Lagring av personopplysninger i bankene

Du ønsker å kjøpe deg en leilighet. Litt dyr, men skitt au. Du har en brukbar inntekt, ryddige økonomiske forhold. Eller ikke. Uansett, du sender en søknad til din bankforbindelse, i disse tider gjerne via e-post eller bankens hjemmeside. For å øke sjansen for et lån sender du samme informasjon til to-tre banker til. Du legger ved det som kreves; du har naturligvis scannet inn din siste lønnsslipp, kopi av din legitimasjon, du har laget et kjekt lite budsjett i Excel som viser ståa før og etter det nye boliglånet. Gjerne med detaljer ned til matbudsjett, bilbruk, klær og så videre.

I banken(e) blir søknaden mottatt, vedlegg skrevet ut og saken gitt til en saksbehandler. Som behandler saken, tar med papirene til utlånsmøtet, drøfter din situasjon med sine kolleger, gjør et vedtak. Uansett utfall, opplysningene ned til minste detalj på økonomi, yrke, sivil status, adresse, telefon med mer blir lagret i en mappe. Online og offline. Fra før av har bankforbindelsen din for (din) sikkerhets skyld lagret din signatur og ditt bilde.

Her er vel dine personopplysninger trygge?

Etter en tid får du svar. Hurra, du kan kjøpe drømmeleiligheten! Eller: pokker, der røyk drømmeleiligheten. Greit nok.

Men hva skjer med alle opplysningene hos banken? Hvor lagres alt dette? Hvor er papirutgavene av søknadene med vedlagte opplysninger? Når blir de slettet? Blir de egentlig det? Jo, de støver vel etterhvert ned. Men støvet kan blåses bort ved ‘behov’ av bankens ansatte.

Det finnes naturligvis et lovverk for dette, kalt Lov om behandling av personopplysninger (personopplysningsloven). Denne kan du lese her. Fine greier! Jeg tror imidlertid at tilgang på og omgang med personopplysninger i bankene i enkelte tilfeller er tilfeldig, det vil si at bankansatte har lett tilgang på opplysningene banken har lagret om sine kunder. For eksempel den bankansattes slekt, venner, arbeidskamerater med mer.

Heldigvis er bankansatte profesjonelle folk som følger lovverket og bankens retningslinjer. Ikke sant?

Databasedrift flyttes til utlandet

De siste dagene har vi kunne lese at EDB Business Partner lar datterselskaper i Ukraina drifte norske banksystemer. I dag fikk vi vite at Telenor har søkt om tillatelse til å flytte drift og vedlikehold av databaser med personopplysninger til Ukraina.

Det er i mitt syn svært betenkelig at drift av store persondatabaser som norske banker og Telenor har ansvaret for flyttes utenfor landets grenser. Dette har med grunnleggende sikkerhet å gjøre; kontroll over personopplysninger tilhørende landets innbyggere skal være innenfor landets egne grenser. Det er flere årsaker til det; den viktigste er å ha 100% trygghet for at disse dataene ikke havner i uvedkommendes hender. Også årsaker som naturkatastrofer og uroligheter i landet der databasene driftes er viktige.

Ukraina har utvilsomt svært dyktige fagfolk innen IT-sektoren, og på grunn av lave lønns- og driftskostnader er det sikkert økonomisk meget gunstig å flytte drift av databaser fra Norge til Ukraina. Men Ukraina har dessverre blitt mer kjent for sine dyktige hackere og virusskapere. Det spesielle er at noen av disse har spesialisert seg innenfor banksektoren(!), et av de nyeste og mest kjente formene for angrep er et såkalt MITB (Man In The Browser), her et sitat fra Threatpost:

Man in the Browser a.k.a MITB is a new breed of attacks whose primary objective is to spy on browser sessions (mostly banking) and in that process intercept and modify the web page contents transparently in the background. In a classic MITB attack, it’s very likely that what the user is seeing on his/her browser window is not something which the actual server sent. Similarly, what the server sees on the other end might not be what user was intending to send.

Les mer om MITB hos Threatpost.

Dette er som vi skjønner skumle greier. Slike type angrep er naturligvis uavhengige av landegrenser, man kan derfor ikke umiddelbart trekke konklusjonen at det er mer usikkert å ha databasedrift i Ukraina enn i Norge. Databasedriften går sin gang selv om det sitter noen hoder rundt om i landet og hacker. Men jeg synes likevel det er betenkelig å flytte drift av banksystemer til et land hvor det finnes spesialister på å hacke nettopp banksystemer. Jeg er som tidligere nevnt betenkt når det gjelder å flytte persondatabaser ut av landet i det hele tatt.

Vil ta med et punkt til som gjør drifting av norske databaser i Ukraina spesielt: FBI har opprettet en egen gruppe etterforskere mot cyberkriminalitet nettopp i Ukraina! Dette fordi landet er kjent for å være opphavet til flere kjente hackerangrep og virus. Les mer om FBI og Ukraina (og et par andre land) hos Computerworld, jeg tar med et viktig sitat fra saken her:

Security experts say the Ukraine is home to a large number of online scammers and the creators of bank-account-emptying malware such as the Zeus Trojan. “Ukraine’s a huge problem,” said Paul Ferguson, a researcher with Trend Micro. “I would rank it above Russia right now.”

Jeg har i et blogginnlegg i fjor tatt til orde for at Norge snarest må på banen og få etablert store datasentre til Norge. I innlegget mitt kan du lese om de store (Google, Amazon med fler) som var (er fortsatt?) på utkikk etter steder å ha et av sine enorme datasentre, hvor muligheten for miljøvennlig og sikker drift ligger til grunn. Vi har tomme fjellhaller, vi har nær ubegrenset tilgang på vannkjøling med mer.

Det vi nå ser er at store, norske IT-selskaper heller flytter drift av databaser UT av Norge. Det er en betenkelig utvikling. Som nevnt på grunn av sikkerhet. Når det gjelder vern av personopplysninger bør nettopp vernet gå foran kostnadene. Jeg er imidlertid sikker på at det ville la seg gjøre å drifte supermoderne, miljøvennlige datasentraler i Norge uten at det skulle koste så vanvittig mye mer enn i andre land.

I påvente av etablering av store, nye datasentraler i Norge får vi håpe at driften i Ukraina går bra og upåvirket av hackere.

Tenke før du legger noe ut på Facebook?

Tja, det er kanskje avhengig av hvor paranoid du er. Det er naturligvis lurt å tenke over hva man skriver og hva man legger ut på Facebook. I dag kan vi lese på vg.no at britiske soldater ikke får bruke Facebook. I samme artikkel kan vi lese at de norske soldatene får.

Jeg skjønner at den militære ledelsen er bekymret for at noen “løshoder” kan finne på å legge ut tildels sensitiv informasjon på Facebook. Så hva er sensitivt? For en soldat som faktisk er i krig (som f.eks. de britiske og norske er i Afghanistan), så er noe så enkelt som hvor de oppholder seg sensitivt. Og dessverre kan også informasjon om hvor familien oppholder seg også være sensitivt. I tillegg til åpenbare forsvarshemmeligheter.

Hva med oss andre da, bør vi tenke oss om før vi legger noe ut på Facebook? Å ja, absolutt. Det vi hører mest snakk om i denne sammenheng er selvfølgelig personlige opplysninger og bilder og slikt. Det forstår vel de fleste. Men leste du det med små skrift? Og har du lest siste oppdatering av “Terms of use” fra Facebook? Den kom 04.02.09. I den kan vi blant meget annet lese dette (utheving er gjort av meg):

You are solely responsible for the User Content that you Post on or through the Facebook Service. You hereby grant Facebook an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license (with the right to sublicense) to (a) use, copy, publish, stream, store, retain, publicly perform or display, transmit, scan, reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works and distribute (through multiple tiers), any User Content you (i) Post on or in connection with the Facebook Service or the promotion thereof subject only to your privacy settings or (ii) enable a user to Post, including by offering a Share Link on your website and (b) to use your name, likeness and image for any purpose, including commercial or advertising, each of (a) and (b) on or in connection with the Facebook Service or the promotion thereof. You represent and warrant that you have all rights and permissions to grant the foregoing licenses.

Vel, slike lovtekster er heftige greier og noe man sjelden gidder å lese og forstå. Men nettstedet The Consumerist har gjort dette, og fremhever nettopp teksten jeg siterer over. Og hvorfor det? Jo, fordi slik de tolker det og som jeg også forstår det så kan Facebook gjøre hva de vil med ditt innhold. For alltid!

For alltid! Alt! Hva de vil! Tygg på det du. Her kan du lese teksten selv. Vart du skræmt no?

Oppdatert 17.02.09:
I dag kan hardware.no fortelle at Facebook svarer på kritikken av deres nye “terms of use”. Les mer her.

Dagbladet.no har i dag en historie fra Facebooks mange “bruksområder”. Disse gutta har muligens tenkt litt før de la dette ut, men skadevirkningene for offeret er utvilsomt ganske store…

Dagsrevyen på NRK hadde også om Facebooks “terms of use” i kveld, du kan se innslaget her: Dagsrevyen om Facebook

Oppdatert 18.02.2009:
Les på dagbladet.no om Anne K. Petterøe som startet oppropet mot “terms of use” på Facebook.