OPROP om hackersag

Jeg har skrevet lidt om "hackersagen" ovre på version2, mest fra den rent IT-tekniske vinkel, men der er en side af sagen der hører hjemme her på ing.dk, for det berører alle danskere og dermed alle danske ingeniører.

Den absolut vigtigste "detalje" i hackersagen, er følgende (Citater fra domstolens kendelse)

"Den 7. april 2012 fandt den første konstaterede uberettigede adgang til CSC’s mainframe sted "

Bemærk ordet "konstaterede". I virkeligheden er der overhovedet ingen der aner hvor mange hackere der har været på CSCs mainframe.

"Udover download af RACF-databasen [Adgangskontrolfilen /phk] den 10. april 2012 skete der blandt andet download af større mængder data fra CSC's mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012."

I fire måneder downloader de kriminelle alt muligt fra CSC's mainframe.

"De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-registret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informationssystemet."

Grunden til at vi ved at netop disse data er downloadet, er at vi har fundet dem på den dømtes laptop.

CSC's mainframe var så dårligt overvåget at de ikke opdagede at logningen blev slået fra og derfor aner vi ikke hvad der ellers måtte være downloadet.

Heller ingen aner hvad der skete med de downloadede data: vi ved ikke hvem der har kopier af dem, vi ved ikke hvor mange der har kopier af dem. Vi ved ikke hvad de vil blive brug til.

"Tiltalte T1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia"

... Hvilket får angreb og downloading til at stoppe.

Og endelig:

"De tre bagdøre, som gav uautoriseret adgang til CSC’s mainframe, blev ifølge vidnet Gs forklaring fjernet af CSC således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013. "

ELLEVE måneder efter indbrudet, SEKS måneder efter at indbrudet tilfældigvis er stoppet af svensk politi, bliver hullet endelig lukket.

Og hvis man sidder og synes det er lidt sølle, så bliver det værre endnu:

Allerede mens angrebene stod på, i juni 2012 advarede svensk politi det danske politi om at de så noget der lignede indtrængen i CSCs systemer.

De henvendet sig igen i September 2012.

Og i Oktober 2012.

Og i November 2012.

Men fik intet svar og ingen reaktion af dansk politi.

Først i Februar 2013 giver dansk politiet giver sig til at læse de svenske henvendelser og se på sagen.

Herefter retter politiet henvendelse CSC.

Og først da opdager CSC at porten er vidt åben og hestene stukket af.

Dét er den helt centrale lære af hackersagen:

Der er ikke en skid styr på IT-sikkerheden i offentlig IT.

Der er mange aspekter og detaljer om hvilke vi kan have divergerende meninger inden for dette område.

F.eks om samfundskritisk IT infrastruktur og alle danskeres personfølsomme oplysninger skal udliciteres til laveste, eller ligefrem eneste bud fra udlandet.

Men der kan ikke længere være nogen tvivl om at skiftende regeringers forhastede og lemfældige tvangsdigitaliseringer har efterladt Danmark med et morads af usikre og dårligt beskyttede IT systemer fyldt med borgernes mest privatlivskritiske persondata.

Vores politikere har opfattet IT som en slags magisk tryllestav som man kunne svinge over et vilkårligt kontor i den offentlige administration for derefter at beskære budgettet med så mange procent man havde lyst til, med henvisning til "IT rationaliseringer".

Der er kun to ting man kan markedsføre i Danmark idag, uden nogen form for producentansvar: Religion og IT.

Havde det været fødevareområdet, var CSC blevet lukket på stedet af fødevarekontrollen, direktøren ville stå til fængselsstraf og store bøder, erstatningsansvar mv.

Men på IT området har vi kun det ornamentale Datatilsyn hvis beføjelser tillader dem at sende breve og hvis budget ikke giver dem råd dertil.

(Datatilsynet har intet gjort i CSC sagen, fordi hverken Rigspolitiet (som dataansvarlig) eller CSC har svaret på deres breve!)

Det må høre op!

