KMD er farlig for IT-sikkerheden i Danmark

Ja, sorry - titlen kunne måske antyde at vi skal snakke om alle de allerede kendte sager hvor KMD har fejlet med IT/IT-sikkerheden i Danmark.

men det er selvfølgelig Esben Warming Pedersen (herefter Esben) CPR sagen som KMD er ansvarlig for nu kører for fuld kraft. Mere præcist vil jeg forsøge en lidt anden retning, dvs prøve at forklare min frygt for afledte konsekvenser af en præmatur politianmeldelse foretaget af KMD.

Fakta

Der er mange ting som vi ikke ved, og skal beklage hvis jeg i nedenstående ikke fuldt ud underbygger mine argumenter. Såfremt det sker skal jeg gerne rette, uddybe med kommentarer om rettelser!

Det er ubestrideligt at:

  • KMD har programmeret en pladsanvisningsløsning
  • Frederiksberg kommune bruger denne løsning
  • Esben skulle bruge denne løsning, har altså en helt valid grund til at være i systemet, vigtigt for mig
  • Esben opdager en spøjs funktion, ved indtastning af CPR nummer dukker oplysningerne op på den person som dette CPR tilhører
  • Esben har delt oplysninger om CPR nr funktionen, og demonstreret sårbarheden til DR
  • Hverken Esben eller DR har haft til hensigt, eller har delt hverken CPR nr eller andre personfølsomme oplysninger
  • Funktionen har vist været i systemet i ca. 12 år
  • Funktionen gik fra CPR til fulde navn, med en fødselsdato og CPR checksum, modulus 11 check, kunne/kan man således hurtigt finde sammenhæng mellem folks CPR nr og navn

Jeg har forsøgt at begrænse listen til de mest relevante.

Argumenter for anmeldelse

Det er jo ulovligt, derfor skal det anmeldes. Nogle diskussioner på twitter siger endda "pligt til at anmelde".

Jeg mener det er at springe til forhastet konklusion at sige der er foregået, foretaget noget ulovligt. Det kunne man så argumentere for er en grund til at anmelde, så vi får det afgjort af/i retten.

Lovgivningen i Danmark har ikke været i brug så fandens mange gange, og vi kunne godt ønske os lidt flere tydelige sager med hacking. Hvad må man og hvad må man ikke. Det er eksempelvis ulovligt at portscanne i Danmark, og det er samtidig ikke ulovligt at portscanne i Danmark, afhænger af hvad intention man har med at portscanne. Den sag hvor den anklagede blev dømt havde vedkommende Remote Access Trojans, de gode gamle Subseven-like - og derfor var intentionen at hacke videre ind, var argumentet.

Så jura og lovgivnging er et ømtåleligt emne. Specielt efter CSC hackersagen er jeg meget varsom med at sige hvad der er lovligt. Personligt er mit råd at passe på, og ikke gøre mod andres sites som man ikke ønsker de gør mod ens egne. Så lad være med at fyre Metasploit Hail Mary der afvikler exploits mod et site, men igen - jeg synes det er rimeligt at checke danske sites med sslscan som lister TLS/SSL indstillingerne. Det er ud fra at, hvis jeg skal aflevere mine personlige data til kommune X, så er det OK at teste med sslscan, som kun lister algoritmer og protokoller, men ikke bryder ind.

DU KAN DOG STADIG KOMME I PROBLEMER, altså fuck jeg skal skrive at du ikke må arbejde med IT teknologier, fordi nogen kan blive #KMDfornærmet og anmelder dig, som vil give det resultat at DU udsættes for pres. Det kalder vi normalt Scientology metoder, fordi det er en kendt strategi for at knægte modstandere, tillykke KMD-Scientology.

Et andet argument fremført af KMD selv er: KMD ville kunne komme til at billigede en kriminel handling, her er hvad de skrev

"Og da det er vores vurdering, at der er foregået en ulovlig handling, så mener vi, at det mest korrekte er at politianmelde det. Ellers kunne vi stå i en situation, hvor vi billigede en kriminel handling, der berørte borgeres navne og CPR-numre."

Nej, helt ærligt I har kørt en løsning i tolv år med alvorlige fejl. Når I så efter henvendelse lukker så gør det ingen forskel. Hvis I kan henvise til det er sket i andre sager, eller hvordan det kunne forværre jeres situation, så kom gerne med det.

Der er INGEN i Danmark der ville penge fingre af KMD for IKKE at politianmelde dette. Der er ingen som ville sige KMD var mindre professionelle hvis de ikke anmeldte det.

HVIS man stadig mener at den slags burde anmeldes, såååååå burde der nok allerede ligge 100 hvis ikke 1.000vis af anmeldelser for misbrug af registerindsigter hos politiet - og det gør der vist ikke.

Så hvad er der at vinde ved at anmelde?

Problem for IT-sikkerheden i fremtiden

Vi MÅ og skal finde fejl i vores systemer, og vi skal selvfølgelig gøre vores bedste for at gøre dette før de sættes i drift. Desværre VIL der altid være fejl som slipper igennem til produktion, og først opdages senere.

Når fejl opdages er det essentielt at håndtere dette bedst muligt. Dvs erkend, fix, forklar - og ikke bortforklar. Ved at indrømme at der var en fejl har vi flere vigtige konsekvenser. Dem som er påvirket bliver informeret, dit CPR nr har måske været udsat for X, og dem som måtte være utrygge bliver beroliget. Samtidig bliver man anset som en professionel samarbejdspartner som ikke fejer noget under gulvtæppet.

Det er helt tydeligt at de fleste borgere i Danmark ikke kan vurdere disse sårbarheder i vores infrastruktur og applikationer. Så de fleste borgere, herunder topchefer og politikere vil ofte lave uhensigtsmæssige tiltag som kan forværre situationen. Se for andet nyligt eksempel Claus Hjort som taler om angreb på mailløsninger i samråd. Meget lærerigt.

Her er reaktionen fra KMD modsat, og det giver problemer, i min optik. Reaktionen indeholder opkald til arbejdsgiver, som derved indblandes. Truende adfærd og at udpege en ansat som en der udfører hacking er i sig selv at tyvte folk. Det er måske acceptabelt hvis leder X hos KMD kender leder Y hos Netcompany, studiekammerater eller lignende. Fint at bruge sit netværk til at få afklaret misforståelser, men det ligner ikke det er tilfældet her.

Reaktionen indeholder også at man politianmeldte, meget hurtigt. Der forøvrigt mange gode pointer på Twitter, som eksempelvis tråden https://twitter.com/christianpanton/status/878288144004546560 fra Christian Panton omkring tidslinien, her samlet. "Hvorfor først blive opmærksom på automatisk CPR-robot, når de bliver forelagt videoen den 8/6? (1/2) De fixede bug 14 dage før (24/5). Det ville være naturligt at undersøge om hullet havde været udnyttet. Har de ingen logs? (2/3) Desuden: Hvorfor kontaktes Datatilsynet først efter videobeviset, ikke da hullet bliver fixet? Og derefter orientering til kunderne? (3/3)"

Så når vi nu får en ny sag om hacking, så skal vi passe ekstremt meget på. Hvis vi strammer - som mange gerne vil uanset sagerne - for hackere med langt hår og skæg, evt med svensk accent, er nogle slemme folk, SÅ bliver resultatet at man IKKE fortæller om fejl og huller i systemerne. Så bliver det noget vi spiller som bilkort over en øl på et rart værtshus, mens kriminelle frit kan udnytter flere og flere sårbarheder.

Der har allerede været mange som siger de IKKE vil fortælle KMD om fremtidige sårbarheder. Personligt kunne jeg overveje at vente et par måneder og så kigge lidt på KMDs systemer, og bare poste alt DET jeg finder - uden overhovedet at kontakte KMD først. Netbooken jeg brugte kunne så ryge i skraldespanden, og good luck med at finde beviserne på at det var mig der blandt flere 1.000 andre hackere på diverse net der gjorde det.

