Spætter, spætter overalt...

Jeg var inviteret til høring i et underudvalg af Retsudvalget idag, om persondata og outsourcing og den slags.

På sin vis var det en surealistisk oplevelse.

Først Rigsrevisionen: Vi har lavet undersøgelser af området, der er ikke styr på sikkerheden eller data. Ingen af de 60 (= ⅓ af hele statens) virksomheder hos Statens IT har aftalerne på plads. Ingen tegn på væsentlig fremdrift i den tid vi har kigget. Mange problemer overalt vi kigger. Næppe bedre nogen andre steder.

Citat i særklasse: "Statslige myndigheder gør sig i andre sammenhænge meget umage med at overholde loven."

Dernæst Center for Cybersikkerhed: Vi er helt nye, men det vi har set indtil nu er ren kage. $10 DoS mod NemID og CSC's lal og en spearfish imod en styrelse.

Herefter Datatilsynet: Når vi kigger er der oftest ikke styr på noget. Ofte bliver vores indsats helt ignoreret.

Kommunernes mand slog en lidt anden tone an: Ingen ko på isen, måske lidt skidt i krogene, men ingen store sager endnu. PS: Send flere penge tak!

Herefter CBS som argumenterede at kanibalisme er et problem 94% af danskerne mener er under kontrol.

Derefter spørgsmål (ikke noget af nogen relevans) og derefter pause med chokoladekage og kaffe/the.

Efter pausen:

Digitaliseringsstyrelsen: De hører heller ikke efter hvad vi siger, reglerne er ellers temmelig klare.

Rådet for Digital Sikkerhed: Vi skal have robust sikkerhed, er der ikke råd må brugervenligheden vige for sikkerheden.

CSIS: Der er heller ikke ret meget styr på det vi ser. Banker kan godt finde ud af at stille krav til underleverandører, lær noget af dem. Nationalt IP filter så NemID skal DoS'es fra Danmark.

Brokkehovedet: Jeres mobiltelefon er så kompliceret som 12 forskellige hangarskibe, kode er svært og har mange fejl. Der er bagdøre i HW, OS og applikationer. Vi står på tærsklen til hvor computere for alvor begynder at slå folk ihjel: EPJ, selvkørende biler osv. Indfør produktansvar på software. Lav en IT-havarikommision så vi kan lære af vores fejl. Giv tilsyn og kontrol tænder og bid. Lovpligtig autorisation for dataansvarlige. (I kender pladen).

Hvis vi lige ser bort fra de to sidste indlæg, er der tale om ukarakteristisk klart og umisforståeligt sprog, brugt af en "Royal Flush" af jurister fra øverste hylde som samstemmende siger:

"Der er ikke en skid styr på persondata i statens datasystemer."

Fire politikere fra udvalget deltog, V, S, SF og EL.

Hvis ikke beskeden fes ind på lystavlen idag, er alt håb ude.

phk

Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bo Ståhle

Så man ikke kan bruge NemID når man er udenfor landet ?
Så udsendte, feriefolk og andre almindelige mennesker, der ikke ved hvordan de skal sætte en VPN op, ikke kan bruge NemID.

For slet ikke at starte på GeoIP ...

  • 10
  • 7
Lasse Makholm

Der er før blevet talt om fly der skvatter ned om ørene på folk. Det er dér vi skal hen. Vi skal have flere lig på bordet før der sker noget. Enten det eller nogle rigtig grimme sager om misbrugte persondata hvor ofrene er politkere eller andre højtstående... Det gør simpelthen ikke ondt nok endnu...

Men der sidder jo efterhånden 2-3 generationer derude i verden med både tid, lyst og evner for den slags, så det kommer nok...

  • 13
  • 0
Poul-Henning Kamp Blogger

Så man ikke kan bruge NemID når man er udenfor landet ?

Jo.

Ideen er at f.eks 95% af NemID serverne kun kan tilgås fra Danske IP net. (BGP styret), mens de sidste 5% har globale IP#.

Hvis der laves et DoS fra Kina, bliver kun de 5% ramt og da bliver NemID kun utilgængelig for danskere i udlandet.

Mao: En triviel måde at reducere exponeringen for DoS.

Hvis DoS'et laves fra danske IP#, evt. inficerede computere, er disse under danske jurisdiktion og politiet kan med henvisning til den offentlige ro og orden beordre dem af nettet indtil de er renset for skodware.

  • 26
  • 1
Poul-Henning Kamp Blogger

Vi skal have flere lig på bordet før der sker noget.

Jeg havde en slide med de syv trin en ny masseteknologi gennemgår:

  1. Det går aldrig godt!
  2. Det gør ting ved køernes mælk.
  3. Fantastisk!
  4. Det næste bliver flyvende biler.
  5. Det her slår folk ihjel!
  6. Området er helt ude af kontrol!
  7. Dette lovforslag bringer ...

En af politikerne kommenterede selv at vi er omkring punkt 6 nu.

  • 25
  • 0
Jesper Louis Andersen

Ideen er at f.eks 95% af NemID serverne kun kan tilgås fra Danske IP net. (BGP styret), mens de sidste 5% har globale IP#.

Jeg kan godt lide den her løsning fordi den kan implementeres i morgen. Du kræver ikke nogen systematiske ændringer i systemerne som sådan, men kan håndtere det i et lavere lag (AS-numre gennem BGP). Fin løsning, der tvinger et angreb indenfor landets grænser. Det gør det meget nemmere at håndtere angrebet, ikke mindst fordi Danmark størrelsesmæssigt er en mikron.

  • 5
  • 1
Henrik Kramshøj Blogger

Jeg kan godt lide den her løsning fordi den kan implementeres i morgen.

Beklager de Hr PHK og jlouis, I fik begge to en tommel ned fra mig.

Det er ikke så ligetil som I får det til at lyde, og jeg synes bestemt også vi har set at de hos NemID ikke overhovedet havde tænkt DDoS ind fra starten. Ej heller en Javascript klient, eller de andre ting som hænger i bremsen fra samme sted ...

Så hvordan tror I vi kan få NemID op på dupperne og få dette fixet ASAP, selvom det er "i morgen" og "ligetil"/"trivielt".

Full Disclosure, vi foretager DDoS angreb mod kunder som en service og det er ikke specielt gode resultater i første skud. De får forbedret deres robusthed overfor angreb nogle 100% med opdateringer osv. Mit gæt er at NemID ville kunne gennemføre samme projekt med analyse af deres normale traffikmønster, ændringer i eksisterende infrastruktur og derved forbedres - uden at begynde at snakke om krumspring med BGP og en "great wall of DK". (Var der ikke en politiker vi lavede grin med som foreslog noget lignende for hmmm 3-6 mdr siden?)

Konklusionen fra mig er at NemID bliver ved med at være sårbart overfor DDoS længe endnu, ligesom resten af DK ...

  • 6
  • 2
Poul-Henning Kamp Blogger

Det er ikke så ligetil som I får det til at lyde

Det er faktisk overhovedet ikke svært.

Forskellige (hvilket i stort set alle tilfælde vil sige TDC) teleudbydere er udpeget til at løfte specialopgaver i teleområdet, f.eks 112, kritisk infrastruktur osv.

Det ville ikke være noget problem i at definere en IP service der hedder "ip numre der ikke annonceres udenfor dansk jord."

Rent teknologisk er det kun et spørgsmål om et subnet og et BGP-AS der ikke annonceres vidt og bredt, men som er obligatorisk at peer'e med for alle der vil tilbyde IP access på dansk jord.

Idag bruges internettet til en masse "intern" kommunikation og det ville give rigtig god mening at f.eks SCADA systemer på det lokale vandværk, elværk osv. kunne udstyres med IP numre der ikke er tilgængelige fra udlandet -- specielt hvis der er tale om kritisk infrastruktur.

At NemID i særklasse var noget lalleglad klappe-kage på det punkt er ikke en undskyldning for ikke at tænke fremad og benytte os af de teknologier vi nu engang har.

  • 6
  • 1
Knud Jensen

Det er lidt ærgerligt at se at det kun er disse partier som deltog.

SF og EL er ganske gode til at råbe højt, men vi har endnu til gode at se dem sætte en regering under pres.

V og S har begge haft/har regeringsmagten mens alle disse problemer er blev opbygget, indtil videre uden nogen har taget et ansvar for det.

I øvrigt lidt skræmmende at se så mange styrelser råbe vagt i gevær, uden at en eneste af dem har magten til at ændre på det.

  • 4
  • 0
Finn Christensen

I øvrigt lidt skræmmende at se så mange styrelser råbe vagt i gevær, uden at en eneste af dem har magten til at ændre på det.

De har læssevis af magt - også juridisk, hvis de virkelig vil rulle sig ud.

Og hvis der stadig intet sker fra sovetrynerne på Christiansborg? Hvem har så nogensinde hørt om, at en hel styrelse etc. tog frakken på, gik hjem og meddeler, "vi kommer igen, når vi kan få lov til at udføre vores arbejde."

Men det kræver sin mand (M/K) at sætter månedslønnen + pension + stilling ind. Den type formastelige stemples gerne i de små sorte bøger, og mister fremtidige muligheder for at kravle op af stigen.

Det er hvad der sker, når de offentlige belønningssystemer eller ditto chefers bonus afhænger af tåbeligheder - man opdrager ellers fornuftige mennesker til tåber :(

  • 4
  • 1
Mikael Velschow-Rasmussen

Stiller lige et dumt teknisk spørgsmål !
- "Hvorfor ka' jeg ikke downloade høringen fra Folketinget ?"

Jeg er sådan lidt 'stenalder' og ka' godt li' at have lokale kopier af diverse dokumenter og dokumentarer (cloud og mig er nærmest mutually exclusive).

Ka' ikke finde ud af om embed koden gi'r mig en url jeg fx. ka' stoppe ind i VLC, hvis nogen ved noget må de gerne hjælpe :-)
Min flash downloader virker normalt fint fra fx. YT.

