OPROP om hackersag

Enighed herfra i problemets overordnede natur, og i at de givne forslag langt hen ad vejen er yderst fornuftige. Og så lad mig lige kommentere på formen:

Det er skåret ud i pap. Og det skal det være, hvis vi skal række ud over vores egne rækker; vi fortaber os alt for nemt i endeløse diskussioner om tekniske finurligheder og spidsfindige forbehold, hvorved vi afleder opmærksomheden fra de egentlige problemer. Det her er så vigtigt, at vi bør mobilisere vores indre Clevin, og hive den brede pensel frem.

Når folk bliver blanke i blikket og begynder at lægge mere mærke til vores sokkers farve end vores budskab, så er det altså os, som har fejlet. Der er brug for os.

Så hvis du er enig med PHK i, at vi har et problem her, så læs den sidste halve snes linjer i indlægget igen - gå ud med det, og hold det konkret og nede på jorden; gerne med personlige eksempler fremfor brede formuleringer.

(...og vær så i øvrigt for min skyld meget velkommen til at tage en diskussion om tekniske finurligheder og om hvor håbløst det er, at ingen hører på os, nedenfor, bare du husker, at du er ved at prædike for de allerede omvendte).

Menneskeheden tilpasser sig skiftende omstændigheder ved at de nye generationer vokser op med de nye omstændigheder. Man kan kun i begrænset omfang lære gamle hunde nye kunster.

Skal man opnå de mange flotte mål som Poul-Henning Kamp opridser i nærværende blog, skal man have hele flokken med, også dem der gør som de lærte i skolen, også dem der gør hvad chefen siger, også dem der følger med strømmen, også dem der ikke selvstændigt søger ny viden, også dem der passer lydefrit ind i det store maskineri.

Skal vi have hele flokken med, skal der sættes massivt og vedvarende ind med undervisning af de opvoksende generationer.

Slaget skal vindes i alderen ca. 0-15 år. Det er i barndommen folk skal fatte hvordan den nye IT-ificerede verden fungerer. Får de den grundlæggende forståelse tidligt, er de modtagelige for videre uddannelse på området senere i livet.

Nogle vil så protestere og fremhæve sig selv og deres kolleger som netop nogle "gamle hunde der hele tiden lærer nye kunster". Det er korrekt at det findes, men det er en minoritet der har den evne og den lyst.

IT branchen har tiltrukket mange med de evner, og det er årsagen til at der trods alt er opstået en IT branche og et IT samfund. Der er bare ikke nok af denne type folk til at opnå den brede samfundsmæssige udbredelse af den gode IT forståelse.

Fordelingen er måske 1:200 nu. Det giver den der følelse af at "skrige sig hæs, uden at blive hørt". Hvis bare vi kan få fordelingen ændret til 1:20 i den generation der er ved at vokse op nu, er vi meget langt.

Men forvent at dette er et livsprojekt. Der findes ikke en magisk "IT forståelses mikstur" man kan injicere i befolkningen. Der skal et langt sejt træk til.

Inden sikkerheds revolutionen i staten - der så jeg gerne at man også lavede et sanity tjek af om det systemerne laver er en kerne-opgave for staten - eller blot gøjl.

Samtidig med IT ministeriet bør der også oprettes et dereguleringsministerium - hvis eneste opgave er at fjerne gammel forældet lovgivning (og statsopgaver).

Man kunne også overveje om centraliserings-mantra'et i staten er godt - eller om man kan løse kerne-opgaverne bedre ved at decentraliserere - og dermed afburekratisere (og formentlig så har brug for færre IT systemer til burekratiet - og mindre behov for registrering af borgerne).

Så er der måske en chance for at man har råd til de (mere) sikre IT systemer/arbejdsgange til kerne opgaverne.

Hvis en bankdirektør ikke laaser bankboksen naar han forlader banken, vil jeg anse det for forsømmelighed, selv om det naturligvis ikke er lovligt for andre at tage penge fra boksen.

Jeg haaber man kan se analogien til CSC sagen.

En forklaring, men ikke en undskyldning for manglende opmærksomhed er den manglende fysiske håndgribelighed af data.

De fleste kan intuitivt se og forstå konsekvenserne af en utæt gyllebeholder eller saltsyretank, selv om visse personer har optrænet evnen til at undertrykke det.

Der skal mere til at se og forstå konsekvenserne af en utæt ftp eller webserver.
Omhyggeligheden går tabt i rutinen, og nogle er måske mere koncentrerede om at give adgang til de, der skal have adgang, og glemmer at være opmærksom på om de, der ikke skal have adgang ikke har adgang.

