gögn.

Höfundur er viðskiptafræðingur og ráðgjafi í upplýsingaöryggismálum hjá Stika ehf. aron@stiki.eu

Þessi grein birtist fyrst í Morgunblaðinu 23. feb. 2019