It-chef: Over en million devices vil undgå sessionslogning på kommunale netværk

Plejehjem og biblioteker sniger sig uden om den foreslåede sessionslogning. I Favrskov Kommune alene vil 15.000 devices gå fri af internetovervågningen.

De kommunale net står til at blive undtaget for sessionslogning. Undtagelsen kan give over en million enheder adgang til overvågningsfri internet.

Det skriver Computerworld.

Læs også: It-advokat: Dommerne kan ikke vurdere værdien af sessionslogning

Planerne om fritagelse af kommunale netværk tyder på, at omfanget af logning bliver begrænset betydeligt, mener formanden for Foreningen for Kommunale IT-chefer (KITA), Henrik Brix.

»Som det ser ud nu er kommunerne jo undtaget, og det er vi som udgangspunkt glade for, men logningen bliver væsentligt mindre værd. For alt i vores netværk går jo udenom logningen,«siger han til it-mediet.

Læs også: Pind har alligevel ret: Sessionslogning afslører Skype- og Facebook-kommunikation

Henrik Brix er it- og digitaliseringchef i Favrskov Kommune. Alene her har man hver uge 15.000 unikke enheder, der anvender kommunens offentlige internet. 12.000 af enhederne tilhører private borgere, fortæller it-chefen.

Hvis andre kommuner har et lignende antal enheder, som via internet på skoler, plejehjem og biblioteker sniger sig uden om sessionslogning, kan tallet på landsplan være over en million enheder.

Der er altså tale om et kæmpe hul i planerne om sessionslogning, påpeger Henrik Brix.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (28)

Mogens Ritsholm

Ikke bare kommunernes net, men også alle virksomhedsnet, universitetsnet, hospitalers net osv. er i dag undtaget for logning, da de har status af private net.

Der sker dog en logning i de udbydernet, som de er tilsluttet. Man kan bare ikke i denne logning udpege slutbrugeren nærmere uden at gå videre til virksomheden og dens eventuelle interne log.

Det viser bare, at ambitionen om at finde spor via sessionslogning, der kun undtagelsesvis viser end-to-end spor, er helt ude at proportion.

Forestil jer f.eks., at man skal lede efter spor i en sessionslogning fra en virksomhed med 1000 ansatte, der formentlig vil generere 1000 gange 10.000 eller 10 millioner poster pr dag. Det er jo helt håbløst.

Logning giver gode spor til efterforskning, når televirksomheder gemmer deres data. Men det er helt misforstået, at logning hos teleselskaberne kan skabe et "fuldt billede".

Politiet burde snarere interesserer sig for de data, som IT-tjenesteudbydere som Skype, Google og messenger har. De er meget mere nyttige som spor af kommunikation. Men selvfølgelig heller ikke fuldt dækkende.

Mogens Ritsholm

I øvrigt sidder mange hjemmearbejdspladser vel via VPN på virksomhedens net.

Logningen individuelt frem til virksomheden viser bare VPN, som de fleste nok har stående i lange perioder. Og ud af virksomheden sker der kun logning af den samlede trafik fra virksomheden.

Tilmed vil virksomheden ofte have direkte forbindelser eller tunneler til andre virksomheder, der ikke bliver logget.

Tænk f.eks. på hele Novo-koncernen.

Jesper Lund

I 2011 havde Justitsministeriet en plan for at "løse" dette problem
https://itpol.dk/notater/logningspakke2

Der var dette "fantastiske" citat i Justitsministeriets notat i et afsnit om betingelser (i den foreslåede ordning) for at boligforeningen ikke skal logge ved små bolignet:

Det vil i den forbindelse være en forudsætning, at boligforeningen indskærper over for beboerne, at alene personer med bopæl på stedet må anvende nettet, og i den udstrækning der anvendes trådløse løsninger, at disse forsynes med adgangskode mv. Denne begrænsning svarer til den, der gælder for uddannelsesinstitutioner, arbejdspladser mv. og uden hvilken, den, der stiller internet til rådighed (eksempelvis boligforeninger), ikke vil have et samlet overblik over, hvem kredsen af mulige brugere består af.

(min fremhævelse)

René Nielsen

Hvis man læser den evaluering som politiet lavede ovenpå GTA-tossen, så blev det fremhævet at

”Der er behov for at se på logning af internetkommunikation. Det var et problem, at der ikke var loggede oplysninger til brug for efterforskningen, da gerningsmanden brugte sin telefon til data.”

Jeg synes f.eks. at det er et problem at jeg ikke kan forudse 7 lottotal i dag fredag men i morgen ved præcist vidste hvad jeg skulle have spillet – det er nok et problem jeg er nød til at leve med.

Problemet er at nogle problemer ikke kan løses, bl.a. fordi GTA-tossen tog den omtalte mobiltelefon i brug 2 timer før og i alt brugte 3 telefoner på knap 12 timer.

Hvis politiet skulle betale for den overvågning som sessionslogning udgør - ud af deres budgetter, ville sessionslogning ”slet ikke komme på bordet” fordi man hurtigt ville erkende at det er et værdiløst efterforskningsværktøj ift. omkostningen. Muligvis ville man lave en prototype og derefter ville det dø en stille død.

Hvis det er så godt et værktøj hvor man kan spare i hundrevis af stillinger og slet ikke koster en mia – hvad er så problemet i at Justitsministeriet betaler?

Muligvis fordi Justitsministeriet har haft gang i en arbejdsgruppe som har siddet ”med lavt-hængende frugter”. Altså noget som er ”gratis” for ministeriet, men det betyder blot at andre betaler og det især være de geografiske områder med ”dårligt internet og mobildækning” der som oftest ligger i tyndbefolkede områder.

Der er ikke nogen som stiller sig ud gaden og frit forære penge væk i de størrelser som det koster at udlægge IT infrastruktur. Så hvis ikke investeringen har udsigt til at give et tilfredsstillende afkast – så bliver den ikke fortaget, så enkelt er det, men det er justitsministeriets embedsmænd ligeglade med – for dem vil det altid ”alt andet lige”.

Mikael Ibsen

men så længe vore allierede er glade, kan vi jo også være det.

Håber virkelig ikke, de slemme drenge m/k læser denne tråd,
for det her ved de jo heldigvis ikke...

Ssssshh

Mogens Ritsholm

Ja, jeg mener heller ikke, at de kan bruge 2011-rapporten i et lovforslag, selv om den ser meget fin ud.

Den er fuldstændig inoperabel - især med den udvikling, der er sket siden 2011.

I korthed foreslår rapporten i udgangspunktet, at alle net skal logge og identificere deres brugere på en sådan måde, at det kan anvendes ved brug af logningen. Det gælder også kommunale net, open WIFI, virksomhedsnet osv.

Men samtidigt udtager man alle net, der har en kendt lukket kreds som brugere - også selv om det er et meget stort net. Dermed formoder rapporten at alle virksomhedsnet, kommunale net, universiteter osv. undtages helt fra teleidentifikation og logning.

Det er i den forbindelse, at den mærkelige beskrivelse, som Jesper citerer anføres.

Men i virkelighedens verden er der jo ikke en klar grænse mellem lukkede net og net, hvor alle i princippet kan få adgang. Hospitaler har besøgende, skoler har stormøder. Virksomheder har gæstende folk hver dag. Og det vil jo være helt forkert at afskære alle andre end de fast ansatte adgang til ressourcerne.

Hertil kommer, at rapporten slet ikke anfører hvordan turister skal kunne identificere sig på by-WIFI eller i lufthavn/tog osv. Og man har samtidig slet ikke set, at der bliver et problem med telehemmeligheden, der jo kun gælder rigtige udbydere.

Så hvis regeringen prøver at realisere rapporten, vil den begå en stor fejl med en masse ballade til følge.

Rapportens hovedprincipper er ganske enkelt ikke realisable.

Jesper Lund

Men samtidigt udtager man alle net, der har en kendt lukket kreds som brugere - også selv om det er et meget stort net. Dermed formoder rapporten at alle virksomhedsnet, kommunale net, universiteter osv. undtages helt fra teleidentifikation og logning.

Jeg forstår dog ikke helt Justitsministeriets udsagn: "Denne begrænsning svarer til den, der gælder for uddannelsesinstitutioner, arbejdspladser mv."

Det antyder at en virksomhed eller uddannesesinstitution ikke må have et gæste WiFi, men at det kun er de faste brugere, som må få adgang til internettet. Så vidt jeg har forstået det, er uddannelsesinstitutioner og virksomheder undtaget fordi de ikke er teleudbydere, og de bliver vel ikke teleudbydere fordi de engang i mellem stiller deres net til rådighed for andre?

Mogens Ritsholm

uote id=328665]
Så vidt jeg har forstået det, er uddannelsesinstitutioner og virksomheder undtaget fordi de ikke er teleudbydere, og de bliver vel ikke teleudbydere fordi de engang i mellem stiller deres net til rådighed for andre?
[/quote]

Det er netop rapportens hovedide, at man ikke længere begrænser logningspligt til teleudbydere. I stedet skal alle, der har et net, hvor en ikke afgrænset og kendt kreds kan få adgang omfattes af logningsoligten.