/Mikael

  • 0
  • 0
Jesper Lund

Det virker underligt at CSIS siger sådan noget, jeg troede de havde bedre styr på teknikken?
Det lyder bare som endnu en løftestang for at få indført mere stats-censur på internettet?

Peter Kruse (CSIS) havde et andet forslag om at blokere computere med malware, altså et filter på enkelte IP adresser. Det forslag, som er langt mere problematisk (han nævnte selv "censur"), blev desværre ikke diskuteret.

  • 0
  • 0
Markus Hornum-Stenz

Den egentlige udfordring kan skæres ned til følgende:

  1. Politikerne styrer gennem embedsapparatet, som har sine egne fastgroede styringsparadigmer: økonomi og jura.
    Dette ses fx af at Finansministeriet og Justitsministeriet er i top 3 over de mest magtfulde ministerier.

  2. IT-sikkerhed er et meget dynamisk og vagt begreb - og derfor økonomisk og bureaukratisk set et sort hul
    Der er en enorm dynamik indenfor IT-anvendelse og hele tiden nye måder at kompromittere IT-sikkerhed på. Bare det at skære kagen meningsfuldt til, så man fokuserer på de grelleste udfordringer, er et 80/20 problem:
    Man kan nok blive enige om og implementere de 80%, men er de sidste 20% ikke de vigtigste, de sværeste og de dyreste?

  3. Som det fremgår af V2 debatten, er "rigtige" IT-sikkerhedseksperter er et relativt firkantet og løsningsorienteret folkefærd.
    For at blive til noget indenfor IT-sikkerhed, skal man have den nødvendige tekniske forståelse. Her er det en fordel at kunne fokusere og arbejde i dybden.
    For at kunne opstille og prioritere forskellige IT-sikkerhedsmæssige problematikker, er det en fordel at kunne tænke bredt og relativere meget forskelligartede problematikker.
    Derfor har IT arkitekter tit en meget forskellig tilgang til tingene, man skal ofte afveje sikkerhed mod anvendelighed, driftsstabilitet, økonomi osv.
    Og dem som fokuserer mest på det første, får nemt karakter af spøgelsesjægere i forhold til de andre.

Derfor er det vel ikke så mærkeligt - eller udtryk for nogen eklatant talentløshed - at IT-sikkerhed ender med at blive prioriteret relativt lavt.
Det er nemt at skrive overordnede krav ned, det er sværere at konkretisere enkeltløsninger i de magtfuldes foretrukne sprog, Business casen.

  • 0
  • 0
Markus Hornum-Stenz

IT sikkerhed har været gennemanalyseret de sidste 25 år

Den er jeg helt med på, og på det overordnede plan er det sikkert klart nok hvad man har med at gøre.
Men bare sådan noget som authorization/access control lists har nogle praktiske, definitionsmæssige og administrative konsekvenser, som gør det nærmest uoverskueligt at håndtere sikkerhedsmæssigt forsvarligt, når det omsættes til at fx. 100 IT-folk skal drifte mindst lige så mange mere eller mindre integrerede subsystemer top-to-bottom.
Som det fx. sker hos KMD, CSC eller BEC.

der er bare ingen der hører efter, fordi der altid er en kæmpe gevinst ved at være den første, selvom man kun er den første med noget skrammel

Meget enig. Og trial and error er en fundamental - og i de fleste sammenhænge sund - indstilling til at bygge noget.
Man venter ikke med at sætte en mand på Månen til man er sikker på at det ikke kan gå galt, men man lærer så heller ikke (for alvor) at tage backup, før man (for alvor) har prøvet at miste noget.
Jeg gætter på at sikkerheden i MobilePay og Swipp er nogenlunde proportional med hvem der er blevet bestjålet for hvor meget.
Hvor længe går der før nogen finder ud af at stjæle 100 mio fordelt ud på 100.000 telefoner, med forskellige beløb, henover en måned?

  • 1
  • 0
Peter Stricker

Hvor længe går der før nogen finder ud af at stjæle 100 mio fordelt ud på 100.000 telefoner, med forskellige beløb, henover en måned?


Noget tilsvarende er allerede sket i starten af 80'erne.

The CCC became world famous when they drew public attention to the security flaws of the German Bildschirmtext computer network by causing it to debit DM 134,000 in a Hamburg bank in favor of the club. The money was returned the next day in front of the press.

http://en.wikipedia.org/wiki/Chaos_Computer_Club

  • 0
  • 0
Kristian Rastrup
  • 1
  • 0
Markus Hornum-Stenz

Hvilket viser fejlen i designet hos fx. KMD, CSC eller BEC og ikke en fejl i sikkerhedsteorien

Teori har det med at tabe til praksis. Det handler ikke om hvad der i teorien vil virke, det handler om hvad der lader sig implementere i praksis.
Programmører er fx. i teorien for det meste ret frit stillet mht. hvilket sprog de vil bruge til en given opgave - og bør altid bruge det som er bedst til den konkrete opgave - men i praksis.....

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize