Leita í fréttum mbl.is

Bloggfærslur mánaðarins, mars 2007

18.3.2007 | 15:16

Breytinga á fjarskiptalögum - öryggi og persónuvernd

Eitt af síðustu verkum þess þings sem var að fara í kosningafrí var að samþykkja breytingar á fjarskiptalögum nr. 81/2003.  Breytingarnar snúast um öryggismál, persónuvernd og neytendavernd.

 

Í fljótu bragði eru eftirfarandi breytingar veigamestar:

  1. Óheimilt er í samningi að kveða á um lengri binditíma áskrifenda en sex mánuði.
  2. Fjarskiptafyrirtæki skulu viðhafa ráðstafanir til að stuðla að vernd, virkni og gæðum IP-fjarskiptaþjónustu og verður Póst- og fjarskiptastofnun heimilt að setja nánari reglur um þetta.
  3. Óumbeðin fjarskipti ná yfir hvers konar rafræn skilaboð, ekki bara tölvupósts.
  4. Verja skal upplýsingar sem fara um fjarskiptanet gegn því að þær glatist, skemmist eða breytist fyrir slysni eða að óviðkomandi fái aðgang að þeim.
  5. Fjarskiptafyrirtæki skulu skjalfesta skipulag upplýsingaöryggis með því að setja sér öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir á grundvelli þess og frekari reglna frá Póst- og fjarskiptastofnun.
  6. Gerðar skulu sérstakar ráðstafanir til að tryggja samfelldan og órofinn rekstur almennra fjarskiptaneta og skal Póst- og fjarskiptastofnun setja sérstakar reglur um virkni almennra fjarskiptaneta.

Með breytingunum er verið að gera álíka kröfur til fjarskiptafyrirtækja um upplýsingaöryggi og persónuverndarlög gera um öryggi persónuupplýsinga og Fjármálaeftirlitið gerir til eftirlitsskyldra aðila um rekstur upplýsingakerfa.  Að sumu leiti er ekki verið að gera nýja kröfur til fyrirtækja, þar sem flest fjarskiptafyrirtæki falla hvort eð er undir ákvæði persónuverndarlaga og eiga því að hafa innleitt öryggiskerfi persónuupplýsinga, en í því felst að móta öryggisstefnu, framkvæma áhættumat, innleiða áhættustjórnun, velja og innleiða mótvægisaðgerðir/ráðstafanir í samræmi við niðurstöður áhættumats og kröfur í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, tryggja samfelldan rekstur og viðhafa innra eftirlit.

Ég heyrði frá yfirmanni hjá einu af fjarskiptafyrirtækjunum um daginn, að það væri engin ástæða til að hafa áhyggjur af þessum lögum, þar sem það tæki yfirleitt Póst- og fjarskiptastofnun 2 ár að átta sig á því að lögum hafi verið breytt.  Nú bregður svo við að Póst- og fjarskiptastofnun er búin fyrir mörgum mánuðum að vinna heimavinnu sína og eru margar af þeim reglum sem setja á um frekari útfærslu á öryggiskröfum fyrir löngu tilbúnar.  Fyrstu drög hafa verið aðgengilegar á heimasíðu stofnunarinnar frá því í apríl í fyrra þar sem óskað var eftir athugasemdum og ábendingum.  Reglurnar sjálfar voru síðan frágengnar í september.  Það er því engin ástæða fyrir þá aðila sem falla undir hin nýju ákvæði að draga það eitthvað að bregðast við kröfum þeirra.  Svo má heldur ekki gleyma því, að fyrirtæki sem hafa innleitt góða stjórnarhætti standa sig betur í rekstri.  (Sjá grein á heimasíðu minni Mikilvægi góðra UT-stjórnarhátta fyrir rekstur fyrirtækja.)

