Bjarne Nielsen

Kovending i Helsingør: Elever starter skoleåret uden Chromebooks - lærerne fortsætter

Jeg har indtil nu ikke fået nogen forklaring på, hvori nødvendigheden er i at besidde barnets navn. Hvorfor kan man ikke istedet anonymisere disse maskiner, så er problemet løst ?

Det er heller ikke nødvendigt at kende navn for re-identifikation, der er utallige andre måder at gøre det på. Og faktisk er de, som indsamler data om os for at bruge dem imod os (og/eller sælge dem til andre som vil det), mindst af alt interesserede i vores navne, for det siger intet om, hvad vi er for nogle, og hvordan vi kan bruges og misbruges - det er langt mere interessant at vide, hvad vi mener, hvor vi er, og hvad vi gør. For husk, hvis noget virker for godt til at være sandt, så er det netop det - og betaler du ikke den fulde pris, så er du ikke kunden, men produktet.

Derfor løser "anonymisering" heller ikke noget.

Men på den anden side, så hjælper det ikke ligefrem, at navnet eller andre pseudonymer og id-er, er kendt.

PS: Har man brug for at høre det fra andre end mig, for at tro på det, så tag en tur på nettet. Se f.eks. https://www.wired.com/story/big-data-may-not-know-your-name-but-it-knows-everything-else/ (jeg er sikker på, at der kan findes bedre kilder - men det var ironisk nok den, som søgemaskine-algoritmen mente passede bedst til mig).

8. august kl. 22:04
Spyware truer danske politikere: Folketinget anskaffer scannings-værktøj mod Pegasus

Hvorfor skulle samfundet ikke have samme indsigt, som butikkerne allerede som oftest har lokket ud af dig?

Og tænk, hvad man kunne lave af analyser på butikkerne her! Omsætningsfordelinger, markedsandele mv. - helt anonymt for den enkelte butik, forstås, statistikken er kun på by og forretningskæde-niveau.

29. maj kl. 22:36
Digitalisering á la Wasa

Anne-Marie Krogsbøll skrev: Der er et enkelt punkt i strategien/visionerne, som glæder mig, og det er ... fuldmagter til pårørende ...

Tja. Jeg forstår så udemærket frustrationerne over den pletvise og halvhjertede implementation, men er det ikke lidt som at mene, at løsningen er trængselsproblemerne er flere og større veje?

Der er situationer, hvor borgere er derude, hvor der er brug for en værge. Og vi skal helt sikkert gøre hvad vi kan, for at det forløber så gnidningsfrit som overhovedet muligt.

Men jeg kan altså ikke forstå, hvorfor den almindelige holdning er, at svaret på at omkring en 1/5-del af den danske befolkning er "digitalt udsatte" er, at så må man uddanne dem. Hver femte dansker! Det er ikke nogle få senile på plejehjem, det er rigtigt mange for alle aldersgrupper. Så det er ikke noget, som løses ved, at Ældresagen laver flere kurser.

Og hvem siger, at folk kan lære? Nåe, ja, så må pårørende eller plejepersonalet træde til, og hjælpe (der var den igen, den med plejehjemmet). Hvorved vi så digital har umyndiggjort ellers velfungerende borgere, og indsat mere eller mindre tilfældige og uregulerede de facto værger til at varetage deres digitale liv.

Selv hvis man kan lære, hvorfor skal man så? Er det ikke rimeligt, at borgerne selv kan vælge, at de ikke vil have en smartphone, som skal udskiftes jævnligt, men snildt kan klare sig med en gammel Nokia? Fordi der ikke er tale om en enkelt særling, men en ud af fem danskere.

Derfor ser jeg meget snakken om digitale fuldmagter, som "lipstick on a pig" - uanset hvor meget læbestift og tylskørt man finder frem, så er og bliver det et svin. Det er ikke rimeligt at vi digitalt umyndiggør så mange.

8. maj kl. 20:21
IT-Branchen savner løsning på centralt problem i ny digitaliseringsstrategi: »Vi er nødt til at blive mere ambitiøse«

Nis Schmidt skrev: passende anonymiseret

Jeg sidder så og overvejer, om nogen vil mene, at data bør være upassende anonymiseret.

Og hvad en upassende anonymisering egentlig er: er det, når de bare har fået en utilstrækkelig omgang salgssminke, eller er det når, man ikke længere synes at man kan bruge dem, fordi man ikke længere man finde den bagvedliggende person til samkøring (over tid og/eller på tværs af datasæt), eller yderligere undersøgelser?

For "passende" afhænger vist ret meget af, hvem som skal vurdere det. En Ferrari -ejer synes måske at en hastighed på 240 km/t er passende. Jeg kan også se på vores lokale fordelingsveje, at hvad der anses som passende hastighed meget afhænger af, hvor tæt man er på ens eget hjem ... og om der er småbørn i ens hjem eller ej.

Jeg tror også at Aalborgs borgmester har en egen mening om hvad der er en passende pris på cementfabrikkens CO2 udledning - og det er for nyligt blevet klart, at der er vidt forskellig mening om, hvad der er passende brug af teledata, afhængigt af, om man er EU-dommer eller dansk politiker.

På samme måde er det mit indtryk, at holdningen til, hvad der skal til, for en passende anonymisering i høj grad afhænger af om, hvorvidt man skal lægge ryg til festen, eller om man er professionelt nysgerrig.

F.eks. er det mit klare indtryk, at interesse endsige forskning i f.eks. differential privacy i nogen kredse vil blive betragtet om upassende, og rent tidsspilde grænsende til hærværk. Nogle mener endda at det er ganske passende, hvis data kun et anonymisering på en måde, som ikke er anonym i juridisk forstand (vorherrebevares!), og det ville være meget nemmere, hvis irriterende personer ikke blev ved med at stille irriterende spørgsmål. Fordi at indrømme sagens rette sammenhæng kan give (gys!) bias, og det som er værre.

8. maj kl. 19:56
Velkommen til det nye Version2

Jeg har ... stadig ... svære problemer med at få præsenteret aktuelt indhold, hvilket må siges at være en udfordring, for der er jo efter sigende ikke noget mere uinteressant end gamle "nyheder".

Det har i hvertfald været tilfældet med forsiden, hvor jeg kunne gå fra at have aktuelt indhold på en device, og så på en anden have flere dages gammelt og uaktuelt indhold ... selv efter koldstart. Og nej, det skyldes ikke gamle cookies, for jeg gemmer ikke cookies. Jeg ved ikke, om det stadig er tilfældet, for det er blevet en vane at refreshe forsiden et par gange, når jeg kommer forbi.

Men lige nu oplevede jeg det på en artikel, hvor jeg på en enhed kunne se debatten, mens da jeg kom ind på en anden enhed med betydelig bedre tastatur og skærm, for at kommentere, kom ind i en artikel, som påstod, at der ingen indlæg var til artiklen endnu. Ud på forsiden, som kunne vise, at der var indlæg, som var gamle nok til, at de burde kunne ses, men selvom jeg så følger linket fra debatindlægget fra forsiden ind til artiklen, så siger den stadig, at der ingen indlæg er! Det er først efter hård refresh af siden, at der sørme lige dukker et dusin indlæg op, nogle af dem med noget tid på bagen.

Jeg vil håbe at al min refresh tæller med i reklameregnskabet hvergang, for ellers ser det sort ud for Version 2 og finansieringen af kvalitetsjournalistik. For alle de mange refreshs, som jeg i min irritation laver, kompencerer kun nogenlunde for, at jeg ikke længere kommer så tit forbi, som jeg har gjort tidligere.

Det er også svært at svinge sig op til at kommentere, når man ikke kan være sikker på, at man ret faktisk har fulgt med i debatten, og ikke bare ser et spøgelse fra fortiden. Eller når man slet ikke ser den debat, som allerede er i gang på en artikel, fordi den ikke lige bliver vist.

13. april kl. 19:40
Sociale medier koger: »MitID er en katastrofal brugeroplevelse«

Mit pas er udløbet.

Tja. Svjv. så er der veje omkring pas-kravet, de er bare ikke velbeskrevne, for man vil så gerne have, at folk hjælper sig selv og hinanden. Men med det sagt, så er pas ikke så vanvittigt dyre, og vi er nok i tider, hvor det pludselig kan blive godt at legitimation, som virker udenfor landet. Så det vel ikke det værste.

Til gengæld kender jeg en, som har en smartphone, som hun er meget glad for, men som ikke længere vil acceptere "moderne" apps. Smartphones er noget dyrere end pas, og selvom pengene ikke er noget problem, så er jeg ikke sikker på, at planeten kan holde til, at det er noget som nærmer sig brug-og-smid-væk engang-bestik. Det er i hvertfald ikke noget, som staten skal skubbe til. Og ja, der findes alternativer, hvis man ved, hvor man skal lede.

