Graver ned data på kirkegården
Norske kommuner med kreative løsninger for å destruere lagringsmedier.
Sikkerhetsselskapet Ibas har samlet noen helt utrolige eksempler på hvordan kommuner har forsøkt å slette sensitive data.
Det mest graverende eksempelet er trolig dette: Å begrave lagringsmediene på kirkegården!
Ibas vet også om kommuner som har sprengt lagringsenheter på byggeplasser eller brukt dem som blink for skytevåpen. Andre har blitt overkjørt av tunge anleggsmaskiner eller forsøkt ødelagt ved hjelp av drill eller slegge.
Har navngitte kommuner
- Er dette sant?
- Ja, dette er faktisk noe vi har dekning for, det er helt sant. Vi vet dette fordi vi har hatt en tett dialog med kommune-Norge i lang tid, både på telefon og gjennom besøk, sier Tormod Nymoen, markedssjef hos Ibas, til Computerworld.
- Skjer dette ofte?
- Dette er eksempler på metoder vi har blitt fortalt om. Det er gjennom flere år vi har samlet disse historiene. Det er ikke vanlig praksis, men det skjer.
- Så det ligger disker og cd-er med sensitiv informasjon rundt omkring i Norge på kirkegårder?
- Jeg vil ikke tro det er mange, men jeg har navngitte kommuner som har gjort det. Jeg kan ikke fortelle hvilke, sier Nymoen.
Veileder for sikker sletting
Sikkerhetsbestemmelsene i personopplysningsforskriften (§ 2-11) pålegger kommunene å slette data slik at de ikke skal være mulig å gjenskape, men det defineres ikke hvordan selve slettingen skal utføres.
74 prosent av alle norske kommuner har rutiner for datasletting, men kun 29 prosent følger kravene til sertifiserte løsninger fra Nasjonal Sikkerhetsmyndighet (NSM), ifølge en undersøkelse Ibas har gjennomført.
- KS er opptatt av at kommunene skal gjøre dette på riktig måte og at de skal behandle personopplysninger og sensitive data slik regelverket tilsier. Jeg vil jo tro at disse eksemplene er ekstreme tilfeller og ikke gir et representativt bilde av situasjonen. Jeg tror de fleste kommunene håndterer dette på en måte som er innenfor kravene, sier Trude Andresen, direktør for innovasjon og utvikling i KS, i en kommentar til funnene.
Ibas har sendt et brev til Fornyingsdepartementet hvor det foreslås at myndighetene lager en overordnet veiledning til alle forskrifter og lover som omhandler sletting av sensitiv informasjon.
- En slik veileder bør konkretisere hvilke metoder som er sertifiserte, både nasjonalt og internasjonalt. Videre bør det stilles krav til at sertifisert sletting skal dokumenteres. Først da vil innbyggerne i kommunene vite at deres informasjonssikkerhet er ivaretatt, mener Hans Berg, administrerende direktør i Ibas.
