Morgunblaðið - 18.11.1998, Blaðsíða 40
- ,40 MIÐVIKUDAGUR 18. NÓVEMBER 1998
SKOÐUN
MORGUNBLAÐIÐ
INNBROTI MIÐLÆGAN
GAGNAGRUNN EIN-
FALT OG RAUNHÆFT
HELSTI vandi lög-
gjafans og Islenskrar
erfðagreiningar er að
^.skilgreina hugtakið
' persónugreinanlegur.
Talsverð lagaleikfimi
hefur átt sér stað og
síðasta skilgreiningin,
sem kom frá Laga-
stofnun Háskóla Is-
lands, segir meðal
annars um öryggi
gagnagrunnsins: „Ef
heildarmat á þessum
ráðstöfunum öllum
leiðir til þeirrar niður-
stöðu að persónugrein-
ing gagnanna teljist
ekki með sanngirni
Oddur Þór
Þorkelsson
raunhæfur
möguleiki án verulegrar fyrirhafn-
ar og mannafla þá eru upplýsing-
arnar samkvæmt mælikvörðum
þjóðréttar ópersónugi-einanlegar.“
Þetta er ansi áhugavert, enda má
núna flokka innbrot og árásir á
gagnagrunninn eftir því hvort þær
eru sanngjarnar eða ekki. Það vita
allir að innbrotsþjófur leitar ávallt
að auðveldustu aðferðinni til inn-
brota og spáir hann ekkert í hvort
aðferðir hans eru sanngjarnar eða
ekki, enda ætlar hann að fremja
glæp. Forráðamenn Islenskrar
erfðagreiningar hafa síðan fullyrt
að sú gagnrýni sem Ross Ander-
son kom með varðandi öryggismál
gagnagrunnsins hafi ekki verið
raunhæf heldur bara fræðilegir
möguleikar. Þetta er alrangt.
Dulkóðun, fyrirspurnalag og
aðgangsstýring hafa verið töfra-
orð, sem notuð hafa verið til að
tryggja öryggi gagna í gagna-
grunninum. Aðdáendur frum-
varpsins hafa síðan talið sér trú
um allt sé í besta lagi, enda er allt
tal um innbrot í grunninn fræði-
legar vangaveltur þar til brotist
hefur verið inn í hann. En svona
hugsar ekki sá sem
ætlar sér að persónu-
greina einstaklinga í
grunninum eða ætlar
að stela grunninum.
Ein fyrsta regla sem
kennd er í tölvuör-
yggi er: Ávallt skal
gera ráð fyrir að sá
sem ætlar að fremja
glæp muni nota allar
aðferðir sem hann
hefur yfir að ráða.
Það eru ekki endilega
þær augljósustu eða
þær aðferðir sem
mestum tíma hefur
verið eytt í að verja.
Onnur reglan segir síðan: Vernda
skal gögn þangað til að þau hafa
tapað verðmæti sínu. Vernda skal
gögn í samræmi við verðgildi
þeirra. Með þessar einföldu regl-
ur í huga skulum við líta á nokkr-
ar einfaldar, fjótlegar og ódýrar
aðferðir til að persónugreina ein-
staklinga og alla þjóðina í miðlæg-
um gagnagrunni.
1. Samanburður ættagrunna.
2. Samanburður á gagnasending-
um til gagnagrunns.
3. Sending kennitölu í dulkóðaða
hluta skeytis til gagnagrunns.
4. Skipulagðar fyrirspurnir í fyrir-
spumalagið.
5. Viðhalda tveim gagnagrunnum.
6. Fylgjast með breytingum á
gagnagrunninum.
7. „Miðju manns árás“.
8. Lögum breytt.
1) Samanburður ættagrunna.
Ein helsta aðgangstakmörkunin að
gagnagranninum er svokallað fyr-
irspurnalag. Um er að ræða hug-
búnað, eins konar dyravörð sem
leyfir aðeins tilteknar fyrirspumir
og svör. Það er góð ástæða fyrir
því að Islensk erfðagreining vill
láta þjóðina halda að aðeins sé
Landbúnaðarnefnd
Sjálfstæðisflokksins
íslenskur landbúnaður
á nýrri öld
Málefnanefnd Sjálfstæðisflokksins um landbúnaðarmál
boðar til fjögurra opinna funda um landbúnaðarmál.
Fundirnir eru:
Miðvikudaginn .....18. nóvember, kl. 21.00,
fundarstaður Hótel Selfoss, Selfossi,
fundarstjóri verður Eggert Pálsson bóndi, Kirkjulæk, Fljótshlíð.
Fimmtudaginn.......19. nóvember, kl. 21.00,
fundarstaður Staðarflöt, Staðarskála, Hrútafirði.
Þriðjudaginn.......24. nóvember kl. 21.00,
fundarstaður Hótel Hérað, Egilsstöðum.
Miðvikudaginn .....25. nóvember kl. 20.30,
fundarstaður Hótel KEA, Akureyri.
Drífa Hjartardóttir,
bóndi, Keldum.
Kjartan Þ. Ólafsson,
garðyrkjubóndi, Selfossi.
Pétur Ó. Helgason,
bóndi, Hranastöðum.
Markús K. Möller,
hagfræðingur.
Hjálmar Jónsson,
alþingismaður.
Allir velkomnir
Stiórnin.
hægt að nálgast gagnagrunninn úr
fyrirspurnalagi. Enda geta þeir þá
sagt að fyrirspurnalagið leysi allan
vanda. Svona einfalt er það þó
ekki. Oll gögn liggja í raunveru-
legu gagnasafni þar sem heilbrigð-
is- og ættaupplýsingar eru geymd-
ar. Islensk erfðagreining hefur
beinan aðgang að þessum gögnum
og skiptir fyrispurnarlagið í raun
engu máli. Það er rétt að utanað-
komandi vísindamenn hafa ekki
beinan aðgang, en það hafa ýmsir
starfsmenn Islenskrar erfðagrein-
ingar. Þvi er leikur einn fyrir þá að
persónugreina einstaklinga. (Sjá
grein undirritaðs í Morgunblaðinu
hinn 15.10.1998.)
2) Samanburður á gagnasend-
ingum. Auðvelt er að hafa áhrif á
gagnasendingar til gagnagrunns.
Til dæmis getur heilbrigðisstarfs-
maður geymt lista yfir þær kenni-
tölur sem hann sendir og hvenær
hann sendir þær. Síðan sendir
Ein fyrsta regla sem
kennd er í tölvuöryggi,
segir Oddur Þór Þor-
kelsson, er: Avallt skal
gera ráð fyrir að sá
sem ætlar að fremja
glæp muni nota allar
aðferðir sem hann hef-
ur yfir að ráða.
hann aftur einhverja kennitölu og
segir íslenskri erfðagreiningu
hver kennitalan er og hvenær hún
var send síðast. Með samanburði á
gagnasendingum þessara tveggja
daga mun eitt dulkóðað númer
vera endurtekið og venslin
kennitala = dulkóði er fundin.
Vert er að benda á að tölvunefnd
sem á að vera eftirlitsaðili og milli-
liður myndi aldrei sjá neitt dular-
fullt við gagnasendingarnar.
3) Sending kennitölu í dulkóð-
aða hluta skeytis til gagnagranns.
Þegar upplýsingar verða sendar til
gagnagrannsins verða þær sendar
fyrst til tölvunefndar sem á að
endurdulkóða kennitöluna á skeyt-
inu og senda það síðan áfram til
Islenskrar erfðagreiningar. Skeyt-
ið sem tölvunefnd fær er í tvennu
lagi. Annars vegar dulkóðuð
kennitala og hins vegar dulkóðað-
ar heilbrigðisupplýsingar. Heil-
brigðisupplýsingarnar era hafðar
dulkóðaðar til þess að tölvunefnd
viti ekkert um einstaklinginn í
skeytinu. Þar sem tölvunefnd veit
ekkert um innihald dulkóðaða
hluta skeytisins má nota það til
leynilegra gagnasendinga. Hér eru
að minnsta kosti tvær aðferðir til
að senda upplýsingar um kenni-
tölu. 1) hugbúnaðurinn sem notað-
ur er hjá heilbrigðisstofnun, skrif-
ar einfaldlega kennitöluna í
dulkóðaða hluta skeytisins. 2)
Heilbrigðisstarfsmaður kóðar
kennitölu sem heilbrigðisupplýs-
ingar. T.d. kvefaður= 00, fótbrot-
inn= 01,_, hjartveikur= 99. Hér
sem fyrr getur tölvunefnd ekki vit-
að að eitthvað saknæmt er á seyði
enda sjá þeir aðeins dulkóðaðar
upplýsingar og senda þær gran-
lausir áfram til Islenskrar erfða-
greiningar.
4) Skipulagðar fyrirspurnir í
fyrirspurnalagið. Fyrirspumir
vísindamanna sem fara í gegnum
fyrirspurnalagið eiga að skila að
lágmarki 10 einstaklingum og á
þannig að tryggja að einstaklingur
þekkist ekki. Þetta lítur ágætlega
út á yfirborðinu en reynist haldlít-
ið þegar nánar er athugað. Með
skipulögðum fyrirspurnum í
grunninn má finna upplýsingar
um einstaklinga þrátt fyrir þessa
takmörkun. Einfaldasta aðferðin
er að spyrja fyrirspurnalagið
tveggja spurninga. Gefum okkur
að fyrsta spurningin skili okkur
lista yfir 50 einstaklinga. Nú
spyrjum við fyrirspurnalagið aft-
ur, en breytum spurningunni lítil-
lega þannig að einnig er spurt um
sérkenni einstaklings og fyrir-
spurnalagið svarar með lista yfir
51 einstakling. Nú dregur þú 50
einstaklinga frá 51 og þú hefur
fundið einstaklinginn sem þú leit-
aðir að. Auðvelt er að útbúa flókn-
ari atburðarás fyrirspurna sem
þýðir að það er ómögulegt að sjá
að einstaklingur hafi verið eyrna-
merktur.
5) Viðhalda tveim gagnagrann-
um. Þess er hvergi getið hvernig
gögnum skal komið í granninn eft-
ir að tölvunefnd hefur endur-
dulkóðað kennitöluna. Islensk
erfðagreining eða einhver annar
sem hefur aðgang að gagnasend-
ingunni gæti því auðveldlega fjöl-
H0TEL SKJALDBREIÐ, LAUGAVEGI 16
NYTT H0TEL A BESTA
STAÐ í MIÐB0RGINNI
VETRARTILB0Ð
VerðJrá kr. 2.700 á mann í2ja manna herbergi.
Morgunverðarhlaðborð innifalið.
Frir drykkur á veitingahúsinu Vegamótum.
Sími 511 6060, fax 511 6070
guesthouse@eyjar.is
Fyrir sólarlandafara
Sfulterma bolir og peysur
Glugginn
Laugavegi 60, sími 551 2854
faldað upplýsingarnar til að útbúa
annan gagnagrann, sem ekki væri
undir eftirliti.
6) Fylgjast með breytingum á
granninum. Með því að spyrja
sömu spurningar með nokkurra
daga millibili getur komið sú staða
að fyrirspurnalagið gefi nýtt svar.
Til dæmis gæti nýr einstaklingur
hafa bæst við, upplýsingar um ein-
hvern breyst e<3a fækkað hafi um
einn í svarinu. Ástæðan fyrir þessu
er að grunnurinn mun í framtíð-
inni endurspegla samtímann. Öll
vitneskja um einstaklinga í þjóðfé-
laginu mun auka líkurnar á því að
hægt verði að persónugreina þá.
