Lars Roark

Efter kæmpe-datalæk: Facebook vil ikke underrette en halv milliard brugere

Kan facebook ikke bare hente de lækkede data, matche med egne brugerdata ... og advisere involverede?

8. april 2021 kl. 17:50
Stemmesedler versus stemmemaskiner

Hej Mogens; jeg synes at ... for et demokratisk valg ... du mangler et afgørende kriterie, i retning af: "stemmeafgivelsen kan foregår utvunget. Det vil sige efter den enkeltes personlige overbevisning, uden frygt for represalier"

I det nuværende danske system, med fremmøde og afstemning i et "hemmeligt rum" = stemmeboks med kun een person i boksen, har man forsøgt netop at understøtte dette kriterie (potentielt med en svaghed alt efter hvilket statestikker der efterfølgende offentliggøres vedr. stemmetal).

Netop dette kriterie giver voldsomme udfordringer i forhold til alle mulige former for "internet baseret valghandling".

25. juli 2018 kl. 00:44
Moores Lov fylder 50 år: Hvor længe kan den holde?

Hej Torben Efter alt at dømme tager du fejl. Universet bliver tilsyneladende ved med at udvide sig - faktisk accelererer udvidelsen....

20. april 2015 kl. 19:18
Hvorfor er virtuelle økonomier sværere end en boss-kamp?

Egentlig er der jo ikke et spring i udstyr... Når man fra start opgradere et stk udstyr hver gang man får råd (og ikke mindst lvl) til det. Det er kun hvis auktionshuset er overset, at der kommer et spring ;-)

20. juni 2012 kl. 21:11
Undlad at blande æbler og pærer

Jeg synes bestemt også at pærer og æbler blandes sammen - men ud fra en halt anden vinkel!

Ideen om at man - et individ - er forskellige identiter, fordi man optræder i forskellige roller, er sammenblanding af æbler og pærer.

1 - æbler: Enhver person er eet individ, een identitet. 2 - pærer: Og vi kan hver agere i forskellige roller.

Der er ingen grund til at blande disse to adskilte begreber; identitet og rolle, som mange (og indlægget) gør.

At vi optræder i forskellige roller er korrekt, men er ikke grund til at have forskellige identificeringer/metoder.

Som billede: pas er den (globale) fysiske metode til at indentificere folk, for at give adgang til (nogle) områder. Og sikkerhedskontrollen kan finde på at spørge til rollen (business or pleasure). Authentificering ved f.eks. NemID er analogien ved adgang over it-grænser.

Hvis en identificering/metode er for ringe (sikkerhedsmæssigt) så er det en mærkelig konklusion at vi skal have flere - og beholde&bruge den dårlige til vores private gøremål?

Det kan vel også diskuteres om den NemID jeg har, rent faktisk er min private (ejendom) hvilket jeg tolker som grundlag for artiklens argumenter. Den er besluttet af "fællesskabet", udviklet, udstedes, og drives på vegne af "fællesskabet". Ved at modtage den påtager jeg mig at passe på nøglekort og adgangskode, herunder at love at jeg IKKE villigt medvirker til at andre kan "optræde" med min identitet. Hvis det var min "ejendom" kunne jeg bestemme hvem der brugte den ! ?

27. september 2011 kl. 12:05
Miracle-direktør i grineflip over statslig annoncehaj: Tilbyder gratis drift af millionopgave

En aftale af den størrelse skal have været igennem et offentligt udbud - hvorfor har Miracle ikke budt på den, når nu det kan laves og drives for en brøkdel ? Sover Miracle i timen, eller... ??

22. september 2011 kl. 08:39
Odense Kommune trodser Datatilsynet i NemID-sag

Rune, det lyder som om at vi mest er enige. Enige om at autentificerings mekanismen kan være ens (som er dét kommunerne ønsker i artiklen).

Når vi går ud over kommunernes ønsker her & nu: Enige om at man på arbejde har en anden "hat på" og at signering ikke bør være helt den samme for de to hatte.

Men uden være sikker på hvad den rigtige løsning er, forekommer NemID erhverv signatur ikke som den rigtige løsning på arbejds-hatten. Dit eksempel med at medarbejderen kan signere uden virksomhedens/myndighedens viden ser jeg som en unødig svaghed i en it-løsning (!), der er Jespers eksempel med chikane, osv.

13. september 2011 kl. 22:31
Lars Løkke: Nyt ministerium skal effektivisere offentlig it

Sådan lidt populært sagt tror jeg ikke det vanskelige er at blive bedre til at bruge penge - mere at vi skal blive bedre til at bruge (få nytte af) it :-)

13. september 2011 kl. 21:05
Odense Kommune trodser Datatilsynet i NemID-sag

Vi lyder til at være enige om at datatilsynet bør vælge retning, for eller imod NemID.

