300.000 navne og mailadresser lå sammen med gaveønsker i åben PostNord-database

for at opnå dette mål er at den rette faglighed er til stede og her kræves både udviklerens og operations faglighed.

Især "kommunerne som de offentlige arbejdspladser, der oplever den største mangel på it-kvalifikationer" - et stort efterslæb, som skal indhenters.

Burde det ikke være common sense i 2017 at beskytte brugeres oplysninger?

I et miljø hvor man har sparet operations væk (fordi cloud og serverless) mangler man som udgangpunkt den faglighed der skal sikre operationel sikkerhed.

PostNord skal i det mindste have ros for at kontakte de berørte brugere og informere om problemet.

Mange virksomheder havde nok bare valgt at lade som ingenting. Det var fx den strategi, som Statens Serum Institut benyttede sig af, dengang de lækkede CPR-numre og diagnoser for alle danskere.

Beskyttelse og datasikkerhed etc. er på grund af manglende konsekvenser vist endnu ikke indarbejdet i diverse kvaseoffentlige og offentlige organisationer.

Hvornår kan udviklere anvende denne undskyldning for ikke at bruge sund fornuft og rettidig omhu? Er det generelt, eller kun når de er ansat ved (kvasi-)offentlige institutioner?

Burde det ikke være common sense i 2017 at beskytte brugeres..

En ny undersøgelse[1] (Rambøll) fortæller også, at der ikke eksister det fornødne personalemæssige beredskab på området datasikkerhed, samt ikke mindst er der fremover heller ikke planlagt en øget aktivitet - fokus, uddannelse, ansættelser - på området.

[1] ..http://www.ramboll.dk/medier/Publikationer/rapporter/it-i-praksis [1] 'IT i praksis' ..https://www.version2.dk/artikel/offentlige-virksomheder-persondatalov-staar-vejen-vores-digitalisering-1082075

I takt med at der dukker sårbarheder op, og hardwaren bliver kraftigere, så er nogle algoritmer i dag fuldstændig ubrugelige til lagring af kodeord. Det gælder for eksempel hash-funktionen MD5.

Det har ikke noget at gøre med at hardware bliver kraftigere, at MD5 er ubrugelig til lagring af kodeord. MD5 er ikke og har aldrig været en key stretching algoritme, og man skal og har altid skulle bruge key stretching algoritmer til at lagre passwords.

Det er jo pænt træls at blive politianmeldt for hacking når man i bedste tro afslører sårbarheder.

Derfor læser jeg det mest som et ønske om at holde sig uden for offentlighedens søgelys ̣̣̣– det er altså os læsere der frygtes. Det kan jeg iøvrigt ikke fortænke personen i.

Det kan jeg godt forstå. Det er jo pænt træls at blive politianmeldt for hacking når man i bedste tro afslører sårbarheder.

Det er vel efterhånden en klassiker: En MongoDB uden nogen form for beskyttelse.</p>
<p>

Det fleste er heldigvis blevet ramt af ransomware :) , men det er imponerende når det i dag aktivt kræver at man slår det fra

Det er jo desværre også en indikation på, at der ikke er opsat tilstrækkelige quality gates for udviklingen, og at sikkerhed ikke har været bagt ind i udviklings processer eller projektmodeller. DevOps er for mig OK set fra et sikkerhedsperspektiv, såfremt det håndteres korrekt. Den nye persondatalovgivning, GDPR, som træder i kraft næste år kræver at systemer designes sikre "by design and by default". Det betyder, at de sikkerhedsmæssige ting skal være en del af opskriften, ingredienserne og hævetiden i dejen. Hvis man ikke kan bevise det, så er man på lidt gyngende grund, og skal til at bide til bolle med datatilsynet.

Passwords i klartekst, i usaltet hash eller på gamle hash algoritmer bør ikke kunne forekomme i 2017, og så ser man det alligevel fra tid til anden. Man kan selvfølgelig helt lade være med at beskytte sinde data og sende dem til kineserne, så er man ude over de trivialiteter.

I dette tilfælde hæfter jeg mig ved, at man tilsyneladende anvender live data til en stresstest i et miljø eksponeret på internettet. Jeg er heller ikke overmåde imponeret af bemærkningen om, at de er »ret sikre på«, at det kun er den pågældende person, der har tilgået oplysninger i databasen.

Det fik mig til at tænke på en gammel march sang: Here we go again. Same old stuff again. Marching down the avenue. FIVE more months the GDPR is through. I'll be glad and so will you. (Marching Cadence, slightly changed with a touch of GDPR)

DevOps skulle gerne betyde at softwaren udvikler og driftes af et team som har et ben i begge verdener og forstår at ramme et fornuftig kompromis, så både udviklingen og driften spiller og changes som i en adskilt verden ville tage uger at implementere, nu kan indfases på få timer.

Som udvikler kender jeg det godt. Jeg skal bruge den og den funktionalitet, men jeg bekymrer mig ikke om det operationelle i at skulle drive en MongoDB-server. Devops var tænks som en mulighed for at udviklere og driften skulel tage fælles ansvar, men med cloud og serverless er drift blivet kørt ud på et sidespor og resultatet blevet "Devops, bare uden ops".

Burde det ikke være common sense i 2017 at beskytte brugeres oplysninger? Uanset om man så hælder til Dev, Ops, eller DevOps.

Devops var tænks som en mulighed for at udviklere og driften skulel tage fælles ansvar, men med cloud og serverless er drift blivet kørt ud på et sidespor og resultatet blevet "Devops, bare uden ops".

Man skal helt sikkert ikke give sig i kast med DevOps, uden at være bevidst om at "drift" og "udvikling" har diametralt modsatte motivationer, hhv stabilitet og forandring. Ellers bliver det Dev-Oops!

Det er vel efterhånden en klassiker: En MongoDB uden nogen form for beskyttelse.

Som udvikler kender jeg det godt. Jeg skal bruge den og den funktionalitet, men jeg bekymrer mig ikke om det operationelle i at skulle drive en MongoDB-server. Devops var tænks som en mulighed for at udviklere og driften skulel tage fælles ansvar, men med cloud og serverless er drift blivet kørt ud på et sidespor og resultatet blevet "Devops, bare uden ops".

Kryptering ≠ hashing