Måske skal man ikke lægge alt for megen tiltro på at en forbedring skal komme fra de 0-15-årige, der vokser op med at dele alt på sms og facebook.

Jeg vil gerne henlede Jeres opmærksomhed på Karen Melchior (se evt. https://www.facebook.com/karenmelchior.eu?... ) der er en af vores absolut mest begavede og dedikerede unge politikere og den eneste jeg kender, som har indsigt i og er IT orienteret (kender I andre politikere vil det være fint at få navnene).
Karen Melchior stiler mod FT, fik næst flest radikale stemmer til EU valget (10.412) og reagerede lynhurtigt på min opfordring til at handle (se evt. https://www.facebook.com/georgi.mitchew ).
Vil også gerne opfordre PH til at formulere 3-4 eller flere kardinalpunkter gerne med en synopsis, som vi kan bruge som platform til politikerhenvendelse, læserbreve m.v..
Jeg er 100% enig i at dette er sag som ikke må gå i glemmebogen, men opprioriteres og som vi der har tiden bør handle på – ikke hver dag, men hver eneste dag.

Jeg synes, man skal prøve at koncentrere budskabet om en enkelt lille ting med meget stor betydning for vores syn på hacking: Er virksomhederne ofre eller skurke?

Her er bakterier i fødevarer en god analogi. Hackere og bakterier har tre ting til fælles:
- Vi ønsker dem ikke i vores mad/data.
- Det ligger i deres natur at forsøge sig at brede sig til vores mad/data.
- De kan ikke standses med lovgivning, for den respekterer de ikke.

Alligevel er vores syn på virksomheder, der får hackere i dataene, helt anderledes end vores syn på virksomheder, der får bakterier i fødevarerne. Finder man bakterier i maden i en virksomhed, er der ingen tvivl om, at virksomheden er skurk og skal straffes. Men finder man hackere i dataene i en virksomhed, betragter vi virksomheden som offer.

Hvorfor er den ene virksomhed skurk, mens den anden virksomhed er offer? Begge virksomheder har jo handlet lige lemfældigt ved ikke at beskytte vores data/mad tilstrækkeligt mod en trussel, som er en naturlig del af hverdagen.

Og som PHK skriver: Vi kan jo sagtens finde ud af etablere kontrolorganer, der holder fødevarevirksomhederne til ilden og sørger for, at deres indsats mod bakterier er tilstrækkelig. Jeg tror ikke engang, det koster staten penge, for virksomhederne er tvunget til selv at betale for tilsynet. Hvorfor har vi ikke kontrolorganer med tilsvarende magt og ressourcer til at føre tilsyn med de virksomheder, der opbevarer vores data?

Det er super godt skrevet og rammer helt plet!

Spørgsmålet er hvordan man skal håndtere sådanne situationer? En fødevarevirksomhed kan man lukke ned (der er mange der laver spegepølser f.eks.) men der er kun et firma der håndterer CPR registret så vidt jeg ved.

Ham fyren, der skal bures, gives PC og lovning på strafnedsættelse og pension proportionalt til hvor mange indbrud i offentlige systemer han kan lave.

En fødevarevirksomhed kan man lukke ned (der er mange der laver spegepølser f.eks.) men der er kun et firma der håndterer CPR registret så vidt jeg ved.

Lige præcis her ligger en væsentlig del af problemet. CSC er en virksomhed som gang på gang har stillet sin totale inkompetance til offentlig skue.

Det virker som om at CSC simpelthen er blevet "to big to fail", eller at der simpelthen ikke er andre der kan/vil påtage sig opgaven. Mest sandsynligt er det vel, at staten har indset at det ville være enormt dyrt og komplekst at flytte opgaven til et andet foretagende, og at det blot yderligere vil øge afhængigheden af og eksponeringen mod udenlandske interesser. Det kan man simpelthen ikke være bekendt at byde de danske borgere!

Hvis staten ville kunne de sagtens "lukke CSC ned" - det vil bare være at tage alle statslige opgaver fra dem. Men man skal jo have nogen at give dem til.

Derfor skal vi hurtigst muligt have en en helt ny instans som kan overtage opgaverne.

Og det må meget gerne være et statsselskab, eller til nød et privat selskab som fra lovgivningens side var garanteret et 100 % dansk ene-eje til tid og evighed.

