IT-Sikkerhed: Placer ansvaret hvor det gør en forskel

Nets har været ude med en melding om at "de ikke kan sikre sig imod den menneskelige faktor"

Det er for det første forkert, det kan man godt, for det andet viser det hvor kernen i den her ballade virkelig ligger:

Ansvaret for sikkerhedsproblemer skal altid placeres 100% præcist hos dem der bestemmer hvor meget sikkerhed der skal være.

I denne sag er der absolut ingen tvivl om at den beslutning er taget af Nets som systemejer og derfor bør der heller ikke være nogen tvivl om at hele ansvaret, uden nogen formildende omstændigheder, tilfalder Nets, hvad enten de prøver at tale udenom eller ej.

Mit klassiske eksempel på denne problematik er fotoet på Dankortet.

Det foto af kortholderen vi havde på Dankortet gjorde det til et af de allermest troværdige betalingskort der nogen sinde har existeret. Det var en fantastisk forbedring af sikkerheden og stort set ingen Dankort blev stjålet i udlandet, sammenlignet med andre typer kort, for forbryderne lærte snart hvor vanskeligt billedet gjorde brugen af dem.

Men det lykkedes en gang, en fyr med fuldskæg fik sit kort stjålet i Spanien og en dame købte en dyr pels med det.

Byretten dømte banken til at dække tabet, med den argumentation at hvis der var fuldskæg på kortet skulle der også være det på dem der købte ind med det og at det naturligvis var bankens ansvar at det blev checket.

Kort efter forsvandt billedet fra Dankortet.

Bankerne bedyrede at det "forbedrede sikkerheden", uden at en eneste journalist i Danmark kunne bringes til at spørge: "Hvis sikkerhed forbedres, bankens eller kundens ?"

Svaret var naturligvis "Bankens" for ved at fjerne fotoet skubbede bankerne en større del af risikoen over på kunderne, uden at disse fik nogen som helst indflydelse på hvor sikkert Dankortet skulle implementeres.

Det skal vi have lavet om på.

Vi har en straffelov der er fyldt med detailregler for hvor stor straffen skal være, afhængig af om man sparker vinduet ind eller piller glasset ud.

Men vi har ingen straf for at have for ringe sikkerhed omkring et IT system der passer på andre folks personlige data, det værste man risikere idag er lidt slid på pegefingeren når man åbner det pigefornærmede brev fra Datatilsynet -- hvis de da overhovedet har tid og råd til at sende det.

Jeg skal ærligt indrømme at hverken Jokke eller Danielsen er min stil, men helt ærligt, tænk lige over hvad det var der skete fordi Nets sparede på sikkerheden:

De forfulgt nygifte Jokke med en flok slibrige og skrupelløse "journalister" og fotografer igennem alle hvedebrødsdagene.

Overvej lige selv hvor meget det havde dræbt romantikken for jer ?

Danielsen fik sin graviditet plastret ud over forsiden, inden hun havde nået at dele den glædelige nyhed med familie og venner.

Jeg ved ikke med jer, men jeg ville have fulgt mig dybt berøvet hvis det var mig.

Og bemærk at ingen af dem havde gjort skyggen af noget der var i nærheden af ulovligt: Der er ingen "whistleblower" der har afsløret en løgnagtigt eller svigagtig politiker i den her sag, det er et rent og skært brud på privatlivets fred, uden nogen formildende omstændigheder.

At det netop blev disse konsekvenser skyldes at medarbejderen solgte oplysningerne til Se og Hør, men Se og Hør er bare en ussel hæler, forbrydelsen var at Nets havde sparet for meget på sikkerheden.

Ingen straf kan erstatte de emotionelle tab som ofrene har lidt i dette tilfælde, men det absolut mindste vi kan gøre som samfund, er at sikre at hensynet til overskudet og chefens bonus aldrig i fremtiden overtrumfer danskeres, hvad enten de er VIP eller ej, menneskeret til privatliv.

Men Nets udenomstale viser meget tydeligt at de stadig ikke har forstået hvor ansvaret ligger.

Det har de også vist endnu tydeligere på en anden måde.

Kig på deres hjemmeside: Der er Ingen pressemeddelse om sagen.

Hvad mere er: Der er heller ikke nogen undskyldning til ofrene.

Hvad mere evidens behøver politikerne før de forstår, at for virksomheder som Nets er sikkerhed kun en omkostning der skal holdes nede ?

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (22)

Peter Holm

Hvor kan jeg være enig.

