Privatpersoner blir hardest rammet av datainnbrudd

De fleste av oss legger igjen mye personlige data hos institusjoner vi stoler på – som for eksempel banker, hoteller, sosiale medier og helseorganisasjoner.

Men det er ingen grunn til å føle seg altfor trygg. Stadig skjer det alvorlige datainnbrudd.

• Noen ferske eksempler:
  Marriott Hotels: Avslørte at sensitive data, blant annet kredittkortinformasjon og pass-ID-data fra kunder, hadde lekket siden 2014.
  MyHeritage: Et stort antall e-postadresser og passord til brukere av slektsdatabasen ble stjålet.
  Helse Sør-Øst: For et års tid siden ble Helse Sør-Øst, som har helsedata fra mer enn halvparten av Norges befolkning, utsatt for et massivt dataangrep. Serverne ble kompromittert. PST har nå innstilt etterforskningen, men påpeker at det er avdekket svakheter i sikkerheten. Det er ukjent om pasientdata kom på avveie.

På World's Biggest Data Breaches & Hacks kan man finne info om flere av de verste sikkerhetsbruddene i verden.

Gigantiske databaser med persondata

– Mange bedrifter og institusjoner tjener store penger på å lagre personlige data, som folk ofte legger inn selv eller som er offentlig tilgjengelig. De bygger gigantiske databaser. De kan sette sammen data, analysere og dermed finne ut mye om en person, sier Lothar Fritsch.

Han er forsker ved Karlstad University, men har tidligere forsket ved Norsk Regnesentral.

Rett før jul i fjor holdt han hovedinnledningen på den store nordiske sikkerhetskonferansen NordSec som gikk av stabelen ved Institutt for informatikk ved UiO.

Åpne skattelister = sikkerhetsproblem

Skattelistene er offentlig tilgjengelig i Norge grunnet ønske om åpenhet om økonomiske forhold. Fritsch mener dette er eksempel på et stort sikkerhetsproblem.

– Blant annet blir det lettere for ulike interesser å finne ut hvem som går fra formue til gjeld – for eksempel etter en skilsmisse eller boligkjøp – og handle deretter. Slik kan man målrette korrupsjon, agentverving, datainnbrudd, nekte folk lån og lignende.

– Det er blitt litt bedre i og med at man nå må logge inn med egen ID for å finne skattedata. Men det er likevel lett å ta ut data, og dermed er det fortsatt problematisk.

– Mye større konsekvenser for personer

Fritsch påpeker at selv om det er de store bedriftene og institusjonene som oftest blir utsatt for de mest omfattende dataangrepene, er det enkeltpersoner som får svi mest.

– Risikoen er asymmetrisk. Bedrifter kan tape omdømme og tillit, få bøter, miste lisenser og kunder. Samtidig har de sikkerhetsledere og jurister som kan rydde opp og egne rutiner for håndtering av risikostyring, sier han.

– Enkeltpersoner kan miste sitt gode navn og rykte, måtte leve i usikkerhet om hva andre vet, bli utsatt for stalking med mer. Samtidig er det er lite hjelp å få, og de har som oftest heller ikke ressurser til det.

Han framhever slettmeg.no som en tjeneste som hjelper privatpersoner på nett. Men påpeker at denne har svært begrensede ressurser.

– Tjenester som behandler personopplysninger har et ansvar for å redusere risikoen til kundene sine. Samtidig bør folk tenke mer på personvern og være kritisk til alle nye digitale tjenester som oppstår. Man bør stille seg spørsmål som for eksempel «Hva gjør egentlig den dumme appen?», sier Lothar Fritsch.

Alexa kan avlytte

Fritsch advarer også mot Alexa og lignende høyttalere og mikrofoner som man kan be om å utføre ulike ting.

– Alexa kan være både morsom og nyttig. Men tenk over at slike dingser også kan brukes til avlytting og slik samle data om deg og familien som de kan bruke til noe, sier Fritsch, som trekker fram et ferskt eksempel på dette:

En tysk bruker av Amazon Alexa ba om å få opptak Alexa har gjort av hans egne aktiviteter. Ved en feil fikk han også store mengder opptak av en annen Alexa-bruker.

Bismarcks dødsleie

Mange tror at personvern har kommet for fullt med dataalderen. Men rett til egne data og bilder og misbruk av disse er ingen ny «oppfinnelse».

Allerede mot slutten at 1800-tallet, da fotografiet var i sin barndom, ble dette et tema. Personlige bilder ble tatt i eget hjem, i noen tilfeller pornografiske bilder, og siden ble de spredd.

Ikke minst vakte det oppstuss da to fotografer i 1898 snek seg inn i rommet hvor Otto von Bismarck lå død i sengen. De tok bilder av den mektige keiseren og ønsket å selge og få publisert bildene. I stedet ble de dømt til flere måneders fengsel.

I 1907 ble det lovfestet at folk hadde rett til sine egne bilder.

Klassifisering av rase

Den tidlige dataalderen skapte nye problemer. Punchemaskinen Hollerith (senere IBM) ble på 30-tallet brukt i Tyskland for systematisk kartlegging av rase, blant annet til klassifisering av jøder, med hierarkier og oversikt over hvem som som kunne gifte seg med hvem.

Rase ble også klassifisert i folketellingen i 1938, som følge av den skandinaviske rasebiologiforskningen som ble utviklet ved Rasebiologisk institutt i Uppsala og handlet om den hvite rases overlegenhet. Denne ideen ble videreutviklet av nazistene og brukt til automatisk sortering av personer i forbindelse med folkemord – basert på hullkort-databaser..

Etter krigen ble dette slått hardt ned på. FN kom i 1948 med menneskerettigheter som slo fast ingen skulle bli utsatt for vilkårlig innblanding i sitt og familiens privatliv. Alle hadde rett til lovlig beskyttelse mot angrep på dette.

GDPR er mer enn irriterende popups

Og nå, 70 år senere, er EUs personvernregime GDPR (General Data Protection Regulation) innført. GDPR er langt mer enn slitsomme popups, som de fleste av oss bare krysser vekk uten å lese.

Målet med GDPR er fundamentalt å omforme måten data behandles på tvers av sektorer slik at personvernet blir bedre ivaretatt. Blant annet handler det om å ansvarliggjøre datakontrollører og prosesser.

– GDPR er ment å skulle styrke privatpersoners personvern i Big Data-samfunnet. Samtidig bør folk selv ha et kritisk blikk på hvilke digitale tjenester de bruker og hva de risikerer å utsette seg for, sier Fritsch som påpeker at det finnes flere nivåer av databehandling:

• Innhenting og lagring av data
  Kombinere og analysere data
  Bruke, dele, selge og fjerne data
  Intervensjon av andre mot en selv basert på data

– Det gjelder å identifisere trusler og risiko i de ulike nivåene og agere ut fra det.