Erik Haahr

Cloud-salget buldrede afsted over hele verden: Men i Europa faldt salget i efteråret efter Schrems II-dommen

Personligt betragter jeg Schrems II dommen som gift for mine personlige data!

Nu må jeg leve med at virksomheder og myndigheder opbevarer mine data i gamle hullede legacy systemer med (næsten) fri adgang for hackere og andre kriminelle, og hvor alverden efterretningstjenester enkelt kan få fat i data.

Jeg så hellere mine data opbevaret krypteret i moderne veldesignede systemer følgende Zero-Trust principper - så er det egenligt ligegyldigt hvor i verden de befinder sig.

14. september kl. 16:48
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

"så vil AWS have adgang til de dekrypterede data (i hvert fald i teorien)."

Det er netop i teorien - i praksis vil det kun være muligt på et ekstremt lille udsnit af data, og det vil være enormt resourcekrævende at identificere hvor og hvornår man vil skulle fange data in-memory.

Man må antage at selv NSA vælger at bruge deres resourcer der hvor det giver mest mening af hensyn til USAs interesser (og det er næppe personoplysninger om danske skolebørn...)

7. september kl. 17:24
Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale

Fælles for de europæiske alternativer er at de tilbyder IaaS + Container infrastruktur.

Dette er den "værdiløse" del af cloud, der alene bør tages i brug for at kunne tømme et on-premises datacenter.

Den rigtige værdi ligger i PaaS og SaaS.

Nogle af de europæiske alternativer kan måske lave aftaler med nogle af de store SaaS-leverandører, der er baseret i Europa (som f.eks. SAP), men det giver jo ingen mening at benytte amerikanske SaaS løsninger hostet hos en europæisk cloududbyder - det vil alligevel være underlagt amerikansk lovgivning med flertallet af de nuværende kontrakter.

Det er således ikke reelle alternativer i en cloudstrategi.

Resultatet er at danske virksomheder og myndigheder bliver sat år(tier) bagud i den internationale konkurrence.

7. september kl. 17:16
Datatilsynet: Ledige må ikke profileres med algoritmer bare fordi de samtykker

Dennis, jeg synes du mangler næste sætning i svaret:

Michael Knudsen skriver også, at Schultz har rådgivet kommunerne om, at det er den såkaldte Lov om en aktiv beskæftigelsesindsats (LAB), der blåstempler profilering af ledige borgere

Pointen er ikke at kommunerne anvender AI forkert, men at der ER lovhjemmel og samtykke således er irrelevant.

Så længe AI bruges til at give sagbehandleren det bedste beslutningsgrundlag, men overlader selve beslutningerne til sagsbehandleren ser jeg heller intetpotentielt etisk forkert i det. (Det kunne være en anden sag hvis AI på egen "hånd" - uden menneskelig indblanding - traf beslutninger og eksekverede dem)

Der bliver ikke indsamlet flere eller mere følsomme informationer om borgeren end der i forvejen er indhentet, så der ændres heller ikke ved de GDPR forudsætninger, der er for den pågældende databehandling.

Så dybest set bunder miseren i at kommunerne ikke har oplyst den tilstrækkelige lovhjemmel ved anmeldelsen af system og den tilhørende databehandling til Datatilsynet, men i stedet har "vrøvlet" om samtykke fra borgerne.

11. august kl. 14:25
Ny lov sender millionstor it-regning til tusindvis af små danske virksomheder

Der findes jo også gratis open source løsninger som f.eks. Odoo (https://www.odoo.com) som i community edition downloades og derefter afvikles og gemmer data på brugerens hardware.

8. juli kl. 11:18
Danmarks største teleselskab trodser Schrems II-usikkerhed: »Vi er klar til at løbe den risiko«

Hvor er det dog befriende, at der er nogle, der har besluttet ikke at ville ligge under for manglende IT-kompetencer hos lovfortolkere.

7. juli kl. 11:11
Region Syd flytter i Microsofts cloud, men er usikker på, om det er lovligt

Nu vil en sådan virksomhed jo ikke lægge sine vitale oplysninger i produkter som Office 365 eller Sharepoint Online! De vil dog benytte cloudleverandører som AWS, Azure og GCP og gør det i stor udstrækning! På grund af den høje datasikkerhed de kan opnå!

NSA og andre efterretningstjenester kan givetvis dekryptere udvalgte data i ganske lille omfang - de har dog på ingen måde kapacitet til omfattende dekryptering (før de får adgang til en stabil kvantecomputer). Dette betyder, at de kun vil forsøge dekryptering hvis de har en mistanke om væsentlige informationer af betydning for nationens sikkerhed. Denne adgang har de for så vidt også på data, der slet ikke er kommet til USA. De kan bare bede andre efterretningsvæsener om data - som vi har set udleverer danske efterretningstjenester gerne data om alle andre end danskere til de amerikanske efterretningstjenester (vi håber i hvert fald at tilsynet med efterretningstjenesterne er effektivt nok til at opdage og påtale evt. udlevering af data om danskere...).

Det er i praksis ikke muligt at forhindre en efterretningstjeneste adgang til (krypterede) data ligegyldig hvor de placeres! Undtagelsen er i en radiosikret bunker uden vinduer og uden galvanisk forbindelse til omverdenen, hvilket ikke er særlig praktisk.

Den største trussel mod persondata er ikke efterretningstjenester - Det er sløset omgang med ukrypterede data!

Derfor skyder datatilsynet og andre tilsynsmyndigheder sig selv i foden ved at fokusere på efterretningstjenesternes potentielle adgang - det medfører nemlig at myndigheder og virksomheder "tvinges" til at benytte "stenalderløsninger", hvor brugere forsøger at opnå en tålelig hverdag ved håndtere data med usikre midler, som, at udtrække data til Excel for at indlæse dem i andre systemer. Her er det så ofte at mellemresultatet lækkes utilsigtet.

Faktisk har alle lande en lovgivning, der i praksis gør at GDPR ikke gælder for landets egne borgere overfor landets egen efterretningstjeneste. For der er ingen offentlig indsigt i hvornår de får tilladelse til adgang.

6. juli kl. 11:58
Datatilsynet advarer cloud-kunder: »Det er vigtigt, at man har en exitstrategi«

Udover det ønskelige i at kunne skifte leverandør har jeg svært ved at se udfordringen hvis man følger best practice - dvs. sikkerhed i dybden, der omfatter kryptering af data ved lagring og transport samt maskering af data under brug i det omfang det er nødvendigt - alt sammen med Bring-Your-Own-Key (BYOK) samt en zero-trust architecture. Dette vil betyde at data er utilgængelige for alle der ikke er autoriseret til brug og har fået verificeret sin identitet for den konkrete anvendelse.

De beskrevne scenarier bliver dermed ikke-kritiske.

Ville man kunne bryde gennem denne sikring? -Ja, selvfølgelig - med de rette midler kan "alt" lade sig gøre - den nemmeste måde er dog at aflæse autoriserede brugeres skærm og tastetryk fra en bygning på den anden side af vejen. Den eneste måde at undgå dette på er at arbejde i en server-bunker uden galvanisk forbindelse til omveredenen - og det er ikke særlig praktisk for de fleste medarbejdere... I praksis må man dog nok sige at risikoen er minimal grænsende til ikke eksisterende; medmindre der er seriøse mistanker om alvorlig kriminalitet (læs terror eller tilsvarende).

Har jeg overset noget?

24. juni kl. 14:11
Kommentar: Internet of Things er mere end en intelligent ble - men virksomhederne sover i timen

Nye forretningsmodeller er allerede så småt på vej "pay-per-use" og abonnementsmodeller blandt andet.

Vi har endnu ikke set så meget til det endnu, men nogle eksempler er der dog.

Printere, der selv bestiller toner og fuser ogl. i tide inden printeren stopper har været tilgængelige længe. Nogle er sågar begyndt at sælge print pr. side i stedet for at sælge printere, toner og sliddele.

Rolls Royce sælger nu flyvetimer og ikke flymotorer. Det er gjort muligt ved at risikoprofilen er bragt ned i et acceptabelt leje ved hjælp af IoT. Det er godt nok ikke "ægte" IoT (endnu i hvert fald) for af sikkerhedsmæssige årsager hentes sensor data ved manuel aflæsning efter landing.

