Henrik Sørensen

ITU-forsker: It-sikkerhed kan ikke skabe tillid til digitale valgsystemer

#53

Hvem tror du da jeg taler for, hvis det ikke skulle være for mig selv?

15. november 2021 kl. 09:25
ITU-forsker: It-sikkerhed kan ikke skabe tillid til digitale valgsystemer

Trine Bramsen ... og de 178 andre er alle valgt via vores totalt sikre papirsystem ... utroligt at det ikke kan frembringe bedre resultater ... ironi kan forekomme.

Den egentlige udvælgelse sker lang tid før valget og er ofte dybt manipuleret uden at det lader til at anfægte os det mindste.

En valgkreds med kandidater, der har brugt år på solidt politisk arbejde, får pludselig før valget en kendt person placeret af landsledelsen og vupti, så bliver den kendte valgt på kendisfaktoren og ikke på noget politisk arbejde ...

Det samme sker, når et parti står til at tabe i en kreds, hvor et 'vigtigt' medlem er valgt ... vupti så flyttes vedkommende til en 'sikker' kreds og tromler lokale kandidater dér...

Lige så interessant er det at iagttage, hvordan der er hele familie-dynastier inden for politik. Har vi høvdingevælde eller hvad?

Og hvorfor lader vi de samme politikere kan sidde i 15-20-30 år. Måske det kunne være relevant at kigge på om man skulle begrænse det til et bestemt antal år?

Så når vi er så fokuserede på HVORDAN vores valgsystem fungerer på valgdagen, hvorfor er vi så så lidt interesserede i HVEM vi kan vælge imellem til at repræsentere os i resten af valg perioden...?

14. november 2021 kl. 11:45
Datatilsynet slår fast: Google kan køre lovligt i danske folkeskoler

Tør nogen bygge videre på det tankeeksperiment?

... nemt ...

... Google sagsøger Datatilsynet og den danske stat for at forhindre dem i at konkurrere frit på det danske marked ...

... Dansk Industri m.fl. starter massive kampagner for at fortælle at vi taber konkurrencekraft når vi ikke længere kan benytte samme værktøjer som vores konkurrenter ( ... og ikke selv har evnet at udvikle konkurrencedygtige alternativer) ...

... Folkeskolen fortæller, at de sagtens kan benytte andre værktøjer, hvis de altså bare får flere penge til at ansætte nogen der kender til dem ...

... alle med Android telefoner stiller krav om at få byttet deres telefoner til noget med samme specs men uden Android ...

... alle med biler der styres med/af Android Auto forlanger at få byttet det hele til noget andet med samme specs. og uden beregning ...

... danske medier vil bringe helsides opslag hver dag i en uge og takker for at få annoncekronerne tilbage igen ...

28. september 2021 kl. 12:29
Datatilsynet slår fast: Google kan køre lovligt i danske folkeskoler

Det kunne være interessant at høre Frank forklare den beslutning.

... så skulle vi måske starte med at få Mette F til at forklare vores egen frivillige men hemmelige udlevering af data til US ...

28. september 2021 kl. 12:19
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Bjarne, Baldur m.fl.

Tak for en interessant dialog - vi er kommet vidt omkring undervejs. Tak for det.

Med mindre nogen adresserer mig direkte, så ender mine indlæg i denne tråd her.

God weekend

30. juli 2021 kl. 17:48
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Bjarne (#55)

...Safe Harbour, Privacy Shield, SCC, etc. etc. Hold nu op med, med den ene hånd igen og igen at kaste unødigt støv op, og med den anden klage over manglende klarhed

Jeg er meget langt hen ad vejen enig med dig. GDPR i den 'rene' form er ikke specielt svær og PHK skar det ud i pap, hvis man forsat skulle være i tvivl.

Udfordringen er - som du fuldstændig rigtigt peger på - at EU Kommissionen med den anden hånd så opfinder Safe Harbour, SCC med flere, for derefter at blive underkendt gang på gang af EU domstolen.

Det ER altså lovgivningsarbejde af værste skuffe og det er ikke rimeligt, at bede europæiske virksomheder og organisationer om at skulle navigere i.

30. juli 2021 kl. 17:05
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Bjarne (#54) ... det er også muligt, at jeg fik udtrykt mig lidt indforstået, hvilket du så fik fanget mig i ... tak for det.

EU er pt. ved at vågne af Tornerose søvnen og har opdaget, at vi er sakket bagud på helt centrale områder som chip-produktion, batterier, cloud og et par andre områder og man har derfor besluttet at lægge en væsentlig indsats i at styrke disse områder ... det er både rigtig og rigtig godt set. Initiativerne på ovennævnte områder ses blandt andet i rammeprogrammerne og i EUs budgetter i øvrigt.