Hvornår er der tale om en sårbarhed/ulovlighed?

og fuck igen, hvad er /det/ som jeg kunne finde? I Danmark har vi allerede dømt JT i CSC hackersagen for at overdrage brugernavne til en anden som forsøgte at bryde ind, uden at det lykkedes. Så hvis jeg poster at KMD har en Juniper SRX550 stående med SNMP stående åbent ud til internet, er jeg så allerede på vildspor - selvom dette resultat er fundet via Shodan. Shodan er en kendt søgemaskine, som scanner efter åbne services, så jeg har ikke SELV verificeret at denne SNMP står åben.

Shodan søgningen er forøvrigt, net:131.165.0.0/16 port:"161" som finder Juniper Networks, Inc. srx550 internet router, kernel JUNOS 12.1X46-D40.2 #0: 2015-09-26 02:25:28 UTC builder@greteth.juniper.net:/volume/build/junos/12.1/service/12.1X46-D40.2/obj-octeon/junos/bsd/kernels/JSRXNLE/kernel Build date: 2015-09-26 04:44:

på 131.165.14.1 som er "mail.akkc.dk". Dvs det er nok en firewall foran en mailløsning. Juniper recommended version er BTW for SRX550 platformen Junos 12.3X48-D40 Standard 11 Jan 2017 :-)

Sidebar: brug altid fuld disk kryptering på din Kali, selvom du kun bruger åbne resourcer, kan du risikere at blive anklaget for dette og hint, så bedre at være på den sikre side - så bestemmer du selv hvad beviser du tillader at åbne for.

Mit råd fremover vil således være at gå direkte til DR.dk, direkte til Veron.dk, direkte til medierne. Sørg for at de er med indover og kan dokumentere kontakten med IT-firmaer som KMD. Datatilsynet er ikke til megen hjælp og en sag med GDPR lovgivning bliver efter min mening for langsom og rettet mod de forkerte, her Frb kommune tror jeg.

Så ja, det bliver anarki, men er det ikke allerede kaos med de allerede dømte og tunge elefanter som KMD og CSC?

fuck fuck fuck, er det den /radikalisering/ vi ønsker? Jeg er veluddannet IT-mand, sikkerhedsmand, med en hvis jeg selv skal sige det høj moral og etisk kompas i den rigtige retning. Ville det virke bedre med åbenhed om sårbarheder, et miljø i Danmark der opfordrede til at melde ind fornuftigt? Har KMD egentlig en lettilgængelig email hvor man kan sende den slags ind?

Microsoft som jeg ellers ynder at hade på, de fik op igennem årene mere styr på sikker software udvikling, og mange andre har styr på bug bounty programmer. Så er vi bare på et mellemstadie hvor KMD og andre mangler at lave catch up og indse hvilke resourcer der gerne vil HJÆLPE? Dvs Esben, Henrik Høyer, mig og andre - vi VIL gerne hjælpe, men så giv os lov, uden at vi risikerer fængsel og bankerot. Sidebar: version2 burde tage en snak med JT og lave en artikel om de omkostninger det har haft at være varetægtsfængslet i 17 mdr samt gå glip af indtægt både i de måneder, og nu her efter - hvor plettet straffeattest giver ringere indtægtsmuligheder.

Jeg vil gerne arbejde konstruktivt med IT-firmaer omkring sikkerheden i Danmark, men det kræver at jeg ikke risikerer både trusler, og rent faktisk skødesløse domme som JT og Warg sagerne. Punktum.

Vi er fandme på vildspor nu, og jeg håber at politiet nu efter kort tid sørger for at lægge denne sag i graven, straks, nu, med det samme.

Problemer for KMD nu - shitstorm 101

Det her er en regulær shitstorm, og velfortjent.

Vi har her at gøre med et firma som skulle være et af de store professionelle huse som viser sig fra sin værste side. KMD er nu igang med PR håndtering af sagen, og det går ikke skide godt, på almindeligt dansk.

Jeg kan kun sige at indtil den dag der eventuelt falder dom, hvor Esben risikerer at blive dømt - så kan vi fint viske tavlen ren. Vi kan alle lave fejl, og jeg ser gerne KMD indrømme dette. Det er ikke for sent.

Til gengæld så vil skaden være sket hvis Esben dømmes ... skaden som vil ramme os allesammen.

Til dem som sidder i KMD og synes jeg taler hårdt, så må jeg beklage. I gør sikkert jeres bedste, men indimellem skal man lade tingene brænde, skuden synke, for at kunne genopbygge noget bedre. Hella Djøf Disruption.

ca 12:00 Småfejl rettet, Sodan/Shodan og lignende

Kommentarer (31)
Flemming Riis

Tror ikke det er et KMD problem tror mere det er generalt at man ikke ved hvad man skal gøre.

DKCERT eller ligende kunne passende hjælpe virksomheder med at udfærdige disclousure/test politikker , og dette kunne være et krav fra næste SKI udbuds fase

MS har efterhånden taget det skridtet videre på shared services stadig med regler men meget åbnet mod din egen tenant

https://portal.msrc.microsoft.com/en-us/engage/pentest
https://technet.microsoft.com/en-us/mt784683

Poul-Henning Kamp Blogger

Jeg har personligt oplevet en KMD medarbejder sidde i et IC3 tog og meget højlydt stave såvel IP, brugernavn & password til en åben FTP server i sin telefon.

Jeg har også fra flere KMD ansatte at intern rapportering af sikkerhedshuller er ildeset, fordi det typisk koster KMD en indsats man ikke kan fakturere kunden.

Politianmeldelsen og henvendelsen til Espens arbejdsgiver afspejler denne syge sikkerhedskultur hos KMD og jeg sætter min lid til at politiet afviser dem efter en samtale med Espen.

Til KMDs kunder: Fly, som flygte kan! Det er jer der har håret i postkassen efter EUs databeskyttelsesdirektiv.

Og så var det måske på tide at Datatilsynet fik nogle resourcer og en whistleblower ordning ?!

Jesper Louis Andersen

Det første man bør gøre er at sløre sin egen identitet. Rapporter om sikkerhedshullet til datatilsynet eller via en journalist på et større medie der forstår problematikken med hele sagen.

Når EUs (opdaterede) databeskyttelsesdirektiv træder i kraft, så kan der ske ændringer på det her felt. Indtil da er situationen fastlåst. Med direktivet i hånden kan vi som borgere "slå igen" mod dårlige løsninger, men det kræver så lige først at vi kan indrapportere om fejlene.

Det er også tydeligt at juraen overhovedet ikke er fulgt med udviklingen. Forhåbentlig vil en dommer vægte intention højt i denne her sag: Esben lader ikke til at have udnyttet sikkerhedshullet på nogen ondsindet facon. Men det er på tide vi overvejer hvordan borgere sikkert kan indberette sikkerhedshuller til virksomheder.

In short: follow PHK on this one.

Peter Lundtofte

Har du bare høje tanker om din egen person og indlæg, eller har jeg misset den shitstorm et sted?

For at man skal gøre sig selv, og sine argumenter gældende, kræver det at man generelt er imødekommende og konstruktiv - og ikke altid "udskældende", med store og grimme ord. Trods du gerne vil arbejde konstruktivt, så har du en meget ensidig tilgang til tingene, og er ikke bleg for at svine virksomheder og myndigheder til. Det er vel ikke den bedste måde at være konstruktiv på? Desværre, for en del af dine argumenter er gode, men de drukner i din præsentation.

Peter Lundtofte

Det første man bør gøre er at sløre sin egen identitet. Rapporter om sikkerhedshullet til datatilsynet eller via en journalist på et større medie der forstår problematikken med hele sagen.

Det er desværre bare den forkerte fremgangsmåde, at dem der opdager et sikkerhedshul skal skjule sig selv, for hvis du bliver identificeret, selv eller tilfældigt, vil det arbejde imod dig, at du har gjort dig anstrengelse for at skjule dig selv - det kan indikere et forsæt.