Men tænk hvorfor denne denne sag er intersant fordi det er kongehuset og se & hør.

Hvis det er muligt at skaffe informationer om dem, ja så er det jo tusind gange lettere at skaffe information om dig og mig og virksomheder.

Så det er ikke ekstra sikkerhed omkring kongehuset, det her drejer sig om.
Som PH rigtig nok skriver, så er det fokus på, og kontrol af dem vi har til at håndtere vores personlige data

Maciej Szeliga

Det er meget ofte de meget simple ting som gør tingene sikre, som det nævnte billede på Dankortet. Det er nemt at verificere og det er slet ikke så nemt at forfalske - det er nemmere at hugge en andens AmericanExpress kort end at spilde tid med at forfalske billedet på et Dankort.

Jens Pedersen

Nogle burde gøre PHK til overingeniør inden for offentlig IT/teknologi.
... Og jeg MENER det :)

I dag er IT den mindst ønskede post, laveste trædesten blandt politikere, hvor det gælder om at komme hurtigst videre. (Host Trine Bramsen).

Det gør offentlig IT til en kastebold blandt politikere der med alt for lidt træning ofte taber bolden hvor tab oftest opgøres i 1-4 cifre efterfulgt af 6 nuller...

Demokrati er den mindst dårlige styreform når mennesker skal finde ud af hvordan vi omgås og omfordeler goder, men snart må det gå op for nogen at teknokrati inden for teknologi - vel at mærke med de rigtige mennesker må være det eneste rigtige.

Omfattende:
NemID
Rejsekort
POLSAG
Nets sikkerhed
eValg (som bare skal begraves så dybt at det aldrig kommer op igen).

Bare for at nævne nogen.

Indtil nogen kommer op med bedre forslag vil jeg endda gå så langt som at vi øjeblikkeligt burde indføre PHK-tatur (altså inden for offentlig IT/teknologi) de næste 5 år og så derfra vurdere hvor vi skal hen...

Morten Hansen

Ud fra hvor udbredt falske kørekort/IDs mm er i USA tvivler jeg på at udskiftningen af et billede på et plastikkort er nogen form for udfordring, desværre. Det er nok stærkt overvurderet hvor stor betydning det har.

Hvad mere er; hvad hvis jeg ikke længere vil have fuldskæg? eller ikke har barberet mig i nogle uger? puha. Den situation vil jeg godt være fri for.

Poul-Henning Kamp

Ud fra hvor udbredt falske kørekort/IDs mm er i USA tvivler jeg på at udskiftningen af et billede på et plastikkort er nogen form for udfordring, desværre. Det er nok stærkt overvurderet hvor stor betydning det har.

Der er meget stor forskel: Kreditkortet skal du nå at bruge i de få timer inden folk opdager at det er stjålent og laver du en kopi opdages det stadigvæk hurtigt.

At der findes en kopi af et kørekort er der ingen der opdager, med mindre en betjent ser flere kopier lige efter hinanden.

Niels Didriksen

ingen tvivl om at den beslutning er taget af Nets som systemejer og derfor bør der heller ikke være nogen tvivl om at hele ansvaret, uden nogen formildende omstændigheder, tilfalder Nets

Helt enig.. Mener faktisk at det er ekstremt skærpende omstændighed, at de gennem flere år, af rigeligt med kompetente fagfolk, er blevet gjort opmærksom på hvad der skulle til, hvis systemet skulle fungere som der stod i reklamen.

Det samme er politikerne/embedsapparatet... som af samme årsag deler ansvaret, da de har været medbestemmende omkring hvordan systemet skulle strikkes sammen.

Det er iøvrigt karakteristisk/symptomatisk, at de fleste medier ikke har forstået hvad problemet er, men stadigt tror at hoved-emnet er hvor meget af melet i Quortrup's melpose der er snavset.

Og at disse medier dermed endnu engang svigter befolkningen ved at misrepræsentere problemstillingen.

Endnu mere symptomatisk er det, at total og massiv overvågning af pøbel er iorden, så længe det ikke går ud over den elitære skare af politikere, kendisser og... finansfolk var jeg lige ved at skrive.. men det er jo omsonst, da det jo er dem, der i dette tilfælde foretager overvågningen.

Jaja.. en sur bøvs, fra en der gruer for at skulle forklare børnebørn om hvad repræsentativt demokrati egentligt var for noget.