13. april kl. 19:24
Sociale medier koger: »MitID er en katastrofal brugeroplevelse«

Vi har et system som Digitaliseringsstyrelen anser som sikkert på nuværende tidspunkt: NemID.

Vi er på kanten af min (u)viden, men som jeg (mis)forstår det, så er der tale om, at man i nemid setuppet har lavet nøgler på en måde, hvor sikkerheden var "stol på os, men vi siger ikke noget til nogen om hvorfor, af sikkerhedshensyn, forstås, spejderære!", og selvom det kan være mindst lige så sikkert som mitid, så er mitid baseret på "sikkerheden er velbeskrevet og certificeret af en godkendt 3. part" (evt. rekursivt ved at man bruger allerede certificerede komponenter, hvorefter man bare skal få certificeret at "man holder dem rigtigt").

Nemid nøgler vil derfor aldrig kunne bliver til mitid nøgler, man er simpelthen nødt til at starte forfra. Alle nøgler skal genereres og håndteres på certificeret vis, for at kunne være "gangbar mønt" fremadrettet.

PS: Og ja, det er EU, som står bag dette, med eIDAS (el.lign., jeg har ikke læst teksterne selv) - men er det ikke på høje tid, at vi kommer ud af "stol på os, vores sikkerhed er helt sikker, fordi vi ikke fortæller nogen om den"-cirkus?

13. april kl. 19:17
Dansk forsker vil skabe ægte data-anonymisering: Man begrænser matematisk, hvor meget man lækker

About time ... !

Det er mit personlige indtryk at "forskning" i "anonymisering" og "teknikker" til ditto, for langt den overvejende del er sket fra parter, som har en tydelig interesse i at suge flest mulige data ud af os, og mest muligt ud af disse data, og som mest af alt har brug for røgslør, så vi ikke kan se, hvad der sker, og blive bange, og enten begynder at stille rimelige krav, at svare plausibel fremfor sandt, eller helt undlader at medvirke. Godt at se, at "modstandsbevægelsen" ikke er helt uddød.

Diffential privacy italesætter (på formel vis) netop modstriden imellem høj præcisition og anonymitet. Man kan ikke have begge dele. Og jo mindre man anonymiserer (altså jo højere præcision man ønsker sig), jo færre gange kan man bruge de samme data, før sikkerhedsmargin er slidt helt væk. Her skal man være opmærksom på, at det ikke kun gælder den aktuelle sampling af bagvedliggende data, men også gentagen sampling af de samme bagvedliggende data, hvis de bagvedliggende data har en form for permanens. Og det har det jo ofte, når man måler på virkelige mennesker.

Så vi skal passe på med at kaste data i grams til ligegyldigheder - vi kunne jo få brug for dem til noget vigtigt.

Vi behøver ikke opfinde eksempler, som den nyansattes løn, for der findes eksempler fra virkeligheden. På Langelinjeskolen på Østerbro i Kbh. var en elev blevet fritaget for den herostratisk berømte "Trivselsundersøgelse", men fordi at systemerne slet ikke var gearet til fritagelse (det kom vist som en eftertanke), så kom hun alligevel til at svare, og hendes besvarelse kom med i den detajlerede statistik over fordeling af svar på skolen (der var godt 900 svar, jeg husker ikke det præcise tal, det kunne f.eks. være 932, fordelt på årgange).

Nu bad man så kom at få hendes resultater ud af statistikken, og det kunne man på den ene side godt, for undersøgelsen var kun "anonym" overfor skolerne, mens man internt have fuld klarhed over, hvem som havde svaret hvad, så man efterfølgende kunne registersamkøre data til allehånde undersøgelser og statistikker til ministerielt og politisk anvendelse, samt forskning af "væsentlig samfundsmæssig interesse" (har I mødt forskning, som ikke var af "væsentlig samfundmæssig interesse", og hvis ja, burde det så ikke være stoppet?). For data er - med myndighederne egne ord, og kun efter at have fået vredet armen langt op på ryggen - "ikke anonyme i juridisk forstand".

På den anden side, så var tallene ude - jeg har personligt kigget på den, i den "datakube" som var offentligt tilgængelig (Langelinjeskolen er nok den eneste Københavnske skole, som jeg kan genkende, og sagen blev vist også omtalt over flere gange her i V2), og hvis jeg havde data for de 932 elever før, og nu kunne få data for de 931 elever bagefter, så kunne jeg bare trække antal svar i de forskellige kategorier fra hinanden, og præcist se, hvad den person, som var taget ud af svarene, havde svaret. Så nej, hun kunne ikke blive taget ud af statistikken, selvom hun teknisk set godt kunne - ikke uden at hun ville blive endnu mere afsløret!

Apropos datakuben og afsløringer, så kunne man dengang også se svarene fra de fire drenge fra Christians Ø, og man kunne se, at svarene nærmest systematisk var tre på gennemsnit og en under. Nu kan man jo ikke vide, at det er den samme person, som falder igennem hvergang, men jeg kan godt huske fra folkeskolen, hvem som var "tilflytteren", og det ville ikke være overraskende at finde ham blandt svarene med lav trivsel (havde vi har Trivselsundersøgelser dengang, men dengang kunne vi nu godt se, hvem som trives og hvem som ikke gjorde, uden statistikker og undersøgelser)... og man ville ikke behøve 100% sikkerhed for alle svarene for at kunne finde noget på ham. Retfærdigvist ser det ud til, at lige disse data (dem om drengene) ikke længere er tilgængelige i den form.

Et andet virkeligt eksempel, som det fra Massachusetts, kom for nogle år siden fra Australien. Her havde man også offentliggjort pseudonyme og "linkable" data om hospitalsindlæggelser under antagelsen om at det var anonymt. Det var det så ikke. Forskere kombinerede det f.eks. med noget som almindeligt som presseomtale af kendte personer: "person X blev den og den dag indlagt på sygehus Y efter en ulykke". Mere præcist var presseomtalen ikke, men det var rigelgit. For givet at man kunne indsnævre det med rimelige antagelser om køn og alder og andet godt, så kunne man finde rækken i datasættet om person Xs indlæggelse på sygehus Y. Og med det alle andre rækker vedr. person X. Der var tale om både sportsstjerne og politikere (jeg er ikke sikker på, at der var skuespillere med). Men kunne ikke gøre det for alle kendte, men de havde adskillige kendte, som kunne identiceres med sikkerhed.

Et andet virkeligt eksempel på afslørende "anonymiserede" datakuber var da jeg af nysgerrighed dykkede ned i danske sundhedsdata, og faldt over statistikken over provokerede aborter i en nordlig region her i landet. Den var k-anonymiseret, så alle tal under 5 var erstattet med "<5". Så jeg kunne læse flg.:

Første halvår: <5 Andet halvår: 5 Hele året: 8

Doh! Det kræver ikke en kandidatgrad at regne tallet for første halvår ud. Men vent det blev bedre:

(tal for 1. halvår) Kommune A: - Kommune B: <5 Kommune C: - Kommune D: <5 Kommune E: <5 Kommune F: -

Ja, så er det heller ikke svært at regne nu at der har været præcist en abort i kommune B, D og E i 1. halvår. Så meget for den anonymisering. Og nu ligger vejen åben for at kombinere med andre data, som i Massachusetts og Australien.

Så det på tide, at der bliver givet et forskningsbaseret og kritisk modspil til det "røgslør" som idag med løs hånd bliver kaldt for "anonymisering".

PS: Jeg havde egentlig bestemt mig for at holde en pause fra debatten efter den "professionelle modernisering" af V2. Er jeg den eneste, som oplever at forsiden f.eks. siger 6 debatindlæg, men kun viser 4, når man går ind på artiklen/blog-posten ... eller at debatoversigten, trods refresh, på nogle enheder viser debatindlæg, som er dage gamle, men på andre godt kan vise noget, som er nyere? Det er umuligt at deltage i en debat, hvor man ikke er sikker på, at man ikke kan være sikker på at læse de andre brugeres posts ... måske man skulle søge bistand hos Netcompany - jeg hører at de er gode til at vise andre brugeres post... (host!)

31. marts kl. 08:09
GDPR og Europas "tredje vej" (del 1 af 2)

Det har handler ikke (kun) om tekstbehandlingssystemer, på samme måde som profilering ikke (kun) handler om cookies. Der er meget mere i det.

