Pisken svinger ikke

Mobiloperatøren Talkmore fikk forrige uke et forelegg på 150 000 kroner fra Datatilsynet, for manglende rapportering til tilsynet.

Bakgrunnen var at selskapets nettsider gjorde det såre enkelt å rappe fødselsnummer med tilhørende kundeinformasjon. Slike opplysninger er byggestener i grunndatabaser for identitetstyveri.

Leif Aanensen, avdelingsdirektør i Datatilsynet, formanet under denne ukens sikkerhetsseminar Nasjonal sikkerhetsdag, at tilstanden når det gjelder id-sikkerhet i Norge er horribel.

- Vi har blitt en "stående buffet for id-tyverier" og sender våre opplysninger langs "informasjonsmotorveier uten gatelys og autovern", mente Aanensen.

Han fortalte skrekkhistorier fra virkeligheten om mennesker som har blitt utsatt for slikt. Selv om bankene gjerne erstatter de konkrete summene som blir borte, finnes det ingen ordning som kompenserer tiden, ryddejobben og de menneskelige kostnadene id-tyveri medfører. Og det er lite som tyder på at det ikke blir verre.

Vanligste form for kriminalitet

I USA har id-tyveri seilet opp som den aller vanligste formen for kriminalitet. Hele 3,6 prosent av befolkningen, eller drøyt 10 millioner personer, har på denne måten blitt utsatt for alvorlig misbruk av personlige opplysninger.

Aanensen roste Tele2, som etter avsløringen av skandaløs sikkerhet i deres systemer i hvert fall var ydmyke nok til å si unnskyld til kundene.

Dessverre er virkemidlene mot lemfeldig omgang med personopplysninger og sensitiv informasjon stort sett begredelige.

Det hører med til Tele2- historien at selskapet fikk brev fra Datatilsynet om de kritikkverdige allerede høsten 2006, et drøy halvår før katta var ute av sekken. De reagerte med å sende brev tilbake uten å foreta seg noe som helst.

Da det endelig smalt i media, tok det under en dag å rette opp feilen.

Det er derfor ikke til å undres over at Datatisynet snakker så ofte og så høyt om disse tingene. De mangler nemlig sanksjonsmidler som er effektive nok til å kvele uvesenet i fødselen.

Tas ikke alvorlig

Undersøkelsen som ble lagt fram av Post- og teletilsynet denne uken, gir ytterligere næring til mistanken om at sikring av personopplysninger ikke tas alvorlig.

Den viser at bare en av tre bedrifter foretar risikoanalyse. Tar vi med at folk i slike undersøkelser har en tendens til å gi et mer positivt inntrykk av virkeligheten enn det som er reelt, er det grunn til å tro at enda færre enn 30 prosent av bedriftene foretar grundige, skriftlige analyser av sin informasjonssikkerhet.

Det går jo greit så lenge det ikke skjer noe alvorlig? Og for de fleste bedrifter er det deres egen virksomhet som først og fremst får lide om "uhellet" skulle være ute?

Men sektorer som kommunene, helse og bank/finans sitter på et hav av informasjon om deg og meg. Det er rett og slett en katastrofe når informasjon fra kontoopplysninger eller pasientjournaler kommer på avveie.

Mange husker saken der opplysninger om Nordea-kontoen til prinsesse Märtha havnet i Se og Hør. Saken illustrerer slepphendt sikkeret, men også mennskelig atferd. Teknologi har klare begrensninger, og det er ikke overraskende at penger kan lokke tvilende tjenere ut i ulendt terreng.

Som det kom fram på ukas seminar, er det mange som driver godt holdningsskapende arbeid. Det er vel og bra, men samtidig bør lemfeldig omgang med din og min sikkerhet få klare og alvorlige konsekvenser. Oppsigelse er en god begynnelse.