Aage Andersen

Hvorfor er nets ikke blevet anmeldt til politiet ?
Er deres opførsel ikke kriminel ?
De dækker over en kriminel medarbejder, ved kun at afskedige ham og ellers ikke at foretage sig noget.

Jan Poulsen

Jeg kan ikke lade være med at tænke på om ledelsen i Nets har været uvidende om, at der har været en kultur blandt nogle medarbejdere i virksomheden, hvor det har været legitimt at tilsidesætte loven for egen vinding.
Er ledelsen i Nets i så dårlig kontakt med hvad der foregår i virksomheden ?

Carsten Gehling

Endnu mere symptomatisk er det, at total og massiv overvågning af pøbel er iorden, så længe det ikke går ud over den elitære skare af politikere, kendisser og... finansfolk var jeg lige ved at skrive.. men det er jo omsonst, da det jo er dem, der i dette tilfælde foretager overvågningen.

Jeg er ret overbevist om, at hvis "nogen" gik ind og lavede en målrettet aktion imod lige præcis de 179 folketingsmedlemmer, så ville der lynhurtigt blive sat en dagsorden i folketingssalen for IT-sikkerhed og -privatliv.

Kjeld Flarup Christensen

Med al forlov, det her tenderer til varm luft. Selvfølgelig har Nets ansvaret.
Spørgsmålet er så hvordan øger man helt konkret sikkerheden og sikrer sig imod brådne kar.

Man kan sikre data overfor mange menige medarbejdertyper, men systemadministratoren ham er det svært at beskytte sig imod. Den har jeg endnu ikke fået et godt bud på.

Når selv NSA ikke kunne sikre sine data mod en systemadministrator, hvordan skulle vi andre så?

Kjeld Flarup Christensen

Se mit forrige blogindlæg?


Den missede jeg, men det ender jo stadigt op i.

Der er simpelthen nogle mennesker man bare er nødt til at kunne stole på og længere er den ikke.

Der er for mig at se meget lidt man kan gøre for at stoppe den uærlige sysadm.
Ja man kan forkæle ham.

Lars Skovlund's kommentar er dog meget tankevækkende:

Måske fordi NSA/den amerikanske regering i høj grad benytter sig af eksterne konsulenter


Skal man simpelthen lade være med at udlicitere IT sikkerhedskritiske opgaver?
Når en virksomhed udliciterer, så udliciterer den underopgaver ikke kerneområder.
Der er ikke noget galt i at udlicitere IT sikkerhed, hvis det firma man udliciterer det til har det som en passion.

Bottom line synes at være at system administratorer skal føle sig som en af os. Er det overhovedet muligt i kæmpestore virksomheder.

Lars Skovlund

Lad mig omformulere det. Du må undskylde, at jeg ikke hurtigere opdagede dit forsøg på afsporing. Selvfølgelig må man outsource, men det endelige ansvar for snagen har man selv. Derfor er det dumt hvis man ikke har en person i eget hus, der læser logs og reagerer på misbrug.

Desuden, du stillede et enkelt spørgsmål om hvorfor NSA er anderledes end Nets, og jeg svarede.

Søren Mejlhede

Skal de ikke ALLE sammen ind og side sammen med Gottfrid Svartholm Warg.
De kan jo ødelægge og fjerne beviser på at der er foregået noget ulovligt, eller få nogen til det.

Hvorfor er NET, IBM og S@H PC-er, Mail, LOG og andet EDB udstyr ikke konfiskeret eller hentet og beslaglagt af Politiet.

Hvorfor er administrator, ansatte som har haft adgang til data ikke bag lås og slå, så de ikke kan ødelægge, forfalske eller fjerne beviser. Eller få andre til det.

Her er det jo bevistlig videregivet ulovligt materiale, til og fra nogen.
Hvad vi formoder politi ikke kan bevise mod Gottfrid, da han så ikke ville være varetægtsfængslet.

Kjeld Flarup Christensen

Hvilken afsporing?

Hvis jeg læser PHK's forrige blokindlæg, så kommer han med en række anbefalinger som ikke er særligt anvendelige hvis man benytter sig af outsourcing.

Den eneste forskel du kom med på spørgsmålet Nets kontra NSA, var egentligt at lækagen i Nets tilfælde tidligere havde været ansat hos Nets men fulgte åbenbart med over i IBM ved outsourcingen.

Så vidt jeg kan finde ud af skete denne outsourcing i 2007, og lækagen startede i 2008. Tilfældigt???

