plankeby Skrevet 5. desember 2016 Del Skrevet 5. desember 2016 (endret) Ansatte hos Nav er ikke anonyme ved bruk av ulike register, alt de gjør og slår opp kan spores. Så de idioter som snoker kan man egentlig lett finne og sparke ut på gata. At Nav i seg selv er blitt for stort støtter vel de fleste ansatte "på gulvet" også.... Nå er artikkelen litt tynn også. Hvor mange, er mange? Forventer litt mer enn dårlige VG overskrifter her. Endret 5. desember 2016 av plankeby Lenke til kommentar
BjartmarO Skrevet 5. desember 2016 Del Skrevet 5. desember 2016 Snoking er det fullt mulig å detektere med moderne analytics/maskinlæring. Ta kontakt og vi kan bidra. Det viktige er ikke å detektere snoking... Det viktige er å forhindre at snokingen skjer i utgangspunktet. Måten å gjøre dette på er å få på plass logging, samt å endre brukergrensesnittene i oppslagssystemene slik at alle brukere gjøres uttrykkelig oppmerksomme på at søk og oppslag vil bli logget. Bare vissheten hos brukerne om at søkene blir logget vil alene bidra til at 99% at dette problemet forsvinner. 1 Lenke til kommentar
BjartmarO Skrevet 5. desember 2016 Del Skrevet 5. desember 2016 Ansatte hos Nav er ikke anonyme ved bruk av ulike register, alt de gjør og slår opp kan spores. Så de idioter som snoker kan man egentlig lett finne og sparke ut på gata. At Nav i seg selv er blitt for stort støtter vel de fleste ansatte "på gulvet" også.... Nå er artikkelen litt tynn også. Hvor mange, er mange? Forventer litt mer enn dårlige VG overskrifter her. For å kunne si dette må du ha spesifikk kunnskap om implementasjonene av de ulike systemene hos NAV. Sporing må programmeres inn i systemene, det er ikke noe som "er der av seg selv". Jeg selv kjenner ikke systemene hos NAV, men ut fra min kjennskap til implementasjons-detaljene for andre offentlige systemer har jeg absolutt ingen problemer med å se for meg at mange av NAV-systmene lett kan være implementert uten sporing per i dag. Lenke til kommentar
Dragen Skrevet 5. desember 2016 Del Skrevet 5. desember 2016 NAV har loggføring av tilgang av brukeres journaler. Det kommer frem i alle av NRKs artikler (det er NRK som fører saken). Problemet er at lovbruddene ikke gir noen konsekvenser for den ansatte, kun brukeren. Lenke til kommentar
TriNitroToluen Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Å nei, det er helt krise at staten brukler xxx milliarder på nyw itsystemer wait Aå nei, det er helt krise at statenhar it suystemer som ikke kan spore hvem som leser hva... Lenke til kommentar
tommyb Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Å nei, det er helt krise at staten brukler xxx milliarder på nyw itsystemer wait Aå nei, det er helt krise at statenhar it suystemer som ikke kan spore hvem som leser hva... Les innlegget før ditt. Lenke til kommentar
Steinar Beider Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Reint teknisk er nok dette ein smal sak å ordne, f.eks. ved at det automatisk blir sendt ut epostvarsel eller SMS til nærmaste leder eller personen som saksbehandlaren klikker seg innpå. Dette kunne fungert slik som ved kredittsjekk der du får tilsendt kvitering på kva selskap som har bestilt kva aktør til å foreta ein kredittvurdering av deg. Spørsmålet er berre om det er fornuftig ressursbruk i forhold til problemet med snoking? Å legge inn søkelogg og basere seg på at arbeidsgiver tar stikkprøver der søkelogg blir sjekka opp mot brukarhenvendelsar må vell være ein langt enklare og mindre arbeidskrevande kontrollrutine? "Smal sak" er det definitivt ikke. Utfordringen er at du har autorisasjon til å gjøre søket, men ikke nødvendigvis hjemmel. Hvordan skiller du mellom et oppslag som er hjemlet og et som er uhjemlet? Hva er regelen systemet skal sjekke mot? Hva om systemet du bruker gjør et "bredt søk" i en query, hvordan logger du hva det faktisk ble søkt på, i motsetning til spørringen som ble gjort mot databasen? Hva med pooling? Hvem var det egentlig som gjorde søket? Hva om en med admin-rettigheter søker, og skrur av logging først? Kompleksiteten i dette er temmelig stor om man tenker seg litt om. Løsningen er selvsagt ikke varsling, hver eneste ansatte kan gjøre søk som treffer et stort antall personer hver eneste dag. Og ingen kan sitte og lese logger, da det vil involvere titusener av entries i timen. Det er en klin umulig oppgave å gjøre manuelt. Løsningen er maskinlæring, mønstergjennkjenning og heftige analyseløsninger. Ikke det aller minste smal sak. Men løsbart, det er andre offentlige som har det. Lenke til kommentar
Civilix Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 "Smal sak" er det definitivt ikke. Utfordringen er at du har autorisasjon til å gjøre søket, men ikke nødvendigvis hjemmel. Hvordan skiller du mellom et oppslag som er hjemlet og et som er uhjemlet? Hva er regelen systemet skal sjekke mot? Hva om systemet du bruker gjør et "bredt søk" i en query, hvordan logger du hva det faktisk ble søkt på, i motsetning til spørringen som ble gjort mot databasen? Hva med pooling? Hvem var det egentlig som gjorde søket? Hva om en med admin-rettigheter søker, og skrur av logging først? Kompleksiteten i dette er temmelig stor om man tenker seg litt om. Løsningen er selvsagt ikke varsling, hver eneste ansatte kan gjøre søk som treffer et stort antall personer hver eneste dag. Og ingen kan sitte og lese logger, da det vil involvere titusener av entries i timen. Det er en klin umulig oppgave å gjøre manuelt. Løsningen er maskinlæring, mønstergjennkjenning og heftige analyseløsninger. Ikke det aller minste smal sak. Men løsbart, det er andre offentlige som har det. Det høres ut som om du tror NAV-ansatte sitter å skriver søkestrengene mot databasen selv En løsning som går rett mot databasen er overkill så det holder, logger ut i fra programvaren som jobber mot databasen er veien å gå. Logen fra programvaren kan til og med være lesbar for mennesker uten kompetanse hvis det er hva de ønsker. Og når det kommer til de med admin-rettigheter så er det mennesker man må stole på uansett, de kan få resultatet til å bli hva enn de vil uavhengig av hva løsning man har. Lenke til kommentar
Huseby Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Underlig, har alle admin-tilgang? Men lite slår vel nav på udugelighet..... Problemet er vel heller systemer for logging og åpenhet for klienter om dette. Systemene for logging er på plass, men disse blir ikke fulgt opp - idiotisk nok. Alle oppslag burde vært åpen for brukeren selv, om ikke å ta det steget lengre med varsel i postkassen. Lenke til kommentar
Limbeck Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Håper de hadde tilgang til webcammen min klokka 6 i morres. Pre kaffe og i trusa Lenke til kommentar
KWPHWF43 Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Interessant at NAV slipper såpass lett unna med denne overvåkinga. Hvis man bytter ut NAV med PST så tenker jeg pipa hadde fått en annen lyd. LOL. Lenke til kommentar
tommyb Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Ikke sammenlignbart, begge deler er kritikkverdige men på forskjellig plan. Problemet med NAV er at ansatte tar seg til rette på opplysninger de ville hatt tilgang på i en annen situasjon. Det mangler konsekvenser og synlighet, så systemet er for svakt, men det er til syvende og sist et brudd på prosedyren. Det skal fortsatt kritiseres og NAV burde ha fått alvorlig refs for å ikke beskytte persondata bedre internt. Noe likt, snoking av enkeltmedarbeidere, kan naturligvis inntreffe hos PST. Men der det blir kritikk mot PST er utgangspunktet gjerne at organisasjonen tar seg til rette. Da er er ikke enkeltpersoner som snoker, og da påkreves en helt annen type kritikk. Dersom denne snokingen bryter med prinsipper om beskyttelse fra staten, så er det ikke bare et problem med snoking, men et demokratisk problem. Lenke til kommentar
3VOEADCN Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 (endret) Håpar å få sjå fleire Digi-artiklar med emneknagg #Snoking i tida framover. Kor mange kontorarbeidarar er det som har tilgang til folkeregisteret, her i landet? Kvifor skal desse ganske så anonymt kunne sjå kven eg bur eller har budd med, om eg har hatt gjeld, osb. _utan_ at det kan sporas? Det finnes flere nivåer av tilgang til folkeregisteret fra det enkleste å kunne sjekke at et fødselsnummer er riktig for noen med det navnet, til å kunne hente navn+adresse på et ukjent fødselsnummer, til å kunne hente familierelasjoner. Det siste er det kanskje bare noen få i NAV og politiet som kan gjøre? (håper jeg) På samme måte som vi har fått i skattelistene burde vi alle kunne se når og hvem som har hentet informasjon om deg. Alle som designer IT-systemer bør fra dag én tenke tilgangsnivåer, logging og loggtilgang for de som dataene gjelder. Lett å lage, men blir ofte glemt. Endret 6. desember 2016 av 3VOEADCN Lenke til kommentar
310ALO5E Skrevet 6. desember 2016 Del Skrevet 6. desember 2016 Er det fremdeles noen som er så tjukk i huet at de fremdeles tror at dette ikke kommer til å skje fra de som skal overvåke all data og mobiltrafikk for våre "myndigheter"??? Lenke til kommentar
Steinar Beider Skrevet 7. desember 2016 Del Skrevet 7. desember 2016 Det høres ut som om du tror NAV-ansatte sitter å skriver søkestrengene mot databasen selv En løsning som går rett mot databasen er overkill så det holder, logger ut i fra programvaren som jobber mot databasen er veien å gå. Logen fra programvaren kan til og med være lesbar for mennesker uten kompetanse hvis det er hva de ønsker. Og når det kommer til de med admin-rettigheter så er det mennesker man må stole på uansett, de kan få resultatet til å bli hva enn de vil uavhengig av hva løsning man har. Selvsagt skriver de ikke søkestrengene direkte, utfordringen er at klientapplikasjonene ikke logger, i veldig stor grad. Og det du beskriver krever at svært mye programvare må skrives om for å støtte logging på det nivået. Lykke til med det. Nei, en admin kan ikke stoles på, og de kan ikke få resultatet til å bli hva de vil. Det finnes selvsagt løsninger som har tenkt på den problemstillingen. Uansett hva du logger er det ikke der kompleksiteten ligger. Den ligger i å avdekke hva som er uberettiget bruk, når man i utgangspunktet har autorisasjon til å bruke informasjonen i embets medfør. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå