En ud af tre borgmestre har fået lækket adgangskoder

Mange services understøtter dog stadig ikke FIDO U2F herunder LinkedIn - men her burde kommunerne stoppe med at acceptere at politikerne bruger deres kommune e-mailadresser.

her burde kommunerne stoppe med at acceptere at politikerne bruger deres kommune e-mailadresser.

Uanset om de bruger samme mailadresse - hvis man går målrettet efter en person og denne genbruger koder samt ikke har 2FA så kan man nå langt.

Hvis mf@stm.dk, mf@socialdemokratiet.dk og levmette@hotmail.com dækker over samme person og denne persons LinkedIn-kode bliver lækket - og det viser sig at samme kode kan tilgå en eller flere af deres konti andre steder, så er det jo underordnet om de har brugt deres "arbejdsmail" på LinkedIn. Det væsentlige er jo koden samt mangel på flere faktorer.

Selvfølgelig begrænser det lidt i de mere automatiserede forsøg som ikke er tilpasset "high value"-mål.

Helt enig. Især til systemer der leveres af kommunen. Hvis systemerne ikke understøtter FIDO U2F burde kommunerne kræve det når de indkøber nye systemer.

Mange services understøtter dog stadig ikke FIDO U2F herunder LinkedIn - men her burde kommunerne stoppe med at acceptere at politikerne bruger deres kommune e-mailadresser.

Når jeg taler med politikkere fra både folketing og kommunal, så er det mit faste indtryk, at de ser sig selv som en slags bestyrelsesmedlemmer. Altså folk som udstikker retninger og overlader den praktiske opfølgning til borgmestre, ministre og især embedsværket, også selvom enhver leder ved at ”disciplin heiß kontrolle”.

Og taler vi om den enkelte politikkers mærkesag(er), så skal de nok følge op. Problemet er, at ingen politikere ser IT som andet end et værktøj på linje med en regnemaskine. Og det er deri hele problemet består.

En defekt regnemaskine kan let udskiftes – det kan borgernes tab af personlige oplysninger ikke.

Den barske virkelighed er jo, at der ikke går en måned imellem danske offentlige myndigheders tab af borgeroplysninger - som kan benyttes til identitetstyveri.

Det er også den barske virkelighed, at det i realiteten er straffrit for det offentlige at ”tabe” den slags oplysninger.

Det er nødt til at stoppe og vi kan ikke som samfund blive med at gøre - det som ikke virker.

Og uanset om man kan lide det eller ikke, så tegner artiklen ovenfor et billede af en gruppe mennesker, for hvem sikkerhed er ligegyldigt – i den forstand at der er andre emner som (hele tiden) er vigtigere.

Og spørger du ind til sikkerheden, så er det som at ”sømme budding fast på væggen” – for så er vi tilbage til borgmestre, ministre og embedsværket.

Iflg. MitID selv er deres nye NFC-token FIDO U2F-kompatibelt, så den kan vel bruges til andre services end MitID. Ville det så ikke være nærliggende at opfordre borgmestrene til at bruge det værktøj* som de alligevel er påduttet om lidt?

*: OK, lige NFC-udgaven er delvist brugerbetalt, og jeg er slet ikke sikker på om den kan bruges til andet end MitID.

Og det er vel heller ikke brugen af arbejds-mailadresse, der er skyld i at password er blevet lækket fra diverse ikke-kommunale sites?

En hver kan tjekke f.eks. fia@ringsted.dk på https://haveibeenpwned.com/ og se om e-mailadressen er i et kendt datalæk.

Og det er vel heller ikke brugen af arbejds-mailadresse, der er skyld i at password er blevet lækket fra diverse ikke-kommunale sites?

Jeg kan i hvert fald ikke se sammenhængen, men mit it-kendskab er helelr ikke særligt stor.

Forhåbentlig er lækkede password ikke de samme, som bruges arbejdsrelateret...

I øvrigt mener jeg slet ikke man bør bruge sin arbejdsmail til private gøremål --- det er vist muligt for de fleste at lave en privat mailadresse og -box hos diverse firmaer. Men det er en helt anden diskussion :-)

Kodeordene der er lækket er til de sociale medier, IKKE til de kommunale systemer! Hvis man går f.eks. Linked in igennem, er der nok en stor sammenfald imellem mail-domænet og folks nuværende ansættelsessted, uanset om man er i den offentlige eller i den private sektor.

Jeg vil tillade mig at påstå, at de personer (politikere) som artiklen omtaler, overhoved ikke går op i sikkerhed da etablering af f.eks. 2-faktor login ville have elimineret ganske meget.

Det LinkedIn angreb som f.eks. Finn Andersen (Ringsted Kommune) eller Trine Græse (Borgmester i Gladsaxe Kommune) har været ramt af stammer fra 2012. Jf. lidt Googling lancerede LinkedIn først MFA (med SMS-kode) i 2013.... Finn Andersen har f.eks. også været ramt af et MySpace anbreb fra 2008 - tvivler på at MySpace nogen sinde fik MFA.

Og ja, kommunerne bør selvfølgelig ændre politik, så politikerne ikke længere må bruge deres kommunale e-mailadresser til deres private ting. På samme måde som en arbejdsgiver bør stille de samme krav.

Jeg er fuldstændig enig med René.

Bøder kan dog reguleres til stadig at være at mærke, men uden at der sker en praktisk omfordeling af ressourcer i de enkelte statslige eller offentlige institutioner, som "blot" har ansat den forkerte person til en toppost eller administrativ stilling el.lign.

Så i praksis ønsker jeg mig mere personlig ansvar fra politikkerne og offentlige ansatte, så de ved brud og overtrædelser kvitterer med nedsat løn, fyring eller et undersøgelseskomittee til at undersøge, hvorfor denne person har lavet den pågældende fejl.

Samtidig kan man sige at det er de offentlige institutioners og organisationers pligt at gøre ansatte bekendte med it-sikkerhed - så hvis det er tilfældet, at det kan bevises, at højtstillede ansatte ikke har modtaget samme awareness-træning eller har haft fået sat effektive sikkerhedsforanstaltninger op, så bør der både falde bøder til den offentlige organisation/institution også.

Men lad os i det offentlige gå mere efter personen, hvis de har modtaget blot den mindste awareness-træning, da man ikke kan påberåbe sig uvidenhed omkring it-sikkerhed i det 21. årh. - i det mindste ikke i en funktion, der tjener folket.

Fra tid til anden dukker diskussionen op igen – om det hjælper med bøder til offentlige myndigheder.

Jeg tilhører dem som mener at lighed for loven betyder at lighed betyder lighed.

Så når en person, juridisk person, bestyrelse eller lignende bryder loven – så er det frem med bødeblokken til kommunalbestyrelsens medlemmer, hvis denne adfærd havde givet en bøde til en bestyrelse og tilsvarende.

Selvom artiklen ikke direkte berører bøderne, så har jeg vanskeligt ved at tro, at de omtalte politikere går i IT-sikkerhed for borgere når de ikke gør det for sig selv.

Jeg vil tillade mig at påstå, at de personer (politikere) som artiklen omtaler, overhoved ikke går op i sikkerhed da etablering af f.eks. 2-faktor login ville have elimineret ganske meget.

Jeg mener at vejen frem er personlige bøder til den omtalte personkreds, hver gang en kommune gør noget forkert, som f.eks. når socialforvaltningen lækker 2.000 CPR-numre.

Så frem med bødeblokken!