Måske har du for tiden valget, men der er ikke valgfriheden omkring anskaffelse og anvendelse af NemID: Fra 15 års alderen og op (Gymnasie alderen - "hypercard", senere SU osv.) laves løsninger der kræver at man får en NemID og anvender den. Og det breder sig - heldigvis ud fra synspunktet at en fælles ID er lavet for at bruges ;-) MEN så kan Datatilsynet ikke argumentere for at én ny anvendelse (artiklens) af NemID er "forbudt" fordi den fjerner frivilligheden i at anvende NemID!

13. september 2011 kl. 19:38
Odense Kommune trodser Datatilsynet i NemID-sag

@Jesper, Du mener altså at risikoen for at DanID kompromitterer din nøgle er en del af en konsistent argument-række mod at kommunerne kan bruge NemID til autentificering, uden at samme risiko er et problem for den generelle anvendelse af NemID ?

13. september 2011 kl. 18:40
Odense Kommune trodser Datatilsynet i NemID-sag

@Jesper, hvilken tredjepart er det, som opbevarer din private NemID nøgle, når du bruger NemID til autentificering ?

13. september 2011 kl. 18:15
Odense Kommune trodser Datatilsynet i NemID-sag

@Jesper, krydsende indlæg :-)

Ad. 4: Om antallet af sites stiger... Kommunerne vil jo netop gerne genbruge at de allerede, for den digitale borgerbetjening, er NemID site, så antallet af sites stiger ikke ?

Vi er åbenbart på det personlige plan enige om man in the middle risikoen, og benytter begge en sikkerhedspolitik: at ville have personlig kontrol med de pc'ere vi benytter NemID fra - fordi man in the middle måske nemmest/mest sandsynlig netop er en pc der er inficeret.

Så langt enigheden, uenigheden ligger i hvad den (subjektivt bedømt) reelle risiko så betyder. Og her er mit synspunkt at ENTEN skal man anerkende problemet - og så kan datatilsynet ikke tillade sig at godkende NemID til al den digitale borgerbetjening som er i gang eller ønskes i gang ? ELLER man (hvilket jo er tilfældet) beslutter at denne risiko er til at se bort fra - og så kan det jo ikke bruges som argument mod den i artiklen nævnte anvendelse!

13. september 2011 kl. 18:06
Odense Kommune trodser Datatilsynet i NemID-sag

@Jesper Jeg vil prøve at dele diskussionen i undertråde:

  1. Jeg mener faktisk at der er forskel, også derfor siger jeg at diskussionen er meget mere kompleks end hvad Rune lægger op til. Jeg siger kun at hvis der skal være en personlig / personidentificerende del af en signatur i rollen "ansat" (Runes udgangspunkt), ja så er den pr. definition personidentificerende :-), og så kan den (bedst) være lig den private. MEN jeg synes faktisk vi skal overveje nøje hvor meget det overhovedet er hensigtsmæssigt at en personlig digital signatur indgår i myndighedens signering.

  2. Jeg kan sagtens følge kommunerne i at valget af NemID - bemærk: til de konkrete opgaver det er valgt. At man hurtigere får skabt funktionalitet til de ansatte, at man undgår at øget kompleksitet ved genbrug og at løsningen bliver billigere. Alt sammen også i sidste ende til skatteydernes fordel.

  3. At borgerne skulle betale for deres NemID, fordi der er nogen (Kommuner) der bruger NemID... lyder som taget ud af den blå luft ? Kommunerne og NemID må kunne redegøre for om nogen snyder, men som jeg husker det, kan enhver virksomhed få en aftale med NemID om at bruge NemID til autentificering, vis ikke anvendelsen allerede er dækket (eller dækket af at NemID ikke er kommet med NemID erhverv som lovet).

  4. Hvor er det du ser usikkerheden ved anvendelse af NemID ?

13. september 2011 kl. 17:46
Odense Kommune trodser Datatilsynet i NemID-sag

@Jesper

Artiklens konflikt (de fleste nyheder skal være konflikter jvnf. en "marketingsvinkel"), er netop at kommunerne undsiger Datatilsynet. Uanset artiklens blide ordlyd, mener mange nok at Datatilsynets afgørelse og begrundelse ikke rigtig giver mening, som eksemplerne t.o.m. dit indlægs sidste linie skulle anskueliggøre :-)

Datatilsynet "..kompromittering af den enkelte brugers adgangskode i én sammenhæng..": Kommunerne der får autentificeret en bruger gennem anvendelse af NemID er vel netop den eneste part der ikke kan kompromittere signaturen ?

  • Hvis Datatilsynet er nervøse for at NemID (virksomheden) kompromittere signaturen, eller at NemID er kompromitterbar gennem f.eks. "man in the middle" (det mener jeg faktisk er realistisk - og bruger alligevel NemID), så bør Datatilsynet undsige hele NemID løsningen ?
  • Hvis Datatilsynet mener at brugeren af NemID kan miste sin NemID (nogen kopierer eller stjæler nøglekortet m.m.), ja så svarer det stadig til kørekortet - som Datatilsynet vist ikke har undsagt ?
13. september 2011 kl. 17:18
Odense Kommune trodser Datatilsynet i NemID-sag

...tvinges til NemID: Her kan man bruge artiklens sammenligning med kørekort - hvis det er en del af arbejdet at køre (føre) bil, må man bruge sit kørekort, evt. anskaffe sig et kørekort - også selvom det kan bruges til andet... Herunder kan kørekort nogle steder bruges til at identificere sig :-)

Artiklens emne er nu engang at man har et behov for autentificering, og til dette bruger den "private"-NemID, artiklens bemærkningen om NemID erhverv må være korrekt i den kontekst.

Som jeg forstår det, forelår du at bruge NemID erhverv (der ikke findes endnu) fordi det vil være en god løsning, til "digital signering" ?

Det synes jeg er en meget mere kompliceret diskussion, som omfatter om NemID er den rigtige løsning på længere sigt.

Længere sigt alene af den grund at rigtige mange systemer vil tage lang tid at tilpasse en fælles løsning, og de systemer der nu eksempelvis kan signere over for 3. part (f.eks. mail til andre myndigheder, virksomheder og borgere), har store problemer fordi 3. part ikke kan eller vil håndtere at modtage digital signatur.

Men uanset NemID's langtidsholdbarhed, kan jeg godt være skeptisk over for dit grundlæggende ønske om én signatur privat, én anden for rollen som ansat (den del af signaturen der er individets "påtegning").

Igen med en sammenligning: Den nuværende signatur ("underskrift") er mig bekendt for de fleste netop ens, uanset om underskriften gives i rollen "privat person" eller rollen "ansat i XXX" ! (?)

13. september 2011 kl. 16:40
Odense Kommune trodser Datatilsynet i NemID-sag

Omvendt: Faktisk har jeg en klar opfattelse af at datatilsynet kræver at man er sikker på identiteten af hver enkelt bruger, og at dette krav tolkes til at kræve at kommunen for hver brugerid kender cpr-nummeret...

13. september 2011 kl. 15:21
Odense Kommune trodser Datatilsynet i NemID-sag

Nu er det jo ikke overfor "modpart", tredjepart eller lign. at den personlige digitale signatur skal i spil.

Her er tale om at få autentificeret den person der vil logge sig på (medarbejderen), for at medarbejderen kan få adgang (og adgangsbegrænses) til de data/systemer som kommunen stiller til rådighed af denne kanal.

Hvis denne adgang bruges til at skabe data (i systemet) eller formidle data (til tredjepart), vil pågældende system (som medarbejderen har fået adgang til) skulle signere, logge etc. ved hjælp af systemets "normale" mekanismer og ikke ved brug af medarbejderens personlige nemID.

NemId er i den her sammenhæng alene medarbejderens måde at identificere sig på og tilhører medarbejderen. Ligesom hvis adgangen opnås ved brug af pinkode/password - eller hvis adgangen opnås ved brug af biometri; fingeraftryk, irisscanning, stemmeprøve eller lign.

13. september 2011 kl. 15:04
DanID betaler 4 millioner kroner i bod for NemID-forsinkelser

Som jeg læser det, udløses de 4 mio. kr. som en samlet engangs-bod for forsinket udvikling.

Er der også et nedslag i driftsomkostningerne, måned for måned ?

16. juni 2011 kl. 14:16
Faxede patientoplysninger på kant med loven

Generelt næppe i strid med loven at sende oplysninger.

Eksempelvis sygehuset gør næppe noget på kant med loven - med mindre de selv finder et "vilkårligt" fax-nummer hos kommunen, og sender dertil.

Når en kommune oplyser et faxnummer til modtagelse af patientoplysninger til sygehuset, må sygehuset kunne bruge dette. Kommunen har ansvaret for at sikre at kommunikation på det givne faxnummer bliver håndteret forvaltningsmæssigt korrekt. Herunder at sikre fysisk og/eller logisk adgang til modtaget materiale (en fax behøver jo ikke være en fysisk maskine, men kan f.eks. være en indgang direkte ind i eksempelvis et journalsystem).

10. juni 2011 kl. 10:03
International IPv6-dag: Hvor mange adresser er 2^128 egentlig?

Forskellen på 2^32 og 2^128: Hvis IPv4 betragtes som en linie, er IPv6 rum & tid, Hver IPv4 adresse er en position på en linie. Hver IPv6 adresse er en position i 4 dimensioner, f.eks. rum & tid.

8. juni 2011 kl. 13:31