KMD's håndtering af sikkerhedshul: »Det skriger til himlen«

Hint: Prøv at google "straffelovens paragraf 13" ?

Nej, der render du ind i "uskyldig til det modsatte er bevist" og tyveriet er overstået og kan derfor ikke forhindres/forpurres/forkortes ved at offentliggøre videoen.

Jeg kan godt følge dig PHK, my fall. Ved nærmere eftertanke, ville det svare til tyven selv havde kamera med og filmede at det var muligt at snuppe en jakke eller et par bukser - og dermed reelt har begået en ulovlighed. Butiksindehaveren har heller ikke begået noget ulovligt under tyveriet, da man ikke er forpligtet til at låse sine varer inde - eller udlevere dem personligt til hver kunde. Espen har "sandsynligvis" ikke begået nogen ulovlighedhed - men blot automatiseret en autoriseret forespørgsel. KMD har måske heller ikke begået noget ulovligt i forbindelse med eksponeringen af CPR-numre. Så rent juridisk er der måske ikke umiddelbart noget at komme efter. Om man så måske skulle indføre en paragraf i straffeloven, vedr. forespørgsel på uvedkommende personlige oplysninger - eller ditto eksponering, kunne måske være en løsning, så det blev mere klart at en af parterne så har begået noget ulovligt - og misligeholdt sit ansvar. Det er jo principielt ulovligt at køre overfor rødt, en mørk onsdag aften på en mørk øde landevej.

hvad debatterer folk? om det er lovligt og i hvilket omfang at offentliggøre hullet!</p>
<p>hvilke tiltag har KMD tænkt sig at tage for at undgå eller bare formindske risikoen for at den slags sker igen? det kan andre statslige it leverandører også lære noget af.

Der kommer til at ske det, som altid sker: En masse råben og skrigen i starten, og så løber det ud i sandet. Så sidder man tilbage med opfattelsen: Hold kæft om fejl og CMA!

Har selv gentestet en fejl i HJV.dk, som offentliggører brugerinformationer, som kan bruges til at hente våben hos medlemmerne. Gider jeg at informere dem? Nope. Gider jeg udbyde inform på Craigslist? Måske... Far trænger til at skifte Ford'en ud...

hvilke tiltag har KMD tænkt sig at tage for at undgå eller bare formindske risikoen for at den slags sker igen? det kan andre statslige it leverandører også lære noget af.

En læringsprocess der ville blive meget bedre, hvis vi havde en IT-Havarikommission til at afrapportere nøgternt hvad der gik galt.

KMD har sjusket alvorligt - så alvorligt at det burde være strafbart - med sikkerheden i et statsligt it-system.

hvad debatterer folk? om det er lovligt og i hvilket omfang at offentliggøre hullet!

hvilke tiltag har KMD tænkt sig at tage for at undgå eller bare formindske risikoen for at den slags sker igen? det kan andre statslige it leverandører også lære noget af.

undskyld, kræve det du kræver.

Det er vel lidt det samme som når butiksindehavere publicerer overvågnings film af butikstyve i aktion - uden at spørge hverken tyv eller myndighed først?

Nej, der render du ind i "uskyldig til det modsatte er bevist" og tyveriet er overstået og kan derfor ikke forhindres/forpurres/forkortes ved at offentliggøre videoen.

Hvis det drejede sig om et tyveri hvor et barn har stjået en dåse med teksten "Slik" som indeholder klumper af rottegift, kan det måske forsvares med henvisning til at kun en meget hurtig reaktion kan forhindre en tragedie.

lovligt betyder i denne sammenhæng med lovhjemmel. Det vil sige, at du skal kunne pege på en hjemmel til at gøre det du gør.

Det er vel lidt det samme som når butiksindehavere publicerer overvågnings film af butikstyve i aktion - uden at spørge hverken tyv eller myndighed først?

Jeg tror du skal undersøge hvad et lovligt påbud er. Det er ikke "jeg vil have det her rettet, sofort!"

Helt klart ikke.

Men det understreger at §13's meget brede rækkevidde.

Det er f.eks §13 der tillader dig at ringe til en skrothandler og få fjernet den bil der holder i din indkørsel, hvis ikke ejeren reagerer på dit "lovlige påbud" og du pinedød skal have din bil ud her og nu.

Som alt andet er det et rimelighedskrav, hvilket teksten tydeligt understreger, og som altid er det en forudsætning at den "officielle kanal" (oftest, men ikke altid politiet) ikke kan løse sagen i tide.

Hvis du har positiv og sikker viden om at et IT hul aktivt bliver brugt til at høste store mængder af persondata, vil jeg tro at du under §13, efter forgæves at have ringet rundt i en times tid, kan slippe af sted med at huggen en fiberforbindelse over for at stoppe persondatalækken.

I sidste ender afhænger det naturligvis af Højesterets vurdering.

Bemærk sæligt "skaffe lovlige påbud adlydt" i stk 3:

Kan vi ikke få en opdateret tidslinje, da den, man kan stykke sammen via diverse artikler, er ret uklar. Gav Esben video o.l. videre til DR før eller efter, at KMD var kommet med et afvisende svar?

Og gik DR videre med sagen i medierne, inden man havde fået svar fra KMD?

Og (et andet spørgsmål): Er 3 måneder virkelig en rimelig frist til at få lukket et sikkerhedshul, som har eksisteret i 12 år, som er velbeskrevet af anmelderen, og som har potentiale til at være til stor gene for rigtigt mange mennesker?

Det synes jeg faktisk ikke. 3 måneder er alt for lang tid. Men jeg synes, at man her bør tage hensyn til, om man faktisk får indtryk af ægte bestræbelser fra firmaet på at løse problemet. Jo mere man fornemmer ægte bestræbelser, jo længere frist bør man nok give. Med det svar KMD gav i denne sag, bør fristen ikke være ret lang. Faktisk meget kort, synes jeg. Øjeblikkelig handling i form af trussel om anmeldelse til Datatilsynet og medierne efter afvisningen. Så kan man jo lige afvente, om det hjælper.

Paragraf 13 i straffeloven handler om umiddelbart forestående eller igangværende fysiske personangreb, hvor man ikke kan få hjælp af myndighederne.</p>
<p>Den paragraf absolut irellevant i denne sammenhæng.

Jeg synes du skulle gøre dig den umage at lave et minimum af research inden du udtaler dig om ting du tydeligvis ikke aner en disse om.

Hint: Prøv at google "straffelovens paragraf 13" ?

Den karensperiode på 90 dage der tilsyneladende er branchens standard er på ingen måde overholdt.

1. Det er overhovedet ikke en standard. Det var Google der ensidigt besluttede at gøre sådan, for at tvinge sløve foretagener til at tage rapporterne alvorligt.

2. Karensperioden er en "courtesy" og der er ingen der har krav på at få den.

3. Modtager man f.eks en politanmeldelse eller anden "roughing up", (som i denne sag), bør karensperiode under ingen omstændigheder komme på tale.

I denne artikel

https://www.version2.dk/artikel/interview-hacker-tiltalt-jeg-totalt-uskyldig-1077581

beskrives at Esben d. 17 Maj rapporterer fejlen til KMD og den 18 maj er pressen (DR) blandet ind i sagen. Den 24. Maj er fejlen rettet.

Den karensperiode på 90 dage der tilsyneladende er branchens standard er på ingen måde overholdt. I en sag af denne karakter, hvor der ikke er akut risiko for skade er der ingen grund til at gå i pressen og der er heller ingen grund til at lave et script.

Men der er al mulig grund for Esben til at rapportere fejlen, der al mulig grund for KMD til at sige "Tak Esben, vi sender en flaske vin"

Paragraf 13 i straffeloven handler om umiddelbart forestående eller igangværende fysiske personangreb, hvor man ikke kan få hjælp af myndighederne.

Den paragraf absolut irellevant i denne sammenhæng.

Hvis der var en begrænsning på at man kun kunne slå 3 eller 5 cprnr op, så ville hullet ikke være så kritisk, som hvis du kan slå uendelige mængder cprnr op

Good point! Tak.

jeg læste at scriptet trak 5 cpr# ud i sekundet. det er 300 i minuttet! 3-fuckin'-hundrede! det kan umuligt være normalt at folk taster forkert 300 gange i minuttet.

KMD burde have haft et ids/ips der opdagede at der blev trukket store mængder data fra samme logon på meget kort tid. det burde være historien.

Hvis der var en begrænsning på at man kun kunne slå 3 eller 5 cprnr op, så ville hullet ikke være så kritisk, som hvis du kan slå uendelige mængder cprnr op, uden nogen form for throttleing...

Allerførst, bare så I ikke misforstår hvem jeg holder med i denne sag, så synes jeg at KMD virkelig har reageret barnligt i denne sag. Jeg tænker at Trump ikke havde klaret det meget værre, hvis det var hans firma (altså, land) det var gået ud over.

Men derfor kan man jo godt synes at det er lidt unødvendigt at fremstille et script til at demonstrere hullet. Det burde jo have været nok at vise at en enkelt anden persons oplysninger kom frem ved søgning i feltet. Scriptet gør det naturligvis mere medie-venligt, men er han paparazzi eller bekymret borger?

