- ,40 MIÐVIKUDAGUR 18. NÓVEMBER 1998 SKOÐUN MORGUNBLAÐIÐ INNBROTI MIÐLÆGAN GAGNAGRUNN EIN- FALT OG RAUNHÆFT HELSTI vandi lög- gjafans og Islenskrar erfðagreiningar er að ^.skilgreina hugtakið ' persónugreinanlegur. Talsverð lagaleikfimi hefur átt sér stað og síðasta skilgreiningin, sem kom frá Laga- stofnun Háskóla Is- lands, segir meðal annars um öryggi gagnagrunnsins: „Ef heildarmat á þessum ráðstöfunum öllum leiðir til þeirrar niður- stöðu að persónugrein- ing gagnanna teljist ekki með sanngirni Oddur Þór Þorkelsson raunhæfur möguleiki án verulegrar fyrirhafn- ar og mannafla þá eru upplýsing- arnar samkvæmt mælikvörðum þjóðréttar ópersónugi-einanlegar.“ Þetta er ansi áhugavert, enda má núna flokka innbrot og árásir á gagnagrunninn eftir því hvort þær eru sanngjarnar eða ekki. Það vita allir að innbrotsþjófur leitar ávallt að auðveldustu aðferðinni til inn- brota og spáir hann ekkert í hvort aðferðir hans eru sanngjarnar eða ekki, enda ætlar hann að fremja glæp. Forráðamenn Islenskrar erfðagreiningar hafa síðan fullyrt að sú gagnrýni sem Ross Ander- son kom með varðandi öryggismál gagnagrunnsins hafi ekki verið raunhæf heldur bara fræðilegir möguleikar. Þetta er alrangt. Dulkóðun, fyrirspurnalag og aðgangsstýring hafa verið töfra- orð, sem notuð hafa verið til að tryggja öryggi gagna í gagna- grunninum. Aðdáendur frum- varpsins hafa síðan talið sér trú um allt sé í besta lagi, enda er allt tal um innbrot í grunninn fræði- legar vangaveltur þar til brotist hefur verið inn í hann. En svona hugsar ekki sá sem ætlar sér að persónu- greina einstaklinga í grunninum eða ætlar að stela grunninum. Ein fyrsta regla sem kennd er í tölvuör- yggi er: Ávallt skal gera ráð fyrir að sá sem ætlar að fremja glæp muni nota allar aðferðir sem hann hefur yfir að ráða. Það eru ekki endilega þær augljósustu eða þær aðferðir sem mestum tíma hefur verið eytt í að verja. Onnur reglan segir síðan: Vernda skal gögn þangað til að þau hafa tapað verðmæti sínu. Vernda skal gögn í samræmi við verðgildi þeirra. Með þessar einföldu regl- ur í huga skulum við líta á nokkr- ar einfaldar, fjótlegar og ódýrar aðferðir til að persónugreina ein- staklinga og alla þjóðina í miðlæg- um gagnagrunni. 1. Samanburður ættagrunna. 2. Samanburður á gagnasending- um til gagnagrunns. 3. Sending kennitölu í dulkóðaða hluta skeytis til gagnagrunns. 4. Skipulagðar fyrirspurnir í fyrir- spumalagið. 5. Viðhalda tveim gagnagrunnum. 6. Fylgjast með breytingum á gagnagrunninum. 7. „Miðju manns árás“. 8. Lögum breytt. 1) Samanburður ættagrunna. Ein helsta aðgangstakmörkunin að gagnagranninum er svokallað fyr- irspurnalag. Um er að ræða hug- búnað, eins konar dyravörð sem leyfir aðeins tilteknar fyrirspumir og svör. Það er góð ástæða fyrir því að Islensk erfðagreining vill láta þjóðina halda að aðeins sé Landbúnaðarnefnd Sjálfstæðisflokksins íslenskur landbúnaður á nýrri öld Málefnanefnd Sjálfstæðisflokksins um landbúnaðarmál boðar til fjögurra opinna funda um landbúnaðarmál. Fundirnir eru: Miðvikudaginn .....18. nóvember, kl. 21.00, fundarstaður Hótel Selfoss, Selfossi, fundarstjóri verður Eggert Pálsson bóndi, Kirkjulæk, Fljótshlíð. Fimmtudaginn.......19. nóvember, kl. 21.00, fundarstaður Staðarflöt, Staðarskála, Hrútafirði. Þriðjudaginn.......24. nóvember kl. 21.00, fundarstaður Hótel Hérað, Egilsstöðum. Miðvikudaginn .....25. nóvember kl. 20.30, fundarstaður Hótel KEA, Akureyri. Drífa Hjartardóttir, bóndi, Keldum. Kjartan Þ. Ólafsson, garðyrkjubóndi, Selfossi. Pétur Ó. Helgason, bóndi, Hranastöðum. Markús K. Möller, hagfræðingur. Hjálmar Jónsson, alþingismaður. Allir velkomnir Stiórnin. hægt að nálgast gagnagrunninn úr fyrirspurnalagi. Enda geta þeir þá sagt að fyrirspurnalagið leysi allan vanda. Svona einfalt er það þó ekki. Oll gögn liggja í raunveru- legu gagnasafni þar sem heilbrigð- is- og ættaupplýsingar eru geymd- ar. Islensk erfðagreining hefur beinan aðgang að þessum gögnum og skiptir fyrispurnarlagið í raun engu máli. Það er rétt að utanað- komandi vísindamenn hafa ekki beinan aðgang, en það hafa ýmsir starfsmenn Islenskrar erfðagrein- ingar. Þvi er leikur einn fyrir þá að persónugreina einstaklinga. (Sjá grein undirritaðs í Morgunblaðinu hinn 15.10.1998.) 