It-chef: Over en million devices vil undgå sessionslogning på kommunale netværk

4. marts 2016 kl. 09:3428
Plejehjem og biblioteker sniger sig uden om den foreslåede sessionslogning. I Favrskov Kommune alene vil 15.000 devices gå fri af internetovervågningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De kommunale net står til at blive undtaget for sessionslogning. Undtagelsen kan give over en million enheder adgang til overvågningsfri internet.

Det skriver Computerworld.

Planerne om fritagelse af kommunale netværk tyder på, at omfanget af logning bliver begrænset betydeligt, mener formanden for Foreningen for Kommunale IT-chefer (KITA), Henrik Brix.

»Som det ser ud nu er kommunerne jo undtaget, og det er vi som udgangspunkt glade for, men logningen bliver væsentligt mindre værd. For alt i vores netværk går jo udenom logningen,«siger han til it-mediet.

Artiklen fortsætter efter annoncen

Henrik Brix er it- og digitaliseringchef i Favrskov Kommune. Alene her har man hver uge 15.000 unikke enheder, der anvender kommunens offentlige internet. 12.000 af enhederne tilhører private borgere, fortæller it-chefen.

Hvis andre kommuner har et lignende antal enheder, som via internet på skoler, plejehjem og biblioteker sniger sig uden om sessionslogning, kan tallet på landsplan være over en million enheder.

Der er altså tale om et kæmpe hul i planerne om sessionslogning, påpeger Henrik Brix.

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
7. marts 2016 kl. 01:46

</p>
<pre><code> Jeg aner intet om praksis, men gentager blot det, der står i rapporten fra 2011, hvor man netop henviser til, at politiet efter edition kan få adgang til en evt. intern log med henblik på nøjere udpegning af brugsstedet.
</code></pre>
<p>

Praksis er vel at man næppe skal regne med at der er specielt mange virksomheder der logger deres Internet trafik på samme niveau, som sessionslogning.

Og rigtigt mange VPN systemer er opsat til at surfe ud igennem virksomhedens forbindelse, når de er forbundet.....

Så det er igen et eksempel på, hvor sessionslogning vil fejle BIG TIME og være komplet ubrugeligt! Men tosserne fatter det bare ikke.....

24
6. marts 2016 kl. 10:19

Der sker dog en logning i de udbydernet, som de er tilsluttet. Man kan bare ikke i denne logning udpege slutbrugeren nærmere uden at gå videre til virksomheden og dens eventuelle interne log.

Mogens,

Jeg kan kun lide at du siger "virksomheden og dens eventuelle interne log".

Nu har jeg lavet IT i en hel del store og små virksomheder rundt omkring i landet, de sidste mange år.

Ingen< har nogen form for logning. De har måske spærring i form af filter der gør at man f.eks. ikke kan se porno elle benytte FB, men de har altså >ingen< logning....

Årsagen er bla. at der genereres så store mængder logs at man vælger at skrue helt ned eller deaktivere.

23
4. marts 2016 kl. 18:10

Det vil vel så i sidste ende være en pligt for lejlighedens beboer/computerens ejer IKKE at låne sin pc ud uden at tvinge låneren til at identificere sig - jeg har bare ikke fantasi til at forestille mig, hvordan dette skulle kunne fungere i praksis uden at kriminalisere mange borgere, for det vil de færreste jo bede deres gæster om at gøre. Der er det, jeg savner en helt konkret beskrivelse i rapporten af, hvordan det skal foregå rent praktisk. Det virker ikke som om, man har tænkt tanken til ende.

Tænkt tanken til ende?? - Det virker mere som om der ingen tankevirksomhed er overhovedet!

Og så det endnu mere skræmmende:

Hvis man vil benytte et fremmed WiFi, så er det stort set trivielt at finde koden - WEP er så let som at klø sig selv et vist sted, WPA tager noget længere tid, men hvis man har ondt i sinde, så har man nok også tid nok.

Så det næste bliver åbenbart at det er en kriminel handling eksempelvis kun at benytte WEP på sit netværk (hvis man bare ønsker at holde det værste ude), dernæst at der overgås til et normalt ikke benyttet retsprincip her i landet, nemlig omvendt bevisbyrde.

Og hvordan harmoner de implicitte skærpede krav til netværkskryptering med at regimet i alle andre henseender jo ikke accepterer kryptering.

Det er så dumt, så dumt, at man får helt ondt i hovedet.

21
4. marts 2016 kl. 17:32

Tak for svaret, Mogens Ritsholm.

Jeg forstår bare ikke, hvordan det kan lade sig gøre at tjekke, hvem der i virkeligheden sidder ved computeren... men det vil jo selvfølgelig være et problem uanset hvad - med mindre man begyndte på noget med at analysere tastetryk.

Så er meningen i virkeligheden at forebygge, at evt. anklagede kan undskylde sig med, at de ikke selv sad ved computeren, ved at man kriminaliserer selve det at låne en computer ud, uden at låneren på en eller anden måde identificeres? Lidt i stil med, at det er en bils fører, der er ansvarlig, selv om han/hun påstår, at det var en anden, der kørte? Det kan jeg i nogle tilfælde mene er rimeligt nok for bilers vedkommende - men ikke i forhold til at give andre adgang til ens pc (med mindre det burde være indlysende, at de nok vil bruge den til kriminelle formål).

Det vil vel så i sidste ende være en pligt for lejlighedens beboer/computerens ejer IKKE at låne sin pc ud uden at tvinge låneren til at identificere sig - jeg har bare ikke fantasi til at forestille mig, hvordan dette skulle kunne fungere i praksis uden at kriminalisere mange borgere, for det vil de færreste jo bede deres gæster om at gøre. Der er det, jeg savner en helt konkret beskrivelse i rapporten af, hvordan det skal foregå rent praktisk. Det virker ikke som om, man har tænkt tanken til ende.

Jeg kan simpelthen ikke forstille mig, hvordan dette skulle foregå i praksis. Men det er nok bare mig, der mangler fantasi.

19
4. marts 2016 kl. 16:59

Jeg går ud fra, det så må betyde, at alle, også beboerne, skal logge på med nemid e.l. - eller hvordan vil man ellers skelne, hvem der er hvem?

Det er lidt uklart om faste kendte kunder også skulle identificere sig. Men umiddelbart vil jeg tro, at de allerede kendte har en fast id i nettet.

Men det er jo bare et forslag fra 2011, som næppe bliver til noget i praksis. Efter gældende regler skal boligforeninger med under 100 medlemmer ikke logge - ej heller når der er gæster.

Er der mere end 100 medlemmer skal de logge som teleudbydere, men de skal ikke identificere gæster.

18
4. marts 2016 kl. 16:25

Tak for forklaring, Mogens.

Jeg går ud fra, det så må betyde, at alle, også beboerne, skal logge på med nemid e.l. - eller hvordan vil man ellers skelne, hvem der er hvem?

Ja, man må vel egentligt vælge, om det skal opfattes som skørt og verdensfjernt, eller - såfremt det ikke er grunden - udtryk for en særdeles totalitær tankegang, hvis man mener, at dette vil være praktisk gennemførligt?

Eller er det endnu engang min manglende tekniske indsigt, der forhindrer mig i at kunne indse, at dette kan fungere i praksis?

17
4. marts 2016 kl. 16:12

Så i princippet er vi pludseligt kriminelle terrormedsammensvorne, som lægger forhindringer ud for politiets arbejde, hvis vi lader tante Oda låne vores net, når hun er på besøg fra Jylland?

Jespers citat er taget lidt ud af sammenhængen.

Meningen er, at en boligforening kan undgå krav om logning, hvis kun medlemmerne har adgang til nettet.

Hvis tante ODA eller andre uden for foreningen har adgang skal boligforeningen både logge og identificere brugere.

Så tante ODA skal i det tilfælde huske sit nemID kort, sit CPR-nummer eller hvad der nu kræves for identifikationen af "fremmede" brugere. Rapporten lægger sig ikke fast med hensyn til metode og nævner ikke problemet med udlændinge.

Det bliver det sådan set ikke mindre skørt af.

16
4. marts 2016 kl. 15:03

Nu er det ikke for at være Spielverderber - men det at hacke koderne til et typisk WPA/WPA2 baseret WiFi netværk er jo ikke jordens største udfordring.

Dermed kan jeg eller en anden person - ufrivilligt og uvidende komme til at ”hoste” aktiviteter som en tredjemand måtte ønske - såsom popcorntime eller mere alvorlige ting.

Hvordan forholder justitsministeriet sig til den slags lavpraktiske detaljer med deres sessionslogning? Det opdager man måske ikke før aktions-styrken har sparket døren ind?

14
4. marts 2016 kl. 13:43

Det er netop rapportens hovedide, at man ikke længere begrænser logningspligt til teleudbydere. I stedet skal alle, der har et net, hvor en ikke afgrænset og kendt kreds kan få adgang omfattes af logningsoligten.

Ja, men JMs formulering giver det indtryk, at der allerede i dag er et lovkrav om at uddannelsesinstitutioner og virksomheder skal kende alle brugere af deres net. Og hvor kommer det lovkrav fra, når de ikke er omfattet af teleloven? (teleudbud på kommercielt vilkår).

13
4. marts 2016 kl. 13:42

LOL Hvor er det bare typisk danmark, lad borgerne blive overvåget i hoved og røv, men endelig ikke de korrupte pampere der reagerer landet..

Vi skulle jo nødig have beviser for den udbuds korruption og vennetjenestes mentalitet der hærger det offentlige danmark. I andre dele af verden hedder det korruption, men i danmark er det bare uskyldige vennetjenester.

Mørklægningen er total.

12
4. marts 2016 kl. 13:42

Jesper Lund:"boligforeningen indskærper over for beboerne, at alene personer med bopæl på stedet må anvende nettet"

Så i princippet er vi pludseligt kriminelle terrormedsammensvorne, som lægger forhindringer ud for politiets arbejde, hvis vi lader tante Oda låne vores net, når hun er på besøg fra Jylland?

Og hermed er der - vupti - også banet vejen for, at vi må have overvågningskameraer i alle lejlighedens værelser!

Efterhånden begynder at indsnige sig den ubehagelige erkendelse, at den digitale udvikling iboende i sig har indførelsen af den totalitære stat.

11
4. marts 2016 kl. 12:56

Behøver jeg sige mere :-) Danmark er stadig et paradis.

10
4. marts 2016 kl. 11:54

uote id=328665] Så vidt jeg har forstået det, er uddannelsesinstitutioner og virksomheder undtaget fordi de ikke er teleudbydere, og de bliver vel ikke teleudbydere fordi de engang i mellem stiller deres net til rådighed for andre? [/quote]

Det er netop rapportens hovedide, at man ikke længere begrænser logningspligt til teleudbydere. I stedet skal alle, der har et net, hvor en ikke afgrænset og kendt kreds kan få adgang omfattes af logningsoligten.

Det kræver helt ny lovgivning, da det jo ikke kan hænges op på teleloven.

8
4. marts 2016 kl. 11:40

Men samtidigt udtager man alle net, der har en kendt lukket kreds som brugere - også selv om det er et meget stort net. Dermed formoder rapporten at alle virksomhedsnet, kommunale net, universiteter osv. undtages helt fra teleidentifikation og logning.

Jeg forstår dog ikke helt Justitsministeriets udsagn: "Denne begrænsning svarer til den, der gælder for uddannelsesinstitutioner, arbejdspladser mv."

Det antyder at en virksomhed eller uddannesesinstitution ikke må have et gæste WiFi, men at det kun er de faste brugere, som må få adgang til internettet. Så vidt jeg har forstået det, er uddannelsesinstitutioner og virksomheder undtaget fordi de ikke er teleudbydere, og de bliver vel ikke teleudbydere fordi de engang i mellem stiller deres net til rådighed for andre?

7
4. marts 2016 kl. 11:28

Ja, jeg mener heller ikke, at de kan bruge 2011-rapporten i et lovforslag, selv om den ser meget fin ud.

Den er fuldstændig inoperabel - især med den udvikling, der er sket siden 2011.

I korthed foreslår rapporten i udgangspunktet, at alle net skal logge og identificere deres brugere på en sådan måde, at det kan anvendes ved brug af logningen. Det gælder også kommunale net, open WIFI, virksomhedsnet osv.

Men samtidigt udtager man alle net, der har en kendt lukket kreds som brugere - også selv om det er et meget stort net. Dermed formoder rapporten at alle virksomhedsnet, kommunale net, universiteter osv. undtages helt fra teleidentifikation og logning.

Det er i den forbindelse, at den mærkelige beskrivelse, som Jesper citerer anføres.

Men i virkelighedens verden er der jo ikke en klar grænse mellem lukkede net og net, hvor alle i princippet kan få adgang. Hospitaler har besøgende, skoler har stormøder. Virksomheder har gæstende folk hver dag. Og det vil jo være helt forkert at afskære alle andre end de fast ansatte adgang til ressourcerne.

Hertil kommer, at rapporten slet ikke anfører hvordan turister skal kunne identificere sig på by-WIFI eller i lufthavn/tog osv. Og man har samtidig slet ikke set, at der bliver et problem med telehemmeligheden, der jo kun gælder rigtige udbydere.

Så hvis regeringen prøver at realisere rapporten, vil den begå en stor fejl med en masse ballade til følge.

Rapportens hovedprincipper er ganske enkelt ikke realisable.

6
4. marts 2016 kl. 11:17

men så længe vore allierede er glade, kan vi jo også være det.

Håber virkelig ikke, de slemme drenge m/k læser denne tråd, for det her ved de jo heldigvis ikke...

Ssssshh

5
4. marts 2016 kl. 11:15

Hvis man læser den evaluering som politiet lavede ovenpå GTA-tossen, så blev det fremhævet at

”Der er behov for at se på logning af internetkommunikation. Det var et problem, at der ikke var loggede oplysninger til brug for efterforskningen, da gerningsmanden brugte sin telefon til data.”

Jeg synes f.eks. at det er et problem at jeg ikke kan forudse 7 lottotal i dag fredag men i morgen ved præcist vidste hvad jeg skulle have spillet – det er nok et problem jeg er nød til at leve med.

Problemet er at nogle problemer ikke kan løses, bl.a. fordi GTA-tossen tog den omtalte mobiltelefon i brug 2 timer før og i alt brugte 3 telefoner på knap 12 timer.

Hvis politiet skulle betale for den overvågning som sessionslogning udgør - ud af deres budgetter, ville sessionslogning ”slet ikke komme på bordet” fordi man hurtigt ville erkende at det er et værdiløst efterforskningsværktøj ift. omkostningen. Muligvis ville man lave en prototype og derefter ville det dø en stille død.

Hvis det er så godt et værktøj hvor man kan spare i hundrevis af stillinger og slet ikke koster en mia – hvad er så problemet i at Justitsministeriet betaler?

Muligvis fordi Justitsministeriet har haft gang i en arbejdsgruppe som har siddet ”med lavt-hængende frugter”. Altså noget som er ”gratis” for ministeriet, men det betyder blot at andre betaler og det især være de geografiske områder med ”dårligt internet og mobildækning” der som oftest ligger i tyndbefolkede områder.

Der er ikke nogen som stiller sig ud gaden og frit forære penge væk i de størrelser som det koster at udlægge IT infrastruktur. Så hvis ikke investeringen har udsigt til at give et tilfredsstillende afkast – så bliver den ikke fortaget, så enkelt er det, men det er justitsministeriets embedsmænd ligeglade med – for dem vil det altid ”alt andet lige”.

4
4. marts 2016 kl. 11:00

I 2011 havde Justitsministeriet en plan for at "løse" dette problemhttps://itpol.dk/notater/logningspakke2

Der var dette "fantastiske" citat i Justitsministeriets notat i et afsnit om betingelser (i den foreslåede ordning) for at boligforeningen ikke skal logge ved små bolignet:

Det vil i den forbindelse være en forudsætning, at <strong>boligforeningen indskærper over for beboerne, at alene personer med bopæl på stedet må anvende nettet</strong>, og i den udstrækning der anvendes trådløse løsninger, at disse forsynes med adgangskode mv. Denne begrænsning svarer til den, der gælder for uddannelsesinstitutioner, arbejdspladser mv. og uden hvilken, den, der stiller internet til rådighed (eksempelvis boligforeninger), ikke vil have et samlet overblik over, hvem kredsen af mulige brugere består af.

(min fremhævelse)

3
4. marts 2016 kl. 10:41

I øvrigt sidder mange hjemmearbejdspladser vel via VPN på virksomhedens net.

Logningen individuelt frem til virksomheden viser bare VPN, som de fleste nok har stående i lange perioder. Og ud af virksomheden sker der kun logning af den samlede trafik fra virksomheden.

Tilmed vil virksomheden ofte have direkte forbindelser eller tunneler til andre virksomheder, der ikke bliver logget.

Tænk f.eks. på hele Novo-koncernen.

2
4. marts 2016 kl. 10:17

Ikke bare kommunernes net, men også alle virksomhedsnet, universitetsnet, hospitalers net osv. er i dag undtaget for logning, da de har status af private net.

Der sker dog en logning i de udbydernet, som de er tilsluttet. Man kan bare ikke i denne logning udpege slutbrugeren nærmere uden at gå videre til virksomheden og dens eventuelle interne log.

Det viser bare, at ambitionen om at finde spor via sessionslogning, der kun undtagelsesvis viser end-to-end spor, er helt ude at proportion.

Forestil jer f.eks., at man skal lede efter spor i en sessionslogning fra en virksomhed med 1000 ansatte, der formentlig vil generere 1000 gange 10.000 eller 10 millioner poster pr dag. Det er jo helt håbløst.

Logning giver gode spor til efterforskning, når televirksomheder gemmer deres data. Men det er helt misforstået, at logning hos teleselskaberne kan skabe et "fuldt billede".

Politiet burde snarere interesserer sig for de data, som IT-tjenesteudbydere som Skype, Google og messenger har. De er meget mere nyttige som spor af kommunikation. Men selvfølgelig heller ikke fuldt dækkende.

1
4. marts 2016 kl. 10:16

et kæmpe hul, var vist en bedre betegnelse.

// Jesper