Offentlig digitalisering i praksis

Jeg har lige modtaget flg. email:


Date: Mon, 06 Jun 2011 08:37:13 +0200
To: undisclosed-recipients:;
From: {mindrend}Line.Jørgensen@skolekom.dk{størreend}
Subject: NY Klasselærerliste for skoleåret 2011/2012

Hej

I bedes se bort fra tidligere fremsendte klasselærer liste for skoleåret 2011/2012.

Der var lige opstået nogle fejl, som igen skulle være rettet

Det er denne liste der gældet NU.

Mvh
kontoret

(attachment: Klasselærere_i_skoleåret_2011.2012.docx)


Jeg ved ikke med jer, men den triggede alle mine phishing sensorer, så jeg brugte lidt tid på at skille .docx filen i en sikker sandkasse.

docProps/app.xml filen indeholder et XML tag der siger at "Company" er "Slagelse Kommune", men det kan enhver jo komme og påstå.

word/document.xml filen indeholder en simpel liste af initialer, et navn og en klasse (f.eks 8D).

Det er alt.

Intet sted står skolens navn, eller hvad job Line Jørgensen måtte bestride på den.

Jeg genkender dog et par af navnene som undervisere på min datters skole, så jeg har nået den konklusion at email'en formodentlig er legit.

Alt tyder på at en kontordame (jeg har ændret hendes navn til Line Jørgensen) har kastet et hurtigt dokument sammen og email'et de til alle skolens forældre.

Havde hun gjort det på papir ville skolens navn sikkert have fremgået deraf, alternativt ville den custody-kæde der opstår i og med ungerne bærer papiret hjem levere den nødvendige kontext og autencitet.

Nu gjorde hun det elektronisk og hvis malware-filtre var noget værd, ville de have flagget denne email fordi den totalt mangler enhver form for autencitet.

Jeg ved ikke hvorfor det var så vigtigt at hun sendte en email istedet for bare at spamme alle forældrene via SkoleIntra som de plejer, men hun har sikkert haft sine årsager.

Men det rejser også nogle interessante spørgsmål.

Hvad nu hvis det havde været vigtigt og folk ikke troede på det ?

Eller hvor mange penge ville man kunne skrabe ind hvis sendte en email med indholdet:

"Der er stadig nogen der ikke har indbetalt til lejrskolen, 500kr skal overføres idag!!! hvis jeres børn skal med!!! Det hurtigste er at sende dem til hahaha@paypal.com"

Og ja, hun burde have vidst bedre og gjort et bedre job, men hun havde også travlt med at ringe rundt for at finde en vikar til 4B og en bus til 5B's tur til Nationalmusset og og og og...

Hvis ikke offentlig IT kan holde til stressede medarbejdere, duer det ikke til noget...

phk

Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Høgh

Hvis det værste der var galt med offentlig digitalisering, var at de er lige så dårlige til at bruge email som alle andre "almindelige brugere", ville vi være nået langt :-)

  • 0
  • 0
Torben Mogensen Blogger

Hvis det ikke er meningen, at modtagerne skal kunne redigere i dokumentet med fuld redigeringshistorie, så er docx også et ret dårligt valg. Pdf eller sågar rå tekst havde været bedre. Man kunne også bare lade hovedbeskeden indeholde en URL (i klartekst for at undgå phishingmistanker) til en side på skolens web, hvor listen står (i HTML). Så kan den også holdes vedlige der.

Offentlige institutioner burde vel i øvrigt lade deres brevredigeringsværktøjer starte op med en skabelon, der inkluderer skolens brevpapir som baggrund, så det ikke kræver en ekstra indsats at få det gjort. Med lidt ekstra snilde kunne denne skabelon også automatisk indsætte dato samt forfatterens navn, initialer og telefonnummer.

  • 0
  • 0
Kenneth Østrup

Er det blevet nemt at "udskrive" til PDF fra Windows uden 3.parts programmer?

Men det løser ikke problemstillingen helt. Brevpapir gør (efter min mening) ikke dokumentet "legit".

Skulle det PGP signes? så skulle alle modtagere have styr på at tjekke det imod enten skolens eller medarbejderens public key. Upraktisk for de fleste.

Det mest troværdige ville nok være at få beskeden igennem "SkoleIntra". Men det har i sagens natur sikkert været for "bøvlet".

Mit gæt (og erfaring) er, at det er næsten umuligt for medarbejdere i store organisationer, privat eller offentligt, at kommunikere uniformt og professionelt udadtil.

Jeg tror, at det er en kombination af, manglende diciplin(perfektionisme?), for mange muligheder og ikke mindst, at der simpelthen er alt for meget den enkelte skal sætte sig ind i :)

  • 0
  • 0
Torben Mogensen Blogger

Er det blevet nemt at "udskrive" til PDF fra Windows uden 3.parts programmer?

Det er ikke værre end docx, som også kræver programmer, der ikke er installeret på en ny PC (i andet end prøveversioner). Og PDF er så udbredt, at man alligevel ret hurtigt installerer en PDF-læser.

  • 0
  • 0
Morten Hattesen

Jeg har en oplevelse, der skæmte mig meget, og fik mig til at fare i blækhuset, uden synderlig virkning.

I forbindelse med at jeg skulle søge på europæiske virksomhedsregistreringer, oprettede jeg mig som bruger på www.cvr.dk og tastede i den forbindelse brugerinformation og password (ja, NEM-ID har ikke holdt sit indtog her, endnu).

Hvad der skæmte mig var, da jeg efterfølgende modtog en (ukrypteret) email bekræftelse der forklarede at jeg var oprettet som bruger, og inkluderede mit password i clear-tekst.

Hvad der skræmte mig endnu mere var, da jeg skrev til webmaster hos cvr.dk og påpegede det oplagte sikkerhedsproblem i at sende fortrolige passwords via alverdens SMTP servere, og efterfølgende modtog en email med svaret:

Det er praksis at der sendes email med password. det du skal gøre er at gå ind på www.cvr.dk og logge på og herefter vælge "ændre password".

De forholdt sig således slet ikke til, hvorvidt det var en SIKKERHEDSMÆSSIGT ACCEPTABEL prakis de havde gang i, ved at lække et fortroligt password, der måske også benyttes af mig i mange andre sammenhænge!

Jeg har det som Søren Brun: "Jeg græmmes".

  • 0
  • 0
Morten Hattesen

Hvorfor overhovedet anvende en vedhæftet fil, hvis det eneste man ønsker at kommunikere er en liste af navne, og telefonnumre/email adresser?

Indsæt listen inline i emailen. De fleste email klienter kan endda formattere en tabel der copy-pastes ind i email body som en html table, og således bevare formatteringen.

Udskrivning af emails kan dog være et problem (her hjælper pdf), men generelt bør vedhæftelser begrænses til information hvor email klienten ikke egner sig til at præsentere indholdet.

Også jeg har modtaget emails fra skoleintra med en orientering om, at der ligger en besked i skoleintra, og beskeden indeholder en vedhæftet .docx der indeholder to liniers information om, at skoleudflugten i morgen er aflyst på grund af sygdom blandt lærerne. Sic.

  • 0
  • 0
Henrik Mikael Kristensen

Hvorfor overhovedet anvende en vedhæftet fil, hvis det eneste man ønsker at kommunikere er en liste af navne, og telefonnumre/email adresser?

Når man har en hammer, er alting søm. Eller vanens magt.

Word er "sådan noget man skriver tekst i og kan skrive det ud bagefter", og folk vrider det til brug i todo-lister, annoncer der egentligt kræver layout og ja, også til at skrive emails, kalendere eller bruger det til at katalogisere bageopskrifter med, lave hjemmesider, eller ting der kan gøres himmelråbende langt bedre i dedikerede programmer/systemer.

Når man er på det niveau, er der et godt stykke op til at finde forståelse for de forskellige dokumentformaters formål, og hvorfor det er smart at bruge systemer rigtigt, så andre ikke skal sidde og have besvær.

For strengt taget, så kommer teksten jo frem til dig, uanset hvor akavet processen har været for at fremstille den, og så kan der ikke findes motivation for at ændre den proces.

  • 0
  • 0
Morten Hattesen

Ser vi bort fra krypteret epost, hvilken mulighed har de så for at sende en (går jeg ud fra) autogenereret kode når du har oprettet dig som bruger? Du skal jo selv kunne læse den.

Der er jo netop IKKE tale om, at cvr.dk autogenererer et password. Hvis de gjorde det, og krævede at jeg ændrer det ved første login (one time password), havde de ikke kompromitteret mit personligt valgte password på noget tidspunkt.
cvr.dk vælger at sende det password jeg selv har valgt og indtastet i oprettelsesformularen i en ukrypteret mail.

Og det er i øvrigt simpelthen utilgiveligt at en statslig myndighed overhovedet persisterer mit password. De må persistere en hash/digest af passwordet (+ salt), men aldrig selve passwordet.

  • 0
  • 0
Eskild Nielsen

Hvad der skæmte mig var, da jeg efterfølgende modtog en (ukrypteret) email bekræftelse der forklarede at jeg var oprettet som bruger, og inkluderede mit password i clear-tekst.

Det er da desværre normen idag selvom det helt klart er ude i hampen.

Jeg tror faktisk at jeg ville blive overrasket den dag, hvor jeg får det på anden måde.

  • 0
  • 0
Stefan Kreisberg

Her en sjov en mere: cpr.dk vedligeholder en liste af person - og adresse -data på alle danskere der har tilkendegivet at de ikke ønsker uopfordret markedsføring. Den hedder "Robinson listen" og er naturligvis godt beskyttet af et brugernavn og password som har været det samme i et par år ... hvad tror i det er? I får eet gæt ...

Brugernavn og kodeord til Robinson listen?

Brugernavn: ********
Kodeord: ******

:-)

PS: Jeg har prøvet at diskutere i en velmenende tone med cpr.dk, men de synes nok jeg er lidt krakilsk, der er jo brugernavn og kode på ....

  • 0
  • 0
Jens Dalsgaard Nielsen

Mine børns ikke afleverede bøger kan jeg gå ind og chekke over nettet.

Min adgang

id: ddmmyy-xxxx
passwd: ddmmyy

Over en http side. Når man er kommet ind går den i https mode ...

hvis nogen skulle være i tvivl er det mit cpr nummer ...

Her på "2'eren" kan man ikke køre https når man logger ind så nu sidder jeg på et net i Istanbul uden ledning og frygter det værste...

  • 0
  • 0
Morten Hattesen

hvorfor overhovedet illudere at have den sikkerhed når den nu, IMHO, er falsk?

Fordi det er illusionen der er vigtig her.

På samme måde som det Security Theater http://en.wikipedia.org/wiki/Security_theater der opføres tusinder af gange dagligt "in an airport near you".

Nogen ledere har fået at vide, at de skal "gøre noget ved sikkerheden", og det har de så gjort. Altså "noget". Ikke noget "godt" eller "effektivt", bare "noget" der kan bevare illusionen om sikkerhed.

  • 0
  • 0
Log ind eller Opret konto for at kommentere