Godaften, mit navn er Thormod Jensen

CfCS og de overvågningsliderlige politikeres forslag fik den forventelige hårde og velfortjente medfart her på V2.

At Dansk Industri mener virksomheder nyder beskyttelse fra Grundloven er naturligvis rent vås, men der er en pointe gemt under retorikken.

Problemet CfCS og politikerne foregiver at gøre noget ved, er reelt.

Vi behøver ikke diskutere om eller hvilke virksomheder, private, halvoffentlige eller offentlige der er oppe eller nede på dupperne med IT-sikkerhed, det er et dokumenteret fakta at det står sløjt til.

Vi kender alle mindst en fra C-teamet der svinger om sig med informationer på smartphones, dropbox, google drives, lounge-computere, hotel-printere osv.

Der er heller ingen tvivl om at det er meget få vigtige IT-installationer der er designet med en arkitektur der tager IT-sikkerhed seriøst og nej, det er naturligvis ikke firewalls og virusscanning jeg taler om her.

Ligeledes er det kun et fåtal af alle disse IT-installationer der har logfiler som vil afsløre hvad der sker indenfor perimeteren, langt mindre er der nogen af dem der konstant og systematisk trawler deres logfiler.

Men der er håb forude:

Klokken 22 i aften banker det på din dør.

To betjente, en i uniform og en senior i civil står klar med deres ID-kort.

"God aften, mit navn er Thormod Jensen og det er min assistent, Holm."

Thormod beder dig slukke mobiltelefonen og identificere dig selv med dit pas.

Derefter for du besked på at følge med, med det samme, men uden telefon, computere, smartwatch og den slags.

Med blå blink bliver du i god fart kørt til "et vigtigt møde".

Betjentene ved kun at "det er ministeren" og at det er "noget med statens sikkerhed."

Ved ankomsten, lige inden midnat, forklarer ministeren "at regeringen og Folketinget har indset hvor alvorlig situationen er."

Han forklarer at i et dobbeltlukket og hemmeligt Folketingsmøde tidligere på dagen blev der vedtaget nogle ting, 100% enstemmigt.

Ministeren rejser sig op og rækker dig hånden:

"Tillykke! - Hvad enten du vil eller ej, er du nu Danmarks første Minister for Landets Datasikkerhed!"

Du får CfCS's budget, lad os kalde det en rund milliard kroner og du får deres mandskab, som tvangsoverflyttes til civil ansættelse.

Klokken 9 skal du til Dronningen.

Klokken 10 er der pressemøde.

Klokken 11 er der møde i ministerrådet.

Klokken 12 møder du med alle dine nye medarbejdere (Location: TBD)

Eventuelle straksindgreb må gå igennem existerende myndigheder: "Inspektør Thormod Jensen, som du allerede har mødt, kender dem alle sammen, ham og hans assistent Holm får du også."

Og om en uge forventer Folketinget et udkast til den lovgivning du ønsker gennemført.

"Forhåbentlig tog du en tandbøste og rent undertøj med ?"

Hvad er ministerens plan?

phk

Kommentarer (61)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Det er fedt at blive minister.
Vi må please chefen mest muligt, og stadigt gøre vort arbejde.

Derfor :
Meget mere af samme skuffe, for det kan tumberne forstå.
- Og så har de jo selv 'lagt linien', så kritik af den nye minister's valg, automatisk også er en indirekte kritik af chefen.

Nå, hvor er snapstinget ?

K

  • 2
  • 6
Kenn Nielsen

Hvad jeg ville have tilføjet - havde jeg nået det - var;

Hvad jeg prøver at sige er:

Forvent ikke noget.
Det lukkede 'møde' indeholder sandsynligvis sætninger som:
Vi må beskytte os mod....
Vi forestiller os det sker ved....
Hér er en liste med ligtorne der ikke må betrædes..
Jeg tror du forstår problemets karakter..

Vi tror du kan løfte opgaven, - er du méd ?

Pludseligt er man minister for >meget<, med magt til >meget lidt<.

Bliver man valgt/udpeget til IT-tyran for resten af valgperioden, så er mulighederne for rette op på tåbelighederne større.

K

  • 4
  • 3
Maciej Szeliga
  • 3
  • 0
Henrik Kramshøj Blogger

Det bliver en kort udgave, men sjov ide.

Tak, det er meget venligt, men er I sikre?

OK, så kører vi.

Thormod, vil du gå ned i bevisrummet og hente noget amf og coke, bare lidt blandet. Du skal ikke svare igen, hent det nu bare! #onlyhalfjoking

Kl 9 Dronningen,
Deres majestæt jeg har fået den ære at blive landets første Minister for Landets Datasikkerhed og det er mig en stor ære. Jeg håber at jeg dermed kan hjælpe Danmark, erhvervslivet og søens folk.
09:15 ude fra Dr

Klokken 10 er der pressemøde.
Velkommen alle sammen, jeg er idag blevet Minister for Landets Datasikkerhed. Det er jeg selvfølgelig meget glad for og jeg glæder mig til at løfte sløret for vores tiltag. De vil blive publiceret løbende med en status om en uges tid, derefter ugentligt indtil næste måned hvor vi vil holde månedlige statusmøder.

Vi ved at mange myndigheder har sikkerhedstiltag og planer for sikkerheden. Nogle er ikke ført ud i livet og vi vil i første omgang gøre vores bedste for at koordinere og effektivisere vidensdeling mellem organisationerne. Vores første større lov vil omhandle udviklingen af fælles værktøjer til bedre sikring af Danmark, ved at alle værktøjer som er udviklet i det offentlige, som er betalt med skatteydernes penge skal være open source. Link og forklaring fra http://nordu.net/content/ipr-and-open-source

Det vil give den yderligere fordel at det private erhvervsliv, som i mange tilfælde også er leverandører til offentlige myndigheder og del af vores infrastruktur får bedre værktøjer til at løfte sikkerheden generelt i Danmark.

Vi vil sætte pris på at alle medier har en vis tålmodighed og holder igen med rapportering af sårbarheder og usikkerheder i specifikke systemer som er kritiske for Danmark. Vi håber I fortsat vil hjælpe med til at dele information om gode sikkerhedstiltag, nye sårbarheder, men altid holder for øje at vi skal undgå FUD - og så en forklaring om FUD.

