Christoffer Kjeldgaard

Eksperter sår tvivl om sikkerheden bag MitID-login

Argumentet er at man ved at flytte pinkode / kodeord fra login-siden til app så minimeres risikoen for angreb med keylogger.

I dag kræves der både password ved login, og selvvalgt pinkode / fingeraftryk og swipe i appen.

Hvordan kan det minimere chancen for angreb med keylogger da brugernavn + password giver adgang til ingenting?

Det er da netop en forringelse af sikkerheden at brugernavn nu kan bruteforces, hvor det, du hidtil skulle kompromittere en enhed for, nu kan gættes.

Derudover antages det at login ikke sker fra samme enhed. Kompromitteres telefonen, som i alt sin beskedenhed jo bare er en mobil computer der kan hackes, så er løbet kørt.

1. november 2021 kl. 17:17
USA får IT-Havarikommission

Men vil IT nogen sinde blive betragtet men samme alvor? Bugs sker jo bare, og det er vi konditioneret til at tro. Men når en dag vi får et større og længervarende internet nedbrud (eller ligende systemkritiske funktioner som strøm, mobilnet, eller avancerede våbensystemer som F-35) vil vi endelig vågne op til at erkende den enorme sårbarhed vores moderne samfund har pga af dårlig IT.

I Sundhedssektoren håndteres nedbrud / havarier / betjeningsfejl mv. i henhold til Sundhedslovens LBK nr. 903 af 26/08/2019, der indeholder en forpligtigelse til at rapportere utilsigtede hændelser, UTH. Formålet med at rapportere utilsigtede hændelser er at skabe systematisk opmærksomhed og læring om de fejl, der kan undgås og derved forebygge, at de sker igen.

UTH'er håndteres ikke kun når noget er gået galt, men bare muligheden for at der kunne være sket fejlbehandling, diagnostik eller forkert håndtering af patientens data er nok til at problemet skal håndteres, vurderes og prioriteres jf. Sundhedsloven.

Hvis årsagen og løsningen til fejlen ikke er umiddelbar, nedsættes en taskforce typisk bestående af IT-folk, eksperter, leverandører og brugere af systemet der skal afdække hvad der er sket, hvad der kunne være sket og hvordan det løses.

Min pointe er at vi i Sundhedsvæsnet allerede har et fint lovgrundlag og en model der fungerer, som muligvis kunne finde anvendelse i andre dele af det offentlige.

14. maj 2021 kl. 13:23
Hvordan hindrer man snyd i online eksamener?

I stedet for overvågning kan man lave en randomisering af opgaveindholdet. Matematik og programmeringsopgaver kan f. eks. have randomiserede variabler, så længe det ikke tilføjer en højere kompleksitet i opgaveløsningen.

Det burde gøre det ihvertfald noget sværere at snyde - Man må på en teknisk højere læreanstalt kunne skrive en opgavemotor, der kunne håndtere det.

23. april 2021 kl. 15:15
Dansk forskning med 100 millioner kroner i ryggen skal sikre tillid til algoritmer

Arbejdet vil fokusere på tre kerneproblemer i dagens kunstige intelligens: Den første er, at søgemaskiner og social medieteknologi generelt er utilsigtet designet til at sprede falske nyheder med clickbait i stedet for rent faktisk at sprede nøjagtige oplysninger, simpelthen fordi denne type indhold er meget klikbare (og klik genererer trafik).</p>
<p>Det andet problem er, at det er umuligt at udelukke bias fra de data, der genereres af samfundet og bruges til at træne AI-algoritmer. Der vil altid være bias med hensyn til en eller anden dimension, såsom køn, alder, hudfarve, seksuel orientering, politisk overbevisning, indkomst eller uddannelsesniveau.</p>
<p>»Vi mennesker har normer til at styre vores adfærd, selv når den udsættes for biased situationer, men det har algoritmer ikke. Det betyder, at hvis algoritmerne er trænet i data, hvor fx 90 procent af lægerne er mænd, vil algoritmerne identificere dette som et mønster og lære at gentage det, for eksempel ved automatisk at oversætte alle læger som han,« siger Christina Lioma.

Det fremgår at kerneproblemerne drejer sig om algoritmer, der tilpasset maskinlæring / AI.

Kerneproblem 1: Søgemaskiners bias mod fake news = AI-algoritme, der fokuserer på flest kliks (økonomi og indtjening) fremfor at levere verificerbare kilder (objektivitet).

Kerneproblem 2 og 3 bliver eksemplificeret som værende problemer med AI og maskinlæring.

Der kan vel heraf konkluderes at der ikke søges en ikke-algoritmisk løsning som sådan, men nærmere et svar på hvordan man laver bedre AI og maskinlæringsalgoritmer der løser nogle af de kerneproblemer der normalt løses af et menneskeligt interface til computere (HCI), som ikke kan løses ret godt selvstændigt af computere, qva. de eksempler der er givet ovenfor.

7. april 2021 kl. 12:35
Nvidia køber Arm for 40 milliarder dollars

Microsoft leger med at udskifte NTKernel med en Linux kernel</p>
<p>Ehh, Ok, det var sgu en nyhed for mig. Nogen links?

Der har været rygter om hvorvidt lanceringen af WSL2 er en indikation på at Windows 11 kan blive Linux-baseret; men jeg kan ikke se hvorfor Microsoft skulle gøre det. Det ville kræve at Win32 + Metro APIet bliver ported til Linux, noget der helt sikkert kan lade sig gøre (se f. eks Wine - og Microsoft har tidligere ported de relevante dele af Win32 for at få Microsoft SQL Server til at køre native), men hvad skulle incitamentet være for at porte resten? Derudover er WSL2 vel netop det modsatte; nemlig at Linux applikationer kan afvikles på Windows, men ikke den anden vej? Det giver vel Microsoft en konkurrencemæssig fordel over OSX og de forskellige Linux distros.

Den eneste fordel jeg kan se ved at gøre Windows til en DE er at man sparer udgifter til vedligeholdelse af kernel, men tilgengæld mister man også kontrollen - og NT som kerne fejler ikke noget - bevares NTFS er ikke ligefremt moderne, men ellers kan jeg ikke lige se hvad Microsoft skulle få ud af et skift.

15. september 2020 kl. 23:41
Nå men det der Cyber-Hjemmeværn…

.. hvorfor indrømmer du ikke at du mangler detailviden om det her? Hvorfor indrømmer du ikke, at påstanden om at DKs elnet kan lukkes ned på 2 min. er totalt grebet ud af den blå luft?

Jeg har lidt detailviden. Det er er faktum at der i Danmark eksisterer flere energibrokere, som f. Eks. NEAS ENERGY A/S der lever af at sælge strøm til højestbydende. Et af deres værktøjer indbefatter f. Eks. At ændre på gearingen i 100 vis af vindmøller remote vel og mærke. Infiltrerer du deres kontrol central, så kan man lave en lignende operation som NSA / Mossad lavede med Stuxnet i Natanz. Her gjorde man skade på infrastruktur ved at overbelaste centrifuger mens kontrolsystemerne rapporterede normale værdier - og Natanz kørte 100 procent offline, men blev inficeret via USB.

Det er absolut ikke utænkeligt at man kunne lave et lignende system der kunne overbelaste transformerstationer eller sætter vindmøllerne helt ude af drift. Samme kontrolcentral kommunikerer forresten også med kraftværkerne.

Kan du ligge Danmark uden strøm? Med de rigtige kompetencer, helt sikkert i en periode - hvor længe afhænger hvor meget udstyr du fysisk kan få til at futte af beyond repair som Stuxnet gjorde. Det tog dem måneder før de fandt ud af hvad der var galt.

25. juni 2019 kl. 21:57
Dansk center vil skabe værktøjer til fejlfri programmering

Der er tidligere nævnt muligheden for codereview.
Code review virker ikke.</p>
<p>Bevis fra dataundervisningen:
En reviewer blev sat til at reviewe en kode, som der er en bagdør i. Han finder bagdøren, og tænker - det er sku en god idé, og skriver adgangskoden ned... Da han senere bliver spurgt hvorfor han ikke så bagdøren, så svarer han, at han lod sig hypnotisere af den gode dokumentation til at tro at koden var uden fejl.</p>
<p>Konklusion:
Det er ikke tilladt, at revieweren kan se koden, og kommentarer til den. Det betyder, at review ikke er muligt.
Eneste mulighed er at have flere programmer skrevet af uafhængige, og som kører samtidigt. Kommunikationen fra kode til reviewer er et brud på sikkerheden. Det skal være uafhængige grupper, der laver kode og kopikode (hvilket kan sammenlignes med review), og dette opnås ikke ved review modellen. Review modellen, er derfor bevist ikke fungerer. Den er samtidigt ikke holdbar i retten.

Sikke da noget frygteligt vrøvl - Det er jo netop hele ideen med open source software at alle kan reviewe koden og foreslå ændringer. Hvis man læser artiklen handler den om semantisk analyse af kode, hvilket principielt er det samme som sker i en kodefortolker (compiler), som sikrer en relativt høj kvalitet af den kode der kommer ud i den anden ende - Men alle der har prøvet at kompilere det samme program 2 gange ved også, at et fortolket program (build) kan være optimeret forskelligt ud fra hvilke switches der gives til compileren, selvom det er samme high-level kode, så kan det compilerede system have et sæt fejl, som den kode du har kompileret med andre switches ikke har. Bruges en anden version af compileren producerer den også anderledes bytekode end det samme kode du kompilerede tidligere.

En ting er sikkert: Kode bliver ALDRIG fejlfri. Principielt er programmeringssprog deterministiske systemer, men kun på det tidspunkt koden afvikles - derfor er det umuligt at teste for alle kombinationer af input og output af funktioner (og kombinationer af funktioner som kan kalde hinanden) i alle lag fra hardware til et high-level programmeringssprog - det kan simpelthen ikke lade sig gøre, og alle der påstår at det er muligt at lave fejlfri kode har ikke forstået hvor uendelig komplekst og foranderligt IT er.

Det man kan gøre er at minimere antallet af fejl ved at skrive intelligente tests og holde kompleksiteten nede. Det er en naturlov for programmører at når kompleksiteten stiger lineært (målt på f. eks. antallet af kodetimer / kodelinje), så stiger antallet af fejl også med en eksponentiel faktor.

18. april 2019 kl. 21:51
En Linux-router med MPLS

Svagheden ved software-routere har historisk set været performance i form af pakker pr. sekund. Testen fra Jester Brouer m.f. viser i min optik, at det efterhånden er ved at være et løst problem.

Som gammel Cisco mand synes jeg det er smukt at der er ved at være styr på performance, så de store leverandører kan få noget tiltrængt konkurrence af fri og åben software.

Software routing er bleeding edge-teknologi, så vi er nødt til at have nye Linux-kerner, nye drivers, nye routing daemons etc...

Hvis bleeding edge kernel er kravet kan jeg anbefale Manjaro. Deres værktøj til kernel-management (mhwd-kernel) har jeg ikke set andre steder, der er der virkelig mulighed for at få nyeste kernel hurtigt - og det er meget let og hurtigt at skifte tilbage hvis det skulle vise at den ikke er stable.

Det er rolling release, så jeg ved ikke hvorvidt det egner sig specielt godt til drift af servere - Manjaro bruger også stadig NetworkManager, men det skulle da være muligt at installere og konfigurere Netplan uden større krumspring.

1. februar 2019 kl. 18:22
En Linux-router med MPLS

Fantastisk fint indlæg - Det er længe siden jeg har arbejdet med MPLS-netværk, og det er spændende at følge med her.

Jeg tænker dog på investeringen af en software-router kan stå mål med hardware-routere når det gælder drift. Jeg skal være ærlig og sige at jeg ved ikke meget om hvad en tilsvarende hardware MPLS-router koster mere kontra en velbestykket server som denne.

Er der nogle fordele og indhente på hhv. strømforbrug og indkøbspris mellem de 2 løsninger?

Jeg er fuldt ud klar over, at en software-router giver langt mere fleksibilitet - Men den koster vel også mere at sætte op og konfigurere, hvor man må forvente at hardware-routere allerede er tilpasset til at konfigurationen skal være lettere tilgængelig.

Hvad er årsagen til at I har valgt Ubuntu som basissystem? Mange hælder mere til Red Hat's Enterprise Linux og lign. i henhold til stabilitet og support.

1. februar 2019 kl. 13:19
Sundhedsreformens ufuldstændige business case og Sundhedsplatformens fremtid

Ja, det er rigtigt, at der er konkrete mål. Mit "WHY" er fortsat ikke besvaret - hvorfor har vi netop disse mål. Dvs. det er svært at forholde sig til om de opsatte mål er de rigtige. Denne problemstilling har jeg set så mange gange - at man trækker en løsning op uden at kunne præcis sige, om man løser behovet.

"Behovet" eller "Why" i det offentlige defineres ikke på samme måde som i det private.

I det private er "Hvorfor" ofte relativt nemt at definere. Det hele skal i sidste ende måles i kroner og øre på bundlinjen, enten som besparelser eller meromsætning, der står mål med investeringen - Derfor kan man selvfølgelig sagtens have flere lag af meta-KPIer, eksempelvis bedre personalepleje = færre sygedage = højere produktivitet = forbedring på bundlinje.

I det offentlige har man ikke den samme form for ræssonement, selvom flere og flere eksperter ønsker det. Det offentlige foretager investeringer, der tilfører samfundsværdi til danskerne - Det behøver ikke nødvendigvis at give et finansielt afkast, hverken nu eller senere. Det skal løse en samfundsopgave, der fra politisk side er bestemt til at blive løst af det offentlige.

Forskellen er klokkeklar: I det private skabes incitament (eller Why) af penge, mens det i det offentlige skabes af politik.

Vi kan derfor lede længe efter "Hvorfor gør vi sådan". Forklaringen er, at vi gør sådan, fordi der politisk er flertal for det - Vi kan ikke koge alting ned i det offentlige til økonomi - og det mener jeg heller ikke at det skal.

I det offentlige handler projektledelse ikke så meget om "Hvorfor", men mere om afdækning og styring af samfundskonsekvenserne - og samfundsgevinsterne - ved at projektet gennemføres. Der vil naturligvis være modstandere - og forhåbentligt tilhængere - af ethvert politisk styret projekt. Man kan spørge sig om hvorfor Apollo-programmet blev sat i søen - og det har intet med økonomisk ræson at gøre. Ikke desto mindre blev programmet gennemført, og vi ser det i dag som en af menneskehedens største bedrifter gennem tiden.

Sundhedsreformen er i min bedste overbevisning et program, der handler om at bringe mere New Public Management ind i administrationen af det Danske Sundhedsvæsen. Som Louise Klint nævner ovenfor, så er det målet at stille målbare garantier overfor patienterne der kan presse de offentlige sygehuse til at levere på disse politisk bestemte "kerneydelser".

30. januar 2019 kl. 17:10
Sundhedsreformens ufuldstændige business case og Sundhedsplatformens fremtid

Visionen for Sunhedsreformen kan jeg godt læse, men jeg savner blot en mere tilbundsgående "Why", som er mere en den ene side, som jeg referede til i min blog.

Det her er ellers relativt konkrete mål;

</p>
<ul>
<li>
<p>I 2025 skal der være 500.000 færre sygehusbesøg.</p>
</li>
<li>
<p>I 2025 skal der være 40.000 færre indlæggelser.</p>
</li>
<li>
<p>De fem regionsråd, der har 205 folkevalgte politikere siddende, står til at blive nedlagt ved udgangen af 2020.</p>
</li>
<li>
<p>Den fremtidige struktur i sundhedsvæsenet vil bestå af tre lag. Øverst vil være et statsligt organ under Sundhedsministeriet, som står for økonomien og styring.</p>
</li>
<li>
<p>Derunder vil der være fem sundhedsforvaltninger. De passer geografisk med de nuværende regioner og vil få hovedsæder samme steder.</p>
</li>
<li>
<p>Der skal oprettes 21 nye såkaldte sundhedsfællesskaber. De skal bygges op omkring lokale sygehuse rundt om i landet.</p>
</li>
<li>
<p>Kronisk syge patienter skal i langt højere grad behandles hos læger i lokale sundhedshuse.</p>
</li>
<li>
<p>Sygehuse får pligt til at sende patienter videre til behandling et andet sted, hvis sygehusene ikke kan tilbyde behandling inden for fristen på 30 dage.</p>
</li>
<li>
<p>Patientvejledningen skal forbedres. Det skal blandt andet ske ved hjælp af ét samlet patientnummer, som man kan ringe til for at få vejledning og hjælp.</p>
</li>
<li>
<p>Førstegangsfødende skal have ret til at være indlagt 48 timer på hospital eller et patienthotel.

Kilde: Regeringens sundhedsudspil: "Patienten først - nærhed, sammenhæng, kvalitet og patientrettigheder".

Det er næsten konkret nok til at jeg kan lægge KPI'er for at få det realiseret. Men læg mærke til at ingen af de ovenstående mål siger noget om kvaliteten af den behandling der foretages. Vi skal have færre indlæggelser - I værste fald kunne det mål realiseres ved at folk døde inden, eller mellem indlæggelserne.

Hvis vi skal kritisere noget i Sundhedsreformen er det nærmere, at der ikke er kvalitetskrav der følger med den omstruktureringsøvelse som programmet Sundhedsreformen egentligt er.

Der spares en meget stor del af finansieringen på administration, og det udgør 25%(!) af finansieringen - Er det overhovedet realistisk?

Hvad sker der, hvis realiseringen af besparelser udebliver - Får vi så en SKAT skandale 2.0 da man valgte at fyre størstedelen af inddrivelsesorganet for at realisere besparelser der ikke var der?

Nu gør vi det istedet et sted hvor det gør rigtigt ondt - her er der potientiel tab af menneskeliv indblandet.

Det spørgsmål synes jeg er langt vigtigere end organiseringen.

23. januar 2019 kl. 17:30
Sundhedsreformens ufuldstændige business case og Sundhedsplatformens fremtid

Når jeg taler om business cases, hyler jeg altid op over, at man klart og tydeligt skal kunne beskrive, hvorfor man skal gennemføre et givent projekt. Og jeg synes, at man fint kan betragte Sundhedsreformen som et projekt – og et meget stort et af slagsen tilmed.

Jeg vil nok nærmere betegne Sundhedsreformen som et program.

Her er et eksempel på 3 delprojekter jeg umiddelbart kan se i Sundhedsreformen.

  • Et fælles EPJ-system der bidrager til den centralisering og styring af data samt arbejdsgange som ønskes.

  • Etablering af sundhedsfælleskaberne.

  • Omstrukturering af sundhedshusene til at kunne varetage Kronisk syge patienter.

Sundhedsreformen kan derfor med rette ses som en række af delprojekter, der tjener det samme formål og med et fælles budget - det er derfor vigtigt at vi sammenligner Sundhedsreformen med andre programmer og ikke ser det som et selvstændigt projekt.

Det var det! Der er ikke mere! Hvorfor gør jeg det til et problem, at problemet eller WHY’et, om man vil, ikke er tydeligt? Fordi man skal skabe en løsning til det problem, man har og de problemer, som vi vil se i fremtiden.

Projekter har problemer, programmer har visioner. Lad os tage et program alle kender som eksempel: Apollo-programmet havde en vision: Få en amerikaner på månen før russerne. Ud af det følger en myriade af ubesvarede spørgsmål:

  • Hvordan får vi personen derop i live?
  • Er det nok at sende en drone?
  • Hvor meget koster det?
  • Hvor lang tid tager det?

... og mange mange flere - og det er helt OK. Programmerne sætter visionen, og projekterne skal konkretisere visionen så målet opnås.

Sundhedsreformen har en vision:

"Sundhedsreformen skal være med til at forhindre, at vores sygehuse og sundhedspersonale kommer under yderligere pres, når der i de kommende år bliver flere ældre borgere og flere med kroniske sygdomme. Det er ikke nok at gøre “mere af det samme” eller alene at ansætte mere sundhedspersonale på vores sygehuse."

Lad os se hvordan de forskellige projekter vil konkretisere og bidrage til den vision - Med andre ord, det er alt for tidligt at skyde efter Sundhedsreformen. Når de kommer med en officiel organisering og plan for at realisere visionen, så lad os tage snakken igen der.

23. januar 2019 kl. 16:12
KU-professor til Rigsrevisionskritik: »De forstår ikke universiteter som arbejdsplads«

Det er sikkert indlysende, hvad der menes for folk med forstand på den slags. Men for mig amatør lyder det utrygt, at hele netværket og pc-erne betragtes som usikre, og alligevel tager man pc-er med ud i verden og logger på vore personfølsomme data. Men der er garanteret noget, jeg ikke har forstået rigtigt her.

Det er ikke indlysende, og jeg skal forsøge at forklare sammenhængen.

Der er 3 elementer i spil her: klienter (telefoner, laptops og workstations) , netværk og backendsystemer (Her en fil-server og SIF systemet. Sammenhængen er at klienterne forbinder til backend Systemet gennem netværket.

Det antages at netværket altid er sikkert men dataen der flyder gennem det er ikke. Det er altså ikke muligt at ændre data der er undervejs mellem 2 punkter i netværket, men den data der passerer Kan være skadelig af karakter.

Filserveren på netværket indeholder data der ikke har nogen værdi og derfor ikke er værd at beskytte. Det er derfor relativt ligegyldigt om en usikker maskine henter data ud af den og sender videre.

SIF systemet indeholder sensitive datasæt vi ikke vil have kommer ud. Derfor kan klienten ikke bare hente data uden at brugeren beder om det og godkender det med sin 2 faktor autorisationskode - du spurgte om der er forskel på sikkerheden her og det er der. Papkortet fra NemID er den mest sikre løsning da den er 100% offline. For at sikre at klienten ikke bare støvsuger Serveren så snart brugeren har godkendt adgang bliver al adgang logget og analyseret for mistænkelig adfærd inden brugeren får adgang til data.

Ved at betragte klientsystemet som usikkert fra start stoler du ikke på noget, og Selvom det mellem mennesker vil blive set som paranoia så giver det god mening når data skal sikres.

Selv med ovenstående tiltag så er et system aldrig mere sikkert end brugeren af systemet, og de arbejdsgange de har med systemet. Som systemejer kan du aldrig sikre dig 100% mod en kreativ bruger der synes det er sjovere at tage screenShotsaf data eller kopiere noget over i et regneark og gemme det lokalt.

Løsningen er uddannelse, uddannelse og så lidt mere uddannelse af brugerne i dataetik og en solid IT governance med konkrete eksempler i de forskellige systemer.

21. januar 2019 kl. 21:13
Prøv nye styresystemer med Virtualbox

Hvilke lidt mere eksotiske OS'er kan I andre anbefale? Der måske tilmed virker i VirtualBox?

Jeg har en forkærlighed for Manjaro OS, fordi jeg slipper for alt bøvlet med at sætte en Arch Linux op fra bunden, jeg foretrækker rolling-release modellen - som selv Microsoft Windows benytter nu samt at Arch User Repositories er - for mit vedkommende - en langt mere brugervenlig model end at skulle tilføje en PPA i Ubuntu med chance for at den konflikter med de øvrige repositories og gør det - for at sige det mildt - en meget tung opgave at holde systemet opdateret.

Fordelen ved Manjaro over eksempelvis AntergOS er at Manjaro har en properitær driver engine meget lig den vi kender fra Ubuntu - mestendels til grafikkort og netværk - dvs. der er er mere hardware som bare virker.

AntergOS er også et rigtigt fint system, hvor deres fordel helt klart er den modulære installer - Du har en install disk, og fra den er der frit valg om du vil køre Gnome, XFCE, Plasma med flere.

Ovenstående er ikke ligefrem eksotiske OS'er, men de er dog trods alt en del anderledes end mainstream Ubuntu.

16. januar 2019 kl. 10:00
Minister beroliger: Nyt persondata-overblik bliver ikke en database

Så tør man jo slet ikke at spørge de røde partier, hvad de vil gøre desangående,
efter et evt. magtskifte ved næste folketingsvalg.

Jeg vil ikke forsøge at overbevise dig eller andre i den ene eller anden politiske retning, men det er altså forkert at liberalisme medfører personlig frihed når det kommer til data. New Public Management-modellen er kerneliberal i sin grundtanke - Vi skal effektivisere den offentlige sektor gennem større markedsorientering og digitalisering hvilket skulle medføre en mere omkostningseffektiv forvaltning uden væsentlige negative konsekvenser.

Selvom hensigten er god, er resultatet bare at New Public Management medfører mere teknokrati i forvaltningen - dvs. mere styring, mere kontrol og endnu mere data som det offentlige gerne vil have på os - Det er faktuelt forkert at det er en liberalistisk agenda at beskytte borgernes data, hvilket artiklen også fint understreger.

26. oktober 2018 kl. 13:33
Minister beroliger: Nyt persondata-overblik bliver ikke en database

Jeg er allerede blevet konfronteret med "tag lige dit NemID med" fra min bank. Deres system kunne screen-scrape en offentlig hjemmeside, men det krævede så lige, at jeg loggede ind med NemID først.

Screenscape er skam ikke det eneste det kan. Alle banker i Danmark som bruger SDC som IT-leverandør har et stykke software, der automatisk kan indhente årsopgørelser direkte fra SKAT, lønsedler fra Eboks, data fra RKI, ejerforhold ifht skøder, ejerpantebreve, oplysninger fra forsikringsselskaber, oplysninger om ejerforhold af motorkøretøjer samt pensionsinfo fra alle udbydere undtagen tjenestemandspensionsordningen - det kræver blot at du logger på med NemID sammen med bankrådgiveren så klarer softwaren resten - det er skræmmende hvor meget information det allerede i dag kan indhente og "Mit overblik" gør det bare nemmere.

Mit indlæg ovenfor er ikke tomme trommer - det er tæt på den virkelighed vi har i dag.

Lad mig dog sige at det i min optik er fint at en bank der skal have tillid til mig som låntager også har adgang til et engangsudtræk af mine økonomiske data - Såfremt jeg selv har fuld kontrol over hvilken data jeg giver dem lov til at hente på tidspunktet og har en reel mulighed for at sige "nej tak" til at de henter min patientjournal i samme omgang.

24. oktober 2018 kl. 21:19
Minister beroliger: Nyt persondata-overblik bliver ikke en database

Så vil enhver bank, forsikringsselskab samt tele/internetselskab bede om en udskrift fra "Mit Overblik" enten løbende eller når du bliver oprettet som kunde.

Problemet er sådan set ikke, at en bank gerne vil have skatteoplysninger, løn og pensionsinfo i forbindelse med en kreditvurdering - problemet er at du i samme omvæltning får sundhedsdata, korrespondancer med politiet og boligforhold rangeret som historik med i købet.

Jeg tror absolut at banken og forsikringsselskabet vil være meget interesseret i om du er tidligere straffet - har haft en depression eller om du har fået medicin af den ene eller anden art - uanset om det er relevant for situationen eller ej.

Målet må og skal være at give borgeren kontrol over egne data - herunder også hvem vi vil dele data med. Mit Overblik er et skalkeskjul for at sammenkæde datasæt og sælge det til højestbydende, og det du som borger får ud af den handel er et overblik over hvad data der sælges.

Det er uacceptabelt.

23. oktober 2018 kl. 18:33
Nyt Apple-tiltag: Macbooks går i sort efter reparation uden særlig service-software

Som svar til kommentaren:

Du kan roligt regne med, at den software har en unik kode for hver enkeltperson i Apple-værksteder, samt at disse er blevet grundigt oplyst om, at de vil blive retsforfulgt til fulde, dvs. at de vil hæfte for al den tabte omsætning, som lækning af softwaren vil medføre, hvilket nemt løber op i milliarder.
Hvis den bliver lækket, så skal det være fra en meget centralt placeret person i Apple, hvor den kan lækkes uden unikke koder, hvilket er ekstremt usandsynligt.

Jeg finder det ekstremt usandsynligt at Apple skulle være i stand til at retsforfølge 3. parts leverandører alle steder i verdenen. Kineserne eksempelvis har det med at beskytte deres egne.

At Apple skulle lave aftaler med alle 3 parts reparatører i alle de lande de opererer i, hvor aftalerne samtidigt skulle være juridisk gyldige samt at Apple har de fornødne kompetencer til at juridisk følge en evt retssag til dørs er i mine øjne ikke et specielt sandsynligt scenarie. Jura er godt til at sikre hjemmemarkedet men globalt set er det bare ikke en sikkerhedsfaktor man skal regne med.

Ud fra et sikkerhedsmæssigt perspektiv er det bekymrende, at Apple tilsyneladende kan aktivere funktionen remote, I og med at funktionen ikke er aktiv endnu - og at den må kunne slås fra igen til diagnostisk analyse.

For at sammenligne arbejder nogle mobilproducenter med såkaldte "fuses" I processor arkitekturen, som sikrer systemets integritet - f. Eks. Om Bootloaderen er modificeret, eller om der en skærm med et uoriginalt serienummer. Når man brænder en "fuse" så kan man ikke umiddelbart slå den til igen - enheden fungerer stadig fint, men alle krypterede funktioner er slået fra, og programmer der kræver dem holder op med at virke. Jeg har ikke indtryk af at det er den model Apple bruger her.

7. oktober 2018 kl. 21:42