Jeg bider i denne forbindelse mest mærke i denne del af lovteksten som blev citeret ovenfor:

og ikke åbenbart går ud over, hvad der under hensyn til angrebets farlighed, angriberens person og det angrebne retsgodes betydning er forsvarligt.

KMD burde i skammekrogen et års tid med hensyn til offentlige indkøb.

Det er en amatøragtig håndtering af denne sag, som handler om personlige oplysninger og borgernes integritet.

Det bør være en rettighed for borgere at de har lov til at tjekke basale sikkerhedsfeatures på de IT systemer de har adgang til. På samme måde som hvis jeg lejer en bil så tjekker jeg bremserne og dørlåsene. Hvis jeg bor på hotel og der er en dør til et andet værelse, så tager jeg i døren og sikrer at den er låst.

I tilfældet KMD så handler det om at det er borgerens information som de håndterer. Borgeren er tvangsindlagt til at bruge systemet. Derfor bør borgeren havde ret til at tjekke ting som URL modification, indtastning af invalide data, gale CPR numre, forkert password, etc. - både af hensyn til ham selv, andre borgere og samfundet som helhed.

Så du mener i fuld alvor at det er i orden at begå en ulovlighed - og offentliggøre den - for at bevise at fejlen er der?

Hvis man har forsøgt at rapportere igennem de officielle kanaler og bliver mødt med ligegyldighed og afvisning, så ja.

Straffelovens §13 handler om hvornår man må gå ud over lovens bogstav, for at få den overholdt.

Bemærk sæligt "skaffe lovlige påbud adlydt" i stk 3:

§ 13. Handlinger foretagne i nødværge er straffri, for så vidt de har været nødvendige for at modstå eller afværge et påbegyndt eller overhængende uretmæssigt angreb og ikke åbenbart går ud over, hvad der under hensyn til angrebets farlighed, angriberens person og det angrebne retsgodes betydning er forsvarligt.

Stk. 2. Overskrider nogen grænserne for lovligt nødværge, bliver han dog straffri, hvis overskridelsen er rimeligt begrundet i den ved angrebet fremkaldte skræk eller ophidselse.

Stk. 3. Tilsvarende regler finder anvendelse på handlinger, som er nødvendige for på retmæssig måde at skaffe lovlige påbud adlydt, iværksætte en lovlig pågribelse eller hindre en fanges eller tvangsanbragt persons rømning.

Så du mener i fuld alvor at det er i orden at begå en ulovlighed - og offentliggøre den - for at bevise at fejlen er der?

Det er da en skærpende omstændighed, at han scripter I stedet for blot at taste. Det gør da ikke fejlrapporten mere troværdig. Tværtimod så giver det Esben mulighed for at se om han kan finde Statsministeren. Det er ikke som systemet er tænkt.

Han venter ikke engang til de 90 dage som Peter Kruse nævner, er gået før han blander pressen ind i det. Det sker dagen efter.

Hvilken ulovlighed snakker du om her ? Der er intet ulovligt ved at bruge et system som det er tiltænkt. At han har lavet et script til at automatisere processen at udfylde et tekstfelt og trykke på en knap er der intet hacking ved - det er hverken noget som bliver gemt på serveren, lægger den i knæ eller noget som helst. Denne sag er langt ude, som artiklen også siger, da vi lige har haft to ligenende sager som netop siger at hvis man ikke har haft til hensigt at bruge data, er der intet ulovligt ved det.

Det er principielt problematisk, at begå en ulovlighed for at vise fejlen findes. Især fordi der på ingen måde er tale om nødværge eller akut fare for personer eller andet.

Når det er sagt, så er KMDs håndtering tilsvarende ude af proportioner.

Det havde betydet at systemet skulle offline, og der ville falde en bøde.

Politiet siger så: Det har vi ikke ressourcer til.

Så bliver det pastebin, og fejlen bliver så først opdaget når serveren er tvunget i knæ af alle dem der trækker data ud.

Undskyld pessimismen, men er dataforordningen ikke bare ord?

Se her:http://imgur.com/a/LK8BT

Skynd jer at ringe til min arbejdsgiver...

Den har jeg selv brugt tidligere. Når man er så venlig at gøre opmærksom på en uhensigtsmæssighed, så går man ikke public med det samme, med mindre, at man kommer ud for en total afvisning af problemet. KMD's reaktion er ikke speciel prof.

Han finder et hul så poster han det vel bare anonymt på pastebin eller reddit, så kan virksomheder som KMD selv overveje om de har handlet smart?