![[Forrige artikkel]](../../gifs/prev.gif)
![[Indeks]](../../gifs/up.gif)
![[Neste artikkel]](../../gifs/next.gif)
![[CW hjemmeside]](../../gifs/cw.gif)
«Personlig tror jeg ikke en brannmurteknologi er sikker nok, og her støtter jeg meg til teknisk ekspertise», sier Apenes. Da må jeg spørre: Hvilken ekspertise? I den skriftlige begrunnelsen for avslaget benytter Datatilsynet nesten en hel side til å referere en rapport fra Statskonsults «OSI-Internet-utvalg» hvor også KITH var involvert. Dette er tilsynelatende Apenes sitt «sannhetsvitne». I rapporten, datert juni 1995, heter det bl.a. at «få brannmurløsninger er i drift og erfaringsgrunnlaget mangler. I liten grad er det gjennomført grundige sikkerhetsanalyser av hva denne teknologien faktisk gir av beskyttelse».
«En klok beslutning», sier Datatilsynets direktør Georg Apenes i CW nr. 38 om styrets (splittede) nei-vedtak i saken om sykehus-tilkopling til Internet -- og følger opp med å referere hva hans personlige synspunkter er og ikke så mye om hva styret besluttet.
Dette kan kanskje synes som sterke argumenter, men ser vi sammenhengen sitatene er hentet fra blir bildet et helt annet! Avsnittet det siteres fra er fra et kapittel om praktiske erfaringer fra norsk statlig forvaltning. Bakgrunnen for avsnittet (som er skrevet i februar '95) er Statens Kartverks og andre offentlige etaters (begrensede)
erfaringer med å laste ned fritt tilgjengelige brannmur-«toolkits».
Forøvrig står det i Statskonsults rapport at utvalget ikke har gått i dybden på sikkerhetsspørsmålene, men at dette bør følges opp separat. Hadde Datatilsynets administrasjon tatt seg tid til å undersøke denne saken noe grundigere hadde de forstått at dette avsnittet ikke kan benyttes som det «sannhetsvitnet» Apenes vil ha
det til.
I KITHs rapport og notater til Datatilsynet skriver vi bl.a at slik fritt tilgjengelig programvare ikke skal benyttes, men at brannmurene skal være fra etablerte leverandører som kan dokumentere «meritter» og kvalitet. Våre (svært konservative) krav og retningslinjer til brannmurer er ellers i tråd med anbefalinger fra tunge
organisasjoner i bl.a. USA, som f.eks NIST (National Institute of Standards and Technology, opprettet gjennom «Computers Security Act» av 1984). På bakgrunn av en lang rekke implementasjoner av brannmurløsninger i en rekke ulike organisasjoner, inkludert sykehus i USA, konkluderer NIST (i en rapport fra mars '95) med at: «A
firewall system is one technique that has proven highly effective for improving the overall level of site security». Datatilsynet skriver i sitt svarbrev at vi gjør helsevesenet til «testbrukere» for lite utprøvd teknologi. Dette faller på sin egen urimelighet.
Det er trist at Datatilsynet avviser og skaper mistillit til den ekspertise som står bak eller som det refereres til i Haukelands og KITHs søknad til Datatilsynet. Dersom sitatet Datatilsynet bl.a. begrunner sitt avslag med var sentralt i administrasjonens
sakspapirer til styrets behandling, kan jeg ikke forstå annet enn at styret i det minste har blitt mangelfullt informert. For det er viktig å merke seg at styret ikke avviser brannmurer som en mulig løsning, men sier at de (d.v.s flertallet i styret) ikke har fått
tilstrekkelig tillit til at slike løsninger «holder mål». Og det er kanskje ikke så rart på basis av den dokumentasjon administrasjonen tilsynelatende har lagt fram.
Apenes understreker at dette ikke først og fremst er et juridisk eller teknologisk spørsmål, men et politisk. Da kan en ikke bare forholde seg til «realitetene», men også til hvilke forestillinger folk kan få. Det slås fast at det vil være et velferdstap hvis
pasienter får mistanke om at smarte hackere går inn i systemene.
Ingen er uenig i dette, men hvem er det som skaper eller forsterker slike forestillinger, om ikke Datatilsynet/Apenes selv, og på hvilket grunnlag?
Argumentasjonen blir ikke mindre besynderlig når vi (nok en gang) ser at Apenes foretrekker «fysisk separate løsninger», sannsynligvis fordi slike løsninger ikke lenger vil være Datatilsynets «problem». At mange kompetente og ansvarlige mennesker i helsesektoren -- og ellers -- hevder at parallelle nettverk i en praktisk hverdag i
realiteten medfører større risiko for personvernet, er tydeligvis ikke like urovekkende. Mon tro om ikke mange mennesker/pasienter vil føle uro over den mangel på teknisk og praktisk realitetsforståelse, i tillegg til en merkelig dobbeltrolle som både opinionsskaper og «dommer», som Datatilsynet her demonstrerer? Hva er Stortingets
intensjon -- skal Datatilsynet skape tillit eller mistillit?
Siste ord er ikke sagt i denne saken ... KENNETH R. IVERSEN, SENIORKONSULENT KOMPETANSESENTER FOR IT I HELSEVESENET
MANGELFULLT: Styret i Datatilsynet er blitt mangelfullt informert av
![[Forrige artikkel]](/CW/gifs/prev.gif)
![[Indeks]](/CW/gifs/up.gif)
![[Neste artikkel]](/CW/gifs/next.gif)
![[Image map not available]](/CW/gifs/artmap.gif)