Og hvis regeringen skulle mangle lidt gryn til den øvelse kunne man jo denne gang tage pengene fra køb af nye og ubrugelige kampfly. Det eneste de kan bruges til, er at opretteholde Danmarks såkaldt aktivistiske udenrigspolitik. Sidst da regeringen akut manglede penge til nogle ekstra flygtninge tom man pengene fra ulandsbistanden. Så må det være rimeligt at man denne gang tager dem fra noget som ikke vil gøre den aller mindste nytte nogen steder. Det er lidt OT, det ved jeg godt, men en gang i mellem bliver jeg simpelthen så oprørt at det bare skal ud - sorry !

Det er lidt OT, det ved jeg godt, men en gang i mellem bliver jeg simpelthen så oprørt at det bare skal ud - sorry !

Det er da bestemt ikke OT når overskriften til denne blog i sig selv er det bedste argument for anskaffelsen af nye kampfly og i hele taget at opretholde det nødvendige forsvarsberedskab!

Men hvorfor PHK netop har valgt den overskrift aner jeg til gengæld ikke!

Det nemmeste er nok helt at undlade udlicitering til private, men i stedet at køre driften med tjenestemænd

Det må være din spøg hr. Kamp

;-)

Det har noget at gøre med hvorledes politiets registre blev brugt for ca. 70 år siden.

Og hvis vi havde haft kampfly nok et par år før var det ikke sket? Tvivlsomt!

Eller er vi ikke enige om at situationen i 44 handlede om forholdet til en fremmed besættelsesmagt, og situationen i 14 om sløseri af monumentalt omfang, med andre ord det kan ikke sammenlignes?

Men bortset fra at jeg ikke forstår overskriften synes jeg det er en fremragende blog du har begået!

Du har min stemme.
"Liste P. Privatpartiet. Samfundsborgerens parti i informationssamfundet."

Hvorfor tror du vi har Tjenestemandsordningen til at begynde med ?

Hvorfor har vi f.eks ikke bare udliciteret politiets opgaver til Securitas ?

Fordi der er nogen opgaver med helt særlige ansvar at løfte.

Jeg er ikke sikker på, at man kommer videre end i dag, hvis en statslig myndighed skal stå for dataene og selv kontrollere, at den gør det godt nok.

Ligesom vi har magtens tredeling (som er godt og sundt princip), bør vi også have en eller anden form for to- eller tredeling her - og det er ikke sikkert, at det er en god ide, at samtlige 2 eller 3 dele er statslige.

Jeg er helt enig i at al omgang med personfølsom data skal håndteres med respekt, sporbarhed (hvem har tilgået data og hvornår) og sikkerhed, som nogle af de vigtigste parametre. Denne opgave ligger hos leverandøren.

Jeg vil dog også mene at opgavestiller i mange tilfælde også har et tilsvarende ansvar. Blev der stillet de rigtige og konkrete funktionelle og ikke-funktionelle krav til persondata. Blev disse krav gennemtestet inden igangsættelse og hvilke krav er det stillet til periodisk verifikation af disse.

Ofte er det sådan at man får hvad man betaler for og ofte vil en leverandør/producent levere det billigste produkt, som lige netop kan give kunden den fornemmelse at det nok er ok. Her er fødevarer og madsminke et godt eksempel.

Jeg kender ikke til de sikkerhedsmæssige krav i sådan offentlige udbud, hvor håndtering af personfølsom data indgår, men de må vel være offentlig tilgængelige?

Jeg kunne også godt tænke mig at vide, hvorledes en kunde stiller sig, hvis en leverandør påpeger det nødvendige i at lave en sikkerhedsopdatering. Siger kunden altid, ja tak, eller kigger kunden på prisen og laver sin egen sikkerhedsvurdering.

Måske siger kunden, ah, det går nok, lad os vente indtil vi har samlet til bunke og giv os så et godt tilbud.

Jeg tror desværre ofte at personfølsom data handles under de samme markedsmekanismer som 3 stjernet salami. Værsgo at spis

En udliciteringskontrakt kunne måske kræve en klækkelig bod i tilfælde af datalækage. Dette beløb kunne man så udlove offentligt som præmie til den eller de hackere, for hverm det lykkedes at bryde ind og tappe data. Billig løsning. Maksimal test af sikkerheden. Maksimal omhu fra datacenterets sikkerhedsafdeling.

En udliciteringskontrakt kunne måske kræve en klækkelig bod i tilfælde af datalækage

Når data er ude, er det ligesom for sent.

Uden at have fulgt det på nært hold gik det vel for alvor galt med salget af datacentralen til csc i midten af 90'erne?

