MORGUNBLAÐIÐ LAUGARDAGUR 10. OKTÓB E R 1998 31 Orðabókin Dulkóóun í eina átt: Umbreyting oröa eóa talna í óskiljanlega runu af táknum sem ekki er hægt að rekja til baka meó greiningarlykli. Gagnagrunnur: Skipulagt kerfi til að geyma tölvuskráö gögn, skipa þeim niður, vinna úr þeim og endurheimta þau. Fyrirspurn í gagnagrunn: Beiðni um að fá gögn beint út úr gagnasafni grunnsins eða leiða út gögn frá grunninum á grundvelli tiltekins skilyrð- ; Erfðafræðilegar upplýsingar: Hvers kyns upp- lýsingar sem varða erfanlega eiginleika ein- staklings. M jfíSM Gagnasafn: Safn upplýsinga um afmark- f. að efni, oft birt í töflum og röðum. Persónugreining: Að finna einstakling, ftv t.d. með kennitölu og nafni. I Persónuupplýsingar í gagna- grunnsfrumvarpi: Allar upp- lýsingar um persónugreind- an eða persónugreinanleg- an einstakling. Einstak- lingur telst persónu- j/ I greinanlegur ef unnt er I * að persónugreina hann, I ' \V% bemt eða óbeint. eink- 1 um með tilvísun í kenni- 1. tölu eða einn eða fleiri I þætti sem einkenna *■ hann í líkamlegu, lífeðl- isfræðilegu, . andlegu, efnalegu, menningarlegu eða félagslegu tilliti. heilbrigðisstofnana við dulkóðun. Hægt er að dulkóða alla þjóðskrá og þekkja persónur með saman- burði. Sá sem kóðar hefur aðgang að kennitölum, aðferðinni sem not- uð er við dulkóðun og dulkóðuðu kennitölunum. Hann er í aðstöðu til að brjóta dulkóðunina en hefur jafn- framt aðgang að öllu sem dulkóðað er. Heilsufarsupplýsingamar eru ekki þekktar eða staðlaðar á sama hátt og kennitölur. Sá sem vill brjóta dulkóðun þeirra verður ann- aðhvort að verða sér úti um einkalykil miðlæga gagna- grunnsins eða nota „brute force“ aðferð, þ.e. prófa alla möguleika. Sá hinn sami verð- ur jafnframt að þekkja ein- hver dæmi um inntak fyrir I og úttak eftir dulkóðun," segir þar. Tölvunefnd tekur við dulkóðuðum gögnum frá heilbrigðisstofnunum. Nefndin hefur hvorki að- gang að aðferð þeirri sem notuð er við fyrstu kóðun né einkalykil mið- læga gagnagmnnsins sem þarf til að gera heil- brigðisupplýsingarnar læsi- ! legar á ný. Hér em kennitöl- ur kóðaðar með nýrri aðferð og aftur í eina átt, nema Tölvunefnd kjósi að nota aðra brenglunaraðferð. Heilsufars- upplýsingarnar em hins vegar sendar áfram án frekari kóðun- ar. Gögnin staldra hér aðeins við • • Oryggi samspili tryggt með margra þátta „Þegar svona dulkóðun er notuð skiptir mestu máli að halda afkóð- unarlyklinum leyndum fyrir þeim sem ekki er ætlað að komast í kóð- uðu upplýsingarnar. Við dulkóðun í tölvupóstsendingum er algengt að nota þessa leið til dulkóðunar. Sendandi dulkóðar póstinn með op- inberum lykli („public key“) viðtak- andans. Viðtakandinn afkóðar síðan póstinn með einkalykli („private key“) sínum,“ segir á minnisblaðinu. Hertar öryggiskröfur Með breytingum sem nú hafa verið gerðar á gagnagrunnsfrum- varpinu eru gerðar nákvæmari kröfur um hvernig staðið skuli að varðveislu og öryggi þeirra gagna sem lögð verða í gagnagrunninn. Gerir ráðuneytið nú greinarmun á hvernig farið verði með heilbrigðis- upplýsingar annars vegar og per- sónuauðkenni þessara upplýsinga hins vegar þegar gögnum verður safnað í grunninn. Aður en upplýsingamar eru sendar er kennitala hvers einstak- lings dulkóðuð með brenglun í eina átt. Með því er búið að rjúfa sam- band við kennitölu viðkomandi þó einstaklingar séu enn greinanlegir. Eftir sem áður er hægt að senda nýjar upplýsingar um einstaklinga frá heilbrigðisstofnunum og yfir í grunninn. Allar stofnanirnar eiga að nota sömu aðferð við dulkóðun. Upplýs- ingarnar sjálfar eru dulkóðaðar með opinberum lykli rekstrarleyfis- hafa gagnagrunnsins en stjórnend- úr gagnagrunnsins munu varðveita einkalykilinn. Þessu næst eru upp- lýsingarnar sendar til Tölvunefnd- ar. Hún getur hvorki lesið uppruna- legar kennitölur né upprunalegar heilsufarsupplýsingar en dulkóðar nú kennitölurnar í annað sinn með brenglun í eina átt. Með þessari kóðun er búið að rjúfa samband við fyrstu kóðunina hjá heilbrigðis- stofnun. Þessu næst sendir Tölvu- nefnd upplýsingarnar inn í miðlæga gagnagrunninn. Þar eru kennitöl- urnar nú dulkóðaðar í þriðja sinn en að þessu sinni með greiningarlykli sem verður í vörslu stjórnenda gagnagrunnsins. Hér hafa því kennitölur einstaklinga verið þrí- kóðaðar en heilsufarsupplýsingarn- ar einkóðaðar með lykli. Stjórnend- ur gagnagrunnsins hafa lykil að síð- ustu dulkóðun kennitölu og einka- lykil að heilsufarsupplýsingunum. Þessa lykla geta þeir notað til af- kóðunar við vinnslu í grunninum en geta hins vegar ekki nálgast upp- runalegu gögnin nema að brjótast í gegnum tvöfalda kóðun á fyrri stig- um. Búið að rjúfa samband við einstaklinginn Skv. upplýsingum blaðsins er það mat ýmissa sérfræðinga að svo- nefnd dulkóðun í eina átt á þekktu mengi á borð við kennitölur sé í reynd ekki eins traust dulkóðunar- aðferð ein og sér eins og dulkóðun með greiningarlykli. Meiri mögu- leikar séu á að brjóta hana upp. Kosturinn við þessa aðferð er hins vegar talinn sá að með henni hefur verið rofið sambandið við einstak- lingana sem að baki búa og þeir því gerðir ópersónugreinanlegir í skiln- ingi laga og fjölþjóðlegra tilskipana. Á minnisblaði Stiku ehf. er lagt mat á öryggi þessa ferils gagnanna í gegnum þrefalda dulkóðun og möguleika þeirra þriggja aðila sem þátt eiga í ferlinu á að brjóta það upp. Lítum fyrst á þá dulkóðun sem fram fer hjá heilbrigðisstofnunum. Gert er ráð fyrir að persónutengd heilsufarsgögn verði dregin saman og kóðuð fyi'ir flutning með opin- berum lykli, kennitölur verði kóðað- ar með annarri aðferð, þ.e. í eina átt. „Til þess að brjóta persónu- vernd á þessu stigi þarf aðgang að kennitölum í þjóðskrá og aðferð HJÁ Skýrr hf. er sennilega að finna stærsta miðlæga gagna- gi-unn sem komið hefur verið á fót hér á landi. Athyglisvert er að skoða reynslu Skýrr af starf- rækslu grunnsins og hvernig ör- yggi upplýsinganna er tryggt þeg- ar rætt er um að koma á fót mið- lægum gagnagrunni á heilbrigðis- sviði. Meginviðfangsefni Skýrr er þróun og rekstur svokallaðra Landskerfa sem er í reynd samheiti yfir öll tölvu- eða upplýsingakei-fi hins opinbera. Þessi kerfi eru tengd saman á ákveðinn hátt þannig að gögn og upplýsingar geta flætt á milli kerfanna, þannig að þau mynda í raun ákveðna heild. Strangar reglur um samskipti milli kerfanna Gagnagrunnur Skýrr inniheldur gífurlegt magn upplýsinga. Skýrr hefur með höndum umsjá og varð- veislu þessara kerfa og tryggir að- gangs- og gagnaöryggi kerfanna. Upplýsingakerfi Skýrr skiptist í raun í fjölmörg einstök kerfi. Landskerfi Skýrr hefm- m.a. að geyma bókhalds- og áætlanakei-fi ríkisins, þjóðskrá, tekjubókhald ríkisins, innheimtu allra opinberra gjalda, upplýsingakerfi ríkisskatt- stjóra, upp lýsingakerfi um bai-na- bætur og fleira. Bótakerfí Trygg- ingastofnunar er varðveitt hjá SkýiT og einnig upplýsingakei-fi Tryggingastofnunar, launakerfi ríkisins og Reykjavíkurborgar, at- vinnuleysistryggingakerfið er þar að finna, ökutækjaskrá, virðis- aukaskattskei'fi og tollakerfi og bótakerfi atvinnuleysistrygginga, svo nokkur dæmi séu nefnd. Allt myndar þetta ákveðna heild þar sem upplýsingar eru samnýtt- ar og geta á ákveðinn hátt flætt á milli kerfanna. Þessar upplýsingar sneita alla landsmenn og það gef- ur kost á ákveðninni samkeyrslu á milli einstakra kerfa. „Það gilda mjög strangar í-eglur um þessi samskipti og hverjir hafa heimild til að tengja þau saman og jafnframt eru ákveðnai' innbyggð- ar hindranir á milli kerfanna," segir Hreinn Jakbosson, forstjóri Skýrr. Gögnin eru ekki dulkóðuð Gögnin sem varðveitt eru í landskerfum Skýrr eru ekki dulkóðuð en varin með mjög ströngum og flóknum aðgangstakmörkunum. Öi'yggiskerfin sjálf eru hins vegar dulkóðuð, að sögn Hreins. „Við notum mjög fjölbreytta flóru ým- iss konar öryggiskerfa, sem eru sambland vélbúnaðar og hugbún- aðar,“ segir hann. Skipta má öpyggiskefi Skýi'r í nokkra hluta. í fyrsta lagi hefur verið byggt upp ákveðið ytra ör- yggislag. Þannig er t.d. aðgangur að húsnæði Skýrr takmarkaður og varinn með ströngum reglum og öi-yggisvakt er haldin allan sólar- hringinn árið um kring. Þá er að gangur að hugbúnaði og gögnum tölvukerfa Skýrr varinn sérstak- lega. í aðgangsþjónustu Skýrr er stýrt öllum aðgangi að viðkomandi upplýsingarkefum, samkvæmt ákveðnu ferli um slíkar að- gangsveitingar. Hvorki einstök upplýsingakerfi eða þau gögn sem þau hafa að geyma eru í eigu Skýrr, heldur einstakra viðskipta- aðila. Skýrr sér hins vegar um all- an rekstur og öryggi kerfanna með viðskipta samningum við ein- staka aðila. Eigendur gagnanna segja alfar- ið til um hvaða starfsmenn fá að- gang að einstökum hlutum hvers kerfis fyrir sig og nota því eigin öryggisaðferðir hvað það varðar. Starfsmenn fá úthlutað aðgangs- orði og leyniorði og eru persónu- lega ábyrgir fyrir þeim aðgangi sem þeim er veittur. í þriðja lagi er svo aðgangur takmarkaður að sjálfum upplýsingun um sem varð- veitt eru í upplýsingakerfunum. Hreinn telur síst minna öryggi í því fólgið að varðveita viðkvæmar upplýsingar með fullkomnum tækjabúnaði á einum stað, þar sem settar séu upp margvíslegar tæknilegar hindranir til að varð- veita gögnin, fremur en að geyma þær á mörgum stöðum, í aðskild- um gagnagi-unnum. „Það má í raun líkja því við ef menn teldu meiri hættu stafa af því að vista afbrotamenn alla saman í ákveðnu fangelsi vegna þess að klefamir lægju allir saman og því væri skynsamlegra að dreifa föngunum út um allan bæ,“ segir hann. Hugsun og öguð vinnu- brögð skipta mestu Að sögn Hreins hafa aldrei komið upp alvarleg slys í öi-yggis- málum SkýiT, í áratuga langri sögu fyrirtækisins. „Öryggismál snúast um samspil margra ólfkfa þátta, bæði innra og ytra öryggi, verndun og meðhöndlun persónu- upplýsinga, hvernig að gangur er veittur að forritum og göngum og hvemig ýmsar tæknilegar hindr- anir em settar,“ segir Hreinn. „Það sem skiptir mestu máli er ákveðin hugsun, fyrirfram mótuð aðferðafræði og mjög öguð vinnu- brögð. Hingað til hefur ekki verið gerð krafa til okkar um dulkóðun. Við geturn þó í sjálfu sér auðveld- lega dulkóðað gögnin ef farið yrði fram á það. Við fögnum þeirri umræðu sem nú á sér stað um öryggismál í upp lýsingatækni. Okkur finnst við oft hafa talað fyrir daufum eyrum hvað þetta varðar. Okkur hefur verið treyst og við erum sífellt að vinna að því að betmmbæta þessa hluti hjá okkur. Það em stöðugt að koma á markaðinn nýjar lausn- ir til þess að vernda upplýsingar betur, en allt kostar þetta hins vegar ákveðna fjármuni,“ segir Hreinn. meðan kóðunin fer fram og eru svo send inn í miðlæga gagnagmnninn. „Til þess að komast framhjá dulkóðun kennitölu á þessu stigi þarf aðgang að kennitölum í þjóð- ski'á og aðferð