Og GDPR handler ikke om konkurrence, men manglende konkurrence er en del af problemet (og jeg tror derfor ikke at GDPR kan stå alene, og det derfor kan være farligt at reducere det til en diskussion om GDPR):

Eksisterende aktører er blevet store på grund af en åbenhed og frihed, som de nu gør det bedste for at afvikle for i stedet at lave lukkede fester. Aktører som ingen kvaler har med at udnytte deres markedsdominans på grimmeste vis, til at brede sig både horisontalt og vertikalt.

Der er solide entry-barrierer, og mange af dem af kunstige. Der er aktører med så stor dominans, at de kan køre med underskud på, hvad der for almindelige aktører vil være et helt marked, fordi de er på mange markeder på samme tid.

Med et eksempel fra "office" pakkerne, så skal man vist have udviklet et Stockholmsyndrom for at synes at Teams er et overlegent tilbud, men det er alligevel mange firmaers foretrukne, sikkert fordi, at det kommer "som en del af pakken".

Der er så mange andre problemer end den manglende konkurrence, og - i modsætning til, hvad mange tror - så løser markedet ikke alle problemer af sig, men skal rammesættes og styres fra samfunds- og lovgiverside.

PS:

Konkurrencen blandt disse økosystemer fungerer, og lader til at være til fordel for forbrugerne, ...

Uh, det lyder på mig som om, at du her tangerer samme tankesæt, som Robert Bork i "The antitrust paradox". Der er mange, som mener, at det er en betydende faktor i, hvorfor vi er havnet, hvor vi er, og at konkurrencen netop ikke virker ... se f.eks. Lina Kahn "Amazon's antitrust paradox". Find selv mere på en søgemaskine, som du kan leve med.

18. marts kl. 11:21
Jagten på it-folk fører til Cairo: Egypten sprøjter 50.000 specialister ud om året

Er der en generel misforståelse i det omgivende samfund om at IT er ét speciale?

Det virker ikke kun til at være en misforståelse i det omgivende samfund. Jeg har mødt flere i branchen som tydeligvist mente at en udvikler var en udvikler var en udvikler. Til gengæld, så virker til at HR betragter os "ressourcer" som et spil bilkort. Begge dele er ca. lige forkerte, og kan nok forklare en ting eller to.

17. marts kl. 16:57
Så er det sagt...

... det er da lidt underholdende, og så kan vi ikke forlange mere :)

Ikke, hvis ens mål kun er blive underholdt. :-)

Men det er som diskutere om frimærkekassen stemmer, og drøfte tiltag til at spare på porto, når pengene fosser ud i resten af regnskabet ... eller om stolene på dækket nu også står korrekt placeret, mens man sejler med kurs imod et isbjerg.

Så lad mig kaste en afsporing ind: "skjulte" småpenge i kryptiske konstruktioner få små folk er betydningsløse i forhold til de formuer, som ellers skjules - og her er det ikke kun russiske oligarker, som er problematiske - det er alle verdens oligarker, og mere eller mindre åbenlyse kleptokrater.

Men bare en så simpel ting, som et register over "beneficial owners" over de største formuer i verden, har lange udsigter, også selvom det ville kunne være helt centralt i opgøret med eksistererende auto- og kleptokratier i verden (samt dem godt på vej og in-spe...):https://www.theguardian.com/commentisfree/2022/mar/16/russia-rich-wealthy-western-elites-thomas-piketty

Jeg tror, ligesom Thomas, heller ikke på, at der reelt kommer til at ske noget med reel transparens - det kommer til at drukne i en tågesnak om at det vil være "usædvanligt byrdefuldt" og "hæmme vækst og investeringer ... og (gys!) komme til at koste arbejdspladser" og "hvis vi så meget som bare tænker det, så vil kapitalen bare gå et andet sted hen". Nej, så heller deltage i kapløbet imod bunden, mens vi - som degnen - bliver skuffet i håbet om at det kan dryppe lidt mere fra præsten.

Så ja, som panem et circenses, god underholdning og velegnet til at aflede opmærksomheden. Så lad os da endelig få lukket hullet i frimærkekassen, inden det bliver misbrugt til at udsende invitationer til private familiefester eller det, som er værre!

17. marts kl. 09:22
Arbejder I med sprints? Hvorfor egentlig?

Nu bliver der spurgt direkte til "sprint", og det er sandt nok et underligt ord for noget, som ideelt set foregår i et jævnt tempo. Men det er nok fordi, at det aldrig var blevet til noget, hvis det var blevet kaldt en "slendretur". Og var blevet misforstået, hvis det var blevet kaldt en marathon-etape.

Og møderne, ja. Det er tankevækkende, at der er så mange ting, som skal ske med en fast frekvens og på en helt særlig måde, samtidigt med at ordet "ceremoni" er udnævnt til et skældsord.

Personligt tror jeg på, at det er en form for analogi til dengang Coplien gjorde sig selv upopulær på JAOO (eller hed det Goto?) ved at sige, at TDD virkede fint, når det blev brugt af erfarne folk med en solid intuition for, hvad slutresultatet skulle være - men at det i hænderne på de uerfarne var en direkte opskrift på en katastrofe.

På samme måde er det min oplevelse, at Scrum og sprints virker fint for et dygtigt team, som allerede kan arbejde sammen (og nej, det opstår ikke af sig selv, men tager tid - og det er ikke nok at sætte en tilfældig samling af dygtige folk sammen). Og når teamet får den nødvendige ro. I bund og grund handler det om tillid imellem mennesker, både i teamet og imellem teamet og dets interessenter.

Hvis man tror, at man kan låse døren og lukke sig inde i nogle uger, og kun vil forstyrres hver anden tirsdag og onsdag imellem 10 og 14, så gør man det forkert. Hvis man bliver detailstyret undervejs, så gør man det forkert.

Det kan virke, hvis teamet har et fåtal af håndgribelige mål at arbejde henimod - en bevægelse hen imod en håndgribelig men overskuelig ændring af verden, som hverken er for stor til rammerne, men samtidig er større end hvad der kan løses individuelt. Så er der brug for samarbejde. Hvis der derimod er tale om løbende reaktion på omgivelserne eller en stadig strøm af mindre og uafhængige opgaver, og der mere er tale om samtidigt arbejde (with a little help from my friends) end om samarbejde, og så bliver det hele kunstigt.

Et godt team behøver ikke megen planlagt koordinering, de snakker løbende sammen undervejs, og de stiller sig naturligt rigtigt på banen af sig selv - så daily er ofte ret kort. På samme vis med de andre faste møder. Til gengæld er forudsigeligheden vigtigt, for det gør at man ikke behøver tage tingene i øjeblikket, når man ved, at der bliver en passende lejlighed til det snarest. Det handler meget om at finde den gode rytme.

Og når rytmen bliver så indarbejdet og naturlig, at omgivelserne også fanger den, så virker det godt.

14. marts kl. 08:27
Analyse: Regeringen udvider masseovervågning trods EU-forbud

Den danske justitsminister Hækkerup: “overvågning er frihed”

Den tyske finansminister Lindner: “vedvarende energi er frihedsenergi”

Det er da en forskel, som er til at få øje på … medmindre at det, som de prøver at sige, er, at vi skal holde godt øje med vedvarende energi?

13. marts kl. 18:13
Ekspert advarer: Ny cloud-vejledning løser ikke Schrems II-problemerne

Enigt nik til, at det ikke er den, som påpeger en ulovlighed, som er problemet - og i, at cloududbyderne “garantier” er en gratis omgang … for cloududbyderne, forstås, for det kan hurtigt blive en dyr fornøjelse for deres kunder. Men kunder er det nok af, og når først æggene er lagt i den kurv, så er de ikke sådan lige til at flytte.

Men der er lige en kæphest at ride:

Og her fremhæver Datatilsynet de tekniske – som eksempelvis kryptering eller pseudonymisering – som en nødvendighed, hvis man vil sikre et gyldigt overførselsgrundlag til USA.

Pseudonymisering, igen, igen. Verdens mindste figenblad!

En farvet prik er en farvet prik, men tusind farvede prikker er et billede. Og et billede siger mere end tusind ord.

Når risikoen skal vurderes, så skal det ikke kun vurderes, hvad risikoen er for at ens egne farvede prikker kan blive til et billede - det skal også sammenholdes med, hvad rimeligt forventelige aktører med rimelighed kan forventes at samle ind andre steder fra.

Og har man lagt puslespil, så ved man at nogle enkelte få brikker pludselig får store dele til at passe sammen i et stort billede, og derfor - uanset hvor uanseelige de isoleret set måtte være - kan være nøglen til at gennemskue det helt store billede.

