Computer Sikkerhed: Game Over (play again ?)

Vi er i store træk nået til hvor computersikkerhed og i særdeleshed privacy er ikke existerende for flertallet af befolkningen.

Ud over deciderede kriminelle, er modstanderne også firmaer som Google og Apple hvis forretningsmodeller er centreret omkring målrettet annoncering. Dertil kommer teleselskaber der gerne vil tjene penge på "value-add", butikskæder der gerne vil lave "market surveys" og politikere der gerne vil reducere de offentlige udgifter ved digital selvbetjening, politistyrker der febrilsk prøver at opretholde deres voldsmonopol (og i visse tilfælde justificere deres overgreb og lovovertrædelser).

"Hvis du ikke betaler for en service, er det dig der er varen" som det er blevet udtrykt, og manner der bliver langet varer over disken, seneste er hele Israels personregister blevet solgt billigt, inklusive stamtavler og hele svineriet.

I lyset af den indlysende katastrofale overpopulation af Homo-Sapiens kan man naturligvis anlægge den kyniske holdning at nogen skal jo malke flokken, men det er temmelig langt fra de idealer vores bedsteforældre skrev ind i FNs menneskerettigheder.

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.

Situationen er strategisk set ikke helt ulig den situation Niels Bohr analyserede i sit berømte brev til FN og løsningen er muligvis den samme: Tag værdien ud af magtmidlet.

Leg lidt med følgende tanke:

Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.

I stedet for at forsøge at opretholde illusionen om at vi har et privatliv, kaster vi os bevidst ud i et panoptikon og tilpasser vores opførsel derefter.

Det løser mange problemer der idag skyldes hemmeligholdelse af information for dem der kan verificere dem.

F.eks kan alle se om direktøren der render af pladsen for at "bruge mere tid med familien" eller af "helbredsmæssige årsager" løj.

Sorte penge, moms og Skattesnyd ? Held og lykke med det, når alle fra din jaloux svoger til naboen kan se hvad du betaler.

Løndiskriminering ? Jeg giver det 20min, max.

Er din cykel blevet stjålet ? Check selv overvågningskameraet for at se hvem der har gjort det.

Kører direktørbilen foran som en idiot ? Slå nummerpladen op, ring til dem og tilbyd dem en video...

Tager teenageren ikke telefonen ? Eller er din telefon blevet stjålet ? Check teleselskabets database for at finde ud af hvor den er henne.

Hvorledes vi indretter vores samfund er for os selv at beslutte og nu hvor vi i vores dårskab har lukket denne ånd ud af flasken, uden nogen realitisk chance for at få den proppet tilbage, bør vi overveje om vi istedet kunne få den til at arbejde for os.

Alternativet er at vi står i præcis sammen situation med vores privacy, uden at høste en eneste af de mulige fordele.

phk

PS: En eller anden, check lige om Stephan Engberg stadig trækker vejret :-)

Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Umiddelbart lyder det måske besnærende at alle skal have lige adgang til data, og at din mulighed for at skaffe information om hvad Google, PET eller din nabo laver skal være lige så god som Googles eller PETs mulighed for det samme (det vil dog kræve at PET og Google udviser samme "åbenhed" som de forventer af os, eller måske snarere tiltvinger sig hos os).

Jeg tror bare at det scenarie bliver endnu mere "de stærkes ret" end det persondatakaos som vi ser i dag (det er på ingen måde ikke skrevet for at forsvare den nuværende tilstand, men forandring skal ex ante være "til det bedre", ellers skal man lade være).

Analyse af de mange data som nu på papiret bliver tilgængelige for alle vil kræve betydelige ressourcer, enten tid eller computere (en serverfarm som hos Google eller NSA er ikke indenfor mit budget). Hvis du har en forretningsmodel baseret på kommerciel profilering eller paranoid masseovervågning af befolkningen, har du disse ressourcer i forvejen. Den almindelige borger har dem ikke, og den almindelige borger vil formentlig blive taberen i dette spil.

  • 8
  • 0
Jesper Lund

Det afhænger udelukkende af hvad vi skriver i vores straffelov...

Både straffeloven og persondataloven har den begrænsning at de kun gælder i Danmark (eller EU hvor persondatalovene bygger på et fælles EU direktiv; dog synes tyskerne at få mere ud af deres persondatalov end vi gør, og Irland synes at køre med en forholdsvis liberal fortolkning for at tiltrække filialer af amerikanske virksomheder).

