Tölvumál - 01.12.1998, Side 37
Öryggismál
Rdðstefna á vegum Skýrr hf. um
öryggismál í tölvukerfum
Agnar Björnsson
Auðveldara væri að
vernda upplýsingar í
miðlægum gagna-
grunni en í dreifðum
Það er ekki þekkingin
sem er vandamál
heldur hvernig við
notum hana
Þann 24. nóvember síðastliðinn stóð
Skýrr hf. í samstarfí við Ernst &
Young endurskoðun og ráðgjöf hf.
fyrir ráðstefnu um öryggismálefni. f máli
ráðstefnustjóra, Hreins Jakobssonar, for-
stjóra Skýn- hf., kom fram að boðað var til
ráðstefnunar til að bregða betra ljósi á
öryggi í meðhöndulun viðkvæmra
persónuupplýsinga og finna hvaða leiðir
má fara til að bæta öryggi og meðferð við-
kvæmra gagna. Til þessa voru fengnir
ýmsir færir sérfræðingar bæði innlendir
og erlendir. Þeir fjölluðu um málefnið út
frá mismunandi sjónarhornum til að
mynda með augum stjórnmálamannsins,
lögfræðingsins, endurskoðandans og
tölvusérfræðinganna.
Eftir setningu ráðstefnunnar var komið
að ávarpi Davíðs Oddssonar forsætisráð-
hena. Margir biðu spenntir eftir því hvað
hann hefði fram að færa en hann hafði
ekki tjáð sig um málefnið frá því er hann
sagði að víða lægu heilbrigðisupplýsingar
á glámbekk eins og frægt varð.
Davíð fagnaði því að haldið skyldi
sérstakt umræðuþing um persónuvernd og
afdrif hennar í heimi sífellt skilvirkari
upplýsinga- og tölvutækni. Hann fjallaði
um þá umræðu sem hefur verið í gangi í
þjóðfélaginu varðandi miðlægan gagna-
grunn á heilbrigðissviði og taldi að
umræðan væri stundum ómarkviss og
ætlað að valda ruglingi hjá almenningi.
Persónuvemd væri ekki bara punt eða
skrautyrði heldur væri þetta nokkuð sem
skipti veigamiklu máli. Þekkingarumræðan
var líka sú að við megum ekki hindra
framgang hennar þannig að við getum nýtt
okkur hana til framfara í þjóðfélaginu.
Það er ekki þekkingin sem er vandamál
heldur hvernig við notum hana.
Stefnumótun í öryggismálum
Tom Peltier aðstoðarprófessor við Eastern
Michigan University lagði áherslu á nauð-
syn stefnumótunar í öryggismálum, það er
að hafa skráða öryggisstefnu fyrir þær
upplýsingar sem eru í fyrirtækinu, stofn-
uninni eða þess aðila sem sér um rekstur
upplýsingamála. Hann lagði mikla áherslu
á að það væri hinn mannlegi þáttur sem er
stærsti veikleikinn í öryggismálum tölvu-
kerfa en ekki það hvort gögn séu dulkóðuð
eða ekki. Hann sagði að áhætta vegna
utanaðkomandi væru smámunir miðað við
áhættuna á brotum eigin starfsmanna.
Hann bað ráðstefnugesti að líta á næsta
mann við hliðin á sér og benti síðan á að
þannig liti hin dæmigerði tölvuþrjótur út.
Hann talaði um að þegar öryggisstefna
væri skráð niður þyrfti að skrifa hana á
máli sem fólk gæti skilið. Það er nauðsyn-
legt að hún sé skrifleg og hana þarf að
kynna vel. Mikilvægt væri að starfsfólk
væri með í mótun öryggisstefnunnar. Það
væri afar mikilvægt fyrir Skýrr og aðra
sambærilega aðila að viðskiptavinirnir
þekktu til öryggisstefnunnar. Hann ræddi
einnig um gagnagrunna á heilbrigðis-
sviðinu og nauðsyn þess að vernda réttindi
einstaklinganna en hindra ekki að vísinda-
menn gætu notað þessi gögn. Tom taldi að
auðveldara væri að vernda upplýsingar í
miðlægum gagnagrunni en í dreifðum.
Lagaumhverfið
I máli Oddnýar Mjallar Arnardóttur lög-
fræðings kom fram að löggjafinn er rnjög
mikið að sinna verndun persónuupp-
lýsinga. f friðhelgi persónuupplýsinga
felst m.a. rétturinnn til að vita hvernig
gögn eru skráð og hvernig þau eru notuð.
Hún benti á nokkrar vefslóðir, sem vísa á
hvað er að gerast í þessum málum, sem
hún hvatti ráðstefnugesti til að kynna sér.
1. Drög að leiðbeiningum um friðhelgi
einkalífs á Internetinu.
http://www.coe.fr/DataProtection.
2. Tilskipun Evrópusambandsins um
vernd einstaklinga við vinnslu persónu-
upplýsinga og um frjálst flæði slíkra
upplýsinga, nr. 95/46/EC.
Tölvumál
37