Vi ønsker at skabe en fornyet åbenhed om sikkerheden i vores allesammens systemer, men første punkt er at gøre noget ved de kendte problemer - som de pågældende myndigheder selv er klar over er til stede.

Vi vil derfor som noget af det første bede CfCS, som nu heldigvis er en civil myndighed om at medvirke til at skabe overblikket. Dette påtænker vi sker ved at lave en samlet oversigt over modenhed indenfor de vigtigste og mest basale tiltag indenfor IT-sikkerhed, her svarende til helt almindelige kontroller (som CIS https://www.cisecurity.org/controls/ - men gerne uden at bruge dem specifikt, men den slags), og bede alle myndigheder vurdere deres egen indsats.

Klokken 11 er der møde i ministerrådet.
Beklager jeg kommer for sent, vi har netop informeret pressen om vores første tiltag, og hvad de kan forvente på kort og langt sigt fra vores nye ministerium.

Vi sigter mod at gøre følgende ting som de første tiltag:

  • Skabe overblik og status over sikkerheden, som en distribueret opgave for alle kritiske myndigheder
  • Iværksætte tvungen deling af værktøjer som udvikles for skatteydernes penge. Der er en stor grad af homogenitet i løsningerne hos vores danske organisationer så vi oplever at der bruges for mange resourcer på at genopfinde de samme dybe tallerkener over det hele.

Vi vil også samtidig anbefale at der udarbejdes en dataminimeringsstrategi.

Vi forventer at afholde en del møder og den første opgave for ministeriet for Datasikkerhed vil være at kortlægge eksisterende eskaleringsmuligheder og vagtordninger for kritisk infrastruktur. Vi vil ligeledes indsamle eksistende dokumenter hvoraf der findes mange allerede, men de bliver ikke benyttet aktivt.

Klokken 12 møder du med alle dine nye medarbejdere (Location: TBD)

Velkommen allesammen.

Jeg vil være ærlig og sige det er en overraskelse at jeg er blevet udpeget som Minister for Landets Datasikkerhed. Jeg blev hentet igår aftes og har ikke sovet siden. Det skal ikke være vores normale arbejdsmodus.

Jeg vil opfordre alle til at tage jeres forslag til forbedringer ud af skuffen og eventuelt skrive dem rent. Når vi så beder om jeres input til bedre sikring af jeres områder, så vil vi bede jer præsentere en samlet liste for jeres områder.

Der vil en del ændringer i vores arbejdsmetode og fokus fremadrettet vil være på transparens, deling af viden, og blandt andet skal alle værktøjer som udarbejdes for skatteydernes penge være tilgængelige for alle.

Jeg vil samtidig opfordre til at vores fokus i højere grad er på sikring og mindre tænker i offensive baner.

Vi får allesammen travlt og jeg håber vi kan få et godt samarbejde.

> Og om en uge forventer Folketinget et udkast til den lovgivning du ønsker gennemført.

Jeg har kun en lov som jeg mener er relevant så tidligt i forløbet, og det er:
Jeg vil foreslå at der straks oprettes en IT-haverikommission med udvidede beføjelser indenfor undersøgelse af datalæk, med henblik på at beskrive i detaljer hvorledes skaderne kunne være minimeret.

Jeg vil samtidig foreslå at PHK tvangsudpeges som den første midlertidige leder af denne, indtil en mere velovervejet process har fundet egnet leder.

  • 21
  • 0
Mads Hjorth

puha... jeg give et bud på en datastrategi i morgen, reviewe et projekt for it-rådet fredag, snakke ai-strategi i næste uge og bygge en cloud før påske.

men... jeg ville starte med at sige:

  • at cyber-angreb fra statslige aktører enten løses enten i vores forsvars-alliance (NATO) eller vores fællesskab (EU). Måske helst det sidste når kapaciteten er der.

  • at informationssikkerhed bedst sikres gennem veldesignede applikationer og i langt mindre grad gennem overvågning af internet- forbindelser og de enkelte devices.

  • at det er på tide at underøge i hvor høj grad vores kritiske it-systemer er veldesignede. Og skaffe et mandat til at kræve ændringer i disse med henblik på sikre fortrolighed (og integritet og tilgængelighed).

  • at få en kollega eller to mere med på at løse alle de andre spændende og vigtige opgaver :-)

  • 2
  • 0
Magnus Jørgensen

Som det første, efter alle formalierne er overstået, vil jeg kontakte statsministeriet for at afklare præcist, hvilket råderum mit ministerie har og hvilket tilhørende ansvar. Derefter vil jeg overbevise Statsministeren om, at dette skal offentliggøres.

  1. Hvis Statsministeren ikke er enig vil jeg alligevelle gøre det klart for offentligheden. Hvis jeg herefter stadig er minister, vil jeg gøre mit bedste inden for det råderum jeg har. (Se mine mål herunder)
  2. Hvis Statsministeren er enig men dog har nogle indrømmelser til råderummet vil jeg derefter offentliggøre råderum og ansvar. Herefter vil jeg gøre mit bedste inden for det råderum jeg har. (Se mine mål herunder)
  3. Hvis statsministeren er enig vil jeg derefter offentliggøre råderum og ansvar. Herefter vil jeg gøre mit bedste inden for det råderum jeg har. (Se mine mål herunder)

Mine mål.
* Al software der udvikles til det offentlige IT skal være Open Source.
* Der skal udarbejdes en standard for det offentlig IT der beskriver minimumskrav og fællesnævner for al software i det offentlige. Denne standard skal være under løbende revision. Eksisterende software og software som senere er berørt af revisions ændringer skal have en fastsat deadline for at overholde standarden.Blandt minimums krav skal der være fastsat hvordan person henførbare oplysninger behandles, således at den enkelte persons privatliv maksimeres. I fællesnævner skal der udarbejdes et interface der maksimerer muligheden for integration imellem de forskellige tjenester. Standarden må ikke foretrække specifikke produkter, specifikke leverandører eller specifikke personer.
* Der skal udarbejdes en platform for udviklere som gør det nemt at finde eksisterende løsninger på deres opgaver. Denne platform skal indeholde tutorials, eksempler og debat fora hvor ligesindede kan hjælpe hindanden.
* Der skal nedsættes et bredspektret råd af eksperter som løbende gennemgår eksisterende løsninger. Dette råd skal bruge deres tid på at skrive rapporter om eksisterende problemer og give konstruktive råd til administratore og udviklere.