... og indlægget var sådan set skrevet i GDPR sammenhæng, men pointen var ikke tydelig.

Det jeg forsøgte at pege på var, at jeg synes det er uheldigt at GDPR lovgivningen og den efterfølgende tolkning af den skaber uklarhed fremfor klarhed ... og at den uklarhed kan ses som et subtilt forsøg på protektionisme fra Kommissionens side.

EU tør tydeligvis ikke sige helt fra overfor USA, for så falder konsekvensen prompte og EU eksport til USA risikerer omgående sanktioner ... så derfor bliver det til kattelemslovgivning hvilket er uskønt, men også kontraproduktivt hvis EU ønsker at opbygge kapaciteter indenfor EU.

Meget få virksomheder og organisation vil for alvor kaste energi og penge i at udvikle noget, der kan og skal hamle op med amerikanernes dominans, før de er forvisset om at deres penge ikke er spildt fordi der igen åbnes for sluserne fra USA om få måneder eller år.

30. juli 2021 kl. 16:49
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

PS: At du opfatter mit svar på dit indlæg som et personangreb har jeg svært ved at tage seriøst, når dine egne indlæg også er fyldt med overdrivelser som "vanvid", "selvsving af juristeri" osv. Hvis det er godt for gåsen er det godt for gasen.

Jeg angriber ikke afsenderen, udtaler mig ikke om vedkommendes moral eller kommer med påstande om at den virksomhed vedkommende arbejder for skal lukkes.

Det er forskellen.

PHK du har mange stærke meninger - behøver de virkelig at blive spicet op med angreb på den du diskuterer med?

30. juli 2021 kl. 12:36
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Peter Stricker (#45)

Det skal du være velkommen til da jeg antager at det er hans synspunkt om grundrettigheder du er enig i og ikke at det er ok at gå efter personen.

PHK har en absolut valid pointe og det ville være befriende, hvis lovgivningen blev skrevet så enkelt som han udtrykker det:

Det er dit forbandede ansvar at minimere mængden af persondata du indsamler, behandler og opbevarer og at holde de persondata du ikke kan undgå hemmelige for uvedkommdende.

... måske lige med undtagelse "forbandede", som ikke er kønt i lovtekster...

Jeg opponerer alene over at PHK ikke kan holde fokus på det faglige/saglige men benytter lejligheden til et personangreb. Derfor anmeldelsen af indlægget.

30. juli 2021 kl. 11:58
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@PHK (#42)

Dit tuderi lyder og er præcis lige så moralsk anløbent,

Fra debatreglerne:

Vi tolererer ikke personangreb.

Dit indlæg er anmeldt for at overtræde debatreglerne.

30. juli 2021 kl. 11:34
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Bjarne Nielsen (#34) du skriver:

Den fortolkning må vist stå for din egen regning.

... til min påstand om, at EU ønsker at flytte omsætning, viden og udvikling tilbage til europa.

Jeg er dog ikke alene om at betale den 'regning', men får hjælp af EUs 'præsident' ... eller mere korrekt, formanden for Det Europæiske Råd, Charles Michel, som i sin tale: "Digital sovereignty is central to European strategic autonomy" fra starten af i år, blandt andet siger:

It’s no longer acceptable, nor sustainable, that companies make huge profits in a market without paying taxes where they operate.

... og lidt senere ...

Our ambition is to lead the way and work with partners to deliver a rulebook for the digital economy. And now, we have a fresh opportunity to forge a joint EU-US tech agenda. A consensus is emerging – on both sides of the Atlantic – that online platforms and Big Tech have the potential to threaten our common democratic values.</p>
<p>We are currently reaching out to stakeholders both in the EU and US to explain our goals. To set fair rules and ensure online businesses respect EU fundamental rights and values, when operating in our market.

Du kan læse hele talen her: https://www.consilium.europa.eu/da/press/press-releases/2021/02/03/speech-by-president-charles-michel-at-the-digitaleurope-masters-of-digital-online-event/

Har du mod på mere læsning, er der en masse at hente i de vedtagne tekster om EUs cloud initiativ ... dem kan du finde et udvalg af her: https://www.europarl.europa.eu/doceo/document/TA-8-2017-0052_DA.html

30. juli 2021 kl. 11:18
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

@Bjarne .... top point for et godt indlæg (#36)!

Du formår at kondensere og naile mange problemstillinger af væsentlig betydning i dit skriv.

Interessant nok, kan mange af tingene fra EULA proportionalitets-problematikken overføres til GDPR og overførselsgrundlag ... EU kommissionen og EDPB har som den stærke part lavet et ultra snørklet regelset som skaber en usikker retstilstand for alle virksomheder i EU og som reelt set ikke kan forstås af nogen ... denne debat som et godt eksempel.

Jeg er sikker på at en del vil mene, at det ER klart og har været det længe, men der er lige så mange, der ikke deler den opfattelse.

Det væsentlige er ikke, hvem der har ret, men, at lovgivningen er så dårlig forfattet, at der fortsat er væsentlig uenighed om dens fortolkning og håndhævelse ... uenighed blandt os der debatterer her, uenighed blandt jurister og uenighed i den reelle implementering i hverdagen.

Senest er Datatilsynet kommet med en vejledning, som de sikkert selv er stolte af, men som faktisk ikke vejleder nogen. Javel, den er da interessant at læse for os, der nørder med det her til daglig, men den kan næppe bruges, som en vejledning af den lille VVS virksomhed, som gerne vil bruge diverse moderne it-værktøjer til at understøtte det daglige arbejde eller af den mellemstore virksomhed der har kontorer og sælgere i lande udenfor EU/EØS.

Hvis de vil være sikre, så kan de bare holde sig fra amerikanske services, lyder et af debat-ekkoerne tit. Men er det rimeligt, at man skal afholde sig fra at gøre noget, fordi lovgivningen på området er uklar?

Lovgivning bør altid være klar, entydig og letforståelig for de som er omfattet af den. Det er langt fra tilfældet her.

... og vejledningen fra Datatilsynet? ... den burde som minimum indeholde en positivliste som virksomhederne kunne bruge som rettesnor for hvilke services udenfor EU/EØS, der frit kan anvendes. Datatilsynet er de eneste, der er i stand til at lave listen. ALLE andre kan kun vente på at blive straffet hvis de forsøger fordi de tror at de har forstået lovgivningen eller holde sig helt væk af skræk for at gøre noget forkert.

Den slags lovgivning og myndighedshåndhævelse hører normalt kun hjemme i totalitære stater.

30. juli 2021 kl. 10:21
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Der er vel en vis mængde pragmatisme i det.

Desværre ikke. Ingen pragmatisme og heller ingen fornuft.

Hvis din supporter sidder i et usikkert tredjeland, fx USA, Indien eller Kina, så vil der være tale om overførsel af personhenførbare data, hvis blot der er en risiko for, at vedkommende kan komme til at se disse data fx i et skærmbillede eller ved søgning i en logfil ... også selvom den pågældende fil ikke overføres. At SE er det samme som at overføre.

Hvis du så flytter den samme person til et vilkårligt sted i EU/EØS eller til et sikkert tredjeland - BUM så er der ikke længere tale om overførsel - heller ikke hvis personen tager hjem dagen efter at have siddet og bladret alle dine personhenførbare data igennem.

Der er altså ikke tale om at der ligger en beskyttelse i at personen kan retforfølges, fordi vedkommende er borger i et EU land og således omfattet af direktivet, men alene tale om HVOR vedkommende er fysisk placeret på tidspunktet for (kigge)adgangen til personhenførbare data.

Det er virkelig gak på højt plan.

29. juli 2021 kl. 20:07
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Hej Baldur,

Hvis du læser Datatilsynets seneste anbefalinger så er du ikke længere i tvivl ... alle de nævnte systemer indeholder personidentificerbare data og er derfor omfattet.

Et af problemerne ved det er, at det i praksis også umuliggør al anden databehandling som ellers ikke omfatter personidetificerbare data da der (sædvanligvis) er behov for et adgangskontrolsystem som jo netop indeholder ... personhenførebare data.

EU er gået i selvsving i et vanvid af juristeri som i virkeligheden ikke handler om privacy, men om at flytte omsætning, viden og udvikling tilbage på europæisk grund, hvilket kan være sympatisk nok, men som her bliver gjort på den mest groteske måde.

Vi må ikke bruge ydelser fra US baserede virksomheder fordi de kan blive pålagt at udlevere data til US efterretningstjenester (og det ER noget skidt), men hovedproblemet for europæiske virksomheder er ikke NSA men daglige malware og hacker angreb som koster milliarder og truer forsyningssikkerhed og velfærd.

EU privacy er højt besunget, men i virkeligheden er den til at lukke op og s.... i.

Hvorfor? ...vil du måske spørge? ... fordi EU privacy ikke er koblet sammen med erstatningsretten. Når nogen bruger dine data til formål du ikke har givet tilladelse til så er det staten der via Datatilsynet har påtaleretten og som indkasserer eventuelle erstatninger i form af bøder.

Den samme stat har sørget for at Datatilsynet er en lille krøbling af en institution, der på ingen måde kan levere nogen reel beskyttelse for dig.

Prøv for eksempel for hyggens skyld at gennemgå Datatilsynets afgørelser og tæl hvor mange af dem der handler om de utallige anonyme profileringsvirksomheder der hver dag sælger viden om dig til anvendelser du ALDRIG har givet et informeret samtykke til ... skulle du komme til et tal højere end nul så lad mig det endelig vide...