Der er masser af teoretisk papirarbejde i alle mulige virksomheder og offentlige styrelser som handler om IT sikkerhed, men der er meget lidt faktisk IT-sikkerhed og der er slet ikke noget ansvar hvis der sker et indbrud.

Vi skal have et ministerium med ansvar for IT og privatliv.

Vi skal have et Datatilsyn som med iver og nidkærhed inspicerer og hiver stikket på alle datainstallationer der ikke holder stangmål på IT-sikkerhed.

Vi skal have love der gør at Direktøren For Det Hele ryger i fængsel hvis noget i kaliber med CSC sagen nogensinde gentager sig.

Vi skal have indberetningspligt for alle tilfælde hvor blot en eneste borgers personfølsomme oplysninger stjæles, mistes eller glemmes i S-toget, så vi kan underrette de ramte og føre statistik med problemets omfang.

Vi skal have producentansvar for programmer og IT driftsydelser.

Vi skal have en autorisationsordning for drift- og persondataansvarlige IT folk, på linie med el-, vvs- og kloak-installatører.

Vi skal have en autorisationsordning for IT-systemdesignere, på linie med Anerkendte Statikere.

Og vi skal have en IT-Havarikommission til at udrede hvad der gik galt og til at komme med anbefalinger til hvorledes gentagelser undgås.

Alle disse problemer kan kun og skal løses på Slotsholmen af vores folkevalgte politikere og det gør de ikke med mindre der bliver lagt meget stort press på dem fra befolkningen.

(EU's kommende databeskyttelsesdirektiv som tager nogle små skridt på dette område, er af danske regeringer blevet modarbejdet med fuld kraft.)

IT-sikkerhedsspecialister som jeg har råbt os hæse om dette i årvis, uden at der er sket en skid.

Nu håber jeg at resten af befolkningen også kan se problemet og at I slutter jer til vores protester.

Tag fat i jeres politikere og spørg hvad de vil gøre ved IT sikkerhed og persondatabeskyttelse.

Stem på nogen andre hvis de siger noget dumt eller hælder lommeuld ud.

Skriv læserbreve til aviserne.

Gør det til et emne i valgkampen.

Gør hvad som helst andet end at trække på skulderen.

phk

Poul-Henning Kamps billede
Poul-Henning Kamp
er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.

Kommentarer (39)

Underlig holdning nogle folk rundt omkring åbenbart har til deres arbejde. Både indenfor politi og bla CSC.

Uanset hvor gode systemer er, er de i sidste ende afhængige af, at menneskenes børn har en seriøs holdning til hvad de går og laver - hvad de åbenlyst ikke har haft i denne sag.

Er der nogen der ved hvor mange af den slags henvendelser de(politiet) får pr år ? 10/100/1000/.. 1 ?

<>Hvis det nu blev sat ind som bonusgivende for politichefen kunne det være det hjalp på det </ironi>

  • 9
  • 0

Det er umuligt ikke at være enig i en væsentlig del af det som PHK lister op her af problemer, og mulige tiltag.
Personligt er jeg enig i det hele - jeg ved bare ikke om listen er komplet (det bliver den nok aldrig).

Vi bliver altså nødt til at råbe op!

  • 15
  • 0

Der er over de sidste år sket en "professionalisering" af politikerne. En plads i Folketinget er blevet et trin i en karriere (se fx AFR, Karen Hækkerup og HTS's forsøg i EU) i stedet for et ansvarsfuldt hverv. Fokus er ikke længere på hvad der tjener danske interesser i langsigtet perspektiv men på hvad der gavner de økonomiske nøgletal her og nu - med andre ord, hvad der ser godt ud på CV'et.

Eksempelvis gavner NemID økonomien på den korte og snævertsynede bane (Staten får et "gratis" logon og Nets skummer fløden på alle private login) men i et langsigtet perspektiv har vi i stedet fået en centraliseret, sårbar og samfundsmæssig dyr løsning, men skidt med det: så længe det er billigt for forretningen Staten, betyder det ikke noget at samfundet får prakket en dyr og dårlig løsning på - de bliver jo bare tvunget til at bruge den, så kører det...

...og naturligvis styres det af en stærk kontrakt, så vi er sikre på at få hvad vi betaler for!

Mao. har jeg ikke forventninger om at politikerne af sig selv tager skridt til at gøre noget ved det.

  • 15
  • 1

Enighed herfra i problemets overordnede natur, og i at de givne forslag langt hen ad vejen er yderst fornuftige. Og så lad mig lige kommentere på formen:

Det er skåret ud i pap. Og det skal det være, hvis vi skal række ud over vores egne rækker; vi fortaber os alt for nemt i endeløse diskussioner om tekniske finurligheder og spidsfindige forbehold, hvorved vi afleder opmærksomheden fra de egentlige problemer. Det her er så vigtigt, at vi bør mobilisere vores indre Clevin, og hive den brede pensel frem.

Når folk bliver blanke i blikket og begynder at lægge mere mærke til vores sokkers farve end vores budskab, så er det altså os, som har fejlet. Der er brug for os.

Så hvis du er enig med PHK i, at vi har et problem her, så læs den sidste halve snes linjer i indlægget igen - gå ud med det, og hold det konkret og nede på jorden; gerne med personlige eksempler fremfor brede formuleringer.

(...og vær så i øvrigt for min skyld meget velkommen til at tage en diskussion om tekniske finurligheder og om hvor håbløst det er, at ingen hører på os, nedenfor, bare du husker, at du er ved at prædike for de allerede omvendte).

  • 13
  • 0

Menneskeheden tilpasser sig skiftende omstændigheder ved at de nye generationer vokser op med de nye omstændigheder. Man kan kun i begrænset omfang lære gamle hunde nye kunster.

Skal man opnå de mange flotte mål som Poul-Henning Kamp opridser i nærværende blog, skal man have hele flokken med, også dem der gør som de lærte i skolen, også dem der gør hvad chefen siger, også dem der følger med strømmen, også dem der ikke selvstændigt søger ny viden, også dem der passer lydefrit ind i det store maskineri.

Skal vi have hele flokken med, skal der sættes massivt og vedvarende ind med undervisning af de opvoksende generationer.

Slaget skal vindes i alderen ca. 0-15 år. Det er i barndommen folk skal fatte hvordan den nye IT-ificerede verden fungerer. Får de den grundlæggende forståelse tidligt, er de modtagelige for videre uddannelse på området senere i livet.

Nogle vil så protestere og fremhæve sig selv og deres kolleger som netop nogle "gamle hunde der hele tiden lærer nye kunster". Det er korrekt at det findes, men det er en minoritet der har den evne og den lyst.

IT branchen har tiltrukket mange med de evner, og det er årsagen til at der trods alt er opstået en IT branche og et IT samfund. Der er bare ikke nok af denne type folk til at opnå den brede samfundsmæssige udbredelse af den gode IT forståelse.

Fordelingen er måske 1:200 nu. Det giver den der følelse af at "skrige sig hæs, uden at blive hørt". Hvis bare vi kan få fordelingen ændret til 1:20 i den generation der er ved at vokse op nu, er vi meget langt.

Men forvent at dette er et livsprojekt. Der findes ikke en magisk "IT forståelses mikstur" man kan injicere i befolkningen. Der skal et langt sejt træk til.

  • 3
  • 0

Inden sikkerheds revolutionen i staten - der så jeg gerne at man også lavede et sanity tjek af om det systemerne laver er en kerne-opgave for staten - eller blot gøjl.

Samtidig med IT ministeriet bør der også oprettes et dereguleringsministerium - hvis eneste opgave er at fjerne gammel forældet lovgivning (og statsopgaver).

Man kunne også overveje om centraliserings-mantra'et i staten er godt - eller om man kan løse kerne-opgaverne bedre ved at decentraliserere - og dermed afburekratisere (og formentlig så har brug for færre IT systemer til burekratiet - og mindre behov for registrering af borgerne).