heilbrigðisstofnana. Þá er hægt að dulkóða alla þjóðskrá og með samanburði að þekkja per- sónur. Heilsufarsupplýsingarnar eru eftir sem áður ólæsilegar,“ seg- ir á minnisblaðinu. Stjórnendur gagnagrunnsins taka nú við upplýsingunum. Þeir hafa einkalykil að heilsufarsgögn- unum en gert verður að skilyrði að þær verði geymdar dulkóðaðar. Þá er það gert að skilyrði að öll önnur gagnasöfn í gagnagrunninum verði geymd í aðskildum gmnnum og dulkóðuð með mismunandi opinber- um lyklum. Þetta torveldar enn frekar samtengingu upplýsinga, s.s. um erfðir og ættir, við heilsufars- upplýsingar, að mati höfunda minn- isblaðsins. Þá er þýðingarmikið atriði að geymsla einkalyklanna verður háð samþykki Tölvunefndar. „Aðeins verði leyft að vinna úr upplýsingum í sérstökum vinnslugrunni sem krefst notkunar eins eða fleiri einkalykla, allt eftir því hve mikil samtenging gagna á sér stað í vinnslunni. Vinnslugrannur erfi ekki fyiTÍ einstaklingsauðkenni, heldur fái einstaklingar á ný dulkóðuð auðkenni. Fyi'irspurnir verði aðeins leyfðar í vinnslugi'unni og þar verði persónuvernd sérstak- lega tryggð. Þar mega t.d. ekki birt- ast upplýsingar sem leitt geta til þess að einstakar persónur eða ætt- ir þekkist, t.d. af samanburði við op- inberar eða þekktar persónuupplýs- ingar,“ segir á minnisblaðinu. Hvaða möguleikar em á að brjóta upp dulkóðunina á þessu stigi? Skv. upplýsingum sem blaðið hefur aflað sér er talið að þrátt fyrir að unnt sé að brjóta kóðun í eina átt upp með talsverðri fyrirhöfn séu afar litlar líkur á að takist að brjóta allar þrjár kóðanirnar. Jafnvel þó tækist að brjóta upp kóðaðar kennitölur er búið að sldlja heilbrigðisupplýsing- arnar frá og þvi hefði sá hinn sami ekkert annað í höndunum en kenni- tölur. Séu heilbrigðisgögnin á hinn bóginn brotin upp sé ógerlegt að tengja þau ákveðnum persónum. Höfundar tillagnanna segja að til að hér sé unnt að brjóta til baka hina dulkóðuðu kennitölu þurfi við- komandi að verða séi' úti um bæði dulkóðunaraðferð heilbrigðisstofn- ana og aðferð Tölvunefndar og síð- an að keyra þjóðskrá gegnum hvora aðferð fyrir sig eða þá að beita svo- nefndri „brute force“ aðferð, þ.e. prófa alla möguleika. Þjóðskrá með kennitölum allra Islendinga sé opin- ber og því sé sú aðferð mun auð- veldari. Þeirri spurningu er einnig velt upp hvaða möguleika óþekktir og utanaðkomandi aðilar hafa á að brjóta upp dulkóðunina. Meginat- riði þess er að þá þyrfti viðkomandi að brjótast inn hjá fleiri en einum hinna þriggja til þess að eiga meiri möguleika á að brjóta kóðunina upp fyi'ir hvern og einn þeirra. Grunnurinn geymdur utan fyrirtækisins Stjórnendur ÍE hafa lagt til að gagnagrannurinn sjálfur verði geymdur utan fyrirtækisins hjá þriðja aðila til að fyrirbyggja grun- semdir um misnotkun. I lýsingum sínum á nafnleyndarkerfi fyrirhug- aðs gagnagrunns, sem em að ýmsu leyti frábrugðnar kröfum ráðuneyt- isins, hafa forsvarsmenn IE gert ráð fyrir þrefaldri dulkóðun per- sónueinkenna með greiningarlykl- um. Samkvæmt upplýsingum sem Morgunblaðið fékk hjá fyrirtækinu um hvemig það hyggst standa að gerð og starfrækslu gagnagi'unns- ins kemur fram að beitt verði mjög öflugum dulkóðunaraðferðum og notaðir svonefndir 128 bita grein- ingarlyklar. Til þess að fræðilega ► SKÝRR

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64
Blaðsíða 65
Blaðsíða 66
Blaðsíða 67
Blaðsíða 68
Blaðsíða 69
Blaðsíða 70
Blaðsíða 71
Blaðsíða 72
Blaðsíða 73
Blaðsíða 74
Blaðsíða 75
Blaðsíða 76
Blaðsíða 77
Blaðsíða 78
Blaðsíða 79
Blaðsíða 80
Blaðsíða 81
Blaðsíða 82
Blaðsíða 83
Blaðsíða 84