  • 6
  • 0
Ditlev Petersen

Hvad ville vi faktisk selv gøre, hvis vi fik chancen, no strings attached ?


Tja, jeg ville nok snakke med min læge - hvis jeg kunne nå det. Hemmelige betjente, der dukker op sent på aftenen, plejer at kræve noget, "der samler tankerne" (neuroleptika).

Men ellers kunne det være sjovt at køre sådan en sikkerheds-war åbent og ærligt. Også så dem, der ikke blev ramt af hackere i dag, kan lære af det. Lige som brandslukning og førstehjælp.

Derfor ville jeg ikke få tilbudet. Det er der nu også andre grunde til.

  • 4
  • 0
Mikkel Mikjær

1) Nedsættelse af kommision (dygtige mennesker, ikke djøf'ere uden real-kompetencer) der skal rydte op i statens systemer, og udarbejde en plan til simplificering og oprydning.
2) Alt skal være Opensource, ikke-åbne løsninger i det offentlige gøres ulovlige, selvfølgelig med en overgangsperiode.
3) Dansk software skal primært udvikles i Danmark, sekundært i Europa og opgaverne skal tildeles den bedste byder og ikke blot den billigste. Tilgengæld kræves realistiske tilbud, som vi faktisk holder kunderne op på.
4) Danske iværksættere og mindre virksomheder skal aktiveres, udgifter til offentlig IT skal give danske arbejdspladser.
5) Vi skal implementere rigtig IT Sikkerhed, dvs. systemer der faktisk er sikre, medarbejdere der bliver uddannet i at håndtere data korrekt.
6) Kiss-princippet, brug kendt teknologi.
7) Kritisk infrastruktur må gerne kunne tilgåes fra internettet, men i tilfældet af at dette må afkobles fra internettet skal landet stadig kunne fungere. Danske ISP'er har en direkte peering med "det offentlige" og i tilfælde af ddos angreb o.l. kan vi klippe forbindelsen internationalt og skal således "kun" håndtere krisen internt. Danskere i udlændet der er afhængig af f.eks. nemid el. lign. på daglig basis må have en dansk VPN. Jeg kan ikke huske præcis hvilket land, men jeg hørte en talk sidste år, mener det var til Dknog om et land der havde gjort noget lignende, mener det var Sverige ( Nogen der har fakta her? )
8) Vi skal have lavet et bolværk mod it-inkompetente politikeres panik handling ... der må nogen jurister på banen.
9) Vi skal have indført nogle rettigheder til private, overvågning skal altid omkring en dommer, det skal altid tidsbegrænsning, og den overvågede skal altid informeres om det efterfølgende.
10) Børnepornofilteret og tilhørende censur-ordning skrottes, istedet skal den reelle indsats styrkes.
11) Staten skal have oprettet en reel cybersikkerhedsafdeling, hvor fokus skal være på reelt at styrke vores egen sikkerhed, og ikke som nu, hvor fokus er på at opbygge egen angrebsstyrke, dvs. når vi opdager kendskab til sikkerhedshuller skal primære fokus være på at få lukket sikkerhedshullet, og i og med at vi kun kører opensource, så kan vi selv lukke hullet.
12) Der skal produceret hardware herhjemme, det bliver nok nødvendigt at lave et europæisk samarbejde, men jeg vil 100x hellere have en Tyskproduceret CPU i min Firewall end en Amerikansk eller Kinesisk, samme gør sig gældende for mobilnetværk og routere.

Sidst men ikke det skal der side en kompetent beslutningstager der har kompetencer til at afvige fra reglerne hvor det giver mening, det skal heller ikke være mere rigidt end at rigtige mennesker skal have lov at implementere rigtige løsninger hvor det giver mening.

Har jeg glemt noget? :P

  • 9
  • 1
Yoel Caspersen Blogger

Allerførst skal vi have styr på den fysiske sikkerhed, for nogle af de tiltag, vi skal i gang med, risikerer at pisse rigtig mange nationer af.

Statsministeren bliver derfor sendt til Washington med mandat til at indgå en meget vigtig aftale. Han kommer hurtigt retur, og vi offentliggør den nye aftale:

  • Spaceport Nexø bliver opgraderet med større raketter: Fra nu af er der, idet vi anerkender Danmarks strategiske position i Østersøen, i fuld offentlighed udstationeret amerikanske atomvåben på Bornholm. Der etableres snarest en NATO-base på øen.
  • Til gengæld bliver Facebook forbudt i Danmark. Twitter får lov at bestå lidt endnu, i hvert fald indtil Trump er ude af Det Hvide Hus.
  • Samtlige kinesiske, russiske, afrikanske og mellemøstlige IP-adresser blokeres hos danske internetudbydere med øjeblikkelig virkning. Hackerangreb og malware falder med 95 %. Virksomheder, der kan dokumentere et behov for kommunikation med de nævnte regioner, bliver undtaget fra blokeringen, men der etableres overvågning af de konkrete forbindelser med henblik på at sikre dem mod angreb.
  • TDC's coaxnet og mobilnet lukkes ned. TT-nettet overtager i stedet al mobiltrafik.

Nu har vi de ydre rammer på plads. Nu er det tid til det kedelige arbejde, hvor vi skal hele vejen rundt - Open Source overalt i det offentlige, forbud mod store milliard-kontrakter på offentlige systemer, krav om kryptering af samtlige laptops, etc. Det er et langt, sejt træk, og det vil tage lang tid, før vi er nået i bund.

  • 8
  • 2
Henrik Kramshøj Blogger

7) Kritisk infrastruktur må gerne kunne tilgåes fra internettet, men i tilfældet af at dette må afkobles fra internettet skal landet stadig kunne fungere. Danske ISP'er har en direkte peering med "det offentlige" og i tilfælde af ddos angreb o.l. kan vi klippe forbindelsen internationalt og skal således "kun" håndtere krisen internt. Danskere i udlændet der er afhængig af f.eks. nemid el. lign. på daglig basis må have en dansk VPN. Jeg kan ikke huske præcis hvilket land, men jeg hørte en talk sidste år, mener det var til Dknog om et land der havde gjort noget lignende, mener det var Sverige ( Nogen der har fakta her? )

Du tænker formentlig på https://events.dknog.dk/event/1/contributions/21/ og der er mange mange problemer.

En almindelig browser / enhed der forsøger at tilgå "internet" vil både tale med DNS servere, så du skal spoofe noget root og/eller kendte rekursuve osv. Hvis det så lykkedes at få en adresse via DNS skal du være opmærksom på DNSSEC og andre problemer. Det er ikke nemt.

Vi kunne dog med fordel bede ISP'erne og specielt de offentlige netværk og myndigheder om at bruge RPKI og dermed sortere groft i de forbindelser (prefixes/routes vi tillader) vi lader være åbne.

  • 0
  • 0
Kenn Nielsen
  • 0
  • 0
Mikkel Mikjær

Henrik: Det var præcis den jeg tænkte på, og hverken dns eller dnssec er noget problem - det er ikke noget problem for hverken isp (det gør de allerede) eller offentlige instanser (det burde de allerede gøre idag) at have en caching-nameserver stående på deres eget netværk.

Hele pointen er her at vi laver en slags whitelist, så vi i tilfælde af angreb eller lign. kan blokere for trafik fra alle ikke-direkte peers. Ingen har iøvrigt sagt det skal være nemt, sikkerhed er ikke nemt :)

Kenn: Det kan godt være der skal side 3 mand, men det skal være beslutningsdygtigt, og apolitisk, således at der kan handles akut på problemer der opstår, så man ikke er nødt til at haste panik-lovgivning igennem. Så skal der kunne reageres, men politikerne snakker - og hvis konsensus ender på noget andet end den akutte beslutning må man rette ind når politikerne er færdige med at skændes.

Phk:

CA, ja selvfølgelig - Symantech skal ikke have lov at opkræve skat af det offentliges forbrug af binære tal.

Transport / Content firma adskilles ved lov, det er en fin ide og der kommer sikkert flere af den slags ting op i processen, men jeg tænker ikke den er afgørende for statens sikkerhed i det scenarie jeg har opridset.

MF'ernes ipad: Er de eller kan de gøres til rene open-source basserede maskiner? Hvis svaret er nej, må de gerne beholde dem, men vil så udelukkende være til privat brug.

De igangværende APT Angreb, skal behandles ud fra parametre jeg ikke pt. har adgang til. Men mit tidligere svar mht. real-sikkerhed og uddannelse af medarbejdere er en god start.

Jan: Ministerbilen skal være den første automobil-virksomhed der tilbyder at åbne deres platform op, hvis ingen tilbyder det så afholder vi en X-Price agtig konkurrence for at få skabt en bil-platform hvor vi kan indbygge ægte trust. En åben platform vil dels gøre at vi selv kan udbygge den, og at vi kan få verificeret koden der kører i bilen og samtidig vil det åbne op for en skov af underleverandører og sidst men ikke mindst vil det give et kærkomment boost til den Europæiske bil-industri.

  • 6
  • 0
Tom Paamand

At stoppe Danmark endnu længere ind under USA, vil netop hindre en nødvendig udvikling mod mere åbenhed om datasikkerhed. Vejen er fokus på Open Source, udviklet i tæt samarbejde med statslige og andre brugere, men udenfor CfCS-kontrol og lignende paranoidt pjank.

Samtlige kinesiske, russiske, afrikanske og mellemøstlige IP-adresser blokeres ... Hackerangreb og malware falder med 95 %.

Du glemte en i denne sammenhæng ret aktiv slyngelstat på din liste. Byt ubetydelige Afrika ud med USA, der står højt på de fleste lister over IP-angribere.
https://gizmodo.com/study-shows-most-serious-cyber-attacks-are-coming-fr...

  • 1
  • 0
Michael Cederberg
  1. Store netværk
    1.1. De fleste netværk skal afkobles internettet; workstations i det offentlige skal generelt ikke have adgang til internettet. Det samme for virksomheder.
    1.2. Alle offentlige netværk og virksomheders netværk skal opdeles, sådan at malware ikke kan sprede sig.
    1.3. Offentlige myndigheder og kommercielle virksomheder skal sammen med den traditionelle revision også have en IT sikkerhedsrevision.

  2. Private brugere
    2.1. ISP'er skal levere udstyr hvor VLANs er forkonfigureret (fx. Blå VLAN til computere, gult til cloud devices, rød devices til der kun skal tilgåes lokalt, etc.). Cloud devices skal kun kunne tilgå X forskellige IP adresser om måneden.
    2.2. Udstyr som kan kobles på nettet skal have et "default VLAN" (en farvekode som i ovenstående)
    2.3. Udstyr som kan kobles på nettet skal have en udløbsdato som oplyses ved købet. Når udløbsdatoen overskrides skal udstyret holde op med at virke (evt. med mulighed for override). Producenten er ansvarlig for sikkerhedsopdateringer indtil udløbsdatoen og holdes ansvarlig for sløset opførsel.

  3. Aflytning
    3.1 Det er ikke tilladt for virksomheder at facilitere end-to-end krypteret kommunikation, med mindre identiteren på mindst en af de involverede er kendt.
    3.2. Aflytning og udlevering af aflyttet eller logget data må kun ske til myndigheder efter dommerkendelse. Overtrædelse straffes hårdt.
    3.3. Enhvert tiltag omkring aflytning skal indrettes sådan at omfanges kan overvåges af offentligheden og sådan at multiple myndigheder og personer involveres før data kan tilgås.

  4. Vores fremtidige sikkerhed
    4.1. Der skal sættes gang i en produktion af IT komponenter, hardware og software blandt Europæiske lande under et fælles juridisk system under demokratisk kontrol. Basalt set skal vi kunne stemme på de politikere som i sidste ende bestemmer reglerne.
    4.2. Kritisk IT må kun komme fra ovennævnte produktion (med overgangsordninger)

  • 4
  • 1
Simon Rigét

Brug af opsamlede information og overvågning er altid magtudøvelse.
Al information har til formål at påvirke i en eller anden form. Der er mange betydningsfulde informationer der kan samlet og analyseres. De kan være til stor glæde for den enkelte og for samfundet. Men rammerne og beskyttelsen af den enkelte, må være på plads.

Første punkt på dagsordenen, er derfor at indfører en vidende-magt, som selvstændig magt instans i grundloven, på lige fod med den dømmende, udøvende/lovgivende.
Den vidende magt skal være uafhængig af folketinget og tilfældige vinde der måtte blæse igennem der.

Den vidende magts opgave er at opbevarer og kontrollerer information om borgeren og samfundet. Den operer inden for nogle velfunderedere rammer, der varetager især borgernes, men også samfundets interesser, og således at der er fuld åbenhed omkring hvordan vidensmagten operer.

Instansen er ansvarlig for
- At vi ikke misinformeres af reelle magthavere
- At beskytte individer mod misbrug
- At levere de opsamlede informationer der behov for i samfundet
- At sikre mod misbrug og indtrængen
- At al brug af opsamlede data registreres og offentliggøres i aggregeret form.

Der kan jo nok gå en uges tid med at få ændret grundloven og få instansen op at stå administrativt. Derefter kommer der så en snes meget konkrete tiltag inden for den første måned….
Derefter inviteres V2 læsere og andre, til brainstorm og evaluering, hvis de ikke allerede er hyret ind i projektet :)

  • 3
  • 0
Yoel Caspersen Blogger

At stoppe Danmark endnu længere ind under USA, vil netop hindre en nødvendig udvikling mod mere åbenhed om datasikkerhed.

Det er her, realpolitik kommer ind i billedet: Danmark kan ikke klare sig uden USA's atomparaply - glem alt om, at Frankrig eller UK kommer os til undsætning i en skarp situation.

En strategisk vigtig position kombineret med et svagt forsvar er en åben invitation til aggressive magter - hvilket vi så elegant fik demonstreret 9. april 1940.

Lige nu er vi beskyttet af vores NATO-medlemskab, men det forhindrer ikke russerne i at udføre gentagne provokationer - opstilling af missiler i Kaliningrad, simulering af angreb på Folkemødet på Bornholm, jævnlige krænkelser af luftrum m.v. For ikke at tale om de gentagne angreb på dansk infrastruktur på internettet, herunder collateral damage, der bl.a. ramte Mærsk og lagde dem ned i flere uger.

Samarbejdet mellem USA og Danmark har gennem den kolde krig hjulpet os gevaldigt, på trods af det obstruktive dobbeltspil, vi har set fra visse dele af venstrefløjen. Amerikanske atomvåben på dansk grund ville sende et klart signal til Rusland om, at NATO bakker op om dansk suverænitet. Vi skal behandle russerne med respekt og handle med dem, men det er en klar fejl at tro, vi blot kan ignorere dem.

Vejen er fokus på Open Source, udviklet i tæt samarbejde med statslige og andre brugere

Enig i denne del.

men udenfor CfCS-kontrol og lignende paranoidt pjank.

Delvis enig. Jeg er skeptisk over for tanken om CFCS-kontrol, men truslen, CFCS er sat i verden for at imødegå, er helt reel.

Du glemte en i denne sammenhæng ret aktiv slyngelstat på din liste.

Det er ikke realistisk at blokere for amerikanske IP-adresser, så problemet må løses på anden vis. Vi kan dog uden større problemer undvære trafik fra Afrika, Mellemøsten, Rusland og Kina.

  • 5
  • 1
Maciej Szeliga

På pressekonferencen kommer følgende spørgsmål frem:

Skal Danmark have et statsligt CA ?

Ja.

Skal transport og content virksomheder adskilles ved lov

Ja.

Skal MF'ernes iPads inddrages ?

Nej men måden de bruges på skal dog nok revurderes, vi vil undgå data er på enheden og dermed sårbar.

Hvad vil du gøre ved de igangværende APT angreb ?

De skal selvf. stoppes men da definitionen er at de er stealth så kan det tage tid at lokalisere dem alle.

  • 1
  • 0
Claus Bobjerg Juul

Der kan i Danmark med den nuværende lov (ministeransvarsloven) ikke være en myndighed der kan pådutte andre ministerområders myndigheder noget som helst.

Det foreliggende lovforslag griber ind i denne lov og derfor er det urealistisk at loven bliver vedtaget. Det handler om et (ind til nu) mislykket forsøg på at vise at Venstre/regeringen vil Danmark det godt.

Det foreliggende lovforslag er klart ude på et moralsk sidespor og forbryder sig helt sikkert mod grundlovens tanker. Der er bare, så vidt jeg ved, ingen der er blevet dømt for at have forbrudt sig mod grundloven.

Hvis der var muligt at en myndighed kunne bestemme over alle andre myndigheder inden for et snævert område som it-sikkerhed, så ville jeg hellere påbyde alle de andre myndigheder at de skal etablere sikringsforanstaltninger som fx følger CIS top 6 eller 10-12 stykker og specificere hvilken hvor meget de skal kunne modstå.

Jeg vil som den nye minister så bede mine folk om at følge de projekter som alle andre myndigheder (og eget ministerium) skal starte og begynde at sikkerhedsteste hvor gode implementeringer der foretaget.

Går alt godt komme alle myndigheder på samme grundlæggende it-sikkerhedsniveau.

Går det ikke godt, er det først den offenlige gabestok for de myndigheder der ikke magter opgaven, derefter fyring af relevante personer for inkompetance (her bliver det tydeligt hvorfor en myndighed ikke kan bestemme over en anden ministers myndighedsområde)

For de myndigheder der har brug for højere sikkerhed stiller jeg som minister mine folk til rådighed, så man opnår det ønskede sikkerhedsniveau.

Jeg vil personligt hellere være "minister for reduktion af statens datagrundlag" eller endnu bedre "minister for simplificering af alle landets lov"

  • 2
  • 0
Christian Nobel

Det er her, realpolitik kommer ind i billedet: Danmark kan ikke klare sig uden USA's atomparaply - glem alt om, at Frankrig eller UK kommer os til undsætning i en skarp situation.

USA er en selvfølgelig en vigtig partner i Nato, men det bør være det samlede Nato samarbejde der svinger taktstokken, ikke USA.

Og et fortsat atomvåbenkapløb gavner ingen.

Endvidere er det vigtigt at der bruges mange flere kræfter på at få det fælles europæiske hus til nå et fælles fodslag - der bor immervæk ca. 50% flere i EU end i USA, og EU står for ca. en fjerdedel af verdenøkonomien!

En strategisk vigtig position kombineret med et svagt forsvar er en åben invitation til aggressive magter - hvilket vi så elegant fik demonstreret 9. april 1940.

Sammenligningen er alt for letkøbt, bla. ud fra at Europa selv i 1940 lå i ruiner, svækket af interne uroligheder, og svære økonomiske problemer.

Lige nu er vi beskyttet af vores NATO-medlemskab, men det forhindrer ikke russerne i at udføre gentagne provokationer - opstilling af missiler i Kaliningrad, simulering af angreb på Folkemødet på Bornholm, jævnlige krænkelser af luftrum m.v.

Ja, men det skal være musketereden fra Nato som afholder russerne (Putin) fra at gøre som de vil, det skal stadig ikke være USA der dikterer slagets gang.

For ikke at tale om de gentagne angreb på dansk infrastruktur på internettet, herunder collateral damage, der bl.a. ramte Mærsk og lagde dem ned i flere uger.

Man skal altså skille skidt fra snot - at Mærsk (ved et tilfælde) blev ramt af en virus er udelukkende resultatet af manglende rettidig omhu, og bekendelsen til elendig (i øvrigt amerikansk) monokultur.

Og så skal man droppe USA benovelsen, og Trumps italesættelser, for i virkeligheden har USA ligeså meget (og måske endda mere) behov for EU, som EU har for USA.

Samarbejdet mellem USA og Danmark har gennem den kolde krig hjulpet os gevaldigt, på trods af det obstruktive dobbeltspil, vi har set fra visse dele af venstrefløjen. Amerikanske atomvåben på dansk grund ville sende et klart signal til Rusland om, at NATO bakker op om dansk suverænitet. Vi skal behandle russerne med respekt og handle med dem, men det er en klar fejl at tro, vi blot kan ignorere dem.

Ja, men det betyder ikke at vi bare skal læne os forover, og gøre som Trump&Co dikterer.

Delvis enig. Jeg er skeptisk over for tanken om CFCS-kontrol, men truslen, CFCS er sat i verden for at imødegå, er helt reel.

Truslen er muligvis reel, men konstuktionen, helt uden for demokratisk kontrol, er pivhamrende forkert, fsva. indlands beskyttelse.

  • 4
  • 3
Jan Gundtofte-Bruun

Jammen jammen, der er jo (desværre) SÅ meget at tage fat i ... så meget at skrive, så lidt tid at skrive det i.

Jeg er i vid udstrækning enig i Yoel's og Kramse's fremgangsmåder, ikke mindst bemærkningen omkring datamiNImering (...en passende afløser for den eksisterende dataminering...).

Endvidere ville jeg omgående smide NemId, Sundhedsplatformen, og Palantir på porten, og rydde op i en masse andre eksisterende systemer. Jeg ville indføre "mail.borger.dk" som erstatning for e-boks, som jeg har beskrevet i tidligere indlæg.

  • 9
  • 0
Christian Nobel

Endvidere er det vigtigt at der bruges mange flere kræfter på at få det fælles europæiske hus til nå et fælles fodslag

Jeg er helt på det rene med at det ikke er nogen let opgave, det understreges jo f.eks. af denne udmelding som jeg lige læste:

https://www.dr.dk/nyheder/udland/europas-hoejrefloejspartier-i-stor-flir...

Noget der især slog mig var dette:

"Italien og Polen bør stå sammen og lave en ny politisk akse, der kan fungere som modvægt mod den tysk-franske akse i EU-politikken."

For hvis man lige tænker nærmere over det, så stikker religion sit grimme fjæs frem her, nemlig katolikker mod protestanter.

Og så længe vi har religion til at forpeste livet hele kloden rundt, så kan vi have nok så mange gode intentioner fsva. global opvarmning, forurening, sult, fattigdom, osv., det er en hård kamp op ad bakke.

  • 4
  • 1
Bjarne Nielsen

Hvis jeg var blevet valgt, ville min første opgave være at finde ud af, af hvem, for der er om muligt nogen, som fortjener at blive fyret for åbenlyst at have demonstreret egen inkompetence.

Men jeg har lige nogle kæpheste, som jeg nok også ville se at få redet, f.eks.:

  • Støtte til forskning i anonymisering (og støtten vil ikke gå til "big data" segmentet, men til kryptologer og andre, som i forvejen er vant til at arbejde med sikkerhed og trusler).
  • Et data-stop, så myndigheder ikke må indsamle flere data uden samtidig at spare andre data væk. Der må være masser af data, som kan undværes. Og mængden kan passende reduceres med 2% om året, i et omprioriteringsbidrag, så der bliver plads til nye initiativer.

Listen er selvfølgelig meget længere, men grundtanken er, at man ikke kan kompromiteres af noget, som ikke findes. Dataminimering, privacy-by-default og privacy-by-design kombineret med tvungen prioritering, så vi kommer af med at det, som nok er bekvemt, men reelt ikke er nødvendigt.

  • 4
  • 0
Henrik Kramshøj Blogger

Er der nogen, der kender til en pålidelig liste med IP-adresser hjemhørende i Afrika, Mellemøsten, Rusland og Kina?


Der er meget pålidelige lister over hvem der har fået dem tildelt, men hvor de bruges i praksis er mere usikkert :-D

Du kan eksempelvis hente:
https://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-20190109 og sortere på lande, det tager få minutter at sortere på DK|SE|NO|FI hvis du primært har kunder i Norden, men du mister så kunder! Det anbefales derfor ikke generelt at indføre det :-)

Du kan også bruge IRR databaser til at lave dynamiske lister ud fra hvilke netværk du vil tale med:
https://www.version2.dk/blog/blocklists-dynamisk-genereret-fra-irr-76134

  • 4
  • 0
Yoel Caspersen Blogger

Hvorfor? TT-nettet har ikke kapacitet til 2,7 mill nye brugere og med coaxnettets nedlæggelse vil 1 mill. hustande, herunder min, være afskåret fra netadgang...

Fordi Huawei og kinesere?

3 lukker også, da de er ejet af kinesere, men vi kan muligvis ekspropriere hardwaren bag nettet, hvis den ikke er kinesisk fremstillet.

Og ja, undertegnedes biks lukker også, da dele af vores backbone-netværk bruger ZTE-hardware og dele af access-nettet er baseret på TDC's coax-net (Huawei). Men som nyudnævnt datasikkerhedsminister må jeg bringe det offer, det gælder landets (data)sikkerhed ;)

  • 3
  • 0
Jesper Louis Andersen

§1 CPR udfases som løsen. Staten opretter et statsstyret CA, som ikke kan udliciteres eller driftes. Tjenestemænd ansættes til den daglige drift. CA'et tillader pseudonymisering via nye identiteter. Politi kan kun bryde pseudonymiseringen mod en dommerkendelse.