Men når man har en interesse i at undervurdere risikoen, så har man også en tendens til at undervurdere risikoen (tænk Københavns Kommune) - og læg dertil, at man sjældent har fantasi til at forestille sig, at andre kan mere end en selv (KK har næppe fantasi til at forestille sig, hvad “Big Tech”, endsige NSA, kan).

Men det kommer jo heller ikke til at gå ud over KK, men “kun” over deres borgere, og næppe i første omgang over de højlydte af slagsen, men mest de svage … og de skal jo lige opdage det først.

Pseudonymisering, verdens mindste figenblad, men ofte alt, hvad man vil ofre på at sikre uvedkommende indkig til andres private dele.

12. marts kl. 15:28
GDPR vs moderne hjemmesider

Er det ikke - sådan sat på spidsen - ligegyldigt med de mange regler, hvis de ikke bliver håndhævet endsige overholdt? Betyder det ikke bare, at de smarte og de skruppelløse løber om hjørner med de artige?

Schrems-sagerne og ditto-dommene er jo grundlæggende set det samme, hvor man kører rundt i manegen med teknikaliteter, spidsfindigheder og forhalinger (og hvor det ikke at tydeligt hvilket hold myndigheder, som f.eks. det irske datatilsyn, reelt spiller på). Og kommer der en dom, så flyttes nogle kommaer, og så starter det hele forfra.

Selv Kbhs kommune er ude med ønsket om, at man snart får “reglerne fixet igen”, så deres smarte spareprojekt med at gøre databehandlingen oversøisk, kan komme videre - hvilket vist mest er et ønske om at reetableret tilstrækkelig uklarhed om reglerne til, at man kan gøre, som det passer en … ihvertfald indtil næste dom, som heldigvis ikke er lige om hjørnet. Med lidt held kan man endda nå at blive færdig inden da.

Og myndigheder, som har sagsbehandlingstider, som får et gletscher til at ligne en racerbil i sammenligning … hvor mange sager er det lige, at det Irske datatilsyn (som alle angiveligt venter på) rent faktisk har fået afgjort? Det er vist forsvindende få.

Eller cookiebannere, hvor Datatilsynet henviser på Erhvervsstyrelsen, som ikke har spor travlt, især ikke med opsøgende kontrol, og virksomheder, som går hvad det passer dem, fordi at der “ikke er skrevet en vejledning endnu” og “burde man ikke bruge sin energi på rådgivning fremfor håndhævelse?”

Det svarer lidt til, at politiet kun kontrollerer fart en gang hvert andet år, og kun er sted i landet og i den ene retning. Og at bøden er 10 år undervejs i retssystemet, og man så konkluderer, at vejen er lavet om siden, skiltningen var uklar, vejret mest var tåget, kontroludstyret er forældet, og bilen havde forbrændingsmotor, og reglerne derfor ikke gælder for moderne elbiler. Så bøden, ja, den bliver ikke til noget alligevel. Men reglerne, de er fine!

Kort sagt, er der ikke tale om ligegyldige regler pga manglende evne eller vilje til håndhævelse?

8. marts kl. 15:33
Google efter Analytics-forbud: Det er kunderne selv, der styrer data

... men alle personhenførbare data, herunder blot et unikt heltal.

En helt central del af GDPR er begrebet "behandlingsgrundlag", så ikke alle situationer med persondata er lige.

Fordi det er forbudt at sende et personhenførbart ID ud af EU fra et EU website.

Ikke, hvis der bliver passet lige så godt på det udenfor, som indenfor EU (og der er et lovligt behandlingsgrundlag).

Jeg synes, at vi alt for tit ser "og så dør baby"-logik, og KL tog vist prisen for nogle år siden med deres herostratisk berømte "40 benspænd". Det kan tage lidt tid, at få nogle gode alternativer, især hvis en uvane er blevet indgroet (som f.eks. med glødepærer), så få nu ja-hatten og arbejdstøjet på - verden kan kun blive bedre af det.

5. marts kl. 13:50
Amatørernes dag

Med den logik giver det jo ingen mening at have et forsvar i den fysiske verden. Alle samfund er sårbare over for fysiske angreb.

Men vi taler ikke om fysiske angreb, vel? Cyber er diskuteret til hudløshed, men lad mig dels henvise til diskussionsoplægget, hvor gøres klart, at det er et område, hvor grænserne er meget flydende, og det vanskeligt at placere et ansvar. I den fysiske verden ser vi "false flag", hvor tropper iklædes fjendens uniformer, men det vand imod, hvad der kan lade sig gøre af afledning i den virtuelle verden.