Den anden problematik der skal adresseres, som sikkerhedsfolk sjældent gider overveje, er at hvis det er helt frit at foretage sikkerhedstest af vilkårlige servere/virksomheder, så kan enhver blackhat der bliver opdaget med fingrene i kagedåsen, påstå at han er whitehat og at han gjorde det for at hjælpe. Hvem skal så definere hvad der ligger indenfor rimeligheden? Er det i orden at en dansk whitehat tester virksomheder for CEO fraud? Høster mail adresser fra websider og servere? Osv.

Jeg vil til hver en tid mene, at hvis man finder et sikkerhedshul, og man ligefrem laver et script der kan "udnytte" dette hul, selvom det kun er for at verificere - er en rigtig dårlig ide. Omvendt, er KMD og andre virksomheder ekstremt dårlige til at håndtere sikkerhedshuller og indberetninger om samme, og KMD's ageren i denne sag er helt forfejlet. Men det skyldes manglende modenhed hos KMD's ledelse, en ledelse som tænker i traditionelle skadesbegrænings-scenarier og er fastlåst i fortiden.

Chresten Christensen

Hvis jeg tilgår en web side, som er frit tilgængeligt, så er de data jeg modtager, vel mine til brug på min PC som jeg ønsker det ?
Om jeg bruger en browser med en masse script, hvad alle browser har ind bygget, af den en eller andet art, eller jeg bruger et script på min PC som henter data er vel lige gyldigt.

Peter Lundtofte

Når man har misset en del.
Er løsningen ikke at; beskylde andre for at gøre hvad man selv gør...

Jeg ved ikke hvordan du definerer en shitstorm, men min definition kræver væsentlig flere end de par håndfulde røster af de sædvanlige kritikere der har været i debatten, herudover at det involverer bredere. At de forventelige Panton, Kofod m.fl. hidser sig op på twitter bidrager ikke til at gøre det til en shitstorm.

Der er ikke mange danskere, udover de par håndfulde, som kender sagen eller er involveret - så den passerer i ro og mag. Så måske du også ligger mere i din, og de andre håndfuldes, indflydelse på situationen?

Og det er lige præcis kernen i mit indlæg, at de typiske højrøstede kritikere, med deres præsentations"teknik" sætter sig selv uden for egentlig indflydelse - hvilket er ærgerligt for det konstruktive. Men i stedet for at reflektere over hvad jeg siger, så vælger du, som forventeligt for en V2 debattør, at forsvare og irettesætte. Godt gået. :)

Så nej, jeg har ikke misset en del - tværtimod.

Du må gerne henvise til, hvor jeg gør hvad jeg beskylder andre for, tak.

Edit:
Ift at overvurdere sin egen indflydelse på situationer, så tænker jeg, at hvis man bruger for meget tid i meget snævre grupperinger eller for meget tid med meningsfæller, så har man en tendens til at tro det er der man finder virkeligheden og sandheden.

Henrik Kramshøj Blogger

Jeg ved ikke hvordan du definerer en shitstorm, men min definition kræver væsentlig flere end de par håndfulde røster af de sædvanlige kritikere der har været i debatten, herudover at det involverer bredere. At de forventelige Panton, Kofod m.fl. hidser sig op på twitter bidrager ikke til at gøre det til en shitstorm.

Selvfølgelig bidrager det, men du mener nok at vi ikke alene er en shitstorm. Jeg bemærker at på KMD facebook siden har deres indlæg fået et væld af svar og kommentarer, af en masse som jeg ikke umiddelbart genkender. Deres eget opslag får flest sure indlæg, og jeg ser ikke mange der støtter dem.

KMD er jo også røget direkte på DR.dk - selvfølgelig, når nu det er deres egen journalister der har været med i sagen. Så det er da en storm som er under opsejling. Sagen vil formentlig også trække spor ud i pressen, specielt hvis den lander i retten - faktisk betaler vi jo netop Peter Kofod for at være ballademager, så han presser også på.

Peter Lundtofte

Så det er da en storm som er under opsejling.