Så er der måske en chance for at man har råd til de (mere) sikre IT systemer/arbejdsgange til kerne opgaverne.

  • 6
  • 4

Hvis en bankdirektør ikke laaser bankboksen naar han forlader banken, vil jeg anse det for forsømmelighed, selv om det naturligvis ikke er lovligt for andre at tage penge fra boksen.

Jeg haaber man kan se analogien til CSC sagen.

  • 8
  • 0

En forklaring, men ikke en undskyldning for manglende opmærksomhed er den manglende fysiske håndgribelighed af data.

De fleste kan intuitivt se og forstå konsekvenserne af en utæt gyllebeholder eller saltsyretank, selv om visse personer har optrænet evnen til at undertrykke det.

Der skal mere til at se og forstå konsekvenserne af en utæt ftp eller webserver.
Omhyggeligheden går tabt i rutinen, og nogle er måske mere koncentrerede om at give adgang til de, der skal have adgang, og glemmer at være opmærksom på om de, der ikke skal have adgang ikke har adgang.

Måske skal man ikke lægge alt for megen tiltro på at en forbedring skal komme fra de 0-15-årige, der vokser op med at dele alt på sms og facebook.

  • 4
  • 0

Jeg vil gerne henlede Jeres opmærksomhed på Karen Melchior (se evt. https://www.facebook.com/karenmelchior.eu?... ) der er en af vores absolut mest begavede og dedikerede unge politikere og den eneste jeg kender, som har indsigt i og er IT orienteret (kender I andre politikere vil det være fint at få navnene).
Karen Melchior stiler mod FT, fik næst flest radikale stemmer til EU valget (10.412) og reagerede lynhurtigt på min opfordring til at handle (se evt. https://www.facebook.com/georgi.mitchew ).
Vil også gerne opfordre PH til at formulere 3-4 eller flere kardinalpunkter gerne med en synopsis, som vi kan bruge som platform til politikerhenvendelse, læserbreve m.v..
Jeg er 100% enig i at dette er sag som ikke må gå i glemmebogen, men opprioriteres og som vi der har tiden bør handle på – ikke hver dag, men hver eneste dag.

  • 3
  • 3

Jeg synes, man skal prøve at koncentrere budskabet om en enkelt lille ting med meget stor betydning for vores syn på hacking: Er virksomhederne ofre eller skurke?

Her er bakterier i fødevarer en god analogi. Hackere og bakterier har tre ting til fælles:
- Vi ønsker dem ikke i vores mad/data.
- Det ligger i deres natur at forsøge sig at brede sig til vores mad/data.
- De kan ikke standses med lovgivning, for den respekterer de ikke.

Alligevel er vores syn på virksomheder, der får hackere i dataene, helt anderledes end vores syn på virksomheder, der får bakterier i fødevarerne. Finder man bakterier i maden i en virksomhed, er der ingen tvivl om, at virksomheden er skurk og skal straffes. Men finder man hackere i dataene i en virksomhed, betragter vi virksomheden som offer.

Hvorfor er den ene virksomhed skurk, mens den anden virksomhed er offer? Begge virksomheder har jo handlet lige lemfældigt ved ikke at beskytte vores data/mad tilstrækkeligt mod en trussel, som er en naturlig del af hverdagen.

Og som PHK skriver: Vi kan jo sagtens finde ud af etablere kontrolorganer, der holder fødevarevirksomhederne til ilden og sørger for, at deres indsats mod bakterier er tilstrækkelig. Jeg tror ikke engang, det koster staten penge, for virksomhederne er tvunget til selv at betale for tilsynet. Hvorfor har vi ikke kontrolorganer med tilsvarende magt og ressourcer til at føre tilsyn med de virksomheder, der opbevarer vores data?

  • 25
  • 1

Det er super godt skrevet og rammer helt plet!