2) Samanburður á gagnasend- ingum. Auðvelt er að hafa áhrif á gagnasendingar til gagnagrunns. Til dæmis getur heilbrigðisstarfs- maður geymt lista yfir þær kenni- tölur sem hann sendir og hvenær hann sendir þær. Síðan sendir Ein fyrsta regla sem kennd er í tölvuöryggi, segir Oddur Þór Þor- kelsson, er: Avallt skal gera ráð fyrir að sá sem ætlar að fremja glæp muni nota allar aðferðir sem hann hef- ur yfir að ráða. hann aftur einhverja kennitölu og segir íslenskri erfðagreiningu hver kennitalan er og hvenær hún var send síðast. Með samanburði á gagnasendingum þessara tveggja daga mun eitt dulkóðað númer vera endurtekið og venslin kennitala = dulkóði er fundin. Vert er að benda á að tölvunefnd sem á að vera eftirlitsaðili og milli- liður myndi aldrei sjá neitt dular- fullt við gagnasendingarnar. 3) Sending kennitölu í dulkóð- aða hluta skeytis til gagnagranns. Þegar upplýsingar verða sendar til gagnagrannsins verða þær sendar fyrst til tölvunefndar sem á að endurdulkóða kennitöluna á skeyt- inu og senda það síðan áfram til Islenskrar erfðagreiningar. Skeyt- ið sem tölvunefnd fær er í tvennu lagi. Annars vegar dulkóðuð kennitala og hins vegar dulkóðað- ar heilbrigðisupplýsingar. Heil- brigðisupplýsingarnar era hafðar dulkóðaðar til þess að tölvunefnd viti ekkert um einstaklinginn í skeytinu. Þar sem tölvunefnd veit ekkert um innihald dulkóðaða hluta skeytisins má nota það til leynilegra gagnasendinga. Hér eru að minnsta kosti tvær aðferðir til að senda upplýsingar um kenni- tölu. 1) hugbúnaðurinn sem notað- ur er hjá heilbrigðisstofnun, skrif- ar einfaldlega kennitöluna í dulkóðaða hluta skeytisins. 2) Heilbrigðisstarfsmaður kóðar kennitölu sem heilbrigðisupplýs- ingar. T.d. kvefaður= 00, fótbrot- inn= 01,_, hjartveikur= 99. Hér sem fyrr getur tölvunefnd ekki vit- að að eitthvað saknæmt er á seyði enda sjá þeir aðeins dulkóðaðar upplýsingar og senda þær gran- lausir áfram til Islenskrar erfða- greiningar. 4) Skipulagðar fyrirspurnir í fyrirspurnalagið. Fyrirspumir vísindamanna sem fara í gegnum fyrirspurnalagið eiga að skila að lágmarki 10 einstaklingum og á þannig að tryggja að einstaklingur þekkist ekki. Þetta lítur ágætlega út á yfirborðinu en reynist haldlít- ið þegar nánar er athugað. Með skipulögðum fyrirspurnum í grunninn má finna upplýsingar um einstaklinga þrátt fyrir þessa takmörkun. Einfaldasta aðferðin er að spyrja fyrirspurnalagið tveggja spurninga. Gefum okkur að fyrsta spurningin skili okkur lista yfir 50 einstaklinga. Nú spyrjum við fyrirspurnalagið aft- ur, en breytum spurningunni lítil- lega þannig að einnig er spurt um sérkenni einstaklings og fyrir- spurnalagið svarar með lista yfir 51 einstakling. Nú dregur þú 50 einstaklinga frá 51 og þú hefur fundið einstaklinginn sem þú leit- aðir að. Auðvelt er að útbúa flókn- ari atburðarás fyrirspurna sem þýðir að það er ómögulegt að sjá að einstaklingur hafi verið eyrna- merktur. 5) Viðhalda tveim gagnagrann- um. Þess er hvergi getið hvernig gögnum skal komið í granninn eft- ir að tölvunefnd hefur endur- dulkóðað kennitöluna. Islensk erfðagreining eða einhver annar sem hefur aðgang að gagnasend- ingunni gæti því auðveldlega fjöl- H0TEL SKJALDBREIÐ, LAUGAVEGI 16 NYTT H0TEL A BESTA STAÐ í MIÐB0RGINNI VETRARTILB0Ð VerðJrá kr. 2.700 á mann í2ja manna herbergi. Morgunverðarhlaðborð innifalið. Frir drykkur á veitingahúsinu Vegamótum. Sími 511 6060, fax 511 6070 guesthouse@eyjar.is Fyrir sólarlandafara Sfulterma bolir og peysur Glugginn Laugavegi 60, sími 551 2854 faldað upplýsingarnar til að útbúa annan gagnagrann, sem ekki væri undir eftirliti. 