Yoel Caspersen

IDA overvåger medarbejdere med uigennemskuelig AI: »Vi ved, at systemet ikke forstår alt«

Der er med leverandøren indgået en databehandleraftale, som er godkendt af IDAs DPO, og data opbevares efter lovens ånd og bogstav og anvendes kun af IDA Forsikring. De slettes efter 5 år.

Det er stort set kun regnskabsdata og kontrakter, som lovligt kan opbevares i 5 år. Lige så snart personoplysninger ikke længere er relevante, skal de slettes jf. dataminimeringsprincippet.

Fagforeningsmedlemskab er en følsom personoplysning, hvorfor IDA Forsikring bør være ekstra opmærksom på at holde sig på dydens smalle sti - almindelige personoplysninger bliver pr. definition følsomme, når de knyttes til et medlemskab af IDA.

Når det er sagt, så er GDPR elastik i metermål. Det er umuligt at være 100 % compliant, så DPO'ens rolle er primært at sikre, at der ikke er udsigt til for store bøder, hvis Datatilsynet en dag skulle få tid til at kigge forbi.

Går man efter 100 % compliance, kommer man ud i unødvendige benspænd og tosserier som forbud mod SMS'er i fagforeningsarbejde m.v.

27. oktober kl. 07:04
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

I et målrettet DoS-angreb vil angriberen kunne kode sin bot til at medsende session cookie - og smide den væk, når login fejler, hvorefter man forsøger igen. Hvis målet er at lægge MitID ned, vil man nok gerne ofre den ekstra halve kodetime, det tager, at få sin klient til at håndtere en cookie challenge.

Hvis det havde været let at skelne maskiner fra mennesker, havde der ikke været noget behov for CAPTCHAs.

2. oktober kl. 11:03
Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

For hvert et simpelt problem er der en lige så simpel, forkert løsning ;)

Tiden, hvor 1 IP-adresse == 1 bruger, er forlængst forbi. Carrier Grade NAT anvendes på samtlige mobilnet og en del kablede net.

IP-blokering kan muligvis bruges på IPv6, men det ser ikke ud som om, det er noget, man har hørt om hos Nets.

1. oktober kl. 11:07
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

Man kan ikke tælle fejlforsøg via IP adresser. De skal tælles via sessioner, og derfor er sessionsbegrebet omgærdet af særlig sikkerhed i alle browsere.

Browsersessioner baseret på session cookies har ingen værdi fra et DoS-mæssigt syspunkt, da en angriber blot kan vælge at starte en ny session for hver forespørgsel.

Og nej, man kan heller ikke nødvendigvis tage udgangspunkt i IP-adresser til rate limiting af DoS-angreb - trafik fra NAT'ede IP-adresser ligner et DoS-angreb, hvis threshold sættes tilstrækkeligt lavt.

Og så er vi tilbage ved, at det er hundesvært at skelne legitim brugertrafik fra DoS-trafik, hvis angriberen har gjort sig bare den mindste smule ulejlighed.

200 forkerte opslag fra samme IP-adresse i timen lyder umiddelbart som en realistisk grænse - der kan snildt være flere tusinde brugere bag samme IP-adresse på mobilnettene.

30. september kl. 17:53
Kvalitetsjournalistik koster penge - også på Version2

Det var ikke mig, der opfandt koblingen til IDA - men hvis man synes, IDA-medlemmer bør have privilegeret adgang til version2, må det vel være fordi man opfatter det som et medlemsblad? Ellers er der vel ikke nogen grund til at blande IDA ind i debatten.

14. september kl. 12:52
Kvalitetsjournalistik koster penge - også på Version2

-- men det er så en af glæderne ved at være med i fagforeningen IDA. Man kunne godt få lidt fornemmelse af, at der er mange gratister her.

Mediehuset får i 2022 ca. 4,4 mio. kr. i mediestøtte.

Det er vel fair nok, at skatteborgere - som ikke er medlem af IDA - også får noget for dette - det skal vel ikke blot være statsstøtte til IDA's interne medlemsblad?

Helt generelt synes jeg, det er en gråzone med paywalls på medier, der modtager statsstøtte. Det er svært at argumentere for, hvorfor man både skal have statsstøtte og betaling fra læserne.

14. september kl. 07:41
Vi skal ikke have e-valg i Danmark – papirvalg er den bedste løsning

Hvad skal vi med straks-resultater? På en almindelig valgdag har man en 99%-sikker prognose, når man går til køjs og valget er helt afgjort, når man står op. Hvad skal vi bruge hurtigere resultater til?

Helt enig - for så vidt man ser på det repræsentative demokrati, som det ser ud i dag.

En use case for e-valg kunne være at udskifte det repræsentative demokrati med et mere direkte demokrati, hvor borgerne i langt større grad bliver involveret i stort og småt - noget, der ikke er praktisk gennemførligt med analoge valg.

Om man så synes, det er en god idé, handler nok primært om ens tillid til sine medborgere...

22. august kl. 16:15
Vi skal ikke have e-valg i Danmark – papirvalg er den bedste løsning

Nu vi er i gang med at se på det optimale valg, bør man forbyde offentliggørelse af meningsmålinger og exit polls før valgstederne lukker.

Begge dele kan forfalskes og offentliggøres uden juridiske konsekvenser, har potentiale til at påvirke valget og resulterer i tomgangs-TV, hvor journalister interviewer hinanden om bogstavskombinationer.

22. august kl. 16:06
Forsker har kortlagt det danske internet: »Der skal lægges en reel strategi«

Jeg må ærligt indrømme, at jeg heller ikke helt forstår koblingen mellem unge kvinders selvværd og ejerskabet til kablerne i jorden.

I Danmark er der ganske rigtigt mange forskellige internetudbydere, og hurra for det. Det er et bevidst ønske fra de regulerende myndigheder, at konkurrencen på teleområdet er velfungerende - og det hænder ofte, at internetudbyderen lejer sig ind på kabler, der ejes af et energiselskab eller en anden netejer.

Men både netejere og internetudbydere er underlagt dansk lov, og de render altså ikke rundt og sælger kundernes data til højestbydende. Desuden er de data, internetudbyderne har adgang til, ofte af tvivlsom værdi - sammenholdt med de data, techgiganterne kan høste direkte fra kundernes smartphones, SoMe-konti m.v.

Så er der spørgsmålet om ejerskab til søkabler mellem dansk og udenlandsk territorium. Ja, der er søkabler, som ejes af konsortier, hvori tech-giganter indgår. Det er der ikke noget mærkeligt i, al den tid, tech-giganterne har en interesse i at stille deres services til rådighed for danske forbrugere.

Kan tech-giganterne sniffe trafikken på søkablerne? Det kan de nok godt, hvis de ellers kan komme til for FE, NSA og hvem der ellers lytter med. Men hvordan skulle den danske stat realistisk set sikre sig mod, at fremmede lytter med på kabler, der befinder sig på udenlandsk territorium?

Det er komplet umuligt, og det er derfor, man implementerer sikkerhed på højere niveauer - fx i form af kryptering af trafikken.

26. april kl. 14:58
Så er det sagt...

Et bud på en oversættelse:

  • USA vil til at regulere krypto"valuta"
  • Dunning-Kruger-rands: Et ordspil - Krugerrands (en sydafrikansk guldmønt, som blev skabt til investering på trods af FN-sanktioner mod apartheid-styret) og Dunning-Kruger-effekten (opkaldt efter to forskere, der lancerede teorien om, at folk med en begrænset indsigt i et givent emne har en tendens til at overvurdere deres egen viden om samme - netop pga. den manglende indsigt)

Så jeg gætter på, PHK bruger betegnelsen Dunning-Kruger-rands om en hvilken som helst ny krypto"valuta", krypto-fans hovedløst investerer deres pensionsmidler i.

Resten af tråden er en genopførelse af tidligere debatter. Et par krypto-fans, som mener, PHK er en sur gammel mand, der står alene tilbage på perronen, når krypto-toget er kørt mod Nirvana, og Michael Cederberg, som mener, hans egen branche (den klassiske finansverden) i sidste ende står tilbage som vinder, når krypto-hypen har lagt sig.

Her er jeg nok mest på de sure gamle mænds hold - man kan sagtens blive rig af pyramidespil, men det er svært at bygge et samfund på.

PHK's skarpe pen provokerer som sædvanligt dem, han er uenige med, og debatten flytter nok ikke de store holdninger - men det er da lidt underholdende, og så kan vi ikke forlange mere :)

17. marts kl. 08:19
Google advarer om cyberangreb fra Rusland, Belarus og Kina mod Ukraine og Europa

Ikke længere - officielt har Danmark valgt at benytte Belarus fremover, fremfor Hviderusland. <a href="https://www.berlingske.dk/europa/europakortet-skal-skrives-om-efter-30-…;.

Men hvorfor skulle vi bekymre os om, hvad Jeppe Kofod ønsker at kalde landet?

Det danske sprog er, hvad vi gør det til, og Hviderusland er en yderst passende betegnelse for en russisk vasalstat, hvis diktator åbenlyst savner Sovjetunionen.

11. marts kl. 06:43
GDPR vs moderne hjemmesider

Kan du oplyse, hvilke data Motoma samler - og hvorfor? Hvad bruges de til?

Med forbehold for, at jeg ikke kender den konkrete Matomo-installation:

Matomo er et open source analyseværktøj, der kan anvendes som et reelt GDPR compliant alternativ til Google Analytics.

I UVM's tilfælde ser der ud til at være tale om en løsning, som hostes af UVM selv. Den sætter ingen cookies, og Matomo kan desuden indstilles til at anonymisere den enkelte besøgende (ved at fjerne en del af IP-adressen i loggen og den efterfølgende behandling).

Hvis ens mål med analyse af besøgendes handlemønstre er at optimere websitets user experience uden at gå på kompromis med brugernes privatliv, er en on-premises hosted Matomo (som den UVM ser ud til at bruge) den helt rigtige løsning.

Du kan finde mere information her:

https://matomo.org/

9. marts kl. 09:58
Amatørernes dag

Det er korrekt i den fysiske verden - men når vi taler digitalt - så er der jo - som PHK også skriver (som jeg læser det) - INTET der gør at vi nemt kan sige "Rusland har gjort Y via internettet - så nu melder vi krig og må gå over i den fysiske verdens krigsførelse".

Præcis samme logik vil jo gøre sig gældende den modsatte vej. Hvis alle NATO-lande kan iværksætte cyberangreb mod Rusland, uden at Rusland på nogen måde vil kunne bevise, hvem der stod bag, er det heller ikke i Ruslands interesse at bringe krigen ind på cyberområdet.

I øvrigt er CFCS ikke en binær størrelse - rådgivning af og tilsyn med samfundskritiske virksomheder i sikkerhedsspørgsmål er også en af de opgaver, man udfører.

1. marts kl. 08:03
Amatørernes dag

Hvis man selv bor i et glashus, så skal man ikke starte med at samle sten … man skal starte et andet sted.

Med den logik giver det jo ingen mening at have et forsvar i den fysiske verden. Alle samfund er sårbare over for fysiske angreb.

Et forsvar fungerer ikke kun gennem passiv beskyttelse, men også gennem en troværdig trussel om gengældelse.

27. februar kl. 09:28
Amatørernes dag

Ja!</p>
<p>Men det er ikke ensbetydende med at forsvaret ikke skal have et efterretningsvæsen.

Men du anerkender ikke behovet for offensive kapaciteter på cyberområdet?

27. februar kl. 08:11
Amatørernes dag

Er vi lidt paranoide idag ?

Det er nok mere en generel tilstand. Men selv om man er paranoid, kan de godt være efter en ;)

26. februar kl. 10:49
Amatørernes dag

Hvis Putin havde tænkt sig at "sende en besked til Danmark", tror du så ikke han ville gøre det på en måde så han var sikker på at budskabet gik ind med det samme ?

Fordelen ved en "teknisk fejl" i elnettet er, at den giver Danmark en mulighed for at feje den ind under gulvtæppet uden at tvinge NATO til at udløse artikel 5 - på den måde får man afleveret truslen fra russisk side uden at eskalere situationen yderligere.

Og samtidig får man sendt et signal til resten af NATO om, at man er klar på at afbryde søkabler og potentielt lamme dele af internettet.

Statistikken taler selvfølgelig for, at der blot er tale om et hændeligt uheld med søkablet - det sker trods alt med få års mellemrum. Timingen er bare ret spøjs.

Og bare fordi Bornholm ligger tættere på Rusland end København, bliver et helt almindeligt problem med et søkabel blæst op.

Tværtimod. Der er næsten ingen medier, der taler om det - men hold øje med, om statsministerens holdning til Ruslands SWIFT-medlemskab ændrer sig i løbet af de næste par dage.

26. februar kl. 10:43
Amatørernes dag

Arh, vi har jo totalovervågning af østersøen i dansk interessesfære, over og under vandet, så det havde vi opdaget...

Og lur mig, om ikke FE har haft travlt de sidste par timer.

Spørgsmålet er bare, hvad man melder ud. En teknisk fejl går hurtigt i glemmebogen, men hvis det meldes ud, at Rusland har angrebet infrastrukturen i et NATO-land, er det den slags, der kan udløse 3. verdenskrig.

26. februar kl. 10:09
Amatørernes dag

Præcis hvilke "cyber-war" aktiviteter er, og hvilke er ikke, krigsforbrydelser ?

Det spiller ingen rolle for Rusland, om andre lande opfatter deres handlinger som krigsforbrydelser eller ej. Hele konceptet med "regler for krig" er en spændetrøje, pæne civiliserede lande har trukket ned over sig selv, og det vil være naivt at forestille sig, det stopper noget som helst.

Angiveligt har Ukraines hær elimineret en flok russiske soldater, som var på vej ind i Kiev i falske, ukrainske uniformer og beslaglagte køretøjer fra den ukrainske hær. De russiske soldater ("grønne mænd") på Krim i 2014 bar også uniformer uden synlige kendetegn, så mønsteret er set før.

Strømmen til Bornholm gik kl. 06:19 her til morgen efter en fejl på søkablet mellem Bornholm og Sverige. Bornholm kører nu i ø-drift, og lige nu, 3 timer senere, er halvdelen af øen stadig uden strøm.

Det er ikke nogen unormal hændelse, søkablet bliver af og til revet over af skibe, der kaster anker, men timingen er ret besynderlig - statsministeren har i går meldt ud, at man fra dansk side ønskede at smide Rusland ud af SWIFT, så det kræver nok ikke den store fantasi at forestille sig, at afbrydelsen af kablet kunne være en målrettet advarsel til den danske regering.

Det store spørgsmål er nu: Synes version2's læsere stadig, at Center for Cybersikkerhed skal være en civil organisation?

26. februar kl. 09:44