Spørgsmålet er hvordan man skal håndtere sådanne situationer? En fødevarevirksomhed kan man lukke ned (der er mange der laver spegepølser f.eks.) men der er kun et firma der håndterer CPR registret så vidt jeg ved.

  • 6
  • 0

Ham fyren, der skal bures, gives PC og lovning på strafnedsættelse og pension proportionalt til hvor mange indbrud i offentlige systemer han kan lave.

  • 3
  • 0

Spørgsmålet er hvordan man skal håndtere sådanne situationer? En fødevarevirksomhed kan man lukke ned (der er mange der laver spegepølser f.eks.) men der er kun et firma der håndterer CPR registret så vidt jeg ved.

Så må den offentlige IT strategi jo laves således at det kan lade sig gøre.

Det nemmeste er nok helt at undlade udlicitering til private, men i stedet at køre driften med tjenestemænd.

  • 15
  • 1

En fødevarevirksomhed kan man lukke ned (der er mange der laver spegepølser f.eks.) men der er kun et firma der håndterer CPR registret så vidt jeg ved.

Lige præcis her ligger en væsentlig del af problemet. CSC er en virksomhed som gang på gang har stillet sin totale inkompetance til offentlig skue.

Det virker som om at CSC simpelthen er blevet "to big to fail", eller at der simpelthen ikke er andre der kan/vil påtage sig opgaven. Mest sandsynligt er det vel, at staten har indset at det ville være enormt dyrt og komplekst at flytte opgaven til et andet foretagende, og at det blot yderligere vil øge afhængigheden af og eksponeringen mod udenlandske interesser. Det kan man simpelthen ikke være bekendt at byde de danske borgere!

Hvis staten ville kunne de sagtens "lukke CSC ned" - det vil bare være at tage alle statslige opgaver fra dem. Men man skal jo have nogen at give dem til.

Derfor skal vi hurtigst muligt have en en helt ny instans som kan overtage opgaverne.

Og det må meget gerne være et statsselskab, eller til nød et privat selskab som fra lovgivningens side var garanteret et 100 % dansk ene-eje til tid og evighed.

Og hvis regeringen skulle mangle lidt gryn til den øvelse kunne man jo denne gang tage pengene fra køb af nye og ubrugelige kampfly. Det eneste de kan bruges til, er at opretteholde Danmarks såkaldt aktivistiske udenrigspolitik. Sidst da regeringen akut manglede penge til nogle ekstra flygtninge tom man pengene fra ulandsbistanden. Så må det være rimeligt at man denne gang tager dem fra noget som ikke vil gøre den aller mindste nytte nogen steder. Det er lidt OT, det ved jeg godt, men en gang i mellem bliver jeg simpelthen så oprørt at det bare skal ud - sorry !

  • 4
  • 4

Det er det ikke.

Hvorfor tror du vi har Tjenestemandsordningen til at begynde med ?

Hvorfor har vi f.eks ikke bare udliciteret politiets opgaver til Securitas ?

Fordi der er nogen opgaver med helt særlige ansvar at løfte.

  • 17
  • 0

Det har noget at gøre med hvorledes politiets registre blev brugt for ca. 70 år siden.

Og hvis vi havde haft kampfly nok et par år før var det ikke sket? Tvivlsomt!

Eller er vi ikke enige om at situationen i 44 handlede om forholdet til en fremmed besættelsesmagt, og situationen i 14 om sløseri af monumentalt omfang, med andre ord det kan ikke sammenlignes?

Men bortset fra at jeg ikke forstår overskriften synes jeg det er en fremragende blog du har begået!

  • 1
  • 1

Hvorfor tror du vi har Tjenestemandsordningen til at begynde med ?

Hvorfor har vi f.eks ikke bare udliciteret politiets opgaver til Securitas ?

Fordi der er nogen opgaver med helt særlige ansvar at løfte.


Jeg er ikke sikker på, at man kommer videre end i dag, hvis en statslig myndighed skal stå for dataene og selv kontrollere, at den gør det godt nok.

Ligesom vi har magtens tredeling (som er godt og sundt princip), bør vi også have en eller anden form for to- eller tredeling her - og det er ikke sikkert, at det er en god ide, at samtlige 2 eller 3 dele er statslige.

  • 2
  • 3

Jeg er helt enig i at al omgang med personfølsom data skal håndteres med respekt, sporbarhed (hvem har tilgået data og hvornår) og sikkerhed, som nogle af de vigtigste parametre. Denne opgave ligger hos leverandøren.

Jeg vil dog også mene at opgavestiller i mange tilfælde også har et tilsvarende ansvar. Blev der stillet de rigtige og konkrete funktionelle og ikke-funktionelle krav til persondata. Blev disse krav gennemtestet inden igangsættelse og hvilke krav er det stillet til periodisk verifikation af disse.

Ofte er det sådan at man får hvad man betaler for og ofte vil en leverandør/producent levere det billigste produkt, som lige netop kan give kunden den fornemmelse at det nok er ok. Her er fødevarer og madsminke et godt eksempel.

Jeg kender ikke til de sikkerhedsmæssige krav i sådan offentlige udbud, hvor håndtering af personfølsom data indgår, men de må vel være offentlig tilgængelige?

Jeg kunne også godt tænke mig at vide, hvorledes en kunde stiller sig, hvis en leverandør påpeger det nødvendige i at lave en sikkerhedsopdatering. Siger kunden altid, ja tak, eller kigger kunden på prisen og laver sin egen sikkerhedsvurdering.

Måske siger kunden, ah, det går nok, lad os vente indtil vi har samlet til bunke og giv os så et godt tilbud.

Jeg tror desværre ofte at personfølsom data handles under de samme markedsmekanismer som 3 stjernet salami. Værsgo at spis

  • 1
  • 0

En udliciteringskontrakt kunne måske kræve en klækkelig bod i tilfælde af datalækage. Dette beløb kunne man så udlove offentligt som præmie til den eller de hackere, for hverm det lykkedes at bryde ind og tappe data. Billig løsning. Maksimal test af sikkerheden. Maksimal omhu fra datacenterets sikkerhedsafdeling.

  • 3
  • 0

Jeg tror man skal lave systemer, som forventer lækager, og som begrænse de mulige skader.
En måde kunne være at undgå meget store koncentrationer af data på et sted. Man kunne opdele databaserne i selvstændige klumper, som hver blev forvaltet af selvstændige firmaer, på fysisk adskilte servere, med hver sit login-system og interne log-funktioner.
Trafikken mellem sådanne systemer skulle imidlertid også overvåges af andre end de organisationer der forvalter databaserne, såleds at man uundgåeligt efterterlader officielle log-spor, der viser hvem der har tilgået hvad.
Det er jo tydeligt for enhver, at sådanne systemer bliver tunge at arbejde med, men er det ikke ok at det ikke bliver helt trivielt at sammenstille et totalbillede af enkelte borgere?
Der vil også blive problemer med mange forskellige værdifulde former for statistisk anvendelse af data. Det er vel netop karakteristisk for den type tilgang, at man ikke har brug at vide nøjagtig hvem der hører sammen med data, så det kunne måske nogen gange imødegås med anonymiserede ad hoc baser, som forsvandt efter brug.
Lad os smide lidt grus i maskineriet!

  • 3
  • 0

Man kan udlicitere opgaver, men man kan ikke udlicitere ansvar.

Og når man udliciterer en opgave, skaber man et behov for synligt tilsyn med den udliciterede opgave.
Og den opgave må ikke udliciteres til nogen som er i et afhængighedsforhold til den der udfører den oprindelige opgave.

Desuden er det meget sværere (dvs dyrere) at opdatere opgavespecifikationen løbende for en udliciteret opgave.
IT sikkerhed er en opgave, som hele tiden ændrer sig, og det er derfor svært at få defineret i kontraktsprog.

  • 8
  • 0

Hvor skal jeg skrive under?

Fustrerende og hovedrystende at der ikke er mere styr på sådan noget.
Der findes så utroligt mange former for sikkerhed, hvorfor ikke gøre brug af det - svaret behøver jeg ikke at få, for jeg ved det godt.
IT folkene er muligvis ikke u kompetente, men så da i særdeleshed ligeglade med hvad der sker med deres systemer.

  • 1
  • 1

IT folkene er muligvis ikke u kompetente, men så da i særdeleshed ligeglade med hvad der sker med deres systemer.

Jo, nogen af dem er inkompetente ud over alle grænser.

Andre steder vælger man af økonomiske årsager at spille "fast&loose" med sikkerheden, indtil man kan malke flere penge ud af kunden for at forbedre sikkerheden.

Fælles for dem alle er at der ingen krav stilles til dem.

Hvis der skal skrues en vandhande eller stikkontakt op, forlanger samfundet at der er en der tager ansvaret og at han har en relevant uddannelse og ansvarsforsikring.

Der er ingen krav til folk der designer og drifter sikkerheden for vores persondata.

  • 7
  • 0

Det var det vi prøvede at forklare Digitaliseringsstyrelsen om den næste version af NemID, men det bliver efter sigende ikke til noget. Ingen årsag angivet, men formodentlig penge.

Det er deprimerende at man kan se svaret igen og igen, men så længe det ikke koster at være ligeglad så er politikere, politi etc. jo ligeglade....

Det bliver ikke bedre før der indregnes et ansvar.
Personligt tror jeg først det kommer om ca. 20-30 år når de fleste politikere er skiftet ud og meget grelle tilfælde af industri spionage er opdaget.

  • 2
  • 0

Man får hvad man betaler for. no more no less
Hvordan kan det være at folk i det daglige forstår at man IKKE får en Mercedes når man køber en Skoda, men når det kommer til udliciterede opgaver, så leveres det der er bestilt og ikke hvad man måtte have ønsket sig?
Samligningen med bakterier er ude i hampen.
At der sker indbrud ER tyvens skyld og aldrig offerets, modsat bakterien, så ved tyven at han gør noget ulovligt.
Og tro at BLOT systemerne kørte i det offentlige regi så ville alt være godt, så kan jeg bare sige LOL
Og jo der stilles krav, der er diverse certifikater med tilhørende audits der skal leves op til og igen bør/gør stiller kunden krav om at man lever op til den ene eller anden.
Og husk nu lige at det er IKKE CSCs sikkerheds system, men IBMs der er tale om (Z-os med tilhørende RACF)

  • 0
  • 5

Virksomheder tjener penge på at levere det, der er efterspurgt. Hvis de bruger måneder på at gøre produktet sikkert, kan produktet stadig det samme. Lidt firkantet sagt er det set med virksomhedens øjne spild af tid og penge at arbejde på sikkerheden.

Jeg har temmelig ofte hørt, hvordan tidplaner indebar, at man "udviklede i testperioden" (som om vandfaldsmodellen ikke i sig selv var dum), at man skulle fokusere på at "få noget til at virke" og sørge for sikkerheden, "når man fik tid", osv.

  • 0
  • 0

God artikel – TAK!

Jeg tror, først og fremmest, at det er et problem at der slet ikke fra nogen anden side, end måske her, er fokus på hvordan systemet virker. Alle andre ser på hvilke funktioner, de skal have løst, men ikke hvordan de skal løses.

Problemet ved flere forskellige systemer for data, (det forslag der blev givet i overstående kommentar) bliver ofte beskrevet som, at det besværliggører processer i forvaltningen. Og det kan være et kæmpe arbejde at skulle sammenlægge data, for at kunne lave analyser, samt at det kan besværliggører arbejdsprocessen, hvis data dagligt skal hentes fra forskellige systemer, så jeg kan godt forstå man ønsker en centraliseret system. Samtidigt var jeg i dybt chok da jeg for nogle år siden, lavede kvalitetssikring af terapi-tilbud, for en kommune (jeg er uddannet sociolog) og fandt ud af at jeg som studenter medhjælper (nærmest ansat fra gaden) havde adgang til hele systemet – man må håbe at det kun er mennesker med en meget høj etik, der bliver givet denne mulighed. Det er et menneskelig skabt sikkerhedsbrud, men det vidner om at der SLET ikke er fokus på, hvilke sikkerheds problematikker der forekommer ved det offentliges brug og opbevaring af data.

Når man ikke er en del af ”IT verdenen”, findes der forsvindende få muligheder for at kunne forså, hvordan IT systemer virker. Jeg har oplevet at det kun gennem informelle kanaler at denne viden bliver givet videre (venner der TOLDMODIG forklarer, eller artikler som denne) Og derfra hvor jeg står og ser ud, bliver det ikke bedre, hvis skolers IT strategi er at lære børn at blive superbrugere til IPads. Vi bliver nød til at hæve videns niveauet generelt for alle i samfundet, sådan at jurister, ministre, sagsbehandlere og lærer, har en grundlæggende forståelse for IT. Som det bliver skrevet, er dette et politisk problem, fordi magthaverne ikke kan gennemskue de langsigtede konsekvenser af de beslutninger der træffes og det kan vi borger heller ikke – hvilket er MEGA problematisk.

  • 2
  • 0

En voldsmand der stikker et offer ned, bliver løsladt straks efter afhøring hos politiet. Offeret kan principielt så møde gerningmanden på gaden de næste måneder inden en domstol har tid til at føre sagen. Retssikkerhed?

Sikkerheden omkring "vore" fortrolige oplysninger er usikre. Budbringeren varetægtsfængsles, er det fordi "offeret" her har mange penge til at føre sagen for sig, eller skal problemmet blot "fejes under gulvtæppet"?

Hvem er loven egentlig til for?

Hvorfor egentlig samle på data, når man ikke kan holde på dem?

  • 0
  • 0

LOVEN ! ! !

Loven er til for at beskytte de rige og magtfulde så de kan plyndre de små og ikke magtfulde.
Læg mærke til hvordan politikerne er under immunitet hvad kriminalitet angår. De kan dårligt få en bøde for et drab. Hvis en alm. mand med alm. liv som skatteslave går direkte i fodsporene på vores politikere og vores magtfulde så ryger han i fængsel for bl.a. svindel,bedrag,løgn,svig,illoyalitet,statsfornærmelse o.l. Der er næsten ikke grænser for politikerne og teten i samfundets galskab i forsøget på at finde huller hvor de kan svindle skatteborgerne for noget mønt.
Det undrer mig at der stadig er folk der holder på at vores parti-hopperi-system og politiske løgne kan være demokratisk. Folk er blinde desværre og det holder jo kun fordi det er noget der keder de fleste og derfor gider de ikke stå sammen som er nødvendigt for at vi kan få nogle love og konsekvenser for de levebrødspolitikere som danmark har affødt de sidste 10-15 år især.
Danskerne er desværre blevet for magelige og fede og slappe til at stå sammen og gøre noget ved noget som helst. Så længe der er liv i fjernsynet og de kan få noget at æde og en lille bil så de ikke skal gå ned og handle deres fede mad så lukker de røven.
Og selvfølgelig er det da noget politikerne ved. Uanset hvad de laver så kan der højst komme en "næse" og så lidt hyleri fra offentligheden en uges tid så er det overstået. Så kan de køre videre som de har lyst. Og stadig til 1.5 mill. om året plus bil og hele pivtøjet.
Jeg kan kun give araberne ret i odense. Danskere er dumme mand,siger de og så griner de. Hvem kan modsige dem ?
De har ret. Danskerne er for dumme.
Så mit råd til dig er at gøre som jeg. Lev op til vores forbilleder på christiansborg.
Begå svindel,bedrag,rag til dig ,vær egoistisk,tramp og skid på alle andre end dig selv. Og igen , HUSK AT RAGE TIL DIG FOR VILDT.

  • 0
  • 3