Bjarke Alling

Uden åbenhed, ingen tillid. Uden tillid, ingen data. Uden data, intet internet

Link til forslaget fra oktober sidste år

Nyt Cybersikkerhedsråd

19. januar 2019 kl. 17:08
Uden åbenhed, ingen tillid. Uden tillid, ingen data. Uden data, intet internet

Hej Torben,

Tak for præcis og skarp analyse af CfCS lovforslaget. De, forhåbenligt, mange høringssvar (der er frist 4/2-2019) vil overraske politikerne på Christiansborg om hvilke omfangsrige konsekvenser det nuværende lovforslag har.

i IT-Branchen har vi sammen med Folk & Samfund i efteråret 2018 konkret fremsat et forslag til forsvarsudvalgets medlemmer om netop et råd alá dit punkt 2. Det glædeligt at læse, at vi ikke er de eneste som ser et aktuelt behov for en civil cybermyndighed.

Til paneldebatten forleden til Databeskyttelsesdagen var Nasher Khander selv inde på eksempelvis et reelt ministerirum som svar på bl.a. min bemærkning om at vi behøver større åbenhed fremfor større lukkethed.

19. januar 2019 kl. 11:13
Opdatering til Outlook ødelagde Nets’ NemID-understøttelse: Skulle virke igen næste år

Hej Niels,

Skønt at du har fået det til at virke. Cool :-) Kan du dele din lille registry ændring?

Gætter på at du tvinger Outlook til at bruge 3DES fremfor AES256.

/Bjarke

21. november 2018 kl. 14:45
Opdatering til Outlook ødelagde Nets’ NemID-understøttelse: Skulle virke igen næste år

Jeg har i årevis brugt et chipkort med den tilhørende smart card middleware, Mircrosoft minidriver og Microsofts standard CSP som bindeled til den privatenøgle som ligger placeret i card os.

Det virker med både nyeste Outlook, Thunderbird osv og med AES256.

21. november 2018 kl. 13:54
»Ingen har behov for at vide hvem du er«

Tænker at moren til dit eller dine børn er ret ligeglad med dit digitale alter ego og tilgengæld kræver din fulde, hele og totale virkelige tilstedeværelse.

15. december 2017 kl. 20:22
Politiet opgiver sigtelse i sag om YouSees nytårsnedbrud

Ubemærket af debatten ovenfor er den lille sætning "en bevidst skadelig handling" er. Det er sjældent i DK at nogen i så stor skala rammer et lands infrastruktur og lammer det i mange timer, hvis ikke flere dage.

Det vist først i dag at TDC har erkendt offentligt at nedbrudet var gennemført med vilje. Offentligheden ved ikke noget om det var en fremmed magt eller en sur medarbejder, men sagen bør fortælle alle systemejere af store systemer at man kan rammes af personer med ond vilje og at sikkerheden i disse systemer og planen for at beskytte dem skal drøftes med den øverste ledelse.

22. september 2017 kl. 21:08
Ny styring af it-adgang i Hillerød: Vi glemte for ofte at lukke ned for fratrådte kolleger

En kommune med ca. 40.000 indbyggere har en medarbejderantal svarende til ca. ml. 8-10% af indbyggerne. Dvs. ml. 3.200 - 4.000 medarbejdere. De er ikke alle på fuldtid, men fortsat ansat på en eller anden måde. Alene ældre/plejeområdet er mere end 1.500 medarbejdere.

Automatiserede løsninger med IDM og roller er den eneste vej der findes med ovenstående antal brugere sammenholdt med de medarbejderressourcer en kommune eller for den sags skyld en privat dansk virksomhed har til rådighed.

20. september 2017 kl. 18:36
»Helt ekstraordinært« fjerner e-Boks 2.046 fejlleverede lønsedler

Fint for mig. Om man anvender sin egen uploade offentlige nøgle eller hvilken som helst nøgle er ikke spørgsmål ift. eBoks.

En national PKI infrastruktur handler om CA og visitations- og udstedelsesprocesser. Det er ikke et emne i denne tråd.

Hvis nogen er nysgerrige efter hvad andre lande gør ift. PKI kan jeg anbefale at se lidt på Estland - https://e-estonia.com/

10. august 2017 kl. 17:39
»Helt ekstraordinært« fjerner e-Boks 2.046 fejlleverede lønsedler

Jeg begriber det ikke.

I Danmark har vi en national PKI infrastruktur med globalt trust. Mange her på V2 er ikke glade for den nuv. private NemID, men det er immervæk en fungerende infrastruktur som anvendes af 4 mill. danskere. Og nej. Lad os ikke drøfte nøgler lige nu. Denne her sag langt mere vigtigere end nøglegereringsprocessen.

Jeg har tidligere i denne Bluegarden/Nets/eBoks sag forslået at bruge krypteringen til at sikre indholdet kun læses af den rigtige modtager.

I denne - nye udvikling - er det særdeles relevant at inkludere en obligatorisk PKI signering af dokumenter og for min skyld også loghændelser. Der må ALDRIG være tvivl om tid og ægthed. Al den teknologi der skal bruges findes i det vi allerede har.

Kære Erst og Digst. Kom ind i kampen og stil krav til alle partner om at hæve barren for danskernes digitale tillid.

10. august 2017 kl. 17:17
IT-sikkerheds Jekyll & Hyde problem

Hej Poul-Henning,

Tror du med fordel kan kaste et blik på General Gerasimov og hans militære doktrin fra 2013. https://en.m.wikipedia.org/wiki/Valery_Gerasimov

De ting han har introduceret ift. it-trusler på vores danske samfund er hverken en papirtiger eller varm luft.