Så vidt jeg kan se så et sikkerheden Nets ansvar, men de har ikke rigtigt nogen muligheder for i dagligdagen at følge op.
Så hvis Nets skal tage en konsekvens, så er de vel nødt til at fyre IBM, andet kan de vel ikke gøre. Eller er der nogen som er klogere?

Poul-Henning Kamp

Hvis jeg læser PHK's forrige blokindlæg, så kommer han med en række anbefalinger som ikke er særligt anvendelige hvis man benytter sig af outsourcing.

Outsourcing for at opnå IT-sikkerhed kan bestemt være en fornuftig løsning, specielt for organisationer der slet ikke er til IT til at begynde med.

Det kommer dog med et meget stort MEN: Bortset fra meget små organisationer vil det næsten altid per definition være dyrere end at ansætte kompetent arbejdskraft selv.

Og det har sådan set ikke noget med IT-Sikkerhed at gøre, det følger direkte af at der er flere der skal tjene penge undervejs, ikke mindst advokaterne.

Gorm Friborg

Se bare her http://ing.dk/artikel/saa-ekstrem-er-kontrollen-med-produktion-af-biolog...

Intet sted i artiklen nævnes f.eks. patientsikkerheden som en årsag til sikkerhedsproceduren - men kun at det er et stof der har dobbelt værdi af guld - og derfor er det vigtigt at alt kommer frem til distribution - ikke at det er et stof der helbereder så fantastisk at det er vigtigt at så meget som muligt kommer frem til patienterne og gør dem raske.

Dette er en generel kultur i profitdrevne virksomheder - og der opstår derfor altid et paradoks når man prøver at overbevise medarbejderne om at de skal udvise "passion" og arbejde efter de anstukne visoner. Visioner som lyder flot i forhold til at løse problemer i virksomhedens omverden og ikke viser det primære billede af at virksomheden er sat i verden for at sikre højst muligt afkast til sine ejere. Og dermed viser det sig hurtigt, at det vigtigste alligevel er kapitalafkastet til virksomhedsejerne. Og det gennemskuer medarbejderne lynhurtigt -så de oplever at man beder dem om at opføre sig "paradoksalt" - at have "to herrer" - en umulighed i praksis.

Tildeler man disse faglige kompetente medarbejdere "magten" - således at de har ansvaret for at arbejde fagligt professionelt, viser det sig umuligt for ledelsen at honnorere den anden side af paradokset, nemlig at optimere afkastet til ejerne medst muligt i en "konkurrencesituation".

Milton friedman udtrykte det helt præcist i et statemant der i dag er blevet "grundloven" for de helt store økonomiske spillere og virksomheder:
"businesses sole purpose is to generate profit for shareholders". Moreover, he maintained, companies that did adopt "responsible" attitudes would be faced with more binding constraints than companies that did not, rendering them less competitive".

Siden hen har man prøvet at lappe på de negative følger (eksternaliteter) som denne "grundlov" har givet i "afkast" til alle andre en virksomhedsejerne (som regel borgene i det omkringliggende samfund, naturen, havene etc. F.eks - stakeholder value - corporate social responibility etc.

Men som al forskning på området viser, ender det med at være lånte fjer og stråmænd - og metoder der kun bliver brugt af marketings og salgsafdelingen, som et indholdsløst skabt billede uden efterlevet pasioneret indhold Metoder som mest bruges, når der er situationer der virkelig truer indtjeningen til virksomhedsejerne, og som først tages i brug når alt andet er prøvet (løgn, fortielse, dårlige bortforklaringer, tavshed og mange andre metoder som findes velbeskrevene i business litteraturen omkring risikohåndtering).

Så i konkurencens klare målsætning, med formålet at besidde mest muligt markedsdominans for at sikre indtjeningen til virksomhedsejerne - bliver det umuligt at sikre sig mod "brådne" kar og hændelser der går ud over andre uskyldige. Man kan nemlige ikke både have en egoistiks og altruistisk virksomhedskultur på en og samme tid i en virksomhed - det viser ikke alene forskningen - det er logik for høns!

Man kan nemlig ikke både incitament styre medarbejdere ved at trigge deres grådighed med belønninger og dermed starte "mere vil ha' mere" syndromet og samtidigt trigge deres (spejlneuron baserede (se hjerneforskningen)), iboende grundlæggende omsorgs og fælleskab kultur. Det er to modsatrettede dynamikker som et menneske umuligt kan indholde. Den bamhjertelige kyniker - hvornår er det lige vi har mødt denne og som viste sig i stand til at opfylde begge sider af modsætningen?

Man kunne, hvis man skal følge Friedmans ide univers - som tankeeksperiment ophæve denne modsætning - ved at alle ejede lige meget af alle virksomheder og dermed arbejde lige meget for sig selv og andre! Dette ville jo kunne indfries indfor hans forsimplede teoriunivers. Dermed ville begge sider af paradokset blive tilgodeset og dermed ville paradokset ophæves.

Men det vil de får procent der bestemmer over den allermeste økonomiske gøren og laden nok ikke frivilligt gå med til. Det vil jo også svare til at landet/staten/samfundet - lige så godt og bedre - kunne vartage opgaverne der skal udføres. Der er jo ingen grund til at gå en omvej over en virksomhedsejer struktur når virksomhederne på denne måde vil være fællesskabets.

Dette viser sig i praksis når fælleskabet søger at lappe lidt på paradoksets problemskabelser, når talen f.eks. går på at indføre sociale klausuler som betingelse for at udføre arbejde for det offentlige/staen/fællesskabet - hvilket starter et sandt hylekor af virksomhedsejere, deres repæsentanter og tilforordnede poltikere - med at så vil ingen byde, da det ikke kan betale sig at udføre arbejdet.

Man ser det også af de igangværende forhandlinger omkring en handelsaftale mellem EU og USA - hvor det er virksomhedsejernes største forlangende at der indføres en domstol som kan idømme erstatninger til virksomhederne, hvis de demokratiske landes fællesskaber skulle finde på at lave love og regler, der formindsker afkastet til virksomhedsejerne.

Økonomi er blevet den herskende talemåde, hvor om man viser løsninger på problemer - og som er bundet af at problemer kun kan løses inden for de spilleregler som er afsat i den herskende økonomiske teori - også kaldet den nødvendige politik.

Økonomi kommer af græsk - og betød: regler for husholdning. Altså et logistik fænomen som skulle sørge for at der kom mad på bordet hver dag - også i fremtiden (ja i den prenyøkonomiske verden, kunne man faktisk godt tænke børnenes fremtid ind i den ageren man havde i hverdagen - modsat i dag hvor det er hvad vi (grådigt/økonomisk) får lige her og nu det tæller og som er vigtigst.

Så ønsker man et fællesskab/samfund - hvor finanskriser, nets/seoghør skandale etc. etc. etc. bliver fortid - er man nødt til at se på de logistiske problemer i samfundenes indretninger. De nyøkonomiske regler har vist sig for dårlige - for simple - til at kunne løse de komplekse problemer der er kommet ud af de nyøkonomiske baserede handlemåder vi har indrettet samfundene/fællesskaberne efter.

Eller som Albert Einstein sagde:

”uden at ændre vores måde at tænke på, kan vi ikke løse de problemer, vi har skabt med vores måde at tænke på”.

mvh Gorm Friborg

Kjeld Flarup Christensen

Outsourcing for at opnå IT-sikkerhed kan bestemt være en fornuftig løsning, specielt for organisationer der slet ikke er til IT til at begynde med.

Det går vi så ud fra ikke er tilfældet med Nets.
Men faktisk er det endnu værre hvis der også benyttes outsourcing til NemID, hvor netop sikkerhed er et kerneprodukt.

Nu vi er ved det, så benytter TDC også outsourcing. Og jeg tror at Se og Hør ville være villige til at betale mere en 10K for oplysninger om hvem der sender SMS'er til hvem.

Gert Madsen

Man kan sikre data overfor mange menige medarbejdertyper, men systemadministratoren ham er det svært at beskytte sig imod. Den har jeg endnu ikke fået et godt bud på.


Det er nok heller ikke det vigtigste i beskeden.

Der er et klart økonomisk incitament hos ledelsen til at spare på sikkerheden. Og der er stort set ingen risiko ved at gøre det.

Det er ikke nødvendigvis årsagen til at Systemadministratoren har solgt disse data, selvom det kan være det. Men det er helt sikkert årsagen til at Nets intet gjorde, da de fik et tip om en læk, og ikke kunne eller ville finde årsagen.

Måske skulle man skele til netop mediebranchen, hvor der falder store bøder og erstatninger, og evt. fængsel til den ansvarshavende redaktør, hvis man træder for meget ved siden af.

Dem der vinder ved at spare på sikkerheden, skal også mærke pisken, hvis det medfører datalæk.

Log ind eller opret en konto for at skrive kommentarer

IT Businesses