Niels C Nielsen

Højhastighedsbredbånd storsælger: Men er det overhovedet nødvendigt?

2015: Adgang til en veludviklet og tidssvarende digital infrastruktur er en forudsætning for, at vi kan udnytte de nye digitale muligheder. Regeringens mål er, at alle husstande og virksomheder skal have adgang til bredbånd med hastigheder på mindst 100 Mbit/s download og 30 Mbit/s upload senest i 2020, og at der skal være god adgang til mobiltelefoni i Danmark.

2021: Knapt 60 % af danske abonnementer har internethastigheder på 100 Mbit/s eller mere, mens udbyderne primært konkurerer på højere hastigheder i områder, hvor målet allerede er opfyldt?

Hvordan (og hvornår) kan alle være med? Det er ikke kun langt ude på landet men også områder i større byer, hvor man ikke kan abonnere på en forbindelse på mindst (og ikke bare op til) 100 Mbit/s.

27. juli 2021 kl. 10:08
Hackere skulle kun knække ét password for at få adgang til Colonial Pipeline

Hvis strategi og procedurer er rigtigt opbygget og overholdt (det ved man kun når de er afprøvet), så kommer man nok igennem en skarp situation alligevel, omend med et betydeligt ressourceforbrug og et vist - forhåbentlig begrænset og acceptabelt - data- og produktionstab.

Men enterprise-wide bare metal recovery er oftest en black swan begivenhed som simple backup- og recovery-strategier ikke dækker, og som af økonomiske og tidsmæssige grunde vanskeligt kan øves.

10. juni 2021 kl. 16:51
Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer

Hvis du afgrænser angreb som noget, hvis formål du lige kan forudse, så er det jo nemt at tro at systemerne er sikre nok.

Jo da, f.eks. har Nemid / Eboks, tydelig vis dårlige og ikke sikre nok elementer i deres produkt, og det skal forbedres. Men trods det, må man sige at næsten alle har tillid nok til systemerne, til at fyre deres samlede indtægt og forbrug igennem dem

Er der et alternativ, når alle danske offentlige udbetalinger ifølge lov skal ske via en NemKonto?

20. maj 2021 kl. 12:28
Forskere går i kødet på POL-INTEL: Vil granske politiets algoritme-værktøj

Det er jo ikke ualmindeligt, at business case for projekter medtager egne/alle mulige gevinster samt evt egne uafviselige risici, mens tredjeparters risici lades ude af betragtning.

Netop derfor skal der ifølge GDPR artikel 35 gennemføres en Data Privacy Impact Assessment (DPIA), der afdækker de risici løsningen vil indebære for de personer, hvis data behandles. Hvis DPIA gennemføres tidligt og grundigt nok, og den inddrages i designet, så burde principperne om Security by Design medføre, at datasubjekternes risici afvejes og reduceres i den færdige løsning.

... eller det var da meningen. GDPR var stadig ny, da arbejdet med POL-INTEL blev indledt.

9. februar 2021 kl. 13:59
Kommune indstillet til bøde for persondatasvigt med 'store konsekvenser'

Tilsvarende kan du argumentere, at bøder til virksomheder ikke rammer virksomhederne, men blot aktionærer og evt kunder, hvis det medfører prisstigninger.

Aktionærer og borgere har stemmeret, og de kan sælge/flytte. Kunder kan evt skifte leverandør. En reaktion på bøden after the fact kan medføre omkostninger og tab.

Hvorfor kan valgte politikere ikke 'straffe videre' på samme måde som en aktionærvalgt bestyrelse?

10. december 2020 kl. 13:02
Forsvarsminister opfordrer SMVer til at købe sig til it-sikkerhed

Det der mangler mest af alt er producentansvar.</p>
<p>Man skal ikke kunne slippe godt&gratis fra at sælge tusinder eller millioner kopier af produkter, hvad enten det er software eller hardware, som har ladeport-store sikkerhedshuller.

Og her kunne producenterne vejlede: Sådan sætter du vores produkt(er) sikkert op, så de fungerer godt og sikkert ... sammen med andre produkter, der følger ... samspilsstandard(er). Så kan andre teste og anmelde, hvor godt og sikkert det fungerer - evt en prøvningsordning.

Vejledningerne kan bedømmes ud fra, hvor meget der skal tweakes, og hvad der er secure by design.

3. december 2020 kl. 15:38
Microsoft opfordrer til at skifte fra telefonbaseret multifaktor autentifikation

Man kan godt bruge andre authenticators end Microsoft's ifm Microsoft MFA, men så er det svjv uden push. Dvs, man skal indtaste den 6-cifrede TOTP-kode, som app'en, fx Google's, har genereret.

16. november 2020 kl. 11:45
Kommuner fravælger open-source sikkerhedsløsning mod keylogger-angreb

Mon ikke også klient-pc'er på jobcentre kunne være relevante for OS2borgerPC?

13. oktober 2020 kl. 11:37
Efter fejlrettelser: Smittestop har fundet otte coronasmittede på en uge

Android-app'en Smittestop er ifølge Play Store v1.1, der er fra 14.august 2020. I App Store for iPhones er den seneste også v1.1 fra for en måned siden. Meget af blæsten om manglende beskeder og forbedringer er nyere.

Hvordan foregår opdateringerne, når app'en tilsyneladende ikke ændres? Hvordan kan man som bruger tjekke, om man er up-to-date?

9. oktober 2020 kl. 11:19
Fejl i Rigspolitiets software til konvertering af teledata kan have givet forkerte domme i syv år

Vi har ingen kontrol med IT-tjenesternes logning.</p>
<p>Øh jo. Du bliver præsenteret for en terms of service og en privatlivspolitik og har mulighed for at afgive informeret samtykke eller sige pænt nej tak, når du gør mine til at foretage den vanvittigt intelligente handling at lade dig registrere/øretatovere hos Facebook/Twitter/Insta/Google.

Det må være din spøg, Peter.

Dels er disse TOS og Privacy Policies ikke ligefrem kendt for at give klare, tydelige og let forståelige beskrivelser af alle tjenestens databehandlinger og formål, selv om man orker at læse dem til ende, dels lever en "take it or leave it"-accept eller en præ-accepteret "opt out if you can"-dialog næppe op til betegnelsen Informeret Samtykke.

Der er ikke megen GDPR-præcedens endnu, så måske har du ret, men jeg tror det nu ikke.

18. juni 2019 kl. 21:16
Forsvarsminister afviser at straffe dårlig it-sikkerhed med bøder

Der er noget forkert ved at straffe dårlig sikkerhed, al den tid der ikke er klare og let tilgængelige mål for god sikkerhed.

Hvilke klare og bindende bestemmelser findes herom fra statens side, bortset fra sikkerhedsbekendtgørelsen (BEK528/2000, ophævet med GDPR og Databeskyttelsesloven) og kravet om, at statslige virksomheder fra ultimo 2015 skal følge ISO 27001? Der er kommet gode anbefalinger fra Center for Cybersikkerhed, Datatilsynet og Digitaliseringsstyrelsen, men som netop anbefalinger har de måske ikke den fornødne vægt.

Andre lande pålægger sine offentlige myndigheder at implementere specifikke sikkerhedstiltag som DMARC p=reject og HTTPS, samt opstiller frister for patchning/mitigering af kritiske sårbarheder. Bevares, overholdelse kan ses som Compliance, men det sætter officielt barren og højner sikkerheden på konkrete områder.

7. maj 2019 kl. 11:50
Kompromitteret mailsystem: Frederikssund Kommune døjer med phishing-problem

Medmindre mailheaders i de phishingmails er tjekket, så kan enhver have sendt en falsk mail hvorsomhelst fra. I så fald er det ikke sikkert, at de kommer fra kommunens mailsystem.

frederikssund.dk's SPF-record er pt fejlbehæftet og ugyldig "v=spf1 include:spf.mainanyone.net include:composite.net ÔÇôall". Den burde snarere være "v=spf1 include:spf.mailanyone.net include:composite.net ~all".

frederikssund.dk's navneservere ligger hos KMD, der mærkværdigvis heller ikke har DMARC. Det må give et troværdighedsproblem for KMD, hvis de skal levere sikker drift for deres kunder, herunder implementere DMARC.

Frederikssund benytter vist MailChimp til nyhedsbreve. Uanset hvad, så har Frederikssund ikke autentificeret sin konto hos nyhedsbrevsudbyderen og publiceret en tilhørende DKIM record.

2. marts 2019 kl. 11:29
Styrelse: Masse-nulstilling af passwords i statslige systemer var planlagt

I 2017 kom NIST med nye retningslinjer, der bl.a. gjorde op med den hidtidige "best practise" for passwords. Kort fortalt - slut med krav om høj kompleksitet og tvungne hyppige skift.

I stedet skal passwords nu blot være lange (mindst 8 og op til mindst 64 tegn), og de bør ikke stå i ordbøger eller blacklists. Hvis der er begrundet mistanke om, at password(s) kan være kompromitteret, skal der gennemtvinges en udskiftning.

Der er angiveligt et tvungent passwordskift i gang for alle Moderniseringsstyrelsens brugere. Hvis der er tale om et planlagt skift af passwordpolitik op til 2018, burde brugerne være blevet informeret herom på forhånd. Hvis ikke, så kommer der nok mere frem efter nytår, når alle igen er på arbejde, og 'de har det fulde overblik'.

Hvis der i styrelsen er mistanke om kompromittering/misbrug af passwords, så har de vel allerede informeret Datatilsynet, hvis deres beredskabsplan er opdateret og klar til Databeskyttelsesforordningen.

30. december 2017 kl. 03:26
Gymnasieelev fik adgang til CPR-database ved at fjerne ‘_secure’ fra URL

Det er godt, at Version2 prøver at klarlægge, hvad der er op og ned i denne sag, keep up the good work!

stil.dk behandler persondata for diverse uddannelsesinstitutioner, bl.a. sceu.dk. Jf PDL §41 stk3 skal der træffes de fornødne tekniske og organisatoriske mod, at oplysninger [...] kommer til uvedkommendes kendskab. Det er ikke overholdt, eftersom data faktisk kunne tilgås uden login.

Justitsministeren har med hjemmel i §41 stk5 udstedt Sikkerhedsbekendtgørelsen, der præciserer reglerne for behandling af persondata for det offentlige, hvor §3 gentager kravet fra PDL §41 stk3, og §4 angiver at Datatilsynet er tilsynsmyndighed. Jonas har således henvendt sig til rette instans med sin bekymring. Nogle mener, at han først burde have henvendt sig til Dataansvarlig og/eller Databehandler, men som analogi kan en spritbilist ikke forvente, endsige kræve, at vidner siger til før forholdet meldes til politiet.

STIL har kunnet læse om anmelders navn og metode på Version2, men det fremgår ikke af artiklerne, hvorvidt Datatilsynet har udvist diskretion mht anmelders identitet. Af hensyn til tilsynets fremtidige virke håber jeg, at de ikke har afsløret anmelder. Hvorfor Version2 ikke har beskyttet sin kilde, ved jeg ikke.

Det må undre, hvis STIL har 'anmeldt' Jonas til Selandia for hacking. Hvis STIL mener, at Jonas har overtrådt STRL §263 stk2 (den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem) er det Politiet, de skal henvende sig til. Er det mon fordi man vurderer, at sagen ikke vil holde i byretten? Efter det oplyste har Jonas kun søgt informationer om personer, han havde aftale med, og behandlet de fundne oplysninger med diskretion. Kan formålet være at ramme anmelder uden om retssystemet? Simpel hævn?

Ifølge [Selandias Ordensreglement] (http://www.sceu.dk/studie-ordensregler-htx-hhx) vil der ske politianmeldelse ved overtrædelse af lovgivningen. Det er ikke sket, så måske mener skolen heller ikke, at sagen vil holde i byretten? Tilbage er så denne passus, der måske i grove tilfælde kan berettige en advarsel:For at sikre, at udstyret altid fungerer tilfredsstillende, og at skolens image over for omverdenen ikke bliver unødigt belastet, er det nødvendigt, at du har en professionel holdning til anvendelse af it.

Det kan så diskuteres ad nauseam, hvem der har eller ikke har udvist "professionel holdning," men det ligger vist fast, at Selandia og STIL ikke havde opfyldt kravene i SBK.

2. oktober 2015 kl. 00:57
Test af kommentarsystem og tekstformatering

kursiv og fed slut

2. oktober 2015 kl. 00:36
Ubuntu-smartphones meldes klar til december

... og Meizu MX4 har 5.36" skærm, så skærme < 6" kan åbenbart også bruges.

29. september 2014 kl. 16:37
Fejlen fundet: Firewalls lagde Post Danmarks netværk ned i 11 timer

Når en virksomhed af PostDanmarks størrelse ligger død i vandet, så er det meget dyrt "at bruge noget tid på at finde fejlen". Var muligheden herfor indeholdt risikovurdering og beredskabsplan? Uanset svaret, så har postdk nu gjort sig nogle dyre erfaringer, som de må sørge for at drage størst mulig nytte af.

30. maj 2013 kl. 23:46
Derfor kan sms ikke erstatte hylende sirener

... og hvis andre i mellemtiden vil lave en app, er det vigtigt at sikkerhed (især integritet) tænkes ind fra starten i app'en og i hele dataflowet, så falske advarsler undgås. Tænk blot på den panik, som kompromitteringen af @AP og det falske tweet om eksplosioner i det hvide hus skabte.

3. maj 2013 kl. 00:32