Eller prøv at anmelde nogen til Datatilsynet (for noget som reelt kræver en anmeldelse selvfølgelig) og se hvordan din anmeldelse opsluges af det store intet.

Ved at koble EU privacy med erstatningsret for den skadeslidte ville man gøre det muligt at åbne for gruppesøgsmål hvor en masse borgere kunne gå sammen om at jagte ulovlig anvendelse af deres data med store omkostninger til følge for skadesvolderne.

Så prøv at gøre regnebrættet op ... synes du, at du at EU privacy lovgivning er guds gave til menneskene? ... og synes du at EU bruger kræfterne rigtigt når de bruger privacy til at slå ud efter Facebook, Microsoft, Amazon, Google m.fl. eller skulle man hellere ændre skattelovgivningen så de kom til at betale til kassen i de lande de opererer i...?

29. juli 2021 kl. 15:51
Dansk hacker finder mystisk bug i moderne Iphones

Det lyder meget som et problem med en strengparser som der foreslås flere steder ... men så er der noget der ikke stemmer ... hvis det er et parser problem, så burde parseren enten melde fejl og fejlen burde boble op og afbryde handlingen eller også må parseren returnere et eller andet som enten er en streng eller NULL hvor sidstnævnte så igen burde udløse en exception.

Vi må antage, at parserens resultat gemmes på listen over kendte hotspots og i det modul mangler åbenbart også fejl-tjek hvis indholdet af listen kan indeholde ulovlige værdier alternativt mangler modulet der henter listen relevante fejl-tjek når der tillades værdier som får modulet til at gå ned inden det får præsenteret listen til radiomodulet ...

Hvis mine antageler er rigtige, så tyder det på en meget svag sikkerhed omkring WiFi modulet på iPhones ....

22. juni 2021 kl. 18:23
Retssag på vej: Oracle jagter AWS-kunder med Oracle-databaser

Det burde simpelthen ikke være tilladt at lave så elendige licensbetingelser. Oracle grow up and behave...!

Jeg er gammel nok til at huske dengang Oracle mente at Vejdirektoratet skulle betale licens for alle der kørte forbi vejdirektoratets skilte på Helsingørmotorvejen fordi informationerne var lagret i en Oracle database.

Der er kun et at sige ... forlad deres produkter så hurtigt du kan ... der findes heldigvis fornuftigere alternativer.

8. juni 2021 kl. 15:12
Kære myndigheder: Stop med at pive over Schrems II - der er en løsning

Jeg har stadig til gode at høre koret af danskere der oplever at deres Office365 data bliver misbrugt af NSA m.fl.

Til gengæld står eksemplerne i kø når det gælder det offentliges snagen og misbrug af information gravet frem på Facebook, Instagram og andre tjenester.

Fuldstændigt lovlydige borgere bliver mødt med mistro og fejlslutninger baseret på sagsbehandleres snagen rundt i deres billeder og data …. DET er sgu det offentlige man skal frygte

1. juni 2021 kl. 14:57
Skatteministeren ønsker flere penge til kriseramt ejendomsvurderingssystem

således at en million investeret i et hus i 1995 som sælges i 2021 for to millioner ikke udløser en beskatning af en million, da pengenes værdi har ændret sig, og derfor må overskuddet justeres tilsvarende - det kunne måske udløse en beskatning af 500.000 kr.

… og ham der har forbedret sit hus med et nyt tag for 500.000 sidste år … penge som han HAVDE betalt skat af før han brugte dem på huset … skal han så beskattes af de 500.000 han får mere for huset fordi det har nyt tag?

Så bliver det i givet fald skat med skat på … problemet er langt mere komplekst end det vi lige kan drømme op i kommentarsporet her tror jeg … hvad tror du?

27. maj 2021 kl. 16:51
Dansk leder af hackergruppe: Steam var to år om at lukke gabende sikkerhedshul (halvt)

Men vil man sidde på arbejde eller som "seriøs skurk" og spille computerspil?

Ja det kan være overraskende så mange ikke-teenagere der også spiller spil … bl.a. på Steam.

Og der er jo ingen grund til at fedte med at skulle omgå operativsystemet eller trælse browsere og deres sandkasser, hvis man kan få sit target i folden blot ved at få ham eller hende til at kigge på highscore …

19. maj 2021 kl. 20:40
Offentlige midler, offentlig kode!

@Sune jeg tror vi langt hen ad vejen er enige.

I grænselandet mellem standard open source produkter og det fagspecifikke er der fx forretningshændelser som partshøring og andre forvaltningselementer der sagtens kunne laves som open source moduler - lige til at knappe ind i koden og genbruges på tværs af systemer

19. maj 2021 kl. 20:34