§2 IT udstyr kan kun sælges med udløbsdato. Producenten er ansvarlig for sikkerheden i udstyret indtil udløbsdato. Udstyret ophører med at fungere på udløbsdatoen, og enten opkøber 3. part sikkerhedsvedligeholdet, eller også overgår softwaren til at være Open Source. Konkurs løses via Escrow.

§3 ISP'er og udbydere der på nogen måde inspicerer data, maskinelt eller manuelt, er ansvarlige for at data er lovlige. Dem der ikke gør har plausible deniability og kan ikke stilles til ansvar. Virksomheder vælger selv hvilken kategori de tilhører.

§4 Datalæk skal omgående inrapporteres til ministeriet, over en hvis tærskel.

§5 Der nedsættes en havarikommision, under ministeriet, som varetager datalæk og analysen heraf. Gængs havarikommisionstilgang: der placeres ikke ansvar, eventuelle strafbare forhold håndteres af politiet.

§6 Der indføres softwareansvar i begrænset omfang alt efter område. Jo mere kritisk softwaren er, desto større ansvar følger.

§7 Der indføres certificeringstrin for software. På højeste trin skal softwarens korrekthed bevises i passende værktøj, enten via model checking eller via proof assistance. Eventuelle rettelser af modellerne kan anbefales af havarikommisionen.

§8 Staten får ret til, i særligt grelle tilfælde, at erklære hardware og software-løsninger for værende ulovlige. Bemærk at dette er tiltænkt som en sikkerhed for samfundet, ikke for at ulovliggøre al kryptografi f.eks.

§9 Der afsættes et vist beløb som bug-bounty årligt i det software staten anvender. Staten ansætter et team med det formål at finde fejl i software staten anvender. Herunder kræves der adgang til kildekoden i eksempeltvist softwaren anvendt på sygehuse o.l.

§10 Der indføres forbud mod e-Valg i nogen form med øjeblikkelig virkning.

§11 Der indføres forbud mod at folketingspolitikere og public service benytter sociale medier fra fremmede stater som deres primære kommunikationsplatform. Borgerne skal kunne få informationer fra deres folkevalgte uden at være en del af disse systemet.

§12 Børns ret til at blive glemt indføres. Ved 15 års alder kan et barn kræve at alt information som forældre har placeret på internettet omkring dem bliver slettet.

§13 Uddannelsesinstitutioner pålægges at indføre et kursus omkring datasikkerhed. Det mest humanistiske fag erstattes af dette kursus.

Der er 100% sikkert flere ideer, men ovenstående er en fin start. Det er alle ting vi kan indføre forholdsvist nemt, og det vil have stor indflydelse på samfundet.

  • 8
  • 1
Poul-Henning Kamp Blogger

Nu begynder der at komme gods på...

§3: Hvem af disse udbydere har leveringspligt ? Har de pligt til at publicere en prisliste der gælder alle kunder (og holde sig til den) ?

§5: Overvej om placering under ministeriet gør det svært at undersøge ministeriets rolle.

§7: Autoriseringskrav for persondataansvarlige og IT-arkitekter ?

  • 1
  • 0
Peter Haase Skaarup

Meget godt er allerede sagt, så det behøver ikke at blive sagt igen.

Jeg ville tilføje følgende:
1. Obligatorisk undervisning i basal IT-sikkerhed (med emner som: USB-flash der flyder på p-pladsen, programmer hentet fra nettet, CEO-fraud, social engineering) og fysisk sikkerhed (piggybacking, hvordan opbevares vigtige dokumenter). I første omgang for alle offentlige ansatte, senere må man finde en model der omfatter alle danskere.

Kurset følges op årligt, sammen med brandkurset.

  1. Hård straf til enhver der udelukkende verificerer identitet ved at få oplyst et CPR-nummer.
  • 0
  • 0
Kjeld Flarup Christensen

Det er en svær opgave, derfor er jeg aldrig bland de forargede, når noget går galt. Jeg har da over tiden tænkt på et par love som kunne gavne.

1)

Der skal indføres en persondatalovgivning, som begrænser hvad personoplysninger må bruges til. Dermed skal det gøre strafbart at videresælge og købe personoplysinger, med mindre dette er tilladt i følge loven.

2)

Noget man hurtigt kan gøre, er at politiet skal oprette en central enhed til at modtage anmeldelser af IT kriminalitet. Det er der ingen grund til at de enkelte kredse skal have den funktion da de alligevel kan gøres over nettet.
Der skal også indføres flere kategorier af anmeldelser.
1. Der er de alvorlige, som behandles som hidtil.
2. Så er der dem hvor det ikke kan betale sig at anmelde, fordi det koster for mange ressourcer. Her skal det gøres let og smertefrit at uploade de beviser og logs man har. Ideen er at politiet kan bruge materialet til at stykke større sager sammen.
3. Det oprettes et api, hvor det er muligt at uploade IP adresser på hackere. Ud fra disse data kan man f.eks. identificere danske bots, og bede ISP'er om at kontakte de ramte.

3)

Der etableres en backbone Danmark, som ikke kan tilgås fra udlandet. Samfundskritiske tjenester skal kunne tilgås fra både ind og udland, men i en krisesituation kan der lukkes ned. Opdelingen giver mulighed for at styre adgangen til forskellige services, og dermed reducere mængden af hacker angreb.

4)

IT kant udstyr der eksponeres på det danske net skal kunne software opgraderes, og der skal indføres opgraderingspligt. I det omfang det er muligt at opdage dette, skal ISP'er lukke for udstyr som ikke er opgraderet, eller er for gammelt. I nogle tilfælde vil mac adressen kunne afsløre gammelt udstyr. Evt. skal der kunne idømmes bøder for ikke at have opgraderet udstyr eller benytte gammel udstyr som ikke kan opgraderes.

5)

Bruger betingelser skal for at kunne accepteres af en dansk domstol vises skærm for skærm der skal klikkes af, uden scroll og i en læselig font, og forståeligt sprog.
Dertil skal der laves en grundigere dansk lovgivning som gælder på området, således at internet services ikke skal præsentere så mange sider for brugerne, om nogen overhov.

  • 1
  • 0
Kjeld Flarup Christensen

Samarbejdet mellem USA og Danmark har gennem den kolde krig hjulpet os gevaldigt...

Det er nok mere USA som har haft gavn af "samarbejdet"... bl.a. et par eller 3 baser på Grønland.


Danmark har altid sluppet billigt fra NATO medlemskabet. Vi har aldrig levet op til de krav som NATO ellers har stillet til medlemslandene.

Men så stillede vi lige et par baser til rådighed, og sparede nok flere milliarder der end vi nogensinde har givet i bloktilskud til Grønland.

  • 2
  • 2
Hans Nielsen

Men så stillede vi lige et par baser til rådighed, og sparede nok flere milliarder der end vi nogensinde har givet i bloktilskud til Grønland.


Nu kommer der så lige en oprydning efter en atomreaktor. Der ligger måske også lidt snask fra et par atombomber ved Tule.

Så det er jo ikke sikkert, at det i den sidste ende bliver så billigt, når der skal ryddes op efter USA.

Man kan også vende dem om, Hvad ville Soviet Union ikke have betalt for baser på Grøndland så tæt på USA.

  • 3
  • 1
Kenn Nielsen

Der mangler et generelt incitament for den jævnt indifferente standardborger, til at se datalæk som anmeldelsesværdigt.
Derfor bør følgende indgå som paragraf dit-dat:

Enhver person, som får sine oplysninger lækket eller misbrugt, skal tildeles mindst halvdelen af en evt. bødestraf - dog max. kr.500.000 - som særskilt kompensation.

Al handel, gældsætning mv. indgået med stjålne oplysninger, betragtes ikke kun som bedrageri, men også tyveri.
Således kan sælger eller långiver betragtes som hæler, hvis denne ikke kan dokumentere at han har handlet i god tro.

Gældsættes en borger pga.ovenstående erklæres gælden ugyldig, og tildeles erstatning.

Erstatningen kan aldrig blive mindre end det beløb tvisten drejer sig om.

Alle erstatninger og kompensationer er skattefrie.
Er man på overførselsindkomst vil ingen af disse beløb nogensinde kunne indgå i beregningsgrundlaget for overførselsindkomstens størrelse - eller om den skal gives.

K

  • 0
  • 0
Jesper Louis Andersen

§3: Hvem af disse udbydere har leveringspligt ? Har de pligt til at publicere en prisliste der gælder alle kunder (og holde sig til den) ?

§5: Overvej om placering under ministeriet gør det svært at undersøge ministeriets rolle.

§7: Autoriseringskrav for persondataansvarlige og IT-arkitekter ?

§3 har jeg ikke umiddelbart nogen holdninger til. Man kunne godt kræve at tranportører af data har leveringspligt, men det medfører så også at du skal levere en service til alle, inklusive "højreradikale nazisvin", ANTIFA og andet godtfolk.

§5 Ren model efter Trafik-ministeriets havarikommision, hvor der er placeret under ministeriet. Ministeriets rolle skal undersøges af en ombudsmand, eller lignende funktion.

§7 Jeg overvejede det. Men tror vi skal se om vi ikke kan klare os med rent tekniske krav først. IT-branchen har en enorm fordel i at den ikke kræver en autorisation. Det medfører blandt andet at det er nemmere at gøre sig en karriere indenfor feltet. Det nyder både drenge -- som kedede sig enormt i skolen -- og minoriteter godt af, fordi barrier to entry er så lav som den er.

  • 1
  • 2
Jesper Frimann

Problemet er lidt, at det jo er folketinget (eller måske rettere burde være), der skaber lovgivningen.
Regeringen og dens ministre er dem, der udfører/Implementerer lovgivningen.

Så hvis man blev minister.. ville man stadig skulle udføre en lovgivning, der defacto er selvmodsigende, forældet, alt for detaljeret og generelt skrevet af folk der ikke forstår området.
Og ja.. med den model vi kører i dag, kan en stærk vidende minister, have en impact på politikken på et større område i længere tid.

Vi har set det med Lykketoft/Nyrups iscenesættelse af finansministeriet og Anders Foghs afskaffelse af ekspert råd.
Begge ting vi lider under i dag.

Så jeg tror, at for at fixe IT og IT-sikkerhedspolitik sådan på den lidt længere bane så skal man fixe, den suppedas vores folkestyre er i lige nu.

Mit eget personlige take er sådan lidt i grove tanker:

0) Der oprettes et Udvalg til hver ministerie, hvor alle der er valgt ind i folketinget kan deltage. Man kan dog vælge at lade sig repræsentere af en anden person, som så fuldmagts agtigt varetager ens interesser. (læses Hver udvalgs deltager har 'stemmer' der svarer til hvor mange medlemmer denne person repræsentere i folketinget.
1) Der oprettes et Ekspert råd for hvert ministerområde. Hvordan den nød skal knækkes rent praktisk, således at det bliver besat rigtigt, ved jeg ikke. Dette råd assisterer ministeriet med ekspert viden, men referer til bestyrelsen, men er dog administrativt underlagt ministeren. Rådet er repræsenteret i Udvalget (uden stemmeret) ved dets formand (m/k). En slags CIO.. kunne man jo sige.
2) Enhver minister må ikke sidde i folketinget. En minister er en embedsmand, en CEO der sådan set bare skal gøre det praktiske ift. det som 'bestyrelsen' (udvalget) pålægger ham/hende.
3) Domstole og ombudsmand flyttes væk fra ministerier. Rent administrativt kunne de f.eks. lægge dem under Kronen. (Ja tror det eller lad værd, jeg er faktisk republikaner), så de bliver 'untouchable'.
....

Jeg tror at en konstruktion, der minder lidt om det her, som organisatorisk maskine kunne rette Danmark bedre.. end taktiske tiltag, der har det med at øge administrationen og tænke kortsigtet.

Dermed ikke sagt at PHK, pointe med hvad gør vi her og nu ikke er super relevant. Men beklager som EA'er er det svært ikke at fokusere på strategien.. i stedet for taktikken.

Men godt fundet på PHK.

// Jesper

  • 0
  • 1
Maciej Szeliga

Ugen er gået og Folketinget vil gerne se det udkast til lovgivning ministeren blev pålagt at fremlægge ?

Det beviser jo bare min påstand: Vi har hovederne fulde af ideer og brok over politikerne men vi har ikke lyst til at tage og gøre noget selv.

Bortset fra det så er der værdifuld input i tråden - med enkelte ubådsture til Murmansk og Cuba - men at konkretisere det som lovforslag er lidt mere problematisk.

  • 0
  • 0
Log ind eller Opret konto for at kommentere