Stjórnvöld fá falleinkunn í netöryggismálum

Íslensk stjórnvöld eru í 4. sæti meðal Evrópuþjóða í stafrænni þjónustu og markmiðið er að gera enn betur á komandi árum. Markmið Stafræns Íslands er að gera aðgengi að upplýsingum og þjónustu auðveldari á komandi árum.

Hver gætir þess að réttar upplýsingar séu aðgengilegar réttum einstaklingum? Svarið er enginn.

Aukið aðgengi að upplýsingum á Island.is

Í fréttabréfi Stafræns Íslands í ágúst 2022 er aukið aðgengi að upplýsingum um börn kynntar. Nú geta foreldrar sem hafa forsjá, einnig sameiginlega, fengið aðgang að öllum upplýsingum sem tengd hafa verið börnunum. Þetta er framför en ekki er gætt að öryggi skjalanna sem fara í dreifingu.

Aðgengi að persónuupplýsingum hins foreldrisins

Stafrænt Ísland gætti ekki varúðar þegar opnað var fyrir aðgang að upplýsingum um barnið því samskipti foreldra við stofnanir eru í einhverjum tilfellum tengd við barnið. Ef foreldar búa ekki saman þá geta þeir lesið samskipti sem þeir ættu ekki að hafa aðgang að. Þessar upplýsingar geta varðað viðkvæmar fjárhagslegar, félagslegar- og/eða heilsufarsupplýsingar hins foreldrisins.

Ef foreldrar búa ekki saman þá eiga þeir undir engum kringumstæðum að hafa aðgang að persónuupplýsingum hins foreldrisins. Sérstaklega ekki viðkvæmum persónuupplýsingum. Það er augljóst.

Hvernig er hægt að nota þessar upplýsingar?

Þessar viðkvæmu persónuupplýsingar er hægt að nota í deilum foreldra eða til að hefja deilur, t.d. um breytingu á forsjá og lögheimili. Í þessum gögnum, þar sem foreldri gefur upp nákvæma mynd af stöðu sinni, er hægt að finna veikleika sem nota má gegn því.

Island.is er galopið

Á Island.is er hægt að nálgast þessar viðkvæmar persónuupplýsingar um hitt foreldrið. Upplýsingar sem ekki eiga undir neinum kringumstæðum að vera aðgengilegar.

Ég er búinn að tilkynna þetta til Island.is, Tryggingastofnunar, Þjóðskrár, Fjármálaráðuneytisins og Persónuverndar. Þau ætla ekki að bregðast við. Engin viðbragðsáætlun er til staðar ef það kemur upp svona stór og viðamikill gagnaleki. Ekkert gerist og þessar upplýsingar eru enn aðgengilegar.

Þessi leki gæti varðað þúsundir barna og foreldra.

Stjórnvöld fá falleinkunn í netöryggismálum

Rétt viðbrögð væru að virkja viðbragðsáætlun, loka fyrir dreifingu gagnanna, sannreyna ferla og opna svo aftur fyrir dreifingu þeirra þegar búið væri að leiðrétta skráningu gagnanna.

En ekkert gerist, enginn tilkynningahnappur er til og ekkert gerist. Þrír dagar eru síðan ég tilkynnti þetta og aðgengi að þessum gögnum er enn opinn.

Stjórnvöld fá algjöra falleinkunn í netöryggismálum.

Höfundur er viðskiptafræðingur, faðir og áhugamaður um réttindi barna.