Kim Madsen

It-rådgiver: Danmark skal rekruttere russiske it-specialister

I den givne situation, kan jeg godt være bekymret for om man kan skelne hvilke der faktisk er flygtet ud af Rusland og hvilke der kommer til at optræde som Russiske agenter. Netop i IT stillinger er risikoen temmelig stor for at uheldige elementer kan få indflydelse eller information som ikke burde tilflyde Rusland disse dage.

12. april kl. 00:11
Justitsministeren vil gemme fingeraftryk og DNA på sigtede i op til 20 år

Jeg ser et dilemma her.

På den ene side, så ønsker jeg ikke at mine biologiske oplysninger skal gemmes i mellem 10-20 år, bare fordi jeg var uheldig at være på det forkerte sted på det forkerte tidspunkt, eller se uheldig forkert ud, så jeg sigtes som uskyldig.

På den anden side, så har alle med et nyere pas, allerede givet vores fingeraftryk til samfundet, da passet skal indeholde biometriske oplysninger.

Disse oplysninger, kender jeg ikke data varigheden af, men passet er typisk gyldigt i 10 år, så data gemmes formentlig i 10+ år og formentlig lang tid længere. Det kunne iøvrigt være interessant at få det specificeret.

Så vi er allerede i suppedasen på den ene eller anden vis.

Udfordringen er nok mere, hvor lang tid en sigtelse må gemmes i systemet, uden at være blevet anonymiseret, således sigtelsen ikke længere kan bruges til at identificere den uskyldigt sigtede person.

30. marts kl. 17:34
Danmarks første storskala geotermianlæg skal ligge i Aarhus (GridTech)

Jeg kan godt blive noget svedt ved tanken om at Aarhus Affald/varme nu alene skal sende store beløb efter sådan en løsning, specielt da vi stort set ikke har set nogen successfulde løsninger indtil nu.

At man kan klappe i hænderne og som minister sole sig i nyheden, uden iøvrigt at risikere statens penge i sådan et yderst risikabelt projekt, forekommer mig fuldstændigt galt afmarcheret.

Som bosiddende i Aarhus og modtager af fjernvarme fra Aarhus Affald/varme, så har jeg det faktisk noget skidt med at man gambler med mine fremtidige betalinger.

At det så heller ikke er en holdbar langsigtet løsning at hælde træpiller ind i ovnene er en anden sag.

14. januar kl. 17:52
Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet

Jeg skal fortælle hvad risikoen er....

Det som børnene skriver kommer i hænderne på Google. Den kommunikation der måtte være mellem børnene og lærerne kommer i hænderne på Google. Den kommunikation der måtte være mellem lærerne og forældrene risikerer at komme i hænderne på Google.

At man, som offentlig myndighed, kan have det fint med at outsource datastorage af følsomme data, som f.eks. når børnene skriver om deres oplevelser i deres hjem, ferier etc. og når der kommunikeres om besværligheder eller udfordringer mellem lærer og hjem, er mig totalt uforståeligt.

Samtlige kommuner burde bruge alternative inhouse (eller i det mindste in state hostede) løsninger.

13. september 2021 kl. 10:19
Professor vil have mere open source i det offentlige

Det er jo noget nonsens - hvis MS lavede sikkert software (hvad man burde forvente), så ville sådan noget som ransomwareangreb altså ikke ske.</p>
<p>At tørre den af på forbrugeren at andre kan løsne hjulboltene på afstand, pga. fejldesign, er simpelthen for tyndt.

Det er jo et spørgsmål om omkostninger.

Vil man designe noget som en kampvogn for at det kan benyttes af et barn på bagsædet af en bil til at se film på?

Og vil forældrene være villige til at betale hvad det koster?

Desuden så finder du altså ikke megen software som ikke kan hackes på den ene eller anden måde, hvis du skal have nogen som helst frihedsgrader på det.

Hvis du har en forventning om det, så tror jeg du skal overveje et andet medie, så som papir og pen, og selv da er du ikke i sikkerhed.

Hvis du vil have "absolut sikkerhed" så skal du som sagt bruge FPGA'er eller OS frie microcontrollere, og selv da er du ikke sikker, da der også findes metoder til at påvirke dem. De kræver dog normalt fysisk adgang.

Vil du omvendt have frihed til selv at vælge hvad der skal installeres på den, hvordan den skal opføre sig og se ud, og hvad hardware du stopper i den, så kan du ikke med nogen som helst realitets sans forlange at den skal være 100% skudsikker i sig selv.

Antallet af kombinations muligheder der skal testes af, for at verificere at den kombinerede maskine forbliver 100% sikker, bliver jo uendelig.

En Windows eller Linux maskine der kører på et hospital er ikke i sig selv en risiko. Risikoen opstår ved de mennesker der benytter dem, samt de restriktioner der måtte mangle at være sat op netværks mæssigt og i routere/firewalls/gateways.

Måden at mindske risiko på er at have mange lag af barrierer mellem det åbne net og den sikrede maskine.

10. september 2021 kl. 15:39
Professor vil have mere open source i det offentlige

Kan du så forklare hvordan f.eks en lang række sygehuse verden over inden for de sidste år er blevet ramt af malware angreb, som i den grad har lagt dem ned, og efter sigende også har kostet liv?

Ja, det kan jeg godt. Det er fordi der er sygehuse som ikke selv lever op til de krav de stiller til leverandørene.

Det har som sådan intet med produktansvar at gøre.

Hvis du køber en ny bil, og hjulet falder af, så er der tale om leverandøren har produktansvar. Men hvis du vælger at bruge bilen som rambuk mod en kampvogn, så kan du altså ikke rigtig hænge leverandøren af bilen op på at den gik i stykker og kostede dig dit liv.

10. september 2021 kl. 12:19
Professor vil have mere open source i det offentlige

Og her er der endnu ikke effektueret nogen bøde, og dem der er varslet, er på beløb, mindre end der bruges på julefrokosten.

Det er ikke korrekt at der ikke er effektureret nogen bøder i Danmark til offentlige myndigheder.

Man kan diskutere som bøde størrelserne er store nok, men samtidig bør man jo også forholde sig til det samfunds nyttige i at det til slut ender op med at være skatteborgerne der betaler bøden.

Det er jo eet af dilemmaerne ved at myndigheder udsteder bøder til myndigheder.

Jeg synes det er at stramme den voldsomt, at sammenligne det med produktansvar.

Hvis der var klare krav og disse ikke overholdes, så vil en offentlig myndighed jo sagtens kunne tage ansvaret for GDPR bøden op med leverandøren og en ret vil sandsynligvis idømme denne en bod der så vidt muligt holder myndigheden skades fri.

10. september 2021 kl. 10:10
Professor vil have mere open source i det offentlige

Problemet er, at man anvender Windows som brugergrænseflade, og ikke betragter brugergrænsefladen som kritisk.

Well.. hvis det er i de kategorier (medicinsk etc.) som jeg nævnte ovenfor og den visuelle præsentation betragtes som livskritisk, så vil Windows (og Linux eller andet præsentations OS) blive betragtet som en kritisk komponent, og blive certificeret ind i løsningen med alle de krav til dokumentation og test det medfører.

10. september 2021 kl. 10:02
Professor vil have mere open source i det offentlige

Jeg forestiller mig ikke at det gælder for EPIC, og deslige, som samler vore mest følsomme oplysninger.

https://www.cbi.eu/market-information/outsourcing-itobpo/software-development-services/market-entry

Før GDPR (som jeg personligt synes i princippet er godt, men som samtidigt har nogle ubehagelige fortolknings vanskeligheder der kan koste kassen), så var udviklingen typisk styret af aftaler mellem opdrags giver og leverandør.

Der var ofte aftaler om oppetid, data sikkerhed etc. men det var som sagt reguleret som en del af en kontraktuel aftale mellem to virksomheder.

Efter GDPR, så har EU blandet sig i den del der har med person følsomme oplysninger, og der er altså temmelig kradse straffe, hvis man formaster sig til at overtræde disse, både tilsigtet og utilsigtet.

Du kan se en oversigt over bøder der er udstedt her:

https://www.enforcementtracker.com/

Man skal altså være opmærksom på hvad person følsomme data er, og hvad de ikke er. Og disse data skal behandles, opbevares og adgang til dem registreres (sporing) iht. deres klassificering.

Da det kan være ekstremt dyrt for en leverandør, ikke at tage de skridt man kan forvente til at beskytte og fjerne personfølsomme data, må man forvente at der er en langt større fokus på dette end der tidligere har været.

9. september 2021 kl. 23:32
Professor vil have mere open source i det offentlige

Open Source betyder at man køber præcis det samme produkt, men kræver at leverandøren lægger kildekoden til gennemsyn og fri afbenyttelse af andre.

Hvorfor open source projekter ofte udelukkende lever sålænge der er ildsjæle (deres baby), eller der kan skabes betalte konsulent timer på produktet.

Desuden så er der store muligheder for spoofing ved det etablerede open source miljø. Årsagen er netop at enhver kan tage open source biblioteket, og redistribuere dette med diverse rettelser etc. som man synes skal med... og sammen med disse rettelser kan der sagtens snige sig fejl (tilsigtede og utilsigtede) ind, og ingen almindelig udvikler vil nødvendigvis kunne gennemskue konsekvenserne deraf.

Så problemet er ikke "open source" i den snævre fortolkning.... at source koden gøres tilgængelig for brugerne af den, men mere at source koden kan redistribueres uden omkostninger og med lidt søge optimerings muskler gøres til defakto standarden, uden at den ærlige oprindelige udvikler har nogen som helst indflydelse på softwaren, samt heller ikke får noget udbytte deraf.

Derfor så burde kriteriet ikke være den brede fortolkning af "open source", men den smallere, hvor sourcen er tilgængelig for dem som faktisk har brug for den, men ikke for dem som blot vil enten lukrere direkte på andre folks arbejde, eller endda misbruge det.

9. september 2021 kl. 23:09
Professor vil have mere open source i det offentlige

Hvordan forestiller du dig, at programmøren skal have større indsigt i, hvad der foregår i closed source libraries?

Det har jeg absolut heller ingen forestilling om at han har. Men han bliver i det mindste ikke stukket et blålys i øjnene om at open source automatisk er bedre.

9. september 2021 kl. 22:57
Professor vil have mere open source i det offentlige

... lige indtil det går op for en, at trods alle disse velmente krav, så kører rigtig meget software til medicinal brug på Windows.

Ja det er korrekt. Slutbruger applikationer kører ofte på Windows.

Nu er det sådan at Windows ikke automatisk og per definition er sikkerhedsmæssigt mere usikkert end f.eks. Linux.

Sålænge platformen er under kontrol og der ikke installeres tilfældigt udstyr og andre applikationer, så er Windows, med de valgte drivere og udstyr faktisk også certificeret til netop det brug det bruges til.

Desuden så vil man ofte hverken stole på Linux eller Windows, når man snakker de direkte livs kritiske dele af hardware... der bruger man ofte special udviklet software på FPGA'er eller microcontrollere uden dedikeret OS.

https://www.fda.gov/media/71794/download

9. september 2021 kl. 22:56
Professor vil have mere open source i det offentlige

Langt de fleste danskere, kan ikke programmere. Og de har ingen mulighed for at få noget ud af sourcekoden. Det betyder intet for dem, om det er open source eller ikke - bare se på, hvor mange der vælger Windows frem for Linux! Om softwaren er synlig eller ej, betyder intet for de fleste danskere.

Du har fuldstændig ret Jens i både dette og din beskrivelse af intentionelle bagdøre.

