Morgunblaðið - 10.10.1998, Qupperneq 31
MORGUNBLAÐIÐ
LAUGARDAGUR 10. OKTÓB E R 1998 31
Orðabókin
Dulkóóun í eina átt: Umbreyting oröa eóa talna í óskiljanlega runu
af táknum sem ekki er hægt að rekja til baka meó greiningarlykli.
Gagnagrunnur: Skipulagt kerfi til að geyma tölvuskráö gögn, skipa
þeim niður, vinna úr þeim og endurheimta þau.
Fyrirspurn í gagnagrunn: Beiðni um að fá gögn
beint út úr gagnasafni grunnsins eða leiða út
gögn frá grunninum á grundvelli tiltekins skilyrð- ;
Erfðafræðilegar upplýsingar: Hvers kyns upp-
lýsingar sem varða erfanlega eiginleika ein-
staklings. M
jfíSM
Gagnasafn: Safn upplýsinga um afmark- f.
að efni, oft birt í töflum og röðum.
Persónugreining: Að finna einstakling, ftv
t.d. með kennitölu og nafni. I
Persónuupplýsingar í gagna-
grunnsfrumvarpi: Allar upp-
lýsingar um persónugreind-
an eða persónugreinanleg-
an einstakling. Einstak-
lingur telst persónu- j/ I
greinanlegur ef unnt er I *
að persónugreina hann, I ' \V%
bemt eða óbeint. eink- 1
um með tilvísun í kenni- 1.
tölu eða einn eða fleiri I
þætti sem einkenna *■
hann í líkamlegu, lífeðl-
isfræðilegu, . andlegu,
efnalegu, menningarlegu
eða félagslegu tilliti.
heilbrigðisstofnana við dulkóðun.
Hægt er að dulkóða alla þjóðskrá
og þekkja persónur með saman-
burði. Sá sem kóðar hefur aðgang
að kennitölum, aðferðinni sem not-
uð er við dulkóðun og dulkóðuðu
kennitölunum. Hann er í aðstöðu til
að brjóta dulkóðunina en hefur jafn-
framt aðgang að öllu sem dulkóðað
er. Heilsufarsupplýsingamar eru
ekki þekktar eða staðlaðar á sama
hátt og kennitölur. Sá sem vill
brjóta dulkóðun þeirra verður ann-
aðhvort að verða sér úti um
einkalykil miðlæga gagna-
grunnsins eða nota „brute
force“ aðferð, þ.e. prófa alla
möguleika. Sá hinn sami verð-
ur jafnframt að þekkja ein-
hver dæmi um inntak fyrir
I og úttak eftir dulkóðun,"
segir þar.
Tölvunefnd tekur við
dulkóðuðum gögnum frá
heilbrigðisstofnunum.
Nefndin hefur hvorki að-
gang að aðferð þeirri
sem notuð er við fyrstu
kóðun né einkalykil mið-
læga gagnagmnnsins
sem þarf til að gera heil-
brigðisupplýsingarnar læsi-
! legar á ný. Hér em kennitöl-
ur kóðaðar með nýrri aðferð
og aftur í eina átt, nema
Tölvunefnd kjósi að nota aðra
brenglunaraðferð. Heilsufars-
upplýsingarnar em hins vegar
sendar áfram án frekari kóðun-
ar. Gögnin staldra hér aðeins við
• •
Oryggi
samspili
tryggt með
margra þátta
„Þegar svona dulkóðun er notuð
skiptir mestu máli að halda afkóð-
unarlyklinum leyndum fyrir þeim
sem ekki er ætlað að komast í kóð-
uðu upplýsingarnar. Við dulkóðun í
tölvupóstsendingum er algengt að
nota þessa leið til dulkóðunar.
Sendandi dulkóðar póstinn með op-
inberum lykli („public key“) viðtak-
andans. Viðtakandinn afkóðar síðan
póstinn með einkalykli („private
key“) sínum,“ segir á minnisblaðinu.
Hertar öryggiskröfur
Með breytingum sem nú hafa
verið gerðar á gagnagrunnsfrum-
varpinu eru gerðar nákvæmari
kröfur um hvernig staðið skuli að
varðveislu og öryggi þeirra gagna
sem lögð verða í gagnagrunninn.
Gerir ráðuneytið nú greinarmun á
hvernig farið verði með heilbrigðis-
upplýsingar annars vegar og per-
sónuauðkenni þessara upplýsinga
hins vegar þegar gögnum verður
safnað í grunninn.
Aður en upplýsingamar eru
sendar er kennitala hvers einstak-
lings dulkóðuð með brenglun í eina
átt. Með því er búið að rjúfa sam-
band við kennitölu viðkomandi þó
einstaklingar séu enn greinanlegir.
Eftir sem áður er hægt að senda
nýjar upplýsingar um einstaklinga
frá heilbrigðisstofnunum og yfir í
grunninn.
Allar stofnanirnar eiga að nota
sömu aðferð við dulkóðun. Upplýs-
ingarnar sjálfar eru dulkóðaðar
með opinberum lykli rekstrarleyfis-
hafa gagnagrunnsins en stjórnend-
úr gagnagrunnsins munu varðveita
einkalykilinn. Þessu næst eru upp-
lýsingarnar sendar til Tölvunefnd-
ar. Hún getur hvorki lesið uppruna-
legar kennitölur né upprunalegar
heilsufarsupplýsingar en dulkóðar
nú kennitölurnar í annað sinn með
brenglun í eina átt. Með þessari
kóðun er búið að rjúfa samband við
fyrstu kóðunina hjá heilbrigðis-
stofnun. Þessu næst sendir Tölvu-
nefnd upplýsingarnar inn í miðlæga
gagnagrunninn. Þar eru kennitöl-
urnar nú dulkóðaðar í þriðja sinn en
að þessu sinni með greiningarlykli
sem verður í vörslu stjórnenda
gagnagrunnsins. Hér hafa því
kennitölur einstaklinga verið þrí-
kóðaðar en heilsufarsupplýsingarn-
ar einkóðaðar með lykli. Stjórnend-
ur gagnagrunnsins hafa lykil að síð-
ustu dulkóðun kennitölu og einka-
lykil að heilsufarsupplýsingunum.
Þessa lykla geta þeir notað til af-
kóðunar við vinnslu í grunninum en
geta hins vegar ekki nálgast upp-
runalegu gögnin nema að brjótast í
gegnum tvöfalda kóðun á fyrri stig-
um.
Búið að rjúfa samband
við einstaklinginn
Skv. upplýsingum blaðsins er það
mat ýmissa sérfræðinga að svo-
nefnd dulkóðun í eina átt á þekktu
mengi á borð við kennitölur sé í
reynd ekki eins traust dulkóðunar-
aðferð ein og sér eins og dulkóðun
með greiningarlykli. Meiri mögu-
leikar séu á að brjóta hana upp.
Kosturinn við þessa aðferð er hins
vegar talinn sá að með henni hefur
verið rofið sambandið við einstak-
lingana sem að baki búa og þeir því
gerðir ópersónugreinanlegir í skiln-
ingi laga og fjölþjóðlegra tilskipana.
Á minnisblaði Stiku ehf. er lagt
mat á öryggi þessa ferils gagnanna í
gegnum þrefalda dulkóðun og
möguleika þeirra þriggja aðila sem
þátt eiga í ferlinu á að brjóta það
upp.
Lítum fyrst á þá dulkóðun sem
fram fer hjá heilbrigðisstofnunum.
Gert er ráð fyrir að persónutengd
heilsufarsgögn verði dregin saman
og kóðuð fyi'ir flutning með opin-
berum lykli, kennitölur verði kóðað-
ar með annarri aðferð, þ.e. í eina
átt. „Til þess að brjóta persónu-
vernd á þessu stigi þarf aðgang að
kennitölum í þjóðskrá og aðferð
HJÁ Skýrr hf. er sennilega að
finna stærsta miðlæga gagna-
gi-unn sem komið hefur verið á fót
hér á landi. Athyglisvert er að
skoða reynslu Skýrr af starf-
rækslu grunnsins og hvernig ör-
yggi upplýsinganna er tryggt þeg-
ar rætt er um að koma á fót mið-
lægum gagnagrunni á heilbrigðis-
sviði.
Meginviðfangsefni Skýrr er
þróun og rekstur svokallaðra
Landskerfa sem er í
reynd samheiti yfir öll
tölvu- eða upplýsingakei-fi
hins opinbera. Þessi kerfi eru
tengd saman á ákveðinn hátt
þannig að gögn og upplýsingar
geta flætt á milli kerfanna, þannig
að þau mynda í raun ákveðna
heild.
Strangar reglur um
samskipti milli kerfanna
Gagnagrunnur Skýrr inniheldur
gífurlegt magn upplýsinga. Skýrr
hefur með höndum umsjá og varð-
veislu þessara kerfa og tryggir að-
gangs- og gagnaöryggi kerfanna.
Upplýsingakerfi Skýrr skiptist í
raun í fjölmörg einstök kerfi.
Landskerfi Skýrr hefm- m.a. að
geyma bókhalds- og áætlanakei-fi
ríkisins, þjóðskrá, tekjubókhald
ríkisins, innheimtu allra opinberra
gjalda, upplýsingakerfi ríkisskatt-
stjóra, upp lýsingakerfi um bai-na-
bætur og fleira. Bótakerfí Trygg-
ingastofnunar er varðveitt hjá
SkýiT og einnig upplýsingakei-fi
Tryggingastofnunar, launakerfi
ríkisins og Reykjavíkurborgar, at-
vinnuleysistryggingakerfið er þar
að finna, ökutækjaskrá, virðis-
aukaskattskei'fi og tollakerfi og
bótakerfi atvinnuleysistrygginga,
svo nokkur dæmi séu nefnd.
Allt myndar þetta ákveðna heild
þar sem upplýsingar eru samnýtt-
ar og geta á ákveðinn hátt flætt á
milli kerfanna. Þessar upplýsingar
sneita alla landsmenn og það gef-
ur kost á ákveðninni samkeyrslu á
milli einstakra kerfa.
„Það gilda mjög strangar í-eglur
um þessi samskipti og hverjir hafa
heimild til að tengja þau saman og
jafnframt eru ákveðnai' innbyggð-
ar hindranir á milli kerfanna,"
segir Hreinn Jakbosson, forstjóri
Skýrr.
Gögnin eru ekki dulkóðuð
Gögnin sem varðveitt eru í
landskerfum Skýrr eru ekki
dulkóðuð en varin með
mjög ströngum og flóknum
aðgangstakmörkunum.
Öi'yggiskerfin sjálf eru hins vegar
dulkóðuð, að sögn Hreins. „Við
notum mjög fjölbreytta flóru ým-
iss konar öryggiskerfa, sem eru
sambland vélbúnaðar og hugbún-
aðar,“ segir hann.
Skipta má öpyggiskefi Skýi'r í
nokkra hluta. í fyrsta lagi hefur
verið byggt upp ákveðið ytra ör-
yggislag. Þannig er t.d. aðgangur
að húsnæði Skýrr takmarkaður og
varinn með ströngum reglum og
öi-yggisvakt er haldin allan sólar-
hringinn árið um kring. Þá er að
gangur að hugbúnaði og gögnum
tölvukerfa Skýrr varinn sérstak-
lega. í aðgangsþjónustu Skýrr er
stýrt öllum aðgangi að viðkomandi
upplýsingarkefum, samkvæmt
ákveðnu ferli um slíkar að-
gangsveitingar. Hvorki einstök
upplýsingakerfi eða þau gögn sem
þau hafa að geyma eru í eigu
Skýrr, heldur einstakra viðskipta-
aðila. Skýrr sér hins vegar um all-
an rekstur og öryggi kerfanna
með viðskipta samningum við ein-
staka aðila.
Eigendur gagnanna segja alfar-
ið til um hvaða starfsmenn fá að-
gang að einstökum hlutum hvers
kerfis fyrir sig og nota því eigin
öryggisaðferðir hvað það varðar.
Starfsmenn fá úthlutað aðgangs-
orði og leyniorði og eru persónu-
lega ábyrgir fyrir þeim aðgangi
sem þeim er veittur. í þriðja lagi
er svo aðgangur takmarkaður að
sjálfum upplýsingun um sem varð-
veitt eru í upplýsingakerfunum.
Hreinn telur síst minna öryggi í
því fólgið að varðveita viðkvæmar
upplýsingar með fullkomnum
tækjabúnaði á einum stað, þar
sem settar séu upp margvíslegar
tæknilegar hindranir til að varð-
veita gögnin, fremur en að geyma
þær á mörgum stöðum, í aðskild-
um gagnagi-unnum. „Það má í
raun líkja því við ef menn teldu
meiri hættu stafa af því að vista
afbrotamenn alla saman í ákveðnu
fangelsi vegna þess að klefamir
lægju allir saman og því væri
skynsamlegra að dreifa föngunum
út um allan bæ,“ segir hann.
Hugsun og öguð vinnu-
brögð skipta mestu
Að sögn Hreins hafa aldrei
komið upp alvarleg slys í öi-yggis-
málum SkýiT, í áratuga langri
sögu fyrirtækisins. „Öryggismál
snúast um samspil margra ólfkfa
þátta, bæði innra og ytra öryggi,
verndun og meðhöndlun persónu-
upplýsinga, hvernig að gangur er
veittur að forritum og göngum og
hvemig ýmsar tæknilegar hindr-
anir em settar,“ segir Hreinn.
„Það sem skiptir mestu máli er
ákveðin hugsun, fyrirfram mótuð
aðferðafræði og mjög öguð vinnu-
brögð. Hingað til hefur ekki verið
gerð krafa til okkar um dulkóðun.
Við geturn þó í sjálfu sér auðveld-
lega dulkóðað gögnin ef farið yrði
fram á það.
Við fögnum þeirri umræðu sem
nú á sér stað um öryggismál í upp
lýsingatækni. Okkur finnst við oft
hafa talað fyrir daufum eyrum
hvað þetta varðar. Okkur hefur
verið treyst og við erum sífellt að
vinna að því að betmmbæta þessa
hluti hjá okkur. Það em stöðugt
að koma á markaðinn nýjar lausn-
ir til þess að vernda upplýsingar
betur, en allt kostar þetta hins
vegar ákveðna fjármuni,“ segir
Hreinn.
meðan kóðunin fer fram og eru svo
send inn í miðlæga gagnagmnninn.
„Til þess að komast framhjá
dulkóðun kennitölu á þessu stigi
þarf aðgang að kennitölum í þjóð-
ski'á og aðferð heilbrigðisstofnana.
Þá er hægt að dulkóða alla þjóðskrá
og með samanburði að þekkja per-
sónur. Heilsufarsupplýsingarnar
eru eftir sem áður ólæsilegar,“ seg-
ir á minnisblaðinu.
Stjórnendur gagnagrunnsins
taka nú við upplýsingunum. Þeir
hafa einkalykil að heilsufarsgögn-
unum en gert verður að skilyrði að
þær verði geymdar dulkóðaðar. Þá
er það gert að skilyrði að öll önnur
gagnasöfn í gagnagrunninum verði
geymd í aðskildum gmnnum og
dulkóðuð með mismunandi opinber-
um lyklum. Þetta torveldar enn
frekar samtengingu upplýsinga, s.s.
um erfðir og ættir, við heilsufars-
upplýsingar, að mati höfunda minn-
isblaðsins.
Þá er þýðingarmikið atriði að
geymsla einkalyklanna verður háð
samþykki Tölvunefndar. „Aðeins
verði leyft að vinna úr upplýsingum
í sérstökum vinnslugrunni sem
krefst notkunar eins eða fleiri
einkalykla, allt eftir því hve mikil
samtenging gagna á sér stað í
vinnslunni. Vinnslugrannur erfi
ekki fyiTÍ einstaklingsauðkenni,
heldur fái einstaklingar á ný
dulkóðuð auðkenni. Fyi'irspurnir
verði aðeins leyfðar í vinnslugi'unni
og þar verði persónuvernd sérstak-
lega tryggð. Þar mega t.d. ekki birt-
ast upplýsingar sem leitt geta til
þess að einstakar persónur eða ætt-
ir þekkist, t.d. af samanburði við op-
inberar eða þekktar persónuupplýs-
ingar,“ segir á minnisblaðinu.
Hvaða möguleikar em á að brjóta
upp dulkóðunina á þessu stigi? Skv.
upplýsingum sem blaðið hefur aflað
sér er talið að þrátt fyrir að unnt sé
að brjóta kóðun í eina átt upp með
talsverðri fyrirhöfn séu afar litlar
líkur á að takist að brjóta allar þrjár
kóðanirnar. Jafnvel þó tækist að
brjóta upp kóðaðar kennitölur er
búið að sldlja heilbrigðisupplýsing-
arnar frá og þvi hefði sá hinn sami
ekkert annað í höndunum en kenni-
tölur. Séu heilbrigðisgögnin á hinn
bóginn brotin upp sé ógerlegt að
tengja þau ákveðnum persónum.
Höfundar tillagnanna segja að til
að hér sé unnt að brjóta til baka
hina dulkóðuðu kennitölu þurfi við-
komandi að verða séi' úti um bæði
dulkóðunaraðferð heilbrigðisstofn-
ana og aðferð Tölvunefndar og síð-
an að keyra þjóðskrá gegnum hvora
aðferð fyrir sig eða þá að beita svo-
nefndri „brute force“ aðferð, þ.e.
prófa alla möguleika. Þjóðskrá með
kennitölum allra Islendinga sé opin-
ber og því sé sú aðferð mun auð-
veldari.
Þeirri spurningu er einnig velt
upp hvaða möguleika óþekktir og
utanaðkomandi aðilar hafa á að
brjóta upp dulkóðunina. Meginat-
riði þess er að þá þyrfti viðkomandi
að brjótast inn hjá fleiri en einum
hinna þriggja til þess að eiga meiri
möguleika á að brjóta kóðunina upp
fyi'ir hvern og einn þeirra.
Grunnurinn geymdur
utan fyrirtækisins
Stjórnendur ÍE hafa lagt til að
gagnagrannurinn sjálfur verði
geymdur utan fyrirtækisins hjá
þriðja aðila til að fyrirbyggja grun-
semdir um misnotkun. I lýsingum
sínum á nafnleyndarkerfi fyrirhug-
aðs gagnagrunns, sem em að ýmsu
leyti frábrugðnar kröfum ráðuneyt-
isins, hafa forsvarsmenn IE gert
ráð fyrir þrefaldri dulkóðun per-
sónueinkenna með greiningarlykl-
um. Samkvæmt upplýsingum sem
Morgunblaðið fékk hjá fyrirtækinu
um hvemig það hyggst standa að
gerð og starfrækslu gagnagi'unns-
ins kemur fram að beitt verði mjög
öflugum dulkóðunaraðferðum og
notaðir svonefndir 128 bita grein-
ingarlyklar. Til þess að fræðilega ►
SKÝRR