Jeg tvivler på den historie bliver meget større end da den var aktuel for nogle dage siden. KMD's facebook = 65 shares og 278 reaktioner - det antal slår endda Twitter, hvad jeg lige kan se. Jeg har set bananer få flere reaktioner, så nej, jeg tvivler stærkt på det nogensinde bliver en shitstorm - men, I skal da have held og lykke, da jeg bestemt ikke støtter KMD. Trods jeg ikke støtter KMD, kunne jeg ikke drømme om at deltage i en debat, hvor denne snævre kerne sætter deres kompromisløse dagsorden. For eks. når du selv sviner virksomheder og myndigheder til - det ødelægger mulighederne for indflydelse, og den fløj vil jeg ikke associeres med.

Så er vi tilbage til kernen, hvis vi skal gøre en forskel, så skal vi være mange og konstruktive. Vi bliver ikke mange, når en fast kerne af kritikere er bombastiske, bruger unødvendige gloser, absurde beskyldninger, kompromisløse og generelt udtrykker en attitude, at hvis "man ikke er enig med kernen, så er det fordi man ikke ved bedre". Denne meget ensidige og arrogante tilgang medfører at I vil vedblive at være af en ubetydelig størrelse. Selvom du kunne mønstre 1000 mennesker til at reagere på KMD's indlæg, så sker der ingenting alligevel. Jeg kan simpelthen ikke forstå, hvordan du kan tro at så lille et antal (et par hundrede), hvor en del af dem har sat sig selv uden for indflydelse grundet rabiate holdninger og aktioner, kan gøre en forskel? Jeres "shitstorm" fylder lige så meget i samfundsbevidstheden som kampen for at beholde Symbian på Nokia's telefoner.

Som nævnt, synes jeg det er super trist, for du har nogle gode argumenter, og du har viden der bør lyttes til - men du sætter dig selv uden for indflydelse. Hvis vi, som samfund, skal gøre det bedre, så skal vi indbringe alle kompetencer og finde gode løsninger i samarbejde. Men det kræver at man skal gå på kompromis nogle gange, og det ved alle mennesker - selv de, som på V2 altid udtaler sig kompromisløst og skråsikkert, og ikke afholder sig fra at svine til og komme med usaglige beskyldninger. For Danmark, er det ærgerligt det forholder sig sådan.

Peter Lundtofte

Hvis jeg tilgår en web side, som er frit tilgængeligt, så er de data jeg modtager, vel mine til brug på min PC som jeg ønsker det ?

Jeg tænker ikke at KMD's side er en frit tilgængelig side, men en side du rent faktisk skal have et formål for at få decideret adgang til? Det er ikke så udbredt i Danmark, men når du logger ind på et system, er der jo en række af implicitte og eksplicitte betingelser?

Så sagen kan vel ikke sidestilles, med det du her argumenterer for.

Chris Juneau

"Det er ikke så udbredt i Danmark, men når du logger ind på et system, er der jo en række af implicitte og eksplicitte betingelser?"

Hvorfor mener du der er det?

Der kan da kun være lige netop de betingelser du selv har gået med til.

Ikke alle mulige ukendte og udefinerbare "implicitte" betingelser som KMD mener burde gælde.

Eskild Nielsen
Jesper Louis Andersen

Det tog max 30 sek. at finde denne ud fra hjemmesiden kmd.dk:

https://www.kmd.dk/om-kmd/corporate-compliance/whistleblower-ordning

Den er også ret ny ifølge archive.org. Hvornår begik Esben sin "ulovlighed" og er denne side kommet før eller efter han gjorde dette? Esben skal naturligvis ikke klandres for en side der er oprettet efter problemet blev kendt.

Problemet med whistleblowerordninger er at de ikke er meget værd hvis whistlebloweren bliver anmeldt som resultat af at blæse i fløjten.

Jesper Louis Andersen

Det er desværre bare den forkerte fremgangsmåde, at dem der opdager et sikkerhedshul skal skjule sig selv, for hvis du bliver identificeret, selv eller tilfældigt, vil det arbejde imod dig, at du har gjort dig anstrengelse for at skjule dig selv - det kan indikere et forsæt.

Alternativet er at lade være med at foretage sig noget. Hvis du skal følge loven så er det den bedste fremgangsmåde, indtil du har noget jura at slå med.