Barneignir eða dauðsföll breyta
ættagiunni. Heimsókn til læknis
þýðir nýjar upplýsingar í gagna-
grunninn. Þetta verður að sjálf-
sögðu ekki svona einfalt til að
byrja með en hugsið aðeins fram í
tímann þegar tölvukerfi spítalanna
verða svo að segja beintengd við
granninn.
7) „Miðju manns árás“. Þessi
tegund árásar á gagnaöryggi felst
í því að einstaklingur eða stofnun
kemst í gagnasendingu og getur
haft áhrif á eða breytt upplýsing-
um sem verið er að senda. Tölvu-
nefnd er dæmi um hóp einstak-
linga, sem era í miðju gagnasend-
inga frá heilbrigðisstofnun til Is-
lenskrar erfðagreiningar. Þeir
gætu skipt um „public“-lykil sem
nota á til að dulkóða heilsufars-
upplýsingar til Islenskrar erfða-
gi'einingar, þannig að þegar gögn
væra send til tölvunefndar gætu
þeir leyst sína eigin dulkóðun og
endurdulkóðað nýtt skeyti með
„public“-lykli Islenskrar erfða-
gi'einingar. Tölvunefnd sendir
nýja skeytið til íslenskrar erfða-
greiningar. Hafa þeir þá kennitölu
og heilbrigðisupplýsingar einstak-
linga í hendi sér og geta smíðað
sinn eigin gagnagrann.
8) Lögum breytt. Stjórnarfar
breytist og þrýstihópar geta orðið
til sem vilja láta persónugreina
gagnagranninn. Með einfaldri
lagabreytingu mætti senda allar
kennitölur til persónugreiningar.
íslensk erfðagreining hefur þegar
kennt okkur hvernig á að gera
þetta, enda er framkvæmdin sú
sama og þegar eyða á einstaklingi
úr giunninum. I staðinn fyrir að
eyða honum er hann eyrnamerkt-
ur og venslin kennitala = dulkóði
er fundin. Það er furðulegt að
halda Iram að einstaklingur sé
ekki persónugreinanlegur þegar
hægt er að eyða honum úr grunn-
inum með einfaldri aðgerð! Islensk
erfðagreining hefur þannig bent
okkur á að það er leikur einn að
finna einstaklinga í grunninum.
Öryggi samanstendur af mörg-
um þáttum og er heildaröryggi
aldrei sterkara en veikasti hlekk-
urinn. Hér hefur verið bent laus-
lega á ýmsa galla þess nafnleynd-
arkerfis sem Islensk erfðagrein-
ing hefur kynnt og er lýst í frum-
varpinu til laga um gagnagi-unn á
heilbrigðissviði. Islensk erfða-
greining segist þó hafa einhverja
lýsingu á kerfi sem á að virka niðri
í skúffu hjá sér. Ætli það sé ekki
kominn tími til að þeir grafi hana
upp og gefi okkur enn eina aðferð-
ina fyrir nafnleyndarkerfi, sem að
þeirra sögn á að vera í lagi, eða
halda þeir að öryggi fáist með fá-
fræði.
Niðurstaða. Líta skal á gagna-
grunninn sem persónugreinanlegan
og ætti að breyta framvarpinu til að
endurspegla þá staðreynd. Eðlilegt
er þó að hafa venjulegar öiyggis-
ráðstafanir þannig að kennitölur
liggi ekki á glámbekk, en öll með-
ferð og meðhöndlun gagna á að
vera í samræmi við lög og reglur
sem eiga við persónugreinanleg
heilbrigðisgögn. Hvet ég svo alla til
að lesa skýrslu Ross Anderson um
nafnleyndai'kerfi íslenskrar erfða-
greiningar. Vefslóðin er:
www.cl.cam.ac.uk/~rjal4/iceland/ic
eland/html.
Höfundur er tölvunarfræðingur.