Ég held að það sé í sjálfu sér ekkert í hinum nýju ákvæðum, sem eigi að virka mjög íþyngjandi fyrir fyrirtækin.  Gerðar eru meira og minna sjálfsagðar kröfur um öryggisskipulag, sem (eins og ég nefndi áður) eru meira og minna þær sömu og Persónuvernd hefur hvort eð er gert.  Vandamálið er að menn hafa líklegast ekkert verið að velta fyrir sér hvað Persónuvernd er að segja.  (Ég segi oft í gríni að eingöngu umferðarlög séu brotin oftar en persónuverndarlög.)  En aftur að kröfum laganna.  Það eru flestir búnir að setja sér alls konar reglur um aðgang, afrita upplýsingar, eru með reglur um aðgangsorð og notendanöfn, framkvæma einhvers konar áhættumat og svona mætti lengi telja.  Vandinn snýst ekki um að reglurnar séu ekki til staðar heldur að þær eru ekki skjalfestar.

Einn þingmaður hafði áhyggjur af smærri fyrirtækjum (internetþjónustuaðilum) og að nýju ákvæði virkuðu íþyngjandi á þau.  Ég held að þessar áhyggjur séu óþarfar, þar sem umfang þeirra reglna sem hvert fyrirtæki  þarf að innleiða, veltur að sjálfsögðu á stærð þeirra.  Þannig er ekki hægt að gera sömu kröfur til eins eða tveggja manna fyrirtækis og gerðar eru til Símans eða Vodafone og efast ég um að verði gert.

Hvað sem öllu liður, þá er ég sannfærður um að hin nýju ákvæði munu gagnast bæði neytendum og fyrirtækjunum vel og verða öllum til hagsbóta.


Gefa einkunina 1Gefa einkunina 2Gefa einkunina 3Gefa einkunina 4Gefa einkunina 5 Upplýsingaöryggi | Breytt 14.12.2007 kl. 14:28 | Slóð | | Athugasemdir (0)

5.3.2007 | 15:14

Gott framtak sem aðrir mættu taka sér til fyrirmyndar

Það er virkilega gaman að sjá að Reykjavíkurborg ætlar að hækka framlög til einkarekinna grunnskóla um rúmlega 84.000 kr. á ári með hverjum nemanda.  Mikið væri gott, ef önnur sveitarfélög sæu nú sóma sinn í að gera eins.  Sérstaklega ætti Kópavogsbær að líta yfir Fossvogslækinn í þessum efnum.  Þrátt fyrir fyrirheit og kosningaloforð greiðir Kópavogsbær enn þá umtalsvert minna með hverjum Kópavogsbúa sem gengur t.d. í Ísaksskóla, en fer með hverjum Kópavogsbúa sem sækir skóla í t.d. Lindaskóla.  Þarna munar hundruðum þúsunda (a.m.k. miðað við fjárhagsáætlun Kópavogs).  Og þetta er þrátt fyrir að fyrrum bæjarstjóri í Kópavogi, hafi tilkynnt mér á síðasta ári að þessi mismunun væri úr sögunni.  Og þetta er þrátt fyrir kosningaloforð bæði sjálfstæðismanna og framsóknarmanna um að af nema beri þessa mismunun.  Það er satt að gott sé að búa í Kópavogi, en það er líka satt að Ísaksskóli er frábær skóli og það er rangt af Kópavogsbæ að mismuna þegnum sínum eftir því hvert þeir sækja skóla.  Það getur ekki verið að Kópavogsbær vilji vera rétt rúmlega hálfdrættingur á við Reykjavík þegar kemur að greiðslum með nemendum sem sækja Ísaksskóla.  Eftir þessa hækkun Reykjavíkurborgar er munurinn orðinn meira en 200.000 kr. á barn á ári.

Skömminn liggur svo sem líka hjá samtökum sveitarfélaga, en það eru þau sem ákveða lágmarks viðmiðið sem Kópavogsbær límir sig á.  Það skal enginn segja mér að þessar 350.000 kr. eða svo sem eru lágmarkið dugi nokkur staðar á landinu til að greiða fyrir eins árs skólagöngu eins nemanda með húsnæðiskostnaði.  Í Reykjavík er þessi kostnaður greinilega eitthvað um 600.000 kr. og lesa má úr fjárhagsáætlun Kópavogsbæjar að þar í bæ sé upphæðin ekki fjarri lagi að vera sú sama.


mbl.is Menntaráð vill hækka styrki til einkarekinna grunnskóla
Tilkynna um óviðeigandi tengingu við frétt