Vi kan reelt ikke regulere hvad Google og Facebook gør. Det er vi nødt til at acceptere, og problemet skal naturligvis ikke løses med DNS blokering, uanset hvad de nævnte firmaer gør i USA. Vi kan ikke på samme tid kritisere Kina for censur og forsøge at udstrække dansk lov til at gælde i hele verden (og vi vil også blive til grin hvis vi gjorde det).

Vi kan heller ikke regulere hvad USAs regering gør med de mange persondata som vores egne EU regeringer frivilligt udleverer til dem via aftaler om PNR data med ikke-eksisterende retssikkerhedsgarantier eller ikke-eksisterende muligheder for aktindsigt (aftaler der primært er lavet af cover-my-ass hensyn for de europæiske flyselskaber, da USA faktisk har alle data i forvejen eftersom alle PNR databaser spejles i USA, og USAs regering har direkte feeds til de databaser som er i USA) eller anden adgang til danske persondata (fingeraftryk og DNA, for at tage et eksempel hvor Danmark har indgået en "bilateral" aftale med USA).

Hvis vi (som "Danmark") skal gøre noget, skal vi starte hos os selv. Når først persondata er havner hos Facebook eller Google er det for sent. En teknisk detalje, som jeg synes er overset, er at Google og Facebook ikke kan indsamle deres data alene. De er i høj grad afhængige af lokale medløbere som DR der bruger Google Analytics og placerer Facebook "I Like" tracking widgets på deres websider. Det er efter min mening videregivelse af persondata (trafikdata) til tredjepart uden samtykke, og det er noget som vi kan skride ind over for -- hvis vi vil.

  • 3
  • 0
Poul-Henning Kamp Blogger

Vi kan reelt ikke regulere hvad Google og Facebook gør.

Præcis, eller for den sags skyld den russiske, italienske, kinesiske, japanske eller USAnske organiserede kriminalitet.

Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?

Argumentet har været brugt tidligere i Dansk lovgivning, f.eks med billedpornografiens lovliggørelse og den fri abort.

  • 1
  • 0
Thue Kristensen

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.

Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.

Personligt kører jeg også altid NemID i en virtuel maskine, fordi jeg synes det er specielt problematisk at staten skal diktere hvilke closed source-programmer der skal køre uden for sandkassen på min computer.

  • 4
  • 6
Torben Mogensen Blogger

Omtalte roman bruger samme ide men tilføjer en ophavsretsbetaling: Når noget data bliver læst, modtager både den, der har publiceret dette data og alle, der optræder i dette data, en mikrobetaling. Der bruges ansigtsgenkendelse til at se hvem, der optræder i billeder og film, og al data har indkodet ophavsret.

Det ville hurtigt gøre det urentabelt at lave databaser over mennesker: Hver gang nogen bruger basen, deler du mikrobetalingen med alle personer i listen.

  • 0
  • 0
Casper Bang

Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?

Hvon' synes du denne model virker i USA hvor det står indskrevet i grundloven at alle har ret til at bære våben for at kunne forsvare sig overfor lovløse med våben? Lad mig minde om at USA er et af de lande med mest kriminalitet og flest folk i fængsel. Jeg vil påstå, at uregulering ikke er vejen frem.

  • 2
  • 0
Casper Bang

Det står der ikke i USAs forfatning og sagen er en hel del mere nuanceret end du giver udtryk for at have gennemskuet.

Fortolkningen af Second Amendment af forskellige stater er egentlig irrelevant, pointen er at det udspringer af "The people have a right to bear arms for the defense of themselves and their own state, or the United States, or the purpose of killing game..."[http://www.constitution.org/mil/rkba1982.htm]

Og analogien er vel åbenlys, du argumenterer for ingen regulering, jeg påpeger hvad der sker når man bare giver los. Om det er æbler, våben, pærer eller privatliv er vel i princippet underordnet.

  • 3
  • 0
Casper Bang

Propagandaside? Det oprindelige amendment er fra 1789, og er ikke i sig selv særlig interesant. I USA må man bruge tidligere domme til at danne præcedens, hvorfor den oprindelige tekst med "milits" i sig selv ikke betyder en dadel, bortset fra at den var første link i kæden. Læs selv om District of Columbia v. Heller, United States v. Cruikshank mf.

Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering. Skal vi bare lade Iran berige så meget uran som de har lyst til, når bare vi har mere end dem så går det jo nok? Med status-quo har man dog trods alt mulighed for opt-in (køb dig en feature phone, browse nettet uden cookies, køb økologisk), hvorimod alternativet helt sikkert ikke vil tilbyde opt-out. Dén praksis kan du allerede observere med rejsekortet, der ganske vist giver dig mulighed for opt-out, mod så lige at snuppe 60% eksta.

  • 7
  • 0
Poul-Henning Kamp Blogger

Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering.

Se det er jo kernen: Du har misforstået mit forslag. Der er ikke nogen regulering der fjernes, tværtimod bliver der tilføjet en "Jeg håber du har taget nok med til alle" regulering så alle kan komme ligeligt til fadet. Dertil skal der føjes de nødvendige forandringer i straffeloven ("Den der uretmæssigt tilbage holder data fra andre..." osv)

  • 1
  • 0
Jesper Lund Stocholm Blogger

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer

Øehm - hvordan kan man det? Nu ved jeg ikke, hvilke programmer du har på din laptop, men selv med en kontorpakke og en browser er du oppe på et anseeligt antal kodelinier at gennemtrævle for at kunne være så "skråsikker".

  • 4
  • 1
Carsten Sonne

Det ved ingen - og derfor manglen på tillid. Eneste vej ud af den situation, er at give individet sin suverenitet tilbage - at han/hun selv kan bestemme hvem han/hun vil stole på, at han/hun selv kan bestemme hvem der må vide hvad om ham/hende, at eliminering af alle lange øre - enhver politimyndighed og efterretningstjenestes mareridt, eller som i Danmark, enhver myndigheds mareridt.

Som vores faktiske produktion (primær sektoren) stille og roligt bevæger sig mod 0 således gør vores tillid - og sjovt nok hænger det sammen. Det minder vel efterhånden mest af alt om en stor børnehave.

  • 4
  • 0
Jon Bendtsen

Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.

Hvad med yderlige foreninger, fx. Den Danske Forening, Nazi partiet, kommunisterne, ... Eller diverse homosexuelle foreninger? Eller måske de homofobe foreninger? Ville du også tvinge dem til at offentliggøre deres medlemsdatabase?

  • 2
  • 1
Martin Kollerup

Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.

Hvorfor er det at mange giver Apple æren for noget de ikke skal ha' æren for! Hvis du skal gi' æren for HTML5 til nogen, skal den gives til Opera Software som fandt på "ideen" til HTML5. Derefter var det chromium projektet som havde den bedste html5 support i starten. (Det er det så vist ikke mere... ved bare ikke lige hvem der har den bedste nu?)

  • 0
  • 2
Maciej Szeliga

Informationer om hvem der er medlemmer, samt om de har betalt er da relevant information, også selvom at det skal offentliggøres.

og du kan ikke finde på nogen som helst måde at løse dette problem anden end med en database med navn/personnr. ?

Hele problemet er at man tror at man behøver at vide hvem medlem 104538-A er... det gør man ikke.

  • 3
  • 1
Jon Bendtsen
  • 2
  • 1
Jon Bendtsen

Ting ? Medlemsblade etc. kan downloades fra foreningens hjemmeside. "Medlemsfordele" får man ved at fremvise sit medlemskort som man har fået ved oprettelsen.

nogle foreninger bruger papir baserede medlemsblade.

Medlemskort kan fortabes, og så skal man have udleveret et nyt. Medlemskort kan gives til andre, og det kan være nødvendigt at sikre sig at kun det rigtige medlem kommer ind. Derfor kan det være nødvendigt at have en database med oplysninger.

  • 3
  • 1
Maciej Szeliga

Medlemskort kan fortabes.

Ja... det kan filer med medlemsplysninger også. Taber man et kort så indmelder man sig bare igen og når det gamle ikke bliver betalt så bliver det automatisk lukket, big deal.

Anonyme foreninger har eksisteret i hundredevis af år, du har et problem med at forstå det fordi du ikke vil have at det skal være anonymt.

  • 1
  • 0
Jarnis Bertelsen

Jeg er ikke i tvivl om at anonymitet kunne benyttes i mange tilfælde, hvor man ikke gør det idag, ofte med fordel for medlemmerne. Jeg tvivler dog meget kraftigt på at det praktisk kan lade sig gøre alle steder, hvor man idag bruger personhenførbare oplysninger.

