Det er dog værd at lægge mærke til, at mange at de servere som hackes nutildags formentlig kører linux. TANSTAAFL (There Ain't No Such Thing As A Free Lunch)
Intet system er mere sikkert end forståelsen for konfigurationen hos den der sætter det op :-)
Jeg synes det er et fint udgangspunkt, Ditlev - og jeg overvejer selv om jeg skal have oplært familien i Ubuntu el. lignende til den tid.
Må dog så også krybe til korset og sige at jeg lige har købt ny for min far - batteriet på hans bærbare var dødt, varme-issues og med en i5-2430M processor, var han også hægtet af opgraderingen. Men ok, 8 år er vel en ok levetid.
Jeg er principielt fuldstændigt enig, der er dog også et "aber dabei"....
Vil det være et fuldstændigt farvel til Cloud for offentlige myndigheder og "Return of the on-prem"? Du kan ikke længere bero dig på eksempelvis en Microsoft365 løsning, for det er jo ikke-EU (Allerede der er der et problem, da DK i høj grad er Microsoft-land...)
i har jo ikke mulighed for selv at vælge hvem der ser disse data, så det skal fra nu af være forbudt for offentlige data at blive behandlet af selskaber der hidrører fra et ikke-EU lovområde.
Hvis jeg nu som offentlig myndighed sørger for at databehandling sker hos udbyder i Belgien - der så benytter systemer, der er cloud-baserede. Må jeg så benytte det selskab? Eller kommer det an på om det selskab igen benytter services fra en selskab der hidrører fra et ikke-EU lovområde?
Med de praktiske briller på: Der findes ikke nogen cloud, der alene baserer sig på teknologi fra EU-lande. Du kan ikke bruge noget, der ikke findes.
Så ja, jeg er principielt enig - men det kan ikke lade sig gøre i praksis.
Vi må jo erkende at rigtigt mange organisationer dropper on-prem mail-serveren og går i cloud - og her er du så afhængig af hvordan din provider konfigurerer motoren bag din cloud-tenant. (Sad, but true).
Men det er klart, at jo mindre kompliceret dit IT-setup er ift. eksterne leverandører etc, så er monitorerings-opgaven ift. "Hvad går i hegnet, når vi strammer skruen" relativt overskuelig. Optimalt set skal du kun have én record i din SPF nemlig din organisations mail-server - sådan ser virkeligheden bare ikke altid ud :-)
Selvfølgelig kan man altid tage den kyniske "tough luck"-tilgang og sige at så må skidtet jo bare ryge ud i det store sorte hul - det er bare sjældent populært i organisationen ;-)
Så længe mail-udbyderne ikke har ens implementering vil det altid være en "kommer an på" - Sidder selv med DMARC implementering i en større organisation og hvis din mail-udbyder behandler reject på samme måde som quarantine og ikke selv sender DMARC-rapporter, er du ikke garanteret en fuldt effektiv implementering for din egen håndtering af indgående mail (Jeg kigger på jer, MS...)
Selve det at sætte DMARC policy er ret nemt (p=none, p=quarantine, p=reject) - men at analysere på hvem der sender som dit domæne og hvorvidt det er validt... holy moly... Det er (afhængigt af størrelsen på din organisation og antallet af systemer) en større monitoreringsopgave.
Et godt bud er vel at starte med at se på nødvendigheden af netværksopkobling, segmentering, og CIS Benchmarking?
Udfordringen med at opgradere kan jo være reel ift. legacy-systemer, som der ikke er (flere) alternative leverandører på?
Måske Frank Stjerne burde læse straffelovens §263 som er den der tages udgangspunkt i vedr. hacking - især stk. 2 ....
Jeg sad som tilforordnet på et valgsted i går. Jeg ved ikke om dette helt besvarer spørgsmålet, men jeg håber det kan give lidt klarhed alligevel ift hvordan vi afviklede det.:
I valgprogrammet, som afvikles fra en PC uden adgang til internettet, er på forhånd registreret hvor mange brevstemmer der hører til valgstedet. Disse forefindes fysisk på valgstedet. Der førtes løbende kontrol med, at antallet af resterende ikke-uddelte stemmesedler i en stak (25 pr. stak) matchede det antal valgkort der manglede for at nå 25 - dette holdes også op mod hvor mange vælgere der er registreret fremmødt ved scanning af valgkort/manuel registrering hvis de har glemt valgkort. Valgkortene blev bundtet i stakke af 25 og igen for hver 4 bundter, så der var bundter af 100 stk.
Efter valghandling var afsluttet, taltes valgkort op for at se om dette matchede programmets registrering. Derudover taltes antal af brevstemmer og samlede stemmer sorteret pr. liste op, og dette tal sammenholdtes med programmets registrering af totale antal stemmer.
Stemte dette tal, blev det indtelefoneret til valgregistrering. Herefter gik optælling af personlige stemmer i gang, og dette blev også dobbeltchecket ift. hvor mange stemmer hver liste var optalt til at have fået (både liste og personlige stemmer).
Herefter blev alt materiale fragtet til fintælling på kredscentral placering.
Så der er blevet checket og dobbeltchecket i det omfang det er muligt på valgstedet, og det beror stadig på manuelt fysisk arbejde :-)
@Torben Mogensen: Eller bare gøre som man gjorde i slut-halvfemserne hvor jeg tog min gymnasiale uddannelse... lukke af for internettet, have pensionister som prøvevagter, der skulle ned til printeren for at hente det print man afleverede.
Hvis man endelig vil have digital aflevering, må man jo have en lokal digital platform der kan uploades til fra lokal-netværket.
Mobiler afleveres ved indgangen til lokalet og WiFi er disablet på computerne.
"Jamen, det er jo BYOD-baseret, så hvordan vil du undgå at de ikke bare kobler på deres mobil-telefon som hotspot?"
- Mobiler skal være slukkede
- Drop BYOD og tag ansvar/ejerskab over infrastrukturen!
Ja, jeg er gammeldags, men det virkede!!
Han påpeger at hullet er der - da der ikke sker noget tager han affære - fair nok men...
IMO burde han:
- have undersøgt om hans rapportering faktisk var kommet frem
- undladt at downloade data
That said, så er det kommunen der har det største problem her...
Digitalisering for digitaliseringens skyld?
Jeg er med på at SkoleIntra er et glimrende værktøj til at sende en fællesmeddelelse ud til både elever og forældre der kan spare papir. Men derudover ... ryster på hovedet
Eller for at citere Tommy Lee Jones i Kapring på Åbent Hav:
"Assumption is the mother of all fuck-ups!"
Så basically, slå HTML i mails fra og så er man relativt godt med - Well, har det ikke været et sikkerhedsissue lige fra starten helt generelt?
Indrømmet, jeg har ikke læst den bagvedliggende lovgivning, men som jeg læser artiklen, så fordi man administrativt og lovgivningsmæssigt ikke har styr på sine ting, så sender man et TVANGSlån i hovedet på boligejerne (hvis grundskylden stiger) ??
Normalt søger man da om et lån?
Tja, det kræver nok bare at man kan koordinere det i klassen ... en hel årgang der svarer "Ønsker ikke at svare" burde sende et signal - men jeg tror desværre ikke det er muligt.
Det kunne være man skulle høre skolen hvornår de gennemfører undersøgelsen ned på klasseniveau, og så holde ungerne hjemme pågældende dag.
Alternativt instruere ungerne i udelukkende at svare "Jeg ønsker ikke at svare", udfordringen er måske bare at forklare et barn i 0. hvorfor det er en god ide ....
Jeg har også lige fået besked på ForældreIntra:
"Er det frivilligt for eleven at besvare skemaet? Trivselsmålingen gennemføres som en del af undervisningen. Eleven skal derfor deltage i undersøgelsen. Hvis der er spørgsmål, som eleven ikke ønsker at besvære, kan eleven benytte svarkategorien 'Jeg ønsker ikke at svare'. Hvis jeres barn ikke er i skole den dag trivselsmålingen foretages, giver skolen mulighed for, at barnet kan besvare skemaet en anden dag. Hvis eleven ikke ønsker at deltage i undersøgelsen, har dette ikke konsekvenser for eleven."
Så ... de SKAL deltage, men kan frabede sig deltagelse? Kan I bestemme jer?
Jeg meddeler i hvert fald, at min søn besvarer på papir-form .. og så kan det godt være at han tilfældigvis ikke kan komme i skole pågældende dag ...
Jeg er desværre nervøs for at det altid er borgeren der kommer til at hænge på bevisbyrden ...
Krav i en kravsspecifikation skal være:
- Entydige (Kan kun forståes på én klar måde)
- Komplette (Der må ikke mangle information)
- Konsistente (aka ikke modstridende)
- Korrekte (Kræves der 3 hænder til en en-mands betjent maskine?)
- Verificerbare
- Modificerbare
- Sporbare
De må derfor ikke være åbne for fortolkning. Hvis de er det ryger vi ind i antagelser - og som vi (muligvis) alle ved: Assumption is the mother of all f***ups (Tommy Lee Jones i Kapring på åbent hav).
Den ekspertise du nævner, Frithiof Jensen, er leverandørens produktkendskab.
Eks.: Der skal laves en eller anden given alarmordning der reagerer på temperaturer, derfor skal man bruge temperaturfølere (der så naturligvis skal være specificeret nærmere af karakter). Så kan det være at leverandøren ved at til dette formål er temperaturføler XX-ZZZ bedre end XY-ZZZ og derfor vælger leverandør denne.
(Dit eksempel ville i øvrigt falde på pkt. 6 "Modificerbart" :-) )
Asbjørn Hoffskov Lund