8. august 2017 kl. 18:09
Softwarefejl hos Nets sender over 2.000 lønsedler i hænderne på de forkerte

Hvorfor er det nu, at beskeder sendt til ens personlige eBoks postkasse ikke bliver krypteret hos afsenderen (her Bluegarden) med ens offentlige NemID Privat nøgle?

Alle de dele som der skal være tilstede findes allerede i fødekæden af underliggende teknologi og det ville fjerne den åbenlyse risiko for at indholdet i brevet uforvarende lander hos den eller de forkerte når posten (altså her Nets/eBoks) bringer brevet ud.

8. august 2017 kl. 17:55
Digital signaturs fader: »Vi var et skridt foran de andre«

Helt ening. En moderne løsning i dag indeholder at brugeren fysik bærer sin egen digital ID med sig og kan bruge den i standard applikationer til lige netop digital signering, kryptering og dekryptering og endelig simplificeret login. Yubikey er et interessant bud.

1. december 2016 kl. 18:24
”It? Det har Jens styr på!”

Hej Per

Fint indlæg og helt rigtigt ift. den besynderlige prioritering mellem produktionsmaskiner, servicebiler osv. og det nødvendige IT.

Den vedvarende debat i IT branchen omkring, at IT ikke opnår en tilpas relevant position i hirakiet i en given virksomhed har bragt mig til den simple tanke at IT og de tilhørende IT folk skal sidestilles med den tilsvarende position som juridisk afdeling har. Det er sjælent at ledelsen modsætter sig den juridiske direktør eller selskabets advokat. IT bør have samme position og derved skulle den besynderlige underprioritering jf. overstående gerne være slut.

12. oktober 2016 kl. 19:31
Se her hvordan FBI hackede over 1.000 Tor-computere i børneporno-aktion

Jep. En bagdør i kryptering er ret ligegyldige hvis du har en software klient på den pågældende brugeres maskine.

5. februar 2016 kl. 13:01
Java-baseret NemID trues af plugin-skrotning - styrelse leder efter alternativ

Nu er det jo altid sjovt at gøre sig morsom på andres bekostning. Men der også dele i både sygehussektoren og den offentlige forvaltning der brugere nyere browsere. Hertil kommer så hele den private sektor med advokater, revisorer, banker, forsikring osv. Eksempelvis upload og digital underskrift på regnskaber hos Erhvervsstyrelsen og skøder, pantebreve mv. på den Digitale Tinglysning. Hos alle disse har de sågar opdaget at Windows 10 er bedre end Windows 95 & XP.

5. februar 2016 kl. 12:23
Java-baseret NemID trues af plugin-skrotning - styrelse leder efter alternativ

Ja. Det er et kæmpeproblem. Stort set alt landets sygehuspersonale og 10.000 vis af stats- og kommunalemedarbejdere er dagligt afhængige i at de kan tilgå mange hundrede nationale IT systemer med deres NemID Medarbejdersignatur og den nuværende Opensign MOCES Java applet. Denne applet er iøvrig opensource og koden findes her: http://www.openoces.org/opensign/index.html

4. februar 2016 kl. 20:31
Besværlig it jager læger væk fra sikker e-mail

Jep. Og deri ligger der et sikkerhedsproblem. De data - tror jeg - der her tænkes på er ikke af en art der gør at de skal deles med en systemadministrator. Hverken bevidst eller ved en utilsigtet hændelse.

4. februar 2016 kl. 20:27
Besværlig it jager læger væk fra sikker e-mail

Fremragende og simple løsning. Mailadressen er obligatorisk ved bestilling af en NemID Medarbejdersignatur. Dvs. den oplysning fndes allerede hos CAen. Om den så vises i x509 certet er op til bestilleren og organisationen bagved. I nogen danske sygehusregionen vælger man bevist ikke at have vist brugerens mailadresse. Er helt sikker på at der kan findes en metode til at håndtere dette hos CAen.

4. februar 2016 kl. 20:24
Besværlig it jager læger væk fra sikker e-mail

.. at vi her i DK ikke for mange år siden gik i gang med at forbedre de standarder der allerede findes til eksempelvis krypteret mail. Jeg medgiver at s/mime ikke er ideel ift. anvendelse bredt blandt eksempelvis sundhedssektoren. Løsningen på eksempelvis dekryptering af gamle mails, arkivpligt osv. er ikke enkelt. Der findes forskellige punktløsninger, men de favner ikke alle brugsscenarier.

Jeg tænker alternativt, at de må være muligt at tage de nuværende standarder og få dem forbedret således de kan rumme vores behov og ønsker. Selvklart koster et sådan arbejde penge, men det bør kunne rummes på de nationale it budgetter.

4. februar 2016 kl. 18:32
Besværlig it jager læger væk fra sikker e-mail

Udfra det du beskriver af følsomme data kan selv et internt mailsystem være usikkert Kernen er, at personer med systemadministrativ adgang kan læse dine mails. Dette scenarie kan bremses af forskellige systemregler, overvågning af adgang mv.

Så helt afhængigt af sted, mailsystem, regler kan disse højfølsomme data slippe ud.

Havde data i stedet været lagret i en særligt sikret database, ville det systemteknisk være langt nemmere at beskytte oplysninger fra uvedkommende.

4. februar 2016 kl. 18:25