Det kræver helt ny lovgivning, da det jo ikke kan hænges op på teleloven.

Anne-Marie Krogsbøll

Jesper Lund:
"boligforeningen indskærper over for beboerne, at alene personer med bopæl på stedet må anvende nettet"

Så i princippet er vi pludseligt kriminelle terrormedsammensvorne, som lægger forhindringer ud for politiets arbejde, hvis vi lader tante Oda låne vores net, når hun er på besøg fra Jylland?

Og hermed er der - vupti - også banet vejen for, at vi må have overvågningskameraer i alle lejlighedens værelser!

Efterhånden begynder at indsnige sig den ubehagelige erkendelse, at den digitale udvikling iboende i sig har indførelsen af den totalitære stat.

Peter Christiansen

LOL Hvor er det bare typisk danmark,
lad borgerne blive overvåget i hoved og røv, men endelig ikke
de korrupte pampere der reagerer landet..

Vi skulle jo nødig have beviser for den udbuds korruption og
vennetjenestes mentalitet der hærger det offentlige danmark.
I andre dele af verden hedder det korruption, men i danmark er
det bare uskyldige vennetjenester.

Mørklægningen er total.

Jesper Lund

Det er netop rapportens hovedide, at man ikke længere begrænser logningspligt til teleudbydere. I stedet skal alle, der har et net, hvor en ikke afgrænset og kendt kreds kan få adgang omfattes af logningsoligten.

Ja, men JMs formulering giver det indtryk, at der allerede i dag er et lovkrav om at uddannelsesinstitutioner og virksomheder skal kende alle brugere af deres net. Og hvor kommer det lovkrav fra, når de ikke er omfattet af teleloven? (teleudbud på kommercielt vilkår).

René Nielsen

Nu er det ikke for at være Spielverderber - men det at hacke koderne til et typisk WPA/WPA2 baseret WiFi netværk er jo ikke jordens største udfordring.

Dermed kan jeg eller en anden person - ufrivilligt og uvidende komme til at ”hoste” aktiviteter som en tredjemand måtte ønske - såsom popcorntime eller mere alvorlige ting.

Hvordan forholder justitsministeriet sig til den slags lavpraktiske detaljer med deres sessionslogning? Det opdager man måske ikke før aktions-styrken har sparket døren ind?

Mogens Ritsholm

Så i princippet er vi pludseligt kriminelle terrormedsammensvorne, som lægger forhindringer ud for politiets arbejde, hvis vi lader tante Oda låne vores net, når hun er på besøg fra Jylland?

Jespers citat er taget lidt ud af sammenhængen.

Meningen er, at en boligforening kan undgå krav om logning, hvis kun medlemmerne har adgang til nettet.

Hvis tante ODA eller andre uden for foreningen har adgang skal boligforeningen både logge og identificere brugere.

Så tante ODA skal i det tilfælde huske sit nemID kort, sit CPR-nummer eller hvad der nu kræves for identifikationen af "fremmede" brugere. Rapporten lægger sig ikke fast med hensyn til metode og nævner ikke problemet med udlændinge.

Det bliver det sådan set ikke mindre skørt af.

Anne-Marie Krogsbøll

Tak for forklaring, Mogens.

Jeg går ud fra, det så må betyde, at alle, også beboerne, skal logge på med nemid e.l. - eller hvordan vil man ellers skelne, hvem der er hvem?

Ja, man må vel egentligt vælge, om det skal opfattes som skørt og verdensfjernt, eller - såfremt det ikke er grunden - udtryk for en særdeles totalitær tankegang, hvis man mener, at dette vil være praktisk gennemførligt?

Eller er det endnu engang min manglende tekniske indsigt, der forhindrer mig i at kunne indse, at dette kan fungere i praksis?

Mogens Ritsholm

Jeg går ud fra, det så må betyde, at alle, også beboerne, skal logge på med nemid e.l. - eller hvordan vil man ellers skelne, hvem der er hvem?

Det er lidt uklart om faste kendte kunder også skulle identificere sig. Men umiddelbart vil jeg tro, at de allerede kendte har en fast id i nettet.

Men det er jo bare et forslag fra 2011, som næppe bliver til noget i praksis. Efter gældende regler skal boligforeninger med under 100 medlemmer ikke logge - ej heller når der er gæster.

Er der mere end 100 medlemmer skal de logge som teleudbydere, men de skal ikke identificere gæster.

Christian Nobel
Anne-Marie Krogsbøll

Tak for svaret, Mogens Ritsholm.

Jeg forstår bare ikke, hvordan det kan lade sig gøre at tjekke, hvem der i virkeligheden sidder ved computeren... men det vil jo selvfølgelig være et problem uanset hvad - med mindre man begyndte på noget med at analysere tastetryk.