Eksempelvis giver det god mening at biblioteket registrerer hvem (personhenførbart) der har lånt hvilke bøger, med henblik på at kunne sende rykkere og indkræve bøde/erstatning, hvis du ikke afleverer bogen til tiden (eller overhovedet). Det er også en god service at man kan få tilsendt en email eller sms med en påmindelse når en tidsfrist nærmer sig. Det betyder ikke at jeg vil give alle adgang til at vide hvilke bøger jeg har lånt på et givent tidspunkt (hvem ved om det fx kunne give problemer at have lånt De Sataniske Vers, hvis man skal besøge Iran?) eller at jeg vil give fx spammere min email og/eller mit telefonnr.

  • 1
  • 0
Maciej Szeliga

Jeg er ikke i tvivl om at anonymitet kunne benyttes i mange tilfælde, hvor man ikke gør det idag, ofte med fordel for medlemmerne.

Det er jeg da helt enig i. Mange steder bliver det bare gjort fordi det er nemt og ligetil at bruge navn. Den dybere ide er ikke at anonymisere alt men ikke at føre registre som ikke er strengt nødvendige.

  • 1
  • 0
Jakob Damkjær

for det første vil det medføre misbrug og for det andet vil det voldsomt reducere værdien af de opsamlede data og derfor vil det økonomiske encitament formindskes ved at opbygge databaser.

Så kan man arguementere at det er en god ting og der vil blive færre databaser, men desvære overser det argument at der er en masse databaser der skal opbygges for at samfundet fungere (og virksomhedder fungere).

Hvis adgangen til dem ikke blev reguleret af en centraladministration så ville de blive misbrugt.

Det er lidt som når republikanere i USA argumentere for at den bedste måde at løse problemerne ved at den føderale stat ikke fungere som de gerne vil ha det, er at afskaffe den og demokratiet i samme pennestrøg...

Det er et falskt argument som cherrypicker i virkeligheden for at opnå relevans. Privatlivets fred er en af retstatens grundpiller og selv om det kan kompromiteres så gør det at det er ulovligt at forbryde sig mod den at langt de fleste afholder sig fra at gøre det. Inklusive myndighederne, specielt i form af den udøvende magt.

Desuden gør det meget nemmere at bevise at der er kriminele intentioner bag ved fx at en politiassistent slår op i strafferegistret for at se om hans søsters nye kæreste har en fortid hos politiet, eller når en skattefuldmægtig slår op i en tilfældig borgers skatteforhold. De manglede autoritation så derfor var det ulovlig adgang.

Desuden så er der informationer som aldrig kan tåle dagens lys... fx en liste over beskyttede addresser... navne og addresser på specialstyrkernes familier. Databasen over hvem der har fået taget en HIV test eller databasen over de mails du sender til din advokat når du modtager et krav fra skat som de ikke er beretiget til ? Hvem du har ringet til og hvornår ? Hvor du har brugt dit kredit kort og til hvad ? Om du har sukkersyge eller kræft eller en genetisk disposition til at få en af de to ? det vil forsikringsselskaberne sikkert være intresteret i at få...

Det er ikke et tankeeksperiment det er bare ren idioti både praktisk og juridisk. Ja der er folk der bliver hacket og ja der er databaser der bliver kompromiteret, men at komme fra at det er et problem som der findes relativt fornuftige løsninger på (lovkrav om inspektion fra et databasetilsyn når man opbevare data i databaser om folk fra Danmark, på samme måde vi stiller krav til importerede fødevare) til at sige "hey ville det ikke bare være nemmere at afskaffe konceptet privatliv"

Evt. den løsning som sundhed.dk har for læger der har lidt for lange øjne og ser på andre end deres egne patienter... der sendes der et faktisk brev til patienten om at læge X (som ikke er din egen læge) har tilgået dine fx. lab prøvesvar. Det er i særdeleshed enkelt at fuske for der er mange læger i det danske land der skal ha adgang til patient labsvar men hvis du snager i noget der ikke er dit sendes der svar til den om hvem du har lange øjne... Et system der måske kunne implementeres hos skat, så når andre end den skattemedarbejder der faktisk er tilknyttet din sag (navnet på hvem du kan få oplyst hos skat) tilgår din sag hos skat så får du brev.

Eller en linjeprinter der skriver alle opslag ud... men hvis vi nu fik etableret standarter for hvad man skal gøre for at ha lov til at opbevare data så ville det være et godt trin fremad med et certifikations program så fx. hosting tjenester kunne godkendes til forskellige niveauer af fortrolighed i privat regi. Med et godt budget så den godkendes opdateres og opfølges på.

  • 0
  • 0
Log ind eller Opret konto for at kommentere