Fejltræ og et lyspunkt

Inden for disciplinen havari-udredning, bruger man ofte et fejltræ for at skyde sig ind på hvad der egentlig foregik.

Det burde nogen også gøre med CSC fadæsen, f.eks den IT-havarikommission jeg så brændende ønsker mig.

Ikke for at få placeret ansvaret og få nogen hængt til tørre, men for at undgå samme fejl igen.

Var der f.eks overhovedet nogen hos CSC der havde opdaget noget, inden politiet ringede nogle måneder senere ?

Blev det rapporteret opad i CSC ?

Blev det kommunikeret til kunden ?

Stod der noget i kontrakten om at det skulle kommunikeres ?

Stod der noget i kontrakten om at data skulle krypteres ?

Stod der at de ikke skulle krypteres ?

Havde Datatilsynet godkendt det ?

Havde Datatilsynet overhovedet hørt om det ?

osv.

osv.

Men nej, det finder vi formodentlig aldrig ud af, for I Danmark begraver vi vores fejltagelser, frem for at lære af dem.

Men der er et lyspunkt:

Hatten af til politiets håndtering af fortrolighed.

Det er ikke mange politistyrker hvor den ene hånd kan efterforske et tyveri fra den anden hånd, uden at nogen taler over sig i kantinen.

Men tilsyneladende hørte Rigspolitichefen først om tyveriet idag, via DR, hvilket er helt efter lovens bogstav og intention.

Hat-tip!

Hvis Rigspolitichefen er sur er det helt berettiget, jeg ville personligt være helt oppe i det røde felt.

Det håber jeg også han er.

Men det er CSC han skal flippe ud over & på, ikke kriminalpolitet der tog tavshedspligten alvorligt.

phk

Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Jeg synes absolut ikke at der nogen grund til at rose staten/politiet på dette punkt.

Fortrolige oplysninger om flere millioner borgere er blevet kompromitteret for et år siden. De pågældende borgere har krav på omgående at få at vide, at det offentlige (eller i dette tilfælde det offentliges underleverandør, CSC) ikke har været i stand til at passe på de fortrolige data.

Det er decideret latterligt at politiet et år efter kommer med denne advarsel til borgerne https://www.politi.dk/da/aktuelt/nyheder/SIKKERHEDSBRIST.htm

Jeg mener også at denne offentliggørelse til borgerne skulle være sket, selvom der havde været en risiko for at det måske kunne skade opklaringen af sagen. De berørte borgere har krav på at få besked, så de kan træffe de fornødne forholdsregler i tide (det er ikke et år senere).

Først og fremmest skal sager som denne undgås ved at forbedre sikkerheden (en virksomhed som bruger FTP bør diskvalificeres på samme måde som Ansaldo Bredo). Om man smider en hacker mere eller mindre i fængsel i et par år har begrænset betydning. I værste fald kan det ende som en sovepude hvis man får dømt nogle i sagen.

For en god ordens skyld: jeg argumenterer ikke for straffrihed til de ansvarlige hackere, blot at det ikke er væsentligt for IT-sikkerheden fremover om de bliver dømt eller ej.

  • 9
  • 1
Tore Green

CSC har allerede frikendt sig selv - de løser opgaven så godt teknologien tillader: "De borgere, der har deres data liggende i systemer hos os, er så sikrer, som det overhovedet er muligt at sikre dem med dagens teknologi, konstaterer Jens Schmidt."

http://mobil.dr.dk/smartphone/#artikel/Nyheder/Indland/2013/06/06/061706...

Gu' ved om en havarikommision ville nå samme konklusion?

  • 16
  • 0
Leif Neland

Lige som man kan registrere sig som donor(*) eller på Robinsonlisten /reklamer nej tak, eller få adressebeskyttelse, så burde det være muligt at markere at "der skal vises billedlegitimation eller nemid for at indgå kontrakter med dette cprnummer".

Eller måske skal dette være default, og man kan, imod at acceptere en selvrisiko, fravælge dette. (Og dette skal naturligvis ske med tilsvarende sikre metoder)

(*) (i parentes bemærket, så bør der være en optjeningsperiode, man skal have være registret som donor i 5 år før man kan modtage et organ (dog ikke for børn; personer under 23 skal være registreret fra 18-års alderen))

  • 4
  • 1
Poul-Henning Kamp Blogger

Jeg synes absolut ikke at der nogen grund til at rose staten/politiet på dette punkt.

