harddiskLITE.jpg

Kommune-Norge slurver med datasikkerheten

74 % av kommunene følger ikke Norm for Informasjonssikkerhet når de skal slette helse- og personopplysninger fra kassert datautstyr, i følge Ibas AS

Publisert

Kun halvparten av kommunene i Norge sørger for dokumentert og reglementert sletting av personopplysninger. Andre tar i bruk mer voldelige metoder som slegge eller sprengstoff for å slette data, skriver Ibas AS i en pressemelding.

Dette kommer frem i en undersøkelse utført av YouGov på vegne av Ibas og Norsk senter for informasjonssikring (NorSIS). Undersøkelsen kartla rutiner rundt datasletting, og viste at 74 % av alle norske kommuner har rutiner for datasletting, selv om metoden ikke alltid er i henhold til retningslinjer i personopplysingsloven og Nasjonal Sikkerhetsmyndighet (NSM).

- Informasjon skal behandles fra “vugge til grav”, og da må det være kontroll på informasjonen i hele livssyklusen. Mange glemmer avhendingen av datautstyr og den informasjonen som ligger igjen på gammelt utstyr. Det er bekymringsfullt at kun 5 av 10 kommuner får dokumentert at utrangert datautstyr er permanent slettet, og det er enda mer bekymringsfullt at kun 29 % følger kravene om sertifiserte løsninger fra Nasjonal Sikkerhetsmyndighet (NSM), sier Tore Larsen Orderløkken, adm.dir i NorSIS.

Ibas´teknikere kan hente informasjon ut av den mest skamslåtte harddisk. Et underjordisk opphold på gravlunden hjelper lite. Foto: Ibas AS

Ny veileder for sikker sletting

Sikkerhetsbestemmelsene i personopplysningsforskriften § 2-11 pålegger kommunene å slette data slik at det ikke skal være mulig å gjenskape data, men det defineres ikke hvordan selve slettingen skal utføres. Undersøkelsen avslører at et skremmende høyt antall kommuner fremdeles bruker fysisk destruksjon som metode for sletting av innbyggerkritisk informasjon.

For det står ikke på kreativiteten når kommune-Norge fysisk destruerer lagringsmedier med sensitive data. Her er noen eksempler:

Sikker fjerning av data er en komplisert prosess. Foto: Ibas AS

- Myndighetene må lage en overordnet veiledning til alle forskrifter og lover som omhandler sletting av sensitiv informasjon. En slik veileder bør konkretisere hvilke metoder som er sertifiserte, både nasjonalt og internasjonalt. Videre bør det stilles krav til at sertifisert sletting skal dokumenteres. En ny overordnet veileder kan bygge på kravene nedfelt i Normen for Informasjonssikkerhet i helsesektoren. Først da vil innbyggerne i kommunene vite at deres informasjonssikkerhet er ivaretatt, sier Hans Berg, adm.dir. Ibas AS.

Powered by Labrador CMS