Open source er ingen garanti for et mere sikkert system. Faktisk er open source filosofien ofte så tæt bundet sammen med andre frihedsgrader, at selve grundstrukturen i et stykke software bliver langt nemmere at angribe ude fra. Det at have open source misforstås af de fleste til at det er ufarligt at tage 10 forskellige open source kasser og kaste sammen i et projekt med noget klister kode imellem.

Programmøren har godt nok været istand til at levere en funktionalitet hurtigt, men har ingen ide om hvad der egentlig foregår i den leverede kode og alle de open source kasser han har benyttet sig af.

Snakker vi sikkerhed, så er det sikreste en bundhæderlig top tier udvikler som vælger at skrive og forstå 95% af alt koden selv. De sidste 5% er hashing og krypterings algoritmer hvor det trods alt stadig er sikrest at bruge kode som en specialist i netop denne kode, har skrevet.

Nutidens node.js, Spring eller whatever framework som er oppe i tiden lige nu, kodere er faktisk ikke kodere, men scriptere som stoler 100% på andres kode, og kun skriver lidt klister til at binde det sammen.

Desværre er hovedparten af software udviklingen nutildags baseret på ovenstående filosofi, med de side effekter det giver.

9. september 2021 kl. 22:10
Professor vil have mere open source i det offentlige

Software har INGEN af den slags krav, tests eller andet - og som følge deraf er kvaliteten MEGET svingende - og samtidigt behandler software oftest data som er MEGET følsomme, med deraf følgende impact for den enkelte systemet behandler i tilfælde af fejl.

Det er så ikke korrekt. Der stilles samme krav til softwaren ved medicinalt udstyr som der gør til hardwaren. Mængden af dokumentation og test er faktisk overordentlig stor.

Det samlede udstyr (som består af hardware og software) vil simpelthen ikke kunne blive godkendt til medicinal brug, hvis ikke dokumentationen er i orden, signifikante automatiserede og manuelle tests udførte (og detaljeret beskrevet og dokumenteret), og ISO procedurer er fulgt til punkt og prikke.

Du vil finde de lign. skrappe krav i aerospace, transport, militært brug etc. hvor software kan være en fysisk risiko for et menneske.

Hvis en software udvikler kan dokumentere at softwaren (under tiltænkt brug) ikke yder en fysisk risiko for et menneske, ja, så er der ikke længere samme rigide overordnede krav, omend de fleste virksomheder stiller krav til at der heller ikke må ske skade på økonomien, og dermed ofte pålægger udvikleren økonomiske straffe muligheder under udarbejdelse af en samarbejds kontrakt.

9. september 2021 kl. 21:59
Donald Trumps 'Gab'-konto er blevet hacket

Den er ærlig talt svær, eftersom han tydeligvis ikke har problemer med at opildne til oprør mod staten, hvorfor han må vurderes til at være en national sikkerhedstrussel.

Der gælder andre regler for mennesker som vurderes til at være nationale sikkerhedstrusler. Det er set før at de er håndteret anderledes af de Amerikanske myndigheder (både officielle og de uofficielle)

2. marts 2021 kl. 14:55
RIP Fry's Electronics

at man kan finde en velassorteret fysisk elektronik forretning med dimser og dimsedutter af enhver slags.

Jeg husker stadig de gode gamle Josty Kit dage, Jan Soelberg og Circuit Design med glæde, da jeg har opholdt mig mange timer hos dem i Karlslunde.

Heldigvis er der dog stadig elektronik butikker hist og her.

Specielt Aarhus ser ud til at være begavet med et par gode af slagsen, Elektronik Lavpris på Viborgvej i Aarhus V, ArduinoTech i Odder og hvis det er mere computer relaterede ting, alle de største varehuse som DCS i Trige, ProShop i Viby J og DCC i Hinnerup.

Det virker lidt som om "Silicon Valley" i DK er flyttet til Aarhus forstaderne.

24. februar 2021 kl. 22:36
Trods Brexit: Storbritannien på vej til at blive sikkert tredjeland for dataoverførsler

Set i bakspejlet, hvordan UK har behandlet fortrolighed i forhold til personfølsomme data, bekymrer det mig uendeligt at disse data nu igen kan tilflyde UK, som nu er totalt uden for normal kontrol.

Det er ikke ukendt at UK har lækket mængder af fortrolige/hemmelige data fra EU lande til ihvertfald USA. Om der også er lækket til andre vides ikke, men da de engelske myndigheder har været fuldt vidende om at det de gjorde var imod reglerne og aftalerne i EU, og alligevel valgte at lække disse data, så vil jeg tro det samme kan ske med andre, sålænge UK føler de får en fordel ud af det.

Jeg føler mig absolut ikke sikker på at UK ikke vil misbruge data, nu som 3. land.

23. februar 2021 kl. 11:37
Så fik EU også nok: Kræver masterkeys til end-to-end krypto

... at forbyde digitale pengetransaktioner. Tilbage til hård valuta...

Skal du købe noget betaler du med kontanter.

Skal du stjæle noget, stjæler du kontanter... Det ville f.eks. have sikret at der ikke blev udbetalt 10 millarder skattekroner sådan bare lige. De ville alt andet veje omkring 3000 kg, så kræver en del logistik planlægning.

Skal du financiere terror, financieres den med kontanter.... så er det til at se hvem der bærer hvad, hvorhen og til hvem.

Det vil iøvrigt give beskæftigelse til en hel masse mennesker, hvad vi sagtens kunne bruge efter Corona og diverse økonomiske nedsmeltninger.

Desuden vil det begrænse de vanvittige statslån der foregår som et stort varmluft eksperiment, hvor digitale penge bare printes når der er behov for dem.... f.eks. se US ekstreme stats gæld som gen financieres med flere virtuelle US$ i en uendelighed.

12. november 2020 kl. 16:43
Velkommen tilbage fra ferie...

Men vi kommer ingen vegne uden gode venners hjælp, og lige nu virker vi til at have gode og stabile naboer.

Det er jo netop fordi der er en fælles interesse i det. Begge parter får noget ud af det. F.eks. hele årsagen (anden diskussion) til at fortsat EU medlemskab er vigtigt.

Det ændrer dog ikke på at prioriteter og interesser forandres. Og netop i forhold til USA, Kina og Rusland som vi (direkte og indirekte) er ganske afhængige af i forhold til teknologi, varer og energiforsyning, så vil det da være af stor interesse at vi til hver en tid selv vil kunne supportere de systemer som vores samfund benytter, også i detaljen.

28. juli 2020 kl. 10:03
Velkommen tilbage fra ferie...

... stole på andre mennesker, med andre værdier, andre prioriteter og andre strategier end ens egen.

Det er vel sagen i en nøddeskal.

Et sådan forhold virker kun sålænge der er fælles interesser, og det dermed har en værdi for begge.

Derfor har jeg også altid været fortaler for at vi i Danmark, skal kunne det meste selv. Vi skal selv hoste vores egne offentlige og private løsninger. Vi skal selv kunne supportere produkterne som benyttes, og vi skulle også helst selv kunne udvikle produkterne selv.

Det sidste har vi desværre tabt for længe siden, da vi har valgt at outsource rigtig mange brancher, eller danske teknologier og produkter simpelthen er udkonkurreret af udenlandske. Det gælder IT, elektronik, beklædning, transportmidler, og mange andre ting.

Vi bør prioritere at have en vis "inhouse" viden om alt som er nødvendigt for at vores samfund kan fungere. Derfor bør f.eks. håndværks uddannelser aldrig blive forældede... Kan du f.eks. komme i mesterlære som skrædder eller skomager?

Det giver nok ikke mening at skulle genopfinde alting, men vi skal have kildetekster, tegninger, reservedele og viden, så vi kan køre i "ø-mode".

28. juli 2020 kl. 09:43