Hemligheter till salu

Kim Hindart Säkerhet Leave a Comment

I år träder EU:s General Data Protection Laws (GDPR) i laga kraft. Woohoo!
Den stora frågan är; Behöver vanliga dödliga över huvud taget bry sig om det här eller är det bara något för oss säkerhetsnördar?

Min vän och kollega tog med sin familj till Florida i julas och några veckor innan han skulle åka blev jag påmind av Google att det var dags att kika på en julklapp till honom. Ifall jag hade svårt att komma på något bra själv så hade Google tack och lov några förslag. Det första förslaget var ett presentkort på en 9-håls golfrunda inklusive middag för hela familjen. Golfklubben som Google föreslog råkade vara precis i närheten av det hotell som kollegan skulle bo på över julhelgen.

Google hjälpte mig verkligen och det slutade också med att jag köpte det där presentkortet men varje gång jag ser hur det här fungerar blir jag lite orolig. Vi måste inse det faktum att våra webbläsare vet i princip allt som är värt att veta om oss. Det mesta är harmlösa saker som våra skostorlekar och förkylningssymptom men någonstans i de där högarna av harmlös information om dig och din person finns dina allra djupaste och mörkaste hemligheter.

certainty-229115_1280

Hemligheter till salu

Föreställ dig att dina hemligheter är till salu. Vi lämnar en påfallande stor mängd digitala fingeravtryck efter oss och om jag hade kunnat köpa andra människors webbläsarhistorik och vanor skulle jag kunna få reda på nästan vad som helst om vem som helst. Allting från sjukdomshistorik och finansiell status till sexuella vanor och läggning. Det här är såklart inget som gemene man behöver oroa sig över i normala fall, åtminstone inte så länge ingen använder informationen för ondo. Men det väcker trots allt en rad intressanta frågor. Vad kan den här informationen användas till och var drar vi gränsen?

 

Så var drar vi gränsen?

Jag är förhållandevis säker på att de flesta skulle anse att försäkringsbolag som justerar premien baserat på om du söker medicinsk information går över gränsen. Men hur känner vi för möjligheten att använda all den här informationen för att ta reda på om barnens tränare är pedofil? Skulle du vilja ta reda på det om du kunde? Vi tar ett annat exempel; säg att du fick använda den här informationen för att ta reda på om din pilot är deprimerad. Skulle du inte vilja få reda på det innan du beslutar dig för att kliva ombord på planet (eller kanske inte kliva ombord i just det här fallet)?

 

Företag och lojalitet

Om vi översätter det här till bolagsvärlden skulle jag säga att information som kan sätta ett barn i jobbiga situationer är det bästa sättet att utpressa en förälder. Jag vet hur långt jag själv skulle kunna gå för att skydda mina nära så bara föreställ dig vad en förälder är beredd att göra för att skydda sina barn från förödmjukelse. Lojaliteten mot företaget man jobbar på torde vara vatten värd i en situation där man måste välja.

Det här är tyvärr inget som är svårt om man har tillgång till informationen och lita på mig när jag säger att vi skulle ha mycket större bekymmer än intelligenta presentförslag om den här informationen används med onda avsikter. All information om dig går att ta reda på genom att granska dina surfvanor. <- punkt.

 

General Data Protection Law (GDPR)

Så, varför snöar jag in på surfvanor.

GDPR är en ny lag som styr hur företag och myndigheter kan och får hantera din personliga information. Eller kortfattat: Hur de säkerställer din integritet. För att svara på min allra första fråga: Ja, det här är verkligen något som gemene man bör både fundera över och bry sig om och jag har precis gett dig ett antal anledningar till varför.

Det fins ett stort behov av styrning för hur personlig data skall hanteras och hur det får användas och delas. Det är viktigt att vi som individer känner till våra rättigheter till information om oss själva. Och det är också delvis svaret på varför vi behöver GDPR, vi behöver regler och företagen som samlar data om oss behöver regler. Surfvanor borde inte vara en vara som är till salu. Det borde vara med komplicerat än att bara köpa någon annans hemligheter som grävts fram bara genom att personen har använt internet.

 

Bra läsning – 6000 sidor!

Lagen i sig är på ungefär 100 sidor men om du verkligen vill första konsekvenserna av den här nya lagen behöver du även läsa alla referenser och andra dokument som lagen pekar på. Tar man allt som EU har publicerat om GDPR så landar vi på ungefär 6000 sidor. Men det här är en ny lag och det mesta som den avhandlar och reglerar är nya saker vilket gör lagen något oförutsägbar.

Som exempel, lite beroende på hur lagen kommer upprätthållas, kan kostnaderna för att vi som företag skall kunna följa lagen hamna på allt från 1000 till 1 000 000kr. Det är lika sannolikt att det blir 1000 som 1 000 000 och låt mig bara säga att ens chefer inte direkt hoppar av lycka när man kommer med så pass osäkra förutsägelser. Det är precis det här vi kommer kika på i mina kommande artiklar.

Jag har precis börjat läsa igenom hela lagen för andra gången och den här gången kommer jag dela med mig av mina tankar och upptäckter i en serie artiklar. Häng med här och fråga gärna precis vad du vill om GDPR i kommentarerna nedan så diskuterar jag gärna ämnet djupare.

 

namnlöst-150508_01-högupplöst

Kim Hindart, CSO på City Network, har en lång bakgrund inom informationssäkerhet och säkerhetsfrågor från bland annat nyhets- och mediabranschen, IBM, Svenska Försvaret och stora telecomföretag. Han är en stor entusiast inom Open Source projekt såsom Symbian, Android och OpenStack. När han inte jobbar med säkerhetsfrågor leker han med databaser och mobiloperativsystem. Enligt Kim är Internetaccess och ost är de två största nödvändigheterna i livet.

”Go SQL you can still survive”.