6) Fylgjast með breytingum á granninum. Með því að spyrja sömu spurningar með nokkurra daga millibili getur komið sú staða að fyrirspurnalagið gefi nýtt svar. Til dæmis gæti nýr einstaklingur hafa bæst við, upplýsingar um ein- hvern breyst e<3a fækkað hafi um einn í svarinu. Ástæðan fyrir þessu er að grunnurinn mun í framtíð- inni endurspegla samtímann. Öll vitneskja um einstaklinga í þjóðfé- laginu mun auka líkurnar á því að hægt verði að persónugreina þá. Barneignir eða dauðsföll breyta ættagiunni. Heimsókn til læknis þýðir nýjar upplýsingar í gagna- grunninn. Þetta verður að sjálf- sögðu ekki svona einfalt til að byrja með en hugsið aðeins fram í tímann þegar tölvukerfi spítalanna verða svo að segja beintengd við granninn. 7) „Miðju manns árás“. Þessi tegund árásar á gagnaöryggi felst í því að einstaklingur eða stofnun kemst í gagnasendingu og getur haft áhrif á eða breytt upplýsing- um sem verið er að senda. Tölvu- nefnd er dæmi um hóp einstak- linga, sem era í miðju gagnasend- inga frá heilbrigðisstofnun til Is- lenskrar erfðagreiningar. Þeir gætu skipt um „public“-lykil sem nota á til að dulkóða heilsufars- upplýsingar til Islenskrar erfða- gi'einingar, þannig að þegar gögn væra send til tölvunefndar gætu þeir leyst sína eigin dulkóðun og endurdulkóðað nýtt skeyti með „public“-lykli Islenskrar erfða- gi'einingar. Tölvunefnd sendir nýja skeytið til íslenskrar erfða- greiningar. Hafa þeir þá kennitölu og heilbrigðisupplýsingar einstak- linga í hendi sér og geta smíðað sinn eigin gagnagrann. 8) Lögum breytt. Stjórnarfar breytist og þrýstihópar geta orðið til sem vilja láta persónugreina gagnagranninn. Með einfaldri lagabreytingu mætti senda allar kennitölur til persónugreiningar. íslensk erfðagreining hefur þegar kennt okkur hvernig á að gera þetta, enda er framkvæmdin sú sama og þegar eyða á einstaklingi úr giunninum. I staðinn fyrir að eyða honum er hann eyrnamerkt- ur og venslin kennitala = dulkóði er fundin. Það er furðulegt að halda Iram að einstaklingur sé ekki persónugreinanlegur þegar hægt er að eyða honum úr grunn- inum með einfaldri aðgerð! Islensk erfðagreining hefur þannig bent okkur á að það er leikur einn að finna einstaklinga í grunninum. Öryggi samanstendur af mörg- um þáttum og er heildaröryggi aldrei sterkara en veikasti hlekk- urinn. Hér hefur verið bent laus- lega á ýmsa galla þess nafnleynd- arkerfis sem Islensk erfðagrein- ing hefur kynnt og er lýst í frum- varpinu til laga um gagnagi-unn á heilbrigðissviði. Islensk erfða- greining segist þó hafa einhverja lýsingu á kerfi sem á að virka niðri í skúffu hjá sér. Ætli það sé ekki kominn tími til að þeir grafi hana upp og gefi okkur enn eina aðferð- ina fyrir nafnleyndarkerfi, sem að þeirra sögn á að vera í lagi, eða halda þeir að öryggi fáist með fá- fræði. Niðurstaða. Líta skal á gagna- grunninn sem persónugreinanlegan og ætti að breyta framvarpinu til að endurspegla þá staðreynd. Eðlilegt er þó að hafa venjulegar öiyggis- ráðstafanir þannig að kennitölur liggi ekki á glámbekk, en öll með- ferð og meðhöndlun gagna á að vera í samræmi við lög og reglur sem eiga við persónugreinanleg heilbrigðisgögn. Hvet ég svo alla til að lesa skýrslu Ross Anderson um nafnleyndai'kerfi íslenskrar erfða- greiningar. Vefslóðin er: www.cl.cam.ac.uk/~rjal4/iceland/ic eland/html. Höfundur er tölvunarfræðingur.

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64