Klavs Klavsen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Havde de bare haft ordentlige IT sysadmins

Og chefer - der sikrede at der var backup og en recovery plan, der blev testet.. suk. Jeg kender flere offentlige steder der også jævntligt ser dette -men i de har i det mindste styr på deres backup, så de har altid bare kunnet genskabe fra backup og så forsøge at forbedre "email sikkerheden...

Hvad med at være proaktiv istedet?

Det vil sige - investere i et team der kommer ud og verificerer backup og recovery strategien og laver "udvalgte recovery test" ? Det ville løse problemet, OG hjælpe på så meget andet.. Istedet for at komme ud når det ER for sent :)

Brug en af dem der ER udviklet?

Man kunne jo tænke at en af de patient journaler der allerede ER udviklet og i brug i Danmark, kunne "forbedres" til også at understøtte kriminalforsorgens behov? suk.. :(
Kommentar til Regeringen vil styrke Center for Cybersikkerhed med et rejsehold

tvungen it-sikkerhedsfag i alle IT uddannelser?

Så man ikke ser alle nye studerende være totalt uforstående overfor "security in depth" konceptet og hvordan man anvender det i praksis :)
Kommentar til Offentlige midler, offentlig kode!

Re: Ikke nødvendigt - måske heller ikke nyttigt?

Mener at England for år tilbage er begyndt på netop det.. https://www.version2.dk/artikel/saadan-aabnede-den-engelske-stat-smaa-it... Præcis - og de vurderer at have sparet 5 milliarder på den måde at arbejde på. Og HER er Open Source en kæmpe fordel for at samarbejdet fungerer og man bedre...
Kommentar til Offentlige midler, offentlig kode!

Re: Ikke nødvendigt - måske heller ikke nyttigt?

For mange af de statslige systemer er der kun 1 (en) anvender. Hvis denne statslige institution ikke håndterer henvendelser, hvad er pointen så? Spørgsmålet er, om den i henhold til forvaltningsloven overhovedet kan undlade at registrere og besvare henvendelser? De statslige systemer jeg har...
Kommentar til Offentlige midler, offentlig kode!

Re: Ikke nødvendigt - måske heller ikke nyttigt?

Okay, så prøver jeg at udtrykke mig mere præcist: Det kan ikke undgå at påføre projekterne omkostninger til at håndtere og vurdere henvendelser. Om der er besparelser, der opvejer disse omkostninger, skal jeg ikke kunne sige. Skal vi stoppe ordkløveriet her? Men hvorfor SKAL man håndtere de ...

Re: Der findes EU-clouds? Lad mig høre :-)

Jeg mener bare, at at hvis man ikke har styr på sin infrastructur (IAC) og deployments (code og implementering). Så er sikkerheden ikke anderledes om du har dit eget cluster, datacenter eller man benytter Azure eller AWS. Nu drejer lige denne artikel om GDPR - og der ændrer det bestemt på ti...
Kommentar til Hvad skal staten stille op med sine gamle IT-systemer?

Re: Ingen - INGEN - nemme løsninger

Sådanne systemer skal jo netop kunne ligge som services i bunden (som Klavs skriver), så man kan bygge institutionsspecifik funktionalitet ovenpå. Måske er det blevet bedre siden. Ikke dem jeg har set.. De har fået knappet et håbløst SOAP interface ovenpå, med indlejrede XML schemer i XML sc...
Kommentar til Hvad skal staten stille op med sine gamle IT-systemer?

Re: Gør legacy fedt

Sådan en slags Purple Heart for systemvedligehold? Jeg tror slet ikke, at de mennesker, der er gode til den slags, vil værdsætte diplomer og sildesalat. Måske sådan mere diskret anerkendelse? Positiv omtale i stedet for ... hvad man nu kalder den slags. At overleve med den slags arbejde burde v...
Kommentar til Hvad skal staten stille op med sine gamle IT-systemer?

Re: Gør legacy fedt

Hej Thomas, Jeg kender mange garvede og kreative IT-folk fra mindre konsulenthuse og softwarevirksomheder, som kærer sig meget om velfærdssamfundet, men for hvem vejen til at få indflydelse og hands-on med vigtige projekter virker uoverskuelig, fx som følge af SKI-krav og krav om deltagelse i ...

Re: Der findes EU-clouds? Lad mig høre :-)

Cloud er - uanset hvilket jern du benytter - ikke mere sikkert end dine k8s deployments. øhh? Den må du gerne uddybe. Vi vælger at deploy'e k8s på jern vi lejer hos Hetzner. Så VED vi at sårbarheder såsom spectre, og VM escapes (at VM's på samme host) - som der jo kommer nogen jævnligt (i bå...

Re: Kun toppen af isbjerget

Kan du anbefale en god HTTPS-proxy der kan bruges til formålet? Kan du fortælle lidt mere om hvordan pakker fjernes, når de indeholder persondata? Jeg kender ikke til nogen der forsøger at identificere persondata i udadgående https trafik. Normalt vælger de hvilke domæner (hjemmesider) de vil...

Re: Kun toppen af isbjerget

. Data er krypteret over 443 (udgående) og det er kun Microsoft der ligger inde med den private nøgle. Jeg gentager så lige det jeg skrev: For det første skrev jeg at al uønsket trafik normalt ville være blokeret og når det gælder trafik over HTTPS - så skrev jeg at man typisk ville have en...

Re: Kun toppen af isbjerget

kedelig Exchange server, hvis den ikke kan modtage og sende post Generel regel -hvis serveren kan tilgås udefra - skal den IKKE kunne gå ud selv. Jeg kender ikke mange fornuftige folk, der ikke har lukket en exchange server af så den KUN kan sende mail ud (og få ind) via en postfix smtp rela...

Re: Hvad så i stedet for

Nu handler GDPR ikke så meget om, hvorvidt data "deles" lovligt eller ikke lovligt, men om hvorvidt de deles inden for rammerne af hvad der er givet tilsagn til fra kunden. Det gør den faktisk. Du får NETOP en bøde - hvis nogen har hacket (ulovligt) dine servere og fået tilgang til...

Re: Hvad så i stedet for

En virksomhed kan dømmes for brud på GDPR regler hvis der er sket et brud og vil næppe få "rabat" blot fordi det var et brud der gennemførtes ulovligt. Det er svjv. ikke korrekt. i GDPR står der NETOP at der skal være tidssvarende sikkerhedsforanstaltninger. HVIS der har været det,...

Re: Kun toppen af isbjerget

Windows Server med Internetadgang Men det er da vel INGEN ansvarlig sysadmin der gør? Jeg har altid blokeret internetadgang for servere - og med WSUS - får de jo deres opdateringer fra den og ikke fra microsoft direkte.. At blokere - og logge evt. forsøg er den billigste måde at opdage pote...

Re: Hvad så i stedet for

Shrems II drejer sig om amerikansk lovgivning og derfor er det et problem hvis man opbevarer GDPR omfattet data på noget som nogen under amerikansk lovgivning har tilgang til - da det så betyder at USA kan betvinge sig adgang (lovligt). USA kan IKKE (juridisk lovligt) tiltvinge sig adgang til f....

Re: "Løsningen"?

Løsningen går vel hen og bliver en europæisk cloud på et separat lukket net øhh hvorfor? GDPR omhandler som sådan ikke "ukendt NSA aflytning i fremmede lande".. - så hvis man f.ex. hostede hos OVH eller Hetzner - så lever man fuldt op til GDPR.