Jens Beltofte

Kvalitetsjournalistik koster penge - også på Version2

men det er så en af glæderne ved at være med i fagforeningen IDA. Man kunne godt få lidt fornemmelse af, at der er mange gratister her.

Nu er det jo ikke alle brugere af Version2 der er ingeniører eller passer ind i IDA....

13. september kl. 11:03
Kvalitetsjournalistik koster penge - også på Version2

Helt enig. Jeg bruger hverken app, e-avis eller klip. Bruger meget sjældent ing.dk, så et billigere abonnement der kun giver adgang til Version2.dk ville gøre det mere spiseligt og interessant for mig. Ikke med de nuværende abonnementer.

13. september kl. 09:42
Kvalitetsjournalistik koster penge - også på Version2

Hvordan sletter jeg min konto på Version2?

Se https://mit.tekhus.dk/profile#tekhus-transparency

12. september kl. 15:02
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

og er det så ikke i sidste ende smartere, dvs lettere og billigere, at købe europæisk cloud?

Nu kan man jo mene at data som det der ligger i Aula bør krypteres lige gyldigt om det er hostet hos AWS i EU/US, i Scaleways beskyttelsesrum under Paris eller hos Sentia i Glostrup.

7. september kl. 08:37
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Den her formulering passer med at Aula rent teknisk bruger (AWS KMS) CMK-nøgler med eksternt nøgle-materiale.

Doctolib i Frankrig, som har en dom for at de kan bruge AWS til sundhedsdata, lavede såvidt jeg ved kryptering i applikationslaget og krypterede og dekrypterede på en HSM-boks i et fransk datacenter.

Men er vi ikke enige om at for, at AWS ikke skal kunne tilgå de ukrypterede data, skal dekryptering ske udenfor AWS. Det kan så være hos klienten eller en server et andet sted. Hvis en server hos AWS initierer dekryptering ved brug af eksterne nøgler i Danmark eller ved brug af f.eks. en HSM-boks i Danmark, og serveren hos AWS returnerer de dekrypterede data til klienten, så vil AWS have adgang til de dekrypterede data (i hvert fald i teorien).

Aula klienten bygger på et JavaScript framework og laver API kald til www.aula.dk/api/v14. www.aula.dk peger på 3 IP-adresser ejet af AWS, så kald til selve website/klient og API havner hos AWS som returnerer plaintext JSON return fra API'et.

6. september kl. 15:12
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Kryptering at rest og in transit....

Kiggede lidt på Aula og på https://aulainfo.dk/information-til-medarbejdere/sikkerhed-i-aula/ hvor de skriver følgende under afsnittet sikkerhed:

Data er krypterede fra det øjeblik de bliver afleveret til Aula, når de transmitteres, og når de lagres i Aula og helt frem til brugerens web-browser eller Aula-appen. Nøglerne til krypteringen er gemt i Danmark under lås og slå og ingen uvedkommende – end ikke Amazon AWS – vil kunne læse de data, som er gemt i Aula

Det lyder jo meget godt at data er krypteret at rest og in transit, og at nøglerne er gemt under lås og slå i Danmark, men deres kryptering helt frem til browseren må være tale om TLS og ikke dekryptering af data der kun kan lade sig gøre i klienten. I hvert fald kan jeg lave kald til Aula i Postman med min PHP session cookie til authentication, og de data jeg for tilbage er i JSON (plain text). Så hvis data vitterligt er krypteret at rest og nøglerne ligger bag lås og slå i Danmark, så foretages der stadig en dekryptering på Aulas AWS EC2 instanser (eller hvad de benytter hos AWS) inden data returneres til min browser eller Postman.

Kan vi ikke blive enige om, at AWS eller anden tredjepart i teorien godt kan få adgang til de rå data hvis dekrypteringen sker serverside hos AWS?

PS....

Selvom AWS er et kæmpe firma med mange datacentre vil Aula konstant vide og kunne efterprøve, hvor data er gemt.

Denne er også super god (fra ovenstående link). Aula eller Kombit ved jo reelt ikke om AWS allerede har udleveret data til CIA eller anden myndighed i USA.

6. september kl. 12:48
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Desuden var der svjh. en aftale på plads med USA som gjorde at det ikke var det store problem.

Korrekt. Det var først i juni 2020 and Privacy Shield blev gjort ulovlig ifm. Schrems II dommen. Dog er Aula udrullet til institutioner efter denne dato - vi begyndte først at bruge det i Gladsaxe Kommune i maj 2021.

6. september kl. 12:23
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Brev sendt til min bopælskommune 11. august 2022:

Kommunen har 26. august sendt det videre til Kombit for input og de sidder nok og sveder lidt over hvad de skal svare....

Til XXXX Kommunes DPO,

Som forælder til børn i XXXX Kommune og der igennem bruger af Aula, bekymrer brugen af AWS (Amazon Web Services) til drift af Aula-platformen mig meget. Der har været meget offentlig debat og omtale af Chromebooks og Google Workspace, men ikke meget omtale og information om brugen af AWS til Aula, og derfor må jeg selv opsøge informationen.

Det er jo kendt at AWS i Dublin som Aula benytter sig af rent juridisk er ejet af AWS i Seattle, US. Og der igennem er der en risiko for overførsel af vores børns data herunder personfølsomme data til myndighederne i USA jf. FISA 702 og US Cloud Act.

Set i lyset af denne problematik, Schrems 2-dommen og Datatilsynets cloud-vejledning fra marts 2022 har jeg et par spørgsmål til jer som dataansvarlig for mine børns data i Aula.

  1. Hvilke organisatoriske tiltag har XXXX Kommune herunder Kombit og Netcompany gjort for at sikre at data ikke overføres til tredjeland?

  2. Hvilke tekniske tiltag og foranstaltning har man implementeret for at sikre, at oplysninger om vores børn ikke overføres til myndighederne i USA?

  3. Hvordan kan det være at man, set i lyset af Schrems 2-dommen, FISA 702 og US Cloud Act, skriver i persondatapolitikken for Aula-platformen at "Endvidere overføres der ikke personoplysninger til tredjelande uden for EU eller EØS.", når man ikke kan være 100% sikker på at det ikke sker?

Venlig hilsen Jens Beltofte

6. september kl. 10:33
Kommune forventer nyt Chromebook-forbud: Forbereder exit-strategi

Hvorfor pokker skulle datatilsynet ikke godkende en løsning der baserer sig på alm bærbare med Linux eller Windows, samt NextCloud, LibreOffice Online m.m hostet i en privat sky eller onpremise i Danmark?

10. august kl. 11:17
Kommuner går sammen om at løse Chromebook-problemerne

Der er vel intet problem i at bruge Chromebooks ? De kan vel få installeret eksempelvis en Ubuntu Linux, og så køre videre rent offline.

Udfordringen er blot at Chromebooks har ret dårlige specs sammenlignet med en alm. laptop. Nogle helt ned til 4GB RAM og 32GB flash-drev dvs. ikke bedre end en smartphone eller tablet. De er lavet til at alt eller meget kører online, og ikke helt offline med lokalt installerede applikationer.

9. august kl. 13:05
Helsingør trodser Chromebook-forbud: Har sendt tusindevis af siders forklaring til Datatilsynet

Ja - men det kan jo så ikke lade sig gøre lovligt. Så må man efter min mening gøre det næstbedste - og langt mere perivatlivssikre.

Udfordringen er jo at hvis du vil helt af med Google, så er du enten nød til at forsøge dig med at installere Linux på alle kommunernes Chromebooks, hvilket ikke skulle være så let, eller skifte alle skolernes Chromebooks ud med andre og dyrere traditionelle laptops der født til at køre Windows eller Linux. På Chromebooks kan man så vidt jeg ved kun installere apps gennem Googles Play Store, og ikke installere tradionelle applikationer som man gør på Windows/Linux maskiner.

En anden udfordring hvis man vil afskaffe dem er prisen for maskinerne. Kender ikke hvilke Chromebooks som kommunerne benytter, men en hurtigt søgning hvis man kan finde Chromebooks ned til 1500kr. En alm. laptop vil koste væsentlig mere og hvis den skal være meget holdbar så snakker vi rigtig rigtig meget mere.

5. august kl. 10:40
Helsingørs borgmester angriber Datatilsynet: »Det er ikke i orden!«

Det er bare om at gå i gang og huske at gøre det efter Public Money, Public Code principperne.https://download.fsfe.org/campaigns/pmpc/PMPC-Modernising-with-Free-Software.pdf

Sådan er det vist med de fleste af OS2's projekter. Nogle kræver at en enkelte kommune smider nogle penge i kassen til videreudvikling og vedligeholdelse for at kunne være med, men det er jo sådan set også ret meget fair. Penge der giver værdi til det specifikke open source projekt.

5. august kl. 09:21
Helsingørs borgmester angriber Datatilsynet: »Det er ikke i orden!«

God pointe. Lad os smide et sådanne system i udbud og få ATEA/Netcompany/M.fl. til at udvikle et custom system der både er on time og on budget...

Eller?

Ellers danner nogle af kommunerne et projekt under OS2 (https://os2.eu) hvor de sammen med en eller flere leverandører bygger en PoC på opensource komponenter.

4. august kl. 13:47
Helsingør trodser Chromebook-forbud: Har sendt tusindevis af siders forklaring til Datatilsynet

Er det bare mig eller har Helsingør Kommune brugt så meget tid på Google, at de har glemt at lægge deres privatlivspolitik m.m. ud på deres website https://helsingor.dk?

Det fremgår ingen steder hvordan de behandler de data brugerne af hjemmesiden indsender ved tilmelding til deres nyhedsbreve på https://www.helsingor.dk/nyheder-og-fakta/nyheder-og-presse/tilmeld-dig-helsingor-kommunes-nyhedsbreve/. Jo jo, jeg kan godt lure at de bruger MailChimp, men brugerne afkræves ikke samtykke ved tilmelding til at deres oplysninger gemmes og behandles hos MailChimp på servere i USA.

3. august kl. 10:28
Helsingør trodser Chromebook-forbud: Har sendt tusindevis af siders forklaring til Datatilsynet

Og hvordan i alverden har Helsingørs IT-ansvarlige overhovedet tid til at stable den slags på benene?

Skal vi ikke gætte på at Google Danmark har været behjælpelig med at strikke de tusindvis af siders dokumentation sammen?

3. august kl. 10:22
Let adgang til fortrolige helbredsoplysninger: EG Digital Welfare får kritik af Datatilsynet

I afgørelsen har EG udtalt at løsningen understøtter ADFS, men at det ikke er alle brugerne der benytter denne mulighed. ADFS ville give mulighed for MFA, central styring af brugere der har adgang, samt sikre at kodeord ikke ligger i klar tekst i MediConnect.

Gad vide hvor mange af de kommuner og regioner der benytter MediConnect, som IKKE bruger ADFS men brugere vedligeholdt direkte i MediConnect?

Der er som minimum en Region der ikke benytter ADFS, men brugere opretter direkte i MediConnect.......

28. juli kl. 10:44
Lokaltog A/S taler ud om ransomwareangreb: Blev også ramt sidste år

Det gør de ikke, de sætter deres lid til at det var en menneskeligfejl via phishing - Måske en lidt useriøst strategi, men det er vel muligt, siden der går 1 år mellem de 2 angreb.

Men, de opdager problemet kl. 04.00 og gendanner alt fra en 6 timer gammel backup der jo så må være lavet kl. 22.00 dagen forinden. Dvs. at en af dem der har været på vagt i det 6 timers tidsrum mellem backup og problemet opstår, er hoppet lige i phishing fælden. Det kan selvfølgelig ske hvis man er søvning, men det er useriøst hvis man ikke undersøger nærmere hvad der er foregået.

Har nogen modtaget en suspekt e-mail hvor de har klikket på et link det i det tidsrum?

Hvilke websites har medarbejderne på vagt den aften/nat besøgt?

Det virker mærkeligt at man ikke undersøger det nærmere får man skråsikkert forudsætter / hævder at de 6 timer gamle backup er "ren".

18. juli kl. 12:30
Nets: Rod-certifikat var i orden - men underliggende certifikater var ikke »funktionsdygtige«

der tilsyneladende benyttes højeste sikkerhedsniveau for selv banale ting som ovenstående.

(Til oplysning kunne man tidligere hente ovenstående data alene ved at angive en nøgle, men nu kræves brugernavn og kodeord for hvert eneste opslag!)

Datafordeler arbejder med flere forskellige sikkerhedszoner i de registre der udstilles. Topografiske baggrundskort er på ingen måder i den højeste sikkerhedszone som f.eks. CPR eller andre registre med følsomme data hvor din adgang skal godkendes af den respektive myndighed og hvor der benyttes FOCES/VOCES certifikater til authentication.

Om der som på det tidligere Kortforsyningen og nuværende dataforsyningen benyttes en API nøgle oprettet på din konto, eller der som på Datafordeler benyttes tjenestebruger og kodeord oprettet på din konto, er vel hip som hap.

6. juli kl. 13:49
Nets: Rod-certifikat var i orden - men underliggende certifikater var ikke »funktionsdygtige«

Nets er ejet af den amerikanske kampitalfond Hellman & Friedman.

28. juni kl. 16:00
Farvel til GratisDNS og Gratis Google GSuite

Håber det passer. Det bliver virkelig rart hvis vi kan få fjernet "pistolen for panden".

Det gør det. Dog forbeholder Google sig retten til at fjerne "business features" og 24/7 support fra den gratis løsning i fremtiden. Jeg har lige været i kontakt med deres support, da jeg valgte at opgradere for 2-3 uger siden, og er nu blevet nedgraderet til den gratis løsning igen. Skulle blot bekræfte i deres chat at jeg ikke bruger løsningen kommercielt og er indforstået med at de kan fjerne features som 24/7 support i fremtiden.

19. maj kl. 09:36