Jeg tror man skal lave systemer, som forventer lækager, og som begrænse de mulige skader.
En måde kunne være at undgå meget store koncentrationer af data på et sted. Man kunne opdele databaserne i selvstændige klumper, som hver blev forvaltet af selvstændige firmaer, på fysisk adskilte servere, med hver sit login-system og interne log-funktioner.
Trafikken mellem sådanne systemer skulle imidlertid også overvåges af andre end de organisationer der forvalter databaserne, såleds at man uundgåeligt efterterlader officielle log-spor, der viser hvem der har tilgået hvad.
Det er jo tydeligt for enhver, at sådanne systemer bliver tunge at arbejde med, men er det ikke ok at det ikke bliver helt trivielt at sammenstille et totalbillede af enkelte borgere?
Der vil også blive problemer med mange forskellige værdifulde former for statistisk anvendelse af data. Det er vel netop karakteristisk for den type tilgang, at man ikke har brug at vide nøjagtig hvem der hører sammen med data, så det kunne måske nogen gange imødegås med anonymiserede ad hoc baser, som forsvandt efter brug.
Lad os smide lidt grus i maskineriet!

Så må den offentlige IT strategi jo laves således at det kan lade sig gøre.

Det nemmeste er nok helt at undlade udlicitering til private, men i stedet at køre driften med tjenestemænd.

Og have minimum 2, 100% seperate offentlige IT leverandører?

Man kan udlicitere opgaver, men man kan ikke udlicitere ansvar.

Og når man udliciterer en opgave, skaber man et behov for synligt tilsyn med den udliciterede opgave.
Og den opgave må ikke udliciteres til nogen som er i et afhængighedsforhold til den der udfører den oprindelige opgave.

Desuden er det meget sværere (dvs dyrere) at opdatere opgavespecifikationen løbende for en udliciteret opgave.
IT sikkerhed er en opgave, som hele tiden ændrer sig, og det er derfor svært at få defineret i kontraktsprog.

Hvor skal jeg skrive under?

Fustrerende og hovedrystende at der ikke er mere styr på sådan noget.
Der findes så utroligt mange former for sikkerhed, hvorfor ikke gøre brug af det - svaret behøver jeg ikke at få, for jeg ved det godt.
IT folkene er muligvis ikke u kompetente, men så da i særdeleshed ligeglade med hvad der sker med deres systemer.

skær dem nu ikke over een kam. Der er meget ansvarsfulde og kompetente IT folk jeg tør overlade hellige gral til. Og så er der også nogen der ikke er det.

Det var det vi prøvede at forklare Digitaliseringsstyrelsen om den næste version af NemID, men det bliver efter sigende ikke til noget. Ingen årsag angivet, men formodentlig penge.

Det er deprimerende at man kan se svaret igen og igen, men så længe det ikke koster at være ligeglad så er politikere, politi etc. jo ligeglade....

Det bliver ikke bedre før der indregnes et ansvar.
Personligt tror jeg først det kommer om ca. 20-30 år når de fleste politikere er skiftet ud og meget grelle tilfælde af industri spionage er opdaget.

Man får hvad man betaler for. no more no less
Hvordan kan det være at folk i det daglige forstår at man IKKE får en Mercedes når man køber en Skoda, men når det kommer til udliciterede opgaver, så leveres det der er bestilt og ikke hvad man måtte have ønsket sig?
Samligningen med bakterier er ude i hampen.
At der sker indbrud ER tyvens skyld og aldrig offerets, modsat bakterien, så ved tyven at han gør noget ulovligt.
Og tro at BLOT systemerne kørte i det offentlige regi så ville alt være godt, så kan jeg bare sige LOL
Og jo der stilles krav, der er diverse certifikater med tilhørende audits der skal leves op til og igen bør/gør stiller kunden krav om at man lever op til den ene eller anden.
Og husk nu lige at det er IKKE CSCs sikkerheds system, men IBMs der er tale om (Z-os med tilhørende RACF)

Virksomheder tjener penge på at levere det, der er efterspurgt. Hvis de bruger måneder på at gøre produktet sikkert, kan produktet stadig det samme. Lidt firkantet sagt er det set med virksomhedens øjne spild af tid og penge at arbejde på sikkerheden.

Jeg har temmelig ofte hørt, hvordan tidplaner indebar, at man "udviklede i testperioden" (som om vandfaldsmodellen ikke i sig selv var dum), at man skulle fokusere på at "få noget til at virke" og sørge for sikkerheden, "når man fik tid", osv.

modsat bakterien, så ved tyven at han gør noget ulovligt.

Får denne viden tyven til at stoppe?

Hvis den ikke gør, hvad er så relevansen?

God artikel – TAK!

Jeg tror, først og fremmest, at det er et problem at der slet ikke fra nogen anden side, end måske her, er fokus på hvordan systemet virker. Alle andre ser på hvilke funktioner, de skal have løst, men ikke hvordan de skal løses.

Problemet ved flere forskellige systemer for data, (det forslag der blev givet i overstående kommentar) bliver ofte beskrevet som, at det besværliggører processer i forvaltningen. Og det kan være et kæmpe arbejde at skulle sammenlægge data, for at kunne lave analyser, samt at det kan besværliggører arbejdsprocessen, hvis data dagligt skal hentes fra forskellige systemer, så jeg kan godt forstå man ønsker en centraliseret system. Samtidigt var jeg i dybt chok da jeg for nogle år siden, lavede kvalitetssikring af terapi-tilbud, for en kommune (jeg er uddannet sociolog) og fandt ud af at jeg som studenter medhjælper (nærmest ansat fra gaden) havde adgang til hele systemet – man må håbe at det kun er mennesker med en meget høj etik, der bliver givet denne mulighed. Det er et menneskelig skabt sikkerhedsbrud, men det vidner om at der SLET ikke er fokus på, hvilke sikkerheds problematikker der forekommer ved det offentliges brug og opbevaring af data.

Når man ikke er en del af ”IT verdenen”, findes der forsvindende få muligheder for at kunne forså, hvordan IT systemer virker. Jeg har oplevet at det kun gennem informelle kanaler at denne viden bliver givet videre (venner der TOLDMODIG forklarer, eller artikler som denne) Og derfra hvor jeg står og ser ud, bliver det ikke bedre, hvis skolers IT strategi er at lære børn at blive superbrugere til IPads. Vi bliver nød til at hæve videns niveauet generelt for alle i samfundet, sådan at jurister, ministre, sagsbehandlere og lærer, har en grundlæggende forståelse for IT. Som det bliver skrevet, er dette et politisk problem, fordi magthaverne ikke kan gennemskue de langsigtede konsekvenser af de beslutninger der træffes og det kan vi borger heller ikke – hvilket er MEGA problematisk.

En voldsmand der stikker et offer ned, bliver løsladt straks efter afhøring hos politiet. Offeret kan principielt så møde gerningmanden på gaden de næste måneder inden en domstol har tid til at føre sagen. Retssikkerhed?

Sikkerheden omkring "vore" fortrolige oplysninger er usikre. Budbringeren varetægtsfængsles, er det fordi "offeret" her har mange penge til at føre sagen for sig, eller skal problemmet blot "fejes under gulvtæppet"?

Hvem er loven egentlig til for?

Hvorfor egentlig samle på data, når man ikke kan holde på dem?

LOVEN ! ! !

Loven er til for at beskytte de rige og magtfulde så de kan plyndre de små og ikke magtfulde.
Læg mærke til hvordan politikerne er under immunitet hvad kriminalitet angår. De kan dårligt få en bøde for et drab. Hvis en alm. mand med alm. liv som skatteslave går direkte i fodsporene på vores politikere og vores magtfulde så ryger han i fængsel for bl.a. svindel,bedrag,løgn,svig,illoyalitet,statsfornærmelse o.l. Der er næsten ikke grænser for politikerne og teten i samfundets galskab i forsøget på at finde huller hvor de kan svindle skatteborgerne for noget mønt.
Det undrer mig at der stadig er folk der holder på at vores parti-hopperi-system og politiske løgne kan være demokratisk. Folk er blinde desværre og det holder jo kun fordi det er noget der keder de fleste og derfor gider de ikke stå sammen som er nødvendigt for at vi kan få nogle love og konsekvenser for de levebrødspolitikere som danmark har affødt de sidste 10-15 år især.
Danskerne er desværre blevet for magelige og fede og slappe til at stå sammen og gøre noget ved noget som helst. Så længe der er liv i fjernsynet og de kan få noget at æde og en lille bil så de ikke skal gå ned og handle deres fede mad så lukker de røven.
Og selvfølgelig er det da noget politikerne ved. Uanset hvad de laver så kan der højst komme en "næse" og så lidt hyleri fra offentligheden en uges tid så er det overstået. Så kan de køre videre som de har lyst. Og stadig til 1.5 mill. om året plus bil og hele pivtøjet.
Jeg kan kun give araberne ret i odense. Danskere er dumme mand,siger de og så griner de. Hvem kan modsige dem ?
De har ret. Danskerne er for dumme.
Så mit råd til dig er at gøre som jeg. Lev op til vores forbilleder på christiansborg.
Begå svindel,bedrag,rag til dig ,vær egoistisk,tramp og skid på alle andre end dig selv. Og igen , HUSK AT RAGE TIL DIG FOR VILDT.