Når Digitaliseringsstyrelsens kontrakt med Nets udløber til næste år, så skal virksomheden ikke længere have monopol på infrastrukturelle knudepunkter som Dankorttransaktioner og NemID. Det mener både Venstre, Konservative og Dansk Folkeparti ifølge Berlingske.
Det er den seneste tids afsløringer i sagen om Nets-medarbejderes ukontrollerede adgang til borgeres betalings-oplysninger, der har fået oppositionspartierne til at reagerer. Men ifølge Michael Aastrup Jensen, der er it-ordfører for Venstre, vaklede korthuset alvorligt i forvejen.
»Den seneste tids episoder er dråben, der har fået bægeret til at flyde over. Med de krav, som vi stiller til oppetid, og hvor nødvendigt det er for virksomheder og private borgere at kunne logge på NemID hele tiden, er det essentielt, at der er 100 procents oppetid, og at det er så sikkert som muligt. Der har Nets fejlet på de her faktorer i så høj en grad, at jeg ikke kan forsvare, at vi skal fortsætte, som om intet var hændt, når vi kommer i en ny udbudsrunde,« siger Michael Aastrup Jensen til Berlingske.
Ifølge de tre partier vil den brudte monopol gøre sikkerhed til et konkurrence-parameter, så borgerne kan vælge den sikreste løsning, der er tilgængelig.
Venstre byder også ind med en række forslag til en opgradering af den generelle sikkerhed, som man opfordrer regeringen til at gå i dialog med erhvervslivet om.
Blandt forslagene fra Venstre er flere ressourcer til Datatilsynet, krav om sikkerhedsgodkendelse af medarbejdere med adgang til følsomme data og pseudonymisering af følsomme data.
Du kan læse resten af Venstres forslag i pressemeddelelsen for neden.
Venstre: Behov for opgradering af datasikkerhed
Venstres IT-ordfører Michael Aastrup Jensen foreslår en række nye initiativer, der skal styrke sikkerheden omkring vores følsomme persondata. Initiativerne kommer efter en stribe af sager, herunder Se & Hør-sagen, hvor personfølsomme oplysninger er blevet lækket eller hacket.
- Vi må konstatere, at sikkerheden omkring vores personfølsomme data er helt utilstrækkelig. Der er behov for at revidere de nuværende regler og se på, hvordan vi kan øge datasikkerheden til et niveau, der modsvarer trusselsbilledet. Det er aldeles uacceptabelt, at personfølsomme oplysninger uden videre kan tilgå et ugeblad gennem en længere årrække uden, at nogen opdager det eller griber ind, siger Michael Aastrup Jensen.
Han opfordrer regeringen og erhvervslivet til gå i dialog om initiativerne for at styrke datasikkerheden. Blandt forslagene er højere sikkerhedskrav til de medarbejdere, der har adgang til de følsomme oplysninger, bedre sikkerhedsprocedurer og adskillelse af data for at sikre, at én person ikke sidder med adgang til samtlige data.
- De mange sager tegner et billede af, at sikkerheden langt fra har været god nok. Der er behov for at stramme op, siger Michael Aastrup Jensen.
Desuden peger han på højere strafferammer – både til dem, der lækker oplysninger og hacker systemerne, og til de virksomheder, der ikke lever op til sikkerhedskravene.
- Vi er som samfund nødt til at slå fast med syvtommersøm, at det er uacceptabelt at lække oplysninger og slække på sikkerheden. Gør man det, skal det have alvorlige konsekvenser, siger Michael Aastrup Jensen.
Styrket datasikkerhed med nye initiativer:
· Krav om sikkerhedsgodkendelse af medarbejdere, som har adgang meget følsomme data.
· Pseudonymisering af følsomme data. Ved at skille de oplysninger, der kan identificere ejeren, ud fra øvrige oplysninger er det muligt at styrke datasikkerheden.
· Rollebaseret adgang til følsomme data, så ingen kan se det hele. Der bør mindst være to personer med adgang til hvert sit system for at finde ud af, hvem oplysningerne knytter sig til.
· Rotation af medarbejdere skal sikre, at den samme medarbejder ikke vedvarende har adgang til de samme oplysninger.
· Automatisk advarsel ved uregelmæssigheder, så de tilsynsførende orienteres, hvis en bruger udviser uregelmæssig adfærd, eksempelvis søger på de samme personoplysninger gentagne gange uden gyldig grund.
· Flere ressourcer til Datatilsynet skal styrke tilsynet, øge de tekniske kompetencer og give mulighed for bedre kontrol med sikkerhed i virksomheder og hos myndigheder samt mulighed for at yde bedre vejledning.
· Stresstest. Fremover skal IT-sikkerheden hos leverandører, der opbevarer personfølsomme data testes med jævne mellemrum med henblik på at sikre, at deres sikkerhedsprocedurer og –niveau er tilstrækkeligt til at matche trusselsniveauet for den type og mængde data virksomheden/myndigheden opbevarer.
· Højere strafferammer. Strafferammen for at lække personfølsomme oplysninger og for at bryde ind (hacke) i systemer med personfølsomme oplysninger bør hæves.
· Krav om åbenhed/offentliggørelse. Hvis borgeres data er blevet lækket eller tilgået illegalt, skal de ansvarlige myndigheder/virksomheder have pligt til at underrette de berørte borgere.
Leave a Reply