Om IT-sikkerhedsfolk har overvejet din Whitehat/blackhat pointe kommer vel an på hvem vi snakker om. De fleste folk i sikkerhedsbranchen arbejder med at lave risikovurderinger, så jeg forventer umiddelbart de er rimeligt klædt på til at forstå denne problematik. Det er ihverfald min opfattelse blandt de sikkerhedsfolk jeg kender.

Med henhold til at skrive et script der kan udnytte sårbarheden: Det er almindelig praksis i IT-sikkerhed. Når man har fundet en fejl, så dokumenteres fejlen i et proof-of-concept program. Det gør at der kan udveksles en præcis beskrivelse (programmet) af hvad der er galt. Hvis virksomheden så ikke lapper hullet i tide frigives programmet til offentligheden som en advarsel. Fordi man typisk arbejder med 90 dages embargoer for frigivelsen, så er programmet også en huskeseddel til hvad der i grunden var galt i systemet. Efterfølgende bliver programmet tilføjet til databaser. Det gør at man kan checke installationer af systemer for om de er korrekt opdaterede i forhold til fejlen.

Jeg synes ikke umiddelbart at udfærdigelsen af et program/script er mærkeligt, da det følger gængs praksis på området.

Dan Storm

Måske lidt off-topic, men jeg forstår ikke hvorfor Datatilsynet kun går efter kommunerne fordi de er dataansvarlige.

Hvis man ikke har et juridisk ansvar for sikkerheden som databehandler så er det meningsløst at have et reelt skel.

Jeg synes det er lidt skræmmende at man kan som databehandler ikke bærer nogen reel risiko i sådanne sager.

Jesper Frimann

Måske lidt off-topic, men jeg forstår ikke hvorfor Datatilsynet kun går efter kommunerne fordi de er dataansvarlige.

Hvis man ikke har et juridisk ansvar for sikkerheden som databehandler så er det meningsløst at have et reelt skel.

Jeg synes det er lidt skræmmende at man kan som databehandler ikke bærer nogen reel risiko i sådanne sager.

Fordi du ikke kan/bør outsource ansvar. Og det er IMHO også et fornuftigt princip.

Du kan selvfølgelig som dataansvarlig plastre din kontrakt med databehandleren til med bod, straf m.m. hvis databehandleren laver en usikker løsning.
Men ansvaret bør IMHO stadig ligge hos den dataansvarlige.. det ligger ligesom også lidt i ordet.

Desuden er der det tvist på den her sag, hvis jeg forstår det der er skrevet om alderen på systemet rigtigt, at systemet er udviklet mens KMD var ejet af kommunerne. Så .. ja.. vi har et system udviklet af kommunerne selv, der så er røget med i salget af KMD.
Spørgsmålet er så om der er afsat midler til videreudvikling af sikkerheden i systemerne i de kontrakter, der er udarbejdet i forbindelse med salget af KMD.
Mit gæt er .. at det er der ikke.

// Jesper

Michael Cederberg

Det burde være en ret for borgere i dette land, som bliver "tvunget" til at bruge et givent website, at lave simple tjek af sikkerheden. På samme måde som jeg tager i døren efter jeg har låst den på et hotelværelse som jeg overnatter på.

Der er naturligvis forskel på at forsøge at logge ind som andre personer, men fx burde det være tilladt at tjekke om man kan logge ind til ens egen konto med galt password. På samme måde burde det være tilladt at taste gal information ind diverse felter, så længe man oplyser dataejeren om det hvis systemet opfører sig sikkerheds uhensigtsmæssigt.

For vi har som borgere en ret og pligt til at passe på egne ting, herunder personlige oplysninger. Det er derfor nødt til at være sådan at vi ikke bare skal acceptere IT leverandøres garantier men selv har en mulighed for at være kritiske.

Hvis det var en privat udbyder, fx et teleselskab, så kunne man sige til folk at de bare skulle finde et andet selskab med orden i sikkerheden. Men med offentlige myndigheder er valgmulighederne ganske små ...

IT leverandøres "stol på os" mentalitet bør opfølges af lovkrav om sikkerheds auditering af samme leverandører.

Jesper Frimann

Nej, dit billede er at sammenligne æbler med pærer.

Et mere retvisende billede ville være, hvis en kunde køber en ydelse hos dig, hvor du behandler personfølsomme/personhenførbare data, så er du stadig ansvarlig, selv om du outsourcer dele af/hele processen. Du kan ikke fraskrive dig ansvaret over for kunden, ved at lade underleverandører udføre opgaven.

// Jesper

Gert Madsen

Måske lidt off-topic, men jeg forstår ikke hvorfor Datatilsynet kun går efter kommunerne fordi de er dataansvarlige.


Man må gå ud fra at kommunerne specificerer løsningen, afgør hvad de vil betale for, og laver en seriøs overtagelsestest.
Hvis ikke de risikerer smæk for at ignorere hensynet til beskyttelse af personlige oplysninger, så tror jeg ikke det bliver bedre.
Her snakker vi om KMD, men kommunerne kan jo principielt set vælge frit, om de vil have systemerne leveret af den lokale elektriker, eller kommunaldirektørens nevø.
Så det kunne jo faktisk være konkurrenceforvridende, hvis Datatilsynet gik ind og blåstemplede en bestemt leverandør.

Jesper Louis Andersen

Men det vil vel sige at hvis en kunde køber en ydelse hos mig, hvor jeg skal behandle personfølsomme/personhenførbare data, så er jeg straffri uanset hvor sløset jeg er med sikkerheden fordi min kunde er den dataansvarlige?

Det er et nogenlunde gængst retsprincip. Hvis en virksomhed begår (bevidst) ulovlighed er det i sidste ende direktøren der hæfter for ulovligheden. Ikke medarbejderen som udførte arbejdet direktøren gav besked på. Det samme gør sig gældende her. Det er i princippet kommunen der skal sætte krav om at systemet fungerer efter hensigten. Din interaktion i systemet er mellem dig og kommunen. Ikke mellem dig og KMD. Hvis systemet er i stykker er det en sag mellem kommunen og KMD. Og kommunen kan så ikke bare tørre den af på KMD: de hæfter. Og det er vigtigt hvis det hele skal fungere.

I software har vi et koncept, blame-management, hvor man holder styr på hvilken side en fejl er placeret. I en HTTP-request er 4xx fejl klientens, men 5xx er serverens. Det gør at man umiddelbart kan placere ansvaret korrekt. I en kreditkortbetaling må man skelne mellem et kort der er udløbet (kortejerens fejl) og at transaktionen midlertidigt ikke kan gennemføres (virksomhedens fejl). Det sidste bør ikke starte et rykkerforløb men udskyde det indtil virksomhedens fejl er rettet. Vi snakker sådan set det samme, bare for kommunen og KMD.

Mads Bendixen
Kjeld Flarup Christensen

Har Esben lavet et script som kunne afsøge flere CPR numre?
Hvis ja, så er vi nemlig ude i en gråzone, med hvor langt man kan gå og stadigt kalde sig for White Hat.

Jamen jeg downloadede blot hele CPR registreret for at se om det kunne lade sig gøre.

Eller kan man tillade sig at hacke sig frem til oplysninger om personer som optræder i offentligheden, som f.eks. Henrik Kramshøj, for at bevise en pointe.

Ami Olsen

Min konklusion er meget enkel - hvis man har en mistanke om, at KMD (eller andre) har et hul i deres sikkerhed, som bringer følsomme personinformationer på kompromis, så skal man skynde sig at politianmelde KMD (eller andre) for ikke at blive det selv. Så må politiet forholde sig til, om der er eller ikke er et hul i sikkerheden, og så må KMD politianmelde politiet for at have prøvet kræfter med deres hul i sikkerheden; og så kan de lære det, kan de.

Angående Esben: Jamen, enten han fandt et hul i sikkerheden hvilket vil sige, at det hul findes, og så må KMD slæbes i retten for det; eller også har han ikke fundet et hul i sikkerheden, og så kan man ikke forstå, hvad han har gjort ulovligt, set med KMDs øjne.

Log ind eller Opret konto for at kommentere