Så er meningen i virkeligheden at forebygge, at evt. anklagede kan undskylde sig med, at de ikke selv sad ved computeren, ved at man kriminaliserer selve det at låne en computer ud, uden at låneren på en eller anden måde identificeres? Lidt i stil med, at det er en bils fører, der er ansvarlig, selv om han/hun påstår, at det var en anden, der kørte? Det kan jeg i nogle tilfælde mene er rimeligt nok for bilers vedkommende - men ikke i forhold til at give andre adgang til ens pc (med mindre det burde være indlysende, at de nok vil bruge den til kriminelle formål).

Det vil vel så i sidste ende være en pligt for lejlighedens beboer/computerens ejer IKKE at låne sin pc ud uden at tvinge låneren til at identificere sig - jeg har bare ikke fantasi til at forestille mig, hvordan dette skulle kunne fungere i praksis uden at kriminalisere mange borgere, for det vil de færreste jo bede deres gæster om at gøre. Der er det, jeg savner en helt konkret beskrivelse i rapporten af, hvordan det skal foregå rent praktisk. Det virker ikke som om, man har tænkt tanken til ende.

Jeg kan simpelthen ikke forstille mig, hvordan dette skulle foregå i praksis. Men det er nok bare mig, der mangler fantasi.

Christian Nobel

Det vil vel så i sidste ende være en pligt for lejlighedens beboer/computerens ejer IKKE at låne sin pc ud uden at tvinge låneren til at identificere sig - jeg har bare ikke fantasi til at forestille mig, hvordan dette skulle kunne fungere i praksis uden at kriminalisere mange borgere, for det vil de færreste jo bede deres gæster om at gøre. Der er det, jeg savner en helt konkret beskrivelse i rapporten af, hvordan det skal foregå rent praktisk. Det virker ikke som om, man har tænkt tanken til ende.

Tænkt tanken til ende?? - Det virker mere som om der ingen tankevirksomhed er overhovedet!

Og så det endnu mere skræmmende:

Hvis man vil benytte et fremmed WiFi, så er det stort set trivielt at finde koden - WEP er så let som at klø sig selv et vist sted, WPA tager noget længere tid, men hvis man har ondt i sinde, så har man nok også tid nok.

Så det næste bliver åbenbart at det er en kriminel handling eksempelvis kun at benytte WEP på sit netværk (hvis man bare ønsker at holde det værste ude), dernæst at der overgås til et normalt ikke benyttet retsprincip her i landet, nemlig omvendt bevisbyrde.

Og hvordan harmoner de implicitte skærpede krav til netværkskryptering med at regimet i alle andre henseender jo ikke accepterer kryptering.

Det er så dumt, så dumt, at man får helt ondt i hovedet.

Jens Jönsson

Der sker dog en logning i de udbydernet, som de er tilsluttet. Man kan bare ikke i denne logning udpege slutbrugeren nærmere uden at gå videre til virksomheden og dens eventuelle interne log.

Mogens,

Jeg kan kun lide at du siger "virksomheden og dens eventuelle interne log".

Nu har jeg lavet IT i en hel del store og små virksomheder rundt omkring i landet, de sidste mange år.
>Ingen< har nogen form for logning. De har måske spærring i form af filter der gør at man f.eks. ikke kan se porno elle benytte FB, men de har altså >ingen< logning....

Årsagen er bla. at der genereres så store mængder logs at man vælger at skrue helt ned eller deaktivere.

Christian Nobel

Jeg aner intet om praksis, men gentager blot det, der står i rapporten fra 2011, hvor man netop henviser til, at politiet efter edition kan få adgang til en evt. intern log med henblik på nøjere udpegning af brugsstedet.

Hvis vi taler om et privat firma, og ikke noget der kan defineres som teleudbyder, så håber jeg da så sandelig ikke at politiet "bare lige kan få adgang" uden en ransagningskendelse.

Jens Jönsson

Jeg aner intet om praksis, men gentager blot det, der står i rapporten fra 2011, hvor man netop henviser til, at politiet efter edition kan få adgang til en evt. intern log med henblik på nøjere udpegning af brugsstedet.

Praksis er vel at man næppe skal regne med at der er specielt mange virksomheder der logger deres Internet trafik på samme niveau, som sessionslogning.

Og rigtigt mange VPN systemer er opsat til at surfe ud igennem virksomhedens forbindelse, når de er forbundet.....

Så det er igen et eksempel på, hvor sessionslogning vil fejle BIG TIME og være komplet ubrugeligt!
Men tosserne fatter det bare ikke.....

Log ind eller opret en konto for at skrive kommentarer