Du blander ting sammen nu.

Jo, der er faktisk grund til at rose politiet for at kunne holde tand for tunge.

Kriminalbetjente skal ikke give sig til at bryde deres tavshedspligt, bare fordi det tilfældigvis drejer sig om et politi-register der er stjålet, lige så lidt som de skal bøje reglerne for andre venner, bekendte eller kolleger.

  • 23
  • 0
Frank Pedersen

PHK har fuldkommen ret i at vi i Danmark begraver vores fejltagelser, frem for at lære af dem!

Jeg synes ikke der er nok der bruger tid på at stille de samfundskritiske spørsmål der burde være i alles bedste interesse, herunder IT sikkerhed i det offentlige såvel som det private.

Men det er nok fordi ingen gidder lytte til fremtidige forslag før skaden er sket eller noget går helt galt en dag, og Kiniserne lukker det hele ned (det sidste var en joke) - Men fordi det er spørsmål der kræver at der resonneres og tanken om at det nok er svært får de ansvarlige til at lukke ørene og tænke på noget andet. Er man så heldig at der er nogen der lytter og tager tingene seriøst, så kan man godt regne med at det alligevel ender med at blive syltet et eller flere steder i kæden. Der er ingen der gidder følge op på noget for det er jo noget der igen kræver noget.

Og medierne elsker at få historien bragt, og gerne gentaget 30 gange med et par 'top politikeres' dumme udtalelser, men det er kun for nyhedseffektens skyld. Der er meget lidt etiske og selvkritiske tanker skænket til hvordan historien bliver fortalt, og hvad der i det hele taget ligger bag historien. Det er blevet showbiz fremfor substans, selv dokumentar udsendelser som jeg holder så meget af, synes jeg bliver mere og mere dogme agtige og blottet for brugbart 'indhold'.

Jeg synes generelt at vi i Danmark, over det sidste årti, har bevæget os ud på et farligt skråplan, hvor ingen tænker fremad på de mulige konsekvenser uansvarligheden kan komme til at koste os. Det er jo ikke kun mangelfuld IT sikkerhed, tåbelige IT projekter og ignorante politikere der synes at sætte dagsordenen i dag, men hele møllen rundt. Kommuner der svigter udsatte børn, syge og ældre der lever i beskidte hjem, læger der strør om sig med lykkepiller, den ene idiotiske reform efter den anden, syge syge syge pensioner til politikerne.. osv osv jeg kunne blive ved, men bliver nød til at stoppe for ikke at koge over. Jeg tænker bare tit over hvor mon det hele ender?

Sorry, bliver let grebet.. :-)

  • 12
  • 0
Lars Bjerregaard

Et lille yndlingscitat, frit fra hukommelsen, fra Sean Connery's mund i filmen "Rising Sun":

"When there's a problem - in America, we find out who's to blame so we can punish them. In Japan, they fix the problem. Their system is better."

  • 13
  • 0
Leif Neland

Det er decideret latterligt at politiet et år efter kommer med denne advarsel til borgerne https://www.politi.dk/da/aktuelt/nyheder/SIKKERHEDSBRIST.htm

Dette slutter med:

Kontakt folkeregisteret i kommunen og bed dem notere tyveriet på CPR-nummeret.

Det har jeg så gjort, og fået dette svar:

Hej Leif. Tak for din mail vedr. notat på dit cpr.nummer.

Der er lagt et notat i CPR-registret, hvor der står at der er risiko for misbrug af dit cpr.nr.

Det bør alle vel gøre; hvis teleselskaberne får meddelelse om at dette cprnr ikke kan verificeres sikkert på alle numre, må de jo finde andre metoder.

  • 3
  • 0
Chris Bagge

I forlængelse af PH's ønske om en havarikommision kunne det også være rigtigt interessant at vide; - var dette en kendt sårbarhed i styresystemet /systemerne? - hvis ja, var der udsendt information derom, og var der en patch? - hvis ja, hvorfor var den så ikke lagt på?

Herefter er det måske også en god ide, for alle dem der har outsourcet deres funktioner (file service, host service, web service) at tænke lidt på, hvor god sikkerhed der hvor deres data måtte ligge.

Men, som Frank siger, her begraver vi vores fejltagelser og skynder os videre, alt andet er alt for pinligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere