Indfør fuld logning af driftsleverandørernes medarbejdere og forhøj bøderne, lyder opfordringen fra en ekspert i IT-sikkerhed.
Det er en stor gåde, hvorfor de danske myndigheder ikke stiller højere krav til virksomheder, der har med borgernes følsomme oplysninger at gøre.
Forundringen er stor hos IT-sikkerhedsekspert Peter Kruse fra CSIS - en virksomhed, der er sat i verden for at bekæmpe IT-kriminelle. Og forundringen er langt fra blevet mindre efter afsløringen af Se og Hørs samarbejde med en systemoperatør hos PBS og senere IBM om at overvåge og lække en række kendtes kreditkortinformationer.
»I lyset af de seneste hændelser, hvor data er blevet hacket og trukket ud af en intern medarbejder, må myndighederne stille nogle bedre krav til disse driftsleverandører. Man kunne kræve, at der indføres fuld logning, så man havde beviser for, hvis en medarbejder i den pågældende virksomhed tog noget data, som vedkommende ikke skulle have haft adgang til,« siger Peter Kruse.
Han påpeger også på, at man kontraktligt nemt kunne skrive sig ud af den risiko, der kan være for, at internationale driftsleverandører leverer personfølsomme data til myndighederne i sit hjemland.
»Her tænker jeg på at lappe den potentielle risiko, der kan være, for at data bliver flyttet til eksempelvis NSA (amerikansk efterretningstjeneste, red.),« siger IT-sikkerhedseksperten, der også er sikker på, at højere bødestraffe ville have en præventiv effekt.
»Bøderne er relativt små i dag - op til 25.000 kroner. De store, internationale virksomheder skal kunne mærke, at det gør ondt, så de ikke negligerer IT-sikkerhed, fordi det ikke kan betale sig at investere i det,« lyder opfordringen fra Peter Kruse.
Torsdag kom det frem, at justitsminister Karen Hækkerup (S) i kølvandet på Se og Hør-sagen er parat til at undersøge, om borgernes personlige oplysninger er beskyttet godt nok.
Hun åbnede samtidig for at se på, om der er brug for bedre lovgivning på området, så en lignende overvågningssag ikke kan ske igen.