DriveNow sælger bilkørsel pr. minut - en ændring af traditionel biludlejning der kun er mulig på grund af IoT.

Der er lange traditioner for at tænke i effektivisering og IoT kan bidrage til et ekstra niveau af effektivisering. Ud fra den betragtning handler IoT om at reducere spild - enhver form for spild. Den proces er i gang og accelererer allerede.

Dele-økonomi er blevet bredt kendt som koncept med Air-BnB, Uber m.fl. DriveNow kan også siges at tilhøre denne kategori - Dele-økonomi konceptet vil formodentlig vinde indpas i mange flere brancher de kommende år. For nogle branchers vedkommende vil IoT spille en stor rolle i udbredelsen.

Den, der får ideen til at indføre "pay-per-use" eller abonnementsmodeller i en ny branche, vil kunne "disrupte" den pågældende branche. Og det er her vi vil se det helt store potentiale for IoT og Big Data, men det er også her vi har svært ved at fatte hvad konsekvenserne kan blive. Af samme grund vil denne udvikling tage længere tid - ikke forstået sådan at store forandringer først vil ses om mange år, men at der ligesom med Internettet vil gå mange år før det fulde omfang af forandringerne går op de brede masser.

27. november 2015 kl. 16:37
Alternativt flertal smuldrer: Ubrugelig sessionslogning fortsætter

I SFS 2012:128 ændres förordningen 2003:396 til at omfatte følgende to paragraffer vedrørende internettrafik:

42 § När det gäller meddelandehantering ska följande lagras:

  1. avsändares och mottagares nummer, ip-adress eller annan meddelandeadress,
  2. uppgifter om avsändande och mottagande abonnent och, i förekommande fall, registrerad användare,
  3. datum och spårbar tid för på- och avloggning i den eller de tjänster som använts,
  4. datum och spårbar tid för avsändande och mottagande av meddelande, och
  5. uppgifter om den eller de tjänster som har använts. Förordning (2012:128).

43 § När det gäller internetåtkomst och tillhandahållande av kapacitet för att få internetåtkomst (anslutningsform) ska följande lagras:

  1. användares ip-adress,
  2. uppgifter om abonnent och, i förekommande fall, registrerad användare,
  3. datum och spårbar tid för på- och avloggning i tjänsten som ger internetåtkomst,
  4. den typ av kapacitet för överföring som har använts, och
  5. uppgifter som identifierar den utrustning där kommunikationen slutligt avskiljs från den lagringsskyldige till den enskilda abonnenten.
28. maj 2013 kl. 23:24
Alternativt flertal smuldrer: Ubrugelig sessionslogning fortsætter

I den svenske implementering af logningsdirektivet er http og ftp trafik specifikt undtaget fra logningskravet... Det fremgår desværre ikke hvorfor disse protokoller er undtaget, for det virker en smule ulogisk at logge al email trafik via imap, smtp og pop3, men ikke browser baseret email.

Men uanset begrundelse, så er det en forskel i implementering af det samme underliggende direktiv.

28. maj 2013 kl. 21:43
IT- og Telestyrelsens tvangstilbud: Betal 27.000 kroner for at stå i vores adressedatabase

Har offentlige myndigheder ikke et HR-system med de samme oplysninger?

Det lyder unægtelig som om offentlige myndigheder bliver tvunget til at dobbelt-registrere oplysninger i redundante systemer og oven i købet betale for at få lov til at udføre uproduktivt arbejde - Det er da ineffektivt, spild af penge og en unødig fejlkilde.

Ikke så sært, at den offentlige sektor vokser ukontrollabelt...

Det fremgår at de data myndighederne indtaster bliver verificeret. Hvordan ved man om data bliver opdateret korrekt? Hvis en person, der er registreret i FOA forlader sit job og bliver erstattet af en anden, men myndigheden "glemmer" at registrere det i FOA, så er der jo ingen nye data, der skal verificeres. De tilgængelige data er bare ikke korrekte!