Og hvis man bor på en benzintank, så starter man ikke med at købe tændstikker at kaste med, så starter man med at sikre tanken. Når det er sket, så kan man så overveje, om tændstikkast nu også er så afskrækkende overfor modstandere, som hverken bor i stråtægt eller benzintanke.

Et forsvar fungerer ikke kun gennem passiv beskyttelse, men også gennem en troværdig trussel om gengældelse.

Suk, ja. Og skal vi vende tilbage til det danske forsvar, så er det ikke noget afskrækkende over det. Som i slet ikke. Man har i Danmark, ligesom i resten af verden, høstet den såkaldte "fredsdividende" - men i Danmark noget mere grundig end mange andre steder. Og helt galt gik det, da Fogh efter sigende i 2003 udtaler at "mobiliseringsforsvaret ikke længere er relevant". Så nu skulle der ikke bare spares, forsvaret skulle nu samtidigt levere en langt mere aktivistisk og udadgående profil, og der var kun et sted at tage det fra.

Og det er ikke blevet bedre siden, uanset farven på regeringerne, og det uanset, om det er topskattelettelser eller Arne-pensioner, som har stået på ønskelisten (med undtagelse af 2014, hvor ... tada ... nogen gik ind i Krim, men ikke siden). Der er ikke noget afskrækkende over et forsvar, som ikke end kan stille en kampklar brigade, som er istand til at kæmpe selvstændigt, men nu kun med nød og næppe, og efter sigende efter strandhungst i forsvaret generelt, en bataljon. Eller en forsvarschef, som må melde ud, at ammunitionslagrene så godt som er tømt. Hvor forkølet. Jeg er sikker på at bjørnen ryster i bukserne!

CFCS manøvren og det offensive cyberforsvar er en ide virker til at være født under CHF og den tidligere regering, og vist mest et forsøg på ikke at få alt for megen voksenskældud fra NATO, ved at omklassificere budgetterne, så efterretningsvirksomhed kunne tælle med.

Jeg fastholder, at det havde været bedre, at starte med at hærde vores egen infrastruktur og defensive kapacitet fremfor at satse på en offensiv kapacitet uden at sikre baglandet først. Og at cyber-angreb på alle måde er det forkerte sted at starte på en efter min mening voldsomt forsømt opgave med at levere et troværdigt forsvar.

27. februar kl. 14:14
Amatørernes dag

Men du anerkender ikke behovet for offensive kapaciteter på cyberområdet?

Hvis man selv bor i et glashus, så skal man ikke starte med at samle sten … man skal starte et andet sted.

27. februar kl. 08:24
DDoS-angreb »på et helt andet niveau« rammer Ukraine

Du søger en teknisk løsning på et politisk og militært problem.

Jfr. von Clausewitz, så er krig videreførelsen af politik med andre midler. Man skal lede længe efter mere tekniske løsninger på politiske problemer end de militære, men hvis du tror at krig kun er teknik som jernbomber, bæltekøretøjer og fregatter, så vil jeg anbefale læsning af Sun Tzu.

Der er som udganspunkt intet forkert i tekniske løsninger på politiske problemer - faktisk vil praktisk udmøntning af politik uværgerligt blive teknisk før eller siden, og påstår man andet, så er man verdensfjern teoretiker.

Det betyder så ikke, at vilkårlige tekniske tiltag er egnede løsninger på vilkårlige politiske problemer, eller at det ikke er en god ide at overveje, hvad man ønsker at opnå, inden at man går i løsningsmode. Teknikere har ofte en tendens til at forfalde til de samme tekniske løsninger fra deres domæne, hvad sjældent er en god ide i alle tilfælde, endsige de fleste tilfælde udenfor deres domæne - og især de teknikere, hvis teoretiske viden på det aktuelle problemområde endnu ikke ledsages af nævneværdige praktiske erfaringer - tingene er sjældent så simple, som man umiddelbart kunne tro.

Så man kunne fristes til at mene, at flere teknikere, især af den verdensfjerne og teoretiske type, sjældent gør noget godt i politik. De tænker ofte for firkantet, og går for hurtigt i løsningsmode, og finder tit på snuptagsløsninger med vidtrækkende konsekvenser.

25. februar kl. 07:09