Gefa einkunina 1Gefa einkunina 2Gefa einkunina 3Gefa einkunina 4Gefa einkunina 5 Bloggar | Slóð | | Athugasemdir (0)

1.3.2007 | 13:05

Rafrænar kosningar í Eistlandi

Í Morgunblaðinu í dag er frétt um kosningar í Eistlandi þar sem kjósendum gefst kostur á að nota Internetið til að kjósa.  Fyrirkomulagið er einfalt og er því lýst á eftirfarandi hátt í fréttinni:

"Netkjósendurnir þurfa að nota rafrænt auðkenniskort sem yfirvöld gefa út. Kortinu er stungið í rafrænan lesara, sem settur er í samband við tölvu, og kjósandinn þarf að færa inn lykilorð. Lesarinn kostar 95 eistneskar krónur, sem svarar rúmum 500 íslenskum krónum.

Rafræna atkvæðagreiðslan hófst á mánudaginn var og henni lauk í gær. Þeir sem greiddu atkvæði á netinu geta ógilt það með því að mæta á kjörstað á sunnudag og kjósa aftur."

Umræðan um notkun tölvusamskipta við kosningar til Alþingis og sveitarstjórn hefur oftar en einu sinni komið upp hér á landi.  Efasemdarmenn hafa hafnað þessari aðferð sem ómögulegri, þar sem þeir treysta ekki tækninni.  Síðast liðið haust kom það til tals hjá Samfylkingarfélaginu í Reykjavík að gefa kjósendum í prófkjöri flokksins fyrir Alþingiskosningar kost á að kjós yfir Internetið.  Að sjálfsögðu komu upp efasemdir um öryggi þessarar aðferðar og var ég því beðinn, sem sérfræðingur í stjórnun upplýsingaöryggis, að skoða kosningakerfið sem átti að nota og gefa skoðun mína á aðferðinni.  Án þess að ég rjúfi neinn trúnað við Samfylkinguna, þá var það mitt álit að áhættan af því að kjósa yfir Internetið um öruggar samskiptaleiðir (þ.e. kóðaðar) væri að flestu leiti sambærileg við hefðbundnar aðferðir.  Stærsti áhættuþátturinn væri mannlegi þátturinn, ekki sá tæknilegi.

Skoðum nánar hvaða atriði þarf að hafa í huga í rafrænum kosninum: 

  1. Tryggja eins og kostur er að sá sem skráir sig inn sem kjósandi sé í reynd sá sem hann segist vera.
  2. Tryggja að kjósandi geti valið hvern þann lista/frambjóðanda sem er í framboði.
  3. Tryggja að kosningakerfið skrái að réttur kjósandi hafi kosið og komi þannig í veg fyrir að hann geti kosið aftur eða að merkt sé ranglega að annar kjósandi hafi kosið.
  4. Tryggja að atkvæði komist til skila, skráist í kosningagagnagrunn eins og það var greitt og breytist ekki eftir það.
  5. Tryggja að ekki sé hægt að rekja hver greiddi tiltekið atkvæði, en skrái þó að kjósandi hafi kosið.
  6. Tryggja að kosningakerfið geti tekið við þeim fjölda kjósenda sem vilja kjósa hverju sinni án óeðlilegra tafa.
  7. Tryggja að kosningakerfið haldist gangandi meðan kjörfundur er opinn og þar til að úrslit hafa verið birt.
  8. Tryggja að ekki hafi aðrir aðgang að gagnagrunni með kosningagögnum en þeir sem til þess hafa heimild og ekki sé hægt að breyta niðurstöðum sem þar eru vistaðar án þess að það sjáist.
  9. Tryggja að ekki sé hægt að fylgjast með breytingu á atkvæðamagni bakvið hvern frambjóðanda meðan kjörfundur er opinn.

