Troels Arvin

Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud

Noget andet, der bør haves in mente, er brugen af caching leverandører såsom Cloudflare og Fastly, der mig bekendt begge har hovedsæde i USA. Jeg ved ikke med sikkerhed, om de kan udgøre en fare, men jeg tror, at man risikerer at overse deres store (og stigende) betydning.

15. juni kl. 11:31
Tre fejl sendte hele Statens It i gulvet: »Det er ikke hverdagskost«

Tak til Statens IT for at vove pelsen og fortælle, hvad der skete.

Jeg har det lidt skidt med de mange folk, der sidder og sviner Statens IT til "fra bagsædet". Jeg har endnu ikke arbejdet et sted, hvor infrastrukturen var perfekt.

Jeg håber, at Statens IT generelt anvender versioneret "desired state" agtige værktøjer i stil med Ansible og noget peer review. Eller at de i hvertfald har en plan om det.

9. juni kl. 09:57
GDPR vs moderne hjemmesider

Jeg er enig i, at vi bliver nødt til at tale om, at ikke alt er farligt, fx IP-adresser. Det slører fokus, hvis alt opfattes som værende alvorligt.

Bortset fra dét, så foreslår jeg, at "subtile" services såsom Cloudflare medtages, når der kigges på, hvilke cloud-services, som myndigheder og organisationer benytter uden for EUs jurisdiktion. Jeg tror også, at der er mange organisationer, hvor IT-afdelingen kan have sat DNS-servere op til at slå forward'e til 8.8.8.8 eller tilsvarende services, som igen drives af firmaer med base ude for EU. Den slags services har en tendens til at blive overset.

8. marts kl. 12:33
Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«

Hej Søren,

Ja, der er en del sprog, der kan skabe programmer, der kan køre på flere forskellige platforme. Med Rust gælder det, at en binary til Windows ikke kan køre på Linux og omvendt (modsætning fx til Java bytecode).

Det interessante omkring Rust er i mine øjne, at:

  • Rust nu er blevet så mainstream, at også malware-udviklerne bruger det.
  • Rust binaries er anderledes for it-sikkerhedsfolkene at reverse engineer'e, og det er angivelig en udfordring for dem.

PS: Ligegyldigt hvilket sprog der er tale om, vil der imidlertid skulle være én eller anden svaghed et sted, som gør, at ransomware'en kan spredes. Og mht. BlackCat er det desværre uklart, hvordan den spreder sig, synes jeg.

24. februar kl. 19:11
Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«

Søren Ploug, jeg synes, at Bleepingcomputer artiklen handler om LockBit og ikke BlackCat. Ydermere læser jeg artiklen som, at det står, at LockBit angriber en VMWare-sårbarhed, og ikke en Linux-sårbarhed. Har jeg misforstået noget?

23. februar kl. 14:00
Sundhedsdatastyrelsen dumper på basal it-sikkerhed: »Det er ikke raketvidenskab«

René,

Jeg giver dig ret i, at telefonen bestemt ikke længere er noget, man blot snakker i. Og derfor er det efterhånden lidt tankevækkende, at vi benytter en app på telefonen til "2-factor" autentifikation mod MitID logins og på Google/Office365/...

Men der er ganske afgørende forskelle på PCer og telefoner: Hvor PC-branchen har været plaget af malware, er telefoner i praktisk forstand gået fri.

Telefonerne er gået fri, fordi de typisk auto-opdaterer, de henter software fra en screen'et kanal (app stores) og fordi de fra starten har haft effektiv indkapsling af programmer. Omvendt har (Windows) PCer haft gyselig dårlig sikkerhed i praksis, særlig når man tager i betragtning, hvor mange kræfter, firmaer overalt på kloden lægger i at forsøge at få styr på dem med policies, antivirus, osv.; dette er nok i særlig grad fordi Microsoft aldrig har haft success med at at få folk til at bruge gode offentlige softwarekanaler med kurateret software i stil med appstores og yum repositories.

Givet af telefonernes track record er helt, helt anderledes, må det også have konsekvens for, hvordan de håndteres. Fx. vil det i sandhed være tåbeligt, hvis nogen begynder at pippe om, at der skal installeres antivirus på dem (det vil kun tilføre angrebsflader, ikke robustgøre).

26. januar kl. 12:40
Fem myndigheder under lup: Ingen efterlever minimumskrav til it-sikkerheden

Jeg er enig i, at listen i hovedsagen er god. Og jeg er enig i, at det med antivirus er en grum undtagelse.

Antivirus på mail gateways er OK, fordi det begrænser de junk-mails, som folk skal sidde og tage stilling til. Og antivirus er muligvis meningsfyldt på fil-shares, men ellers er det et usmart krav, fordi det næppe gavner mere end det skader.

Der har været talrige sikkerhedshuller i antivirus-software, hvilket er ret uheldigt på software, der har fat så dybt inde i maskinen. Og der har været eksempler på, at antivirus software har umuliggjort eller forsinket/kompliceret OS opdateringer. Antivirus med on-access scanning hæmmer performance mærkbart, med mindre man er rundhåndet med undtagelses-lister, men hvis man indfører sådanne lister er logikken ligesom helt borte. Endvidere er antivirus yderst ringe til at fange malware, for malware-producenterne kan jo blot teste sine "produkter" mod gængs antivirus-software, inden det udsendes.

Nej, hyppig patching, gode kodeord og afinstallation af ting, der ikke benyttes, det er vejen frem -- i kombination med, at dagligt arbejde ikke udføres med administratorprivileger.

17. januar kl. 22:23
Schrems' positivliste

Sune, hvad er det, som du savner i forhold til de spørgsmål, som Ole stiller? Hvis du savner mere om firmaets ejerform osv: Som nævnt har det base i Finland, og nogle søgninger viser, at hovedinvestorerne er europæiske.

10. november 2021 kl. 11:31
Schrems' positivliste

UpCloud (som mig bekendt har hovedsæde i Finland) har svaret mig:

can confirm that no user data is moved between data centers under any circumstances. If you deploy a server in FI-HEL2 for example, the data on that server stays there only.

De tilbyder ikke AMD Secure Encrypted Virtualization (SEV).

10. november 2021 kl. 10:56
Infrastruktur uden IT

Nogle af pengene ville jeg bruge på at give incitament til at få IPv6ificeret offentlig IT. Mål: At få frigjort en masse IPv4 adresser og få samfundet gjort mindre afhængigt af IPv4.

IPv4 tilstandens kroniske mangel på routeable adresser hæmmer IT-udviklingen og bidrager til, at amerikanske mastodonter sidder tungt på cloud. Og når cloud'en er så amerikansk, betyder det, at mange danske organisationer ikke kan benytte cloud i situationer, hvor det ville være gavnligt.

IP adressemanglen gør også, at der er opstået meget komplicerede NAT arkitekturer ude i det danske IT-landskab. Jeg sidder selv og skal forsøge at bidrage til at løse problemer i et setup, hvor organisationer i forskellige dele af landet skal kunne udveksle data på hensigtsmæssig vis. I den sammenhæng har vi sager, der trækker ud i måneder, bl.a. fordi det er så komplicet at hitte ud af, hvad der foregår i multiple led af NATIngs.

Incitamentet kunne være, at man får betydelige pengebeløb til at renovere et site eller et større system, hvis det som del af projektet indgår, at det bliver fuldt funktionsdygtigt på IPv6. Lur mig, om sådanne moderniseringsprojeketer ikke også ville kaste af sig, at en del end-of-life installationer rundt omkring som sideeffekt ville blive udskiftet.

29. juni 2021 kl. 12:19
Er der råd i Rådet?

Malthe, dit link leder i skrivende stund til en "Page not found" side.

28. juni 2021 kl. 16:21
Irlands sundhedssystem lammet af ransomware: Lukker it-systemer og aflyser aftaler

Ingen steder har jeg kunnet finde svar på følgende: Hvordan kom ransomware'en ind og fik fat?

Nogle steder på nettet nævnes et problem med, at de i pågældende organisation benytter Windows 7, men det er vel ikke tilstrækkelig grund til, at malware'en kunne komme ind og blive aktivt.

17. maj 2021 kl. 13:21
Forsvarsminister opfordrer SMVer til at købe sig til it-sikkerhed

Er der ikke allerede standarder for processer og politikker omkring it-sikkerhed?

Jeg mener bestemt at have hørt om en række standarder fra ISO og NIST og andre.

Måske er problemet, at der for mange af dem (og at de tager et par uger at læse igennem).

2. december 2020 kl. 13:53
Cloud-kaos presser danske virksomheder: »Vi er jo nærmest vokset op med, at det hele hedder Office eller Microsoft«

Christian,

Sådan som jeg har forstået er problemet: Hvis cloud-leverandøren har hovedkvarter i USA, gælder CLOUD act, som angivelig tillader civile USA-myndigheder at tvinge "U.S.-based technology companies" til at udlevere data, ligegyldigt, om data rent fysisk befinder sig i USA eller i Europa. Hvis det ikke var for nævnte CLOUD act, ville man "kun" skulle bekymre sig om spiontjenster.

Jeg kan derimod godt forestille mig, at det er uproblematisk, hvis et firma med hovedkvarter i EU hyrer et USA-baseret firma til hjælp med at drifte en installation, som er ejet af det EU-baserede firma, så længe support-kontrakten gør det tydeligt, at data ikke må forlade EU. For i en sådan situation tror jeg ikke, at FBI kan tvinge det USAske firma til at smugle data ud fra EU-kunden.

26. november 2020 kl. 14:56
Nye EU-anbefalinger er en bombe under cloud-markedet

Michael:

Ja, man skulle tro, at de finder ud af noget. På den anden side synes jeg, at vi nu i årevis har set den ene juridiske konstruktion efter den anden falde fra hinanden når det gælder dette.

Her er en ret usædvanlig konstruktion, som måske er en prøveballon. Jeg må indrømme, at jeg ikke forstår, hvad den helt konkret går ud på (og hvad Google får ud af det): https://www.ovh.com/world/news/press/cpl1692.ovhcloud-and-google-cloud-announce-strategic-partnership-co-build-trusted-cloud-solution-europe

24. november 2020 kl. 09:10
Nye EU-anbefalinger er en bombe under cloud-markedet

Klavs: Spændende med Hetzner's Kubernetes-tilbud.

Jeg kender bare ikke til nogle firmaer eller større offentlige organisationer, der bruger Hetzner. Eller ovhcloud.

Eneste løsning, som jeg kender, er at DK Hostmaster mig bekendt drifter nogle ting hos gandi.net.

23. november 2020 kl. 11:39
Nye EU-anbefalinger er en bombe under cloud-markedet

Det er super-ærgerligt, hvis det betyder, at europæiske virksomheder og organisationer får endnu sværere ved at drive løsninger i skyen.

Det er ikke kun under Trump, at der har været uforudsigelig datasikkerhed for europæeres data i USA. Og derfor er det på tide at få analyseret, hvad der er baggrunden for, at der er så få cloud-leverandører med europæisk hovedsæde.

Der er utvivlsomt noget first-mover effekt over det. Og det er nok også noget med, at USA har nogle meget stærke IT-klynger inklusive stærke VC-miljøer. Men jeg synes ikke, at det kan forklare det hele.

Rent lavpraktisk tror jeg, at det er vigtigt for os, at IPv6 vinder større indpas. Det er simpelthen ret svært at etablere nye større cloud-løsninger, hvis man skal nusse rundt med de mikroskopiske IPv4 allokeringer, som er tilbage at få fat i. Europæiske IPv4-adresser per indbygger er mig bekendt betydelig færre end i USA. Hvis jeg var diktator i EU, ville jeg derfor kræve, at alle offentlige udbud i EU fremover kræver, at løsninger er tilgængelig over IPv6.

Hvad kan man ellers rent praktisk gøre for, at vi på denne side af atlanten bliver mere selvrådende mht. cloud?

23. november 2020 kl. 10:36
DataFordeler: Vis hvad du duer til!

Morten, har du taget et kig på https://datafordeler.dk/ ?

8. august 2020 kl. 13:17
JSON i MySQL - en god idé?

Lidt mere name dropping: Hvis du har en strøm af data in i PostgreSQL, hvor du gerne effektivt vil kunne rydde op igen, så bør TimescaleDB (som kan ses som en PostgreSQL add-on) nok overvejes. Jeg har ingen personlige erfaringer med den.

11. juni 2020 kl. 10:05