Hvis så systemet var lavet som et automatiseret udtræk fra eksisterende systemer (a la en data warehouse løsning) for at sikre at ingen fortrolige/personfølsomme oplysninger fejlagtigt blev udstillet - så var det måske OK. Det ville da eliminere verifikationsindsatsen som åbenbart er den dyre del af driften. Det ville ligeledes eliminere dobbelt registreringen og den uproduktive tid, der medgår til det. Og fremfor alt vil det være væsentligt billigere i drift.

22. september 2011 kl. 17:31
Arkitekters karrierer famler i mørket

Nu er der gået 2,5 år siden denne nedslående (?) undersøgelse måske var det en ide, at gentage den...

Et andet forslag ville være at arbejde på at få standardiseret sprogbrugen/betegnelserne for de forskellige arkitekturroller. Ordet arkitektur benyttes i flæng kombineret med diverse "forstavelser" - hyppigst burde det erstattes med 'design' (min erfaring efter læsning af artikler, blogs og stillingsopslag) .

7. juni 2011 kl. 14:42
Afgørelse snart klar: Få dit eget topdomæne

Der florerer allerede priser på nettet selvom foreslaget endnu ikke er fremlagt officielt (hvis det nogensinden bliver det.

Foreløbige gæt ligger i størrelsesordenen $100.000 - $500.000 for et af de nye domænenavne. Det kan jo nok holde nogle fra at ansøge... Lige som med de nuværende domænenavne må man gå ud fra, at der kommer til at eksistere et gråt/sort marked, der får priserne for attraktive navne endnu højere op.

I øvrigt er jeg helt enig med tidligere indlæg - Det er en løsning, der savner et problem...

10. maj 2011 kl. 15:41
Ekspert: NemID uden mobiladgang er pinlig og tåbelig

---Palle H. Sørensen siger til netmediet, at verden så anderledes ud i 2007, da planer og krav til NemID blev nedfældet.

»På det tidspunkt fandtes stort set ikke smartphones, og der var ingen standarder for dem, og derfor indgik ingen krav om, at NemID skulle have mobiladgang,«---

Jeg synes ovenstående citat siger temmelig meget!

Jeg synes, det var ganske almindeligt med smartphones i 2004 - På det tidspunkt havde jeg selv haft to forskellige, hvilket vil sige i flere år. At påstå at de stort set ikke fandtes i 2007 (altså tre år senere) må betyde at de personer, der har været med til at skrive kravene har været fuldstændig ude af takt med virkeligheden! Alle inden for IT- og telebranchen vidste, at de kom og at væksten var og ville fortsætte med at være eksplosiv. (Ja, åbenbart skal det modificeres til "næsten alle" - der sad åbenbart nogle gemt på støvede kontorer, der ikke fulgte med).

Når man har valgt et overordnet design, hvor alt ligger hos udbyderen, så er det uforståeligt, at man har valgt en implementering, hvor der skal installeres et modul på klienten før Nem ID kan benyttes. Det er der absolut ingen grund til. At flere fornuftige personer så kritiserer det overordnede design er en helt anden historie, som jeg ikke vil kommentere.

Lån&Spar bank har ligesom Danske bank lanceret en mobilbank. Lån&SPar banks er baseret på WAP (!) og er dermed platformuafhængig i modsætning til Danske banks. Om den har samme sikkerhedsniveau aner jeg ikke, men det er formodentlig tilstrækkeligt. Den vil med garanti blive flittigt brugt.

Det kan godt være, at mange vil have et Nem ID ved udgangen af 2010. Men når mange samtidig vil benytte andre løsninger end den generelle, så går det hen og bliver urimeligt dyrt for samfundet. Det er bare ikke synligt i Nem ID projektet, som det burde være.

30. september 2010 kl. 11:24
Dynamic Enterprise Architecture

Feedback fra teknologiske tendenser til forretningsmuligheder var allerede beskrevet i META Groups arkitekturprocesser i 1997. Det er således slet ikke nyt.

Den største udfordring ligger i at kommunikere begge veje mellem forskellige fagjargoner og forskellige abstraktionsniveauer. Det kræver mindst et sted i organisationen en person, der både forstår teknologi og forretning, og som kan formidle denne forståelse til begge parter.

11. januar 2010 kl. 12:10