 Berum þetta nú saman við hefðbundnar kosningar.  Þar þarf að:

  1. Tryggja eins og kostur er að sá sem fær kjörseðil sé í reynd sá sem hann segist vera.
  2. Tryggja að kjósandi geti valið hvern þann lista/frambjóðanda sem er í framboði.
  3. Tryggja að merkt sé við að réttur kjósandi hafi kosið og komi þannig í veg fyrir að hann geti kosið aftur eða að merkt sé ranglega að annar kjósandi hafi kosið.
  4. Tryggja að atkvæði komist til skila í kjörkassa, sé talið eins og það var greitt og breytist ekki eftir það.
  5. Tryggja að ekki sé hægt að rekja hver greiddi tiltekið atkvæði.
  6. Tryggja að kosningafyrirkomulagið geti tekið við þeim fjölda kjósenda sem vilja kjósa hverju sinni án óeðlilegra tafa.
  7. Tryggja að kjörstaður sé aðgengilegur kjósendum meðan kjörfundur er opinn.
  8. Tryggja að ekki hafi aðrir aðgang að kjörgögnum en þeir sem til þess hafa heimild og ekki sé hægt að breyta niðurstöðum án þess að það sjáist.
  9. Tryggja að ekki sé hægt að fylgjast með breytingu á atkvæðamagni bakvið hvern frambjóðanda meðan kjörfundur er opinn.

Vissulega eru einhver önnur atriði sem koma til greina, en þetta eru þau sem ég skoðaði.  Og niðurstaða mín var að veikasti hlekkurinn í þessu öllu er atriði 1.  Þ.e. að í rafrænum kosningum er auðkenning kjósandans stærsta vandamálið.  Það skiptir ekki máli hvað við látum kjósandann fá í hendur til að auðkenna sig, við getum aldrei verið viss um að kjósandinn sé í reynd sá sem hann segist vera.  Málið er að þetta á líka við um kosningu á hefðbundnum kjörstað.  Í hverjum einustu kosningum koma upp vandamál, þar sem merkt hefur verið við rangan aðila eða jafnvel að einstaklingur hefur kosið í nafni annars.  Ástæðurnar geta verið margar, en bara sem dæmi þá týnir fólk skilríkjum sínum og lítill vandi er fyrir finnandann að misnota sér slíkt.  Í reynd er heldur ekkert sem kemur í veg fyrir að fólk biðji aðila af sama kyni að fara fyrir sig á kjörstað og kjósi fyrir sig.  Myndir í skilríkjum eru oft óskýrar, einstaklingar svipaðir í útliti og síðan hefur fólk breyst frá því að mynd var tekin.  Svo má ekki útiloka fölsun skilríkja.  Vandamálið er nefnilega að fyrir utan vegabréf, þá innihalda skilríki ekki nægar upplýsingar til að hægt sé að taka af öll tvímæli um að handhafi skilríkisins sé sá sem skilríkið vísar til.  Nú þó svo að skilríkin innihéldu slíkar upplýsingar, þá er útilokað að hægt sé að búa alla kjörstaði réttum tækjabúnaði til að lesa upplýsingarnar eða þjálfa starfsmenn á kjörstað í notkun búnaðarins.

Hvað sem þessu öllu líður, þá var það niðurstaða mín að vissulega væru nokkur áhyggjuefni sem vert væri að hafa í huga.  Það var líka mín niðurstaða að kosningakerfið girti fyrir þessi atriði á viðunandi hátt miðað við þá áhættuþætti sem fylgdu notkun þess við prófkjörið.  Nú eins og margir vita, þá var kerfið notað og veit ég ekki til þess að neitt hafi komið upp á sem skyggt hafi á áreiðanleika þess.

Ég spái því að boðið verði upp á rafræn kosningakerfi við sveitarstjórnarkosningarnar árið 2010.  Til þess að það verði hægt þarf að taka ákvörðun um það fljótlega.

 


Gefa einkunina 1Gefa einkunina 2Gefa einkunina 3Gefa einkunina 4Gefa einkunina 5 Stjórnmál og samfélag | Breytt 14.12.2007 kl. 14:31 | Slóð | | Athugasemdir (0)

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (27.4.): 1
  • Sl. sólarhring: 5
  • Sl. viku: 41
  • Frá upphafi: 1678173

Annað

  • Innlit í dag: 1
  • Innlit sl. viku: 40
  • Gestir í dag: 1
  • IP-tölur í dag: 1

Uppfært á 3 mín. fresti.
Skýringar

Apríl 2024
S M Þ M F F L
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband