Mikael Hertig

Opråb til it-nørderne: Smid tennissokkerne - og tal, så vi kan forstå det!

Der er ingen tvivl om, at der kan opstå en kløft mellem afsender og modtager, når emnet er informationsteknologi.

Men i disse år oplever vi desværre, at udover teknologifascination og erklæret velvilje overfor flere penge til "digitalisering" så evner de fleste itpolitiske ordførere ikke at forstå budskaber, selv når de fremsættes i et enkelt og klart sprog.

Det kan der være flere grunde til. Nørderne i sig selv giver ikke politisk gevinst. Der er mere smæk for skillingen af at sælge falske tryghedsfornemmelser, så man kan sætte stakitter op i skyen etc. Her er det bekæmpelsen af den farlige kriminalitet, der udgør en herlig platform på den politiske legeplads.

Defokusering og framing derimod kan politikerne: Tale og skrive om noget andet, og hvad er mere kærkomment end det gode emne: 'sex' og så pakke det ind i fordomme om nørder med (tennis)sokker?

Sagen om elektroniske valg viste, at politikerne i almindelighed og Trine Bramsen i særdeleshed havde meget svært ved at forstå, hvorfor hemmelige valg ikke er egnet til digitalisering.

Jeg tror, hun stadigvæk har svært ved at forstå det.

2. august 2013 kl. 12:22
Dansk webgigant afventer køligt deadline for nye cookie-regler

Sidste afsnit: Der skal informeret samtykke til...

18. maj 2011 kl. 17:02
Dansk webgigant afventer køligt deadline for nye cookie-regler

Fremgangsmåden tyder på en svag risikohåndtering, hvis artiklen er retvisende. Direktivets ordlyd er ganske klar. Så hvis et firma, der skal sælge i 22 lande, risikerer retsforfølgning efter direktivet i ét land, så skal hele kodemassen ændres. Vi er i den omvendte situation af den, landbruget er i: Der skal informeret samtykke i, og der er det for lidt med et simpelt statement - uanset hvad den danske fortolkning ender op med.

18. maj 2011 kl. 17:01
Dansk Oracle-database med milliarder af GPS-data skal give rejsetider i realtid

Det lyder jo mægtig fint. Men hvor der er en vilje, er der også --- en vej. Hvor svært vil det være at dukke op med nye garantier: Kun politiet, kun til lovlige formål, må kun bruges etc...???

22. juli 2010 kl. 13:42
Dansk Oracle-database med milliarder af GPS-data skal give rejsetider i realtid

Kan man forestille sig et system indrettet, så track recording undgås? Klassisk gps er jo et system, hvor ens device gennem pejling modtager information om, hvor man aktuelt befinder sig på et landkort. Her udbygges systemet, så der opsamles informationer om, hvor identificerede gpsmodtagere aktuelt befinder sig, og dette gentages over tid, så bevægelsesinformationer kan opsamles. Sporingen er nødvendig og kan først slippes, når en tur er afsluttet. Hvor lang tid vil der gå, før politiet får adgang til at spore efterlyste personer etc. ved at bruge sådanne data?

22. juli 2010 kl. 11:56
Dansk Oracle-database med milliarder af GPS-data skal give rejsetider i realtid
  1. Track-recording er et andet ord for sporbarhed, og datafangsten er præcis, hvad der er tale om.
  2. Anonymisering må her nedbrydes til en funktion, der begrænser skaden til det mindst mulige, uden at fordelene går tabt. I en eller anden udstrækning er dette en slags cirklens kvadratur. Ikke desto mindre kan det måske lade sig gøre i et næsten tilfredsstillende omfang.
22. juli 2010 kl. 11:47
Beskyttelsen af persondata er forældet

Larmer Engberg ikke for meget her? Juridisk set er proportionsforvrængningen mellem terrorbekæmpelse og persondatabeskyttelse, som folketingets partier åbenbart er enige om at fortsætte gudhengivent, helt rædselsfuld. Datatilsynet forpligtes af folketinget her til at udvande vilkårene yderligere.

Datatilsynet kunne ideelt set have større bevågenhed. Der er ingen ressourcer sammenlignet med opgavens omfang. Man kunne også i forbindelse med en ønsket tidobling af dets ressourcer diskutere, om Datatilsynets afhængighed af Justitsministeriet reelt er ønskelig i det lange løb.

Her er pointen imidlertid, at Datatilsynets muligheder for at agere forringes markant, når folketingets retsudvalg - (inklusive SF og Enhedslisten ? ) sover i timen - uanset Datatilsynets øvrige rammevilkår.

Det ville, Kære Stephan, være lækkert, hvis du ikke blot brugte din indledningsvise tilkendegivelse af, at Tilsynet har en pointe her, som springbræt til et genuint overfald, hvor du øser din sammensparede vrede afsted. Selv om du har ret i dele af din kritik, kunne du så ikke klappe lidt længere ad Datatilsynet, hvis høringssvar må have været til rådighed for retsudvalget?

8. september 2008 kl. 16:55
Dansk løsning til dobbeltsignering af dokumenter

Ligesom Søren Hilmer vil jeg spørge, om det er en nyhed?

18. marts 2008 kl. 11:54
Hvilken IT-sikkerhed ?

I en lærebog om "Planning in Public Government stod der" : "If planning is everything, planning is nothing". Sætningen kan snildt bruges her. Man kan - som med DS484 skippe den lærde snak og lave en praktisk kogebog med opskrifter for, hvordan man håndterer en række risici ud fra en given organisatorisk enheds egen interesse. Men de fundamentale spørgsmål: Hvem er i kontrol her, hvordan er det med den indre og ydre magt, og fx. hvordan forholder privacy sig til gængs sikkerhed, er skudt til hjørne.

Vi må håbe, at det udvalg, ministeren nedsætter, får et lønnet sekretariat, og det er langt væk fra politisk kontrol.

17. marts 2008 kl. 18:05
Her rykker digital signatur

Dette indlæg må smyge sig op af mit første og Stephans.

Der kan sondres mellem tre slags identitetskendthed:

  1. Hvor fuldstændig identitet er kendt for begge parter som ved OCES, hvor brugeren typisk har et nøglepar med en privat og en offentlig nøgle.

  2. En pseudoanonym digital signatur, fx med et andet nøglepar, hvor man teknisk set sikrer sig, at man kan genfinde borgerens identitet, for eksempel efter en dommerkendelse, men hvor den ellers ikke er nødvendig for transaktionen.

  3. En helt anonym transaktion, hvor borgeren er i kontrol på samme måde, som ved kontantkøb. Hvis det er nødvendigt for borgeren, må vedkommende røbe sin identitet for at få repareret eller tilsvarende.

Teknisk set kan dette laves på flere måder, bl.a. ved hjælp af flere nøglepar eller andre teknisk set sikkert geniale indretninger.

Jeg bilder mig ind, man kan komme et stykke ad samme vej ved at indrette webservices, så identiteten ikke åbnes. Pointen er så, at borgeren alligevel ikke er i kontrol med serviceudbyderen, som har kontrollen med servicen.

Politologisk set er vi nogle, der ligesom Stephan ser en stor fare i, at borgerne i Danmark modsat for eksempel England har en nærmest grænseløs tillid til offentlige myndigheder. Mere kritisk sans - som for eksempel i England - ville være at ønske.

Alligevel er det bedre med digital signatur end uden, og kritik, der forkaster de fordele, den skaffer, er efter min opfattelse overdrevet.

17. marts 2008 kl. 17:53
Her rykker digital signatur

Stephan er kendt for at propagere for, at man udstyres med mulighed for anonymitet eller pseudonanonymitet, hvor udbyderen i den anden ende kan nøjes med at vide, at den, der bruger servicen, er god nok. Indenfor det, der med et moderne buzzword hedder identity management, lægges der ligesom ved den digitale signatur op til, at brugerens identitet er fuldstændig kendt for udbyderen.

Synspunktet er et relevant korrektiv til den videre udvikling af samspillet på it-fronten mellem borger og forvaltning. Men derfra til at nedgøre værdien af OCES til et snigløb af borgerne, er en uklog overdrivelse, og læsere, der ikke er bekendt med Stephans synspunkter, når ikke få pointerne med, når det handler om disse korte indlæg som her.

Mellem det geniale og det praktiske mangler vi sprogligt set nogle mennesker med benene på jorden, og de hænger desværre ikke på træerne.

17. marts 2008 kl. 17:39
Dansk-IT fortsætter med eget IT-sikkerhedsråd

Staten har en vital interesse i, at itsikkerheden fremmes.

Overfor it-sikkerhedssagen står der imidlertid dels andre interessenter indenfor itverdenen selv, dels en forfærdelig falsk myte om, at højere it-sikkerhed ikke betaler sig.

Den begrænsede succes, de tidligere it-sikkerhedsorganer fik, skyldtes mangel på bevillinger. Skal det her virke, må der nu engang penge på bordet.

Så skyldes det også den svigtende interesse for privatlivsbeskyttelse, som er vel støttet af traditionel juridisk tankegang, der ofte metodisk ligner afvejning af modstridende hensyn, hvor der rettere er tale om varetagelse af samtidige hensyn. "Enten-eller" - tankegangen skal erstattes med "Både-og".

Nu har der været råbt og tryglet om det IT-sikkerhedsråd længe. Men er der sat 5 kroner af på finansloven? Gæt en sang...

28. februar 2008 kl. 14:50
Koldstart afslører nøgler til diskkryptering

Da jeg ikke er teknisk specialist, men forhandler af harddiskkryptering, kontaktede jeg Microsoft for at få oplyst, om der er strøm på DDR-ram ved slumretilstandene. Det oplyste de, at der var.

Da det er vigtigere i tvivlstuilfælde at sikre fortroligheden med passende modforholdsregler, er det under alle omstændigheder for mig at se i orden at anbefale modforholdsregler.

25. februar 2008 kl. 20:12
Koldstart afslører nøgler til diskkryptering

Nensome ApS sælger harddiskkryptering og følger sagen her nøje.

Vi har instrueret vore kunder om ikke at anvende dvaletilstand eller hibernation, fordi der stadigvæk holdes liv i DDR-ram, når disse er aktiveret, mens resten af pcen er lukket ned.

Sagen er, at formentlig 99% af alle pcer stjæles i forladt eller efterladt tilstand. Er pcen slukket, er der heller ingen nøgler, for under normale omstændigheder tager det omkring 2 sekunder.

Det er overraskende nyheder. Men en ukrypteret pc er langt svagere sikret.www.nensome.com/note

Nensome Aps

Mikael Hertig

25. februar 2008 kl. 17:51
Datatilsynet kulegraver Skats eIndkomst

Datatilsynets spørgsmål må navnlig handle om dataintegritet og dernæst spørgsmålet om, hvorvidt data kommer fremmede i hænde.

Datatilsynet er generelt alt for lille. Hvis det skulle inspicere arbejdspladser i samme omfang som Arbejdstilsynet, ville det skulle tidobles. Hvis der samtidig skulle anvendes lige så meget tid på dybtgående kontrol, som man pt. gør, skulle Datatilsynet være større.

Så tøv en kende, Arne.

25. februar 2008 kl. 15:10
Byråd i strid om kryptering af bærbare

Det er den dataansvarlige, altså kommunen, der har pligten til at sørge for, at der tages de fornødne tekniske og informationsmæssige foranstaltninger til at opfylde persondatalovens § 41, stk. 3.

Det helt særlige ved paragraffens formulering er, at data heller ikke hændeligt må komme uvedkommende i hænde. Uforsætlighed er altså ingen undskyldning.

Når man med en lov forpligter først borgmesteren, dernæst hans kommunaldirektør og derefter efter almindelig delegation de fornødne eksperter til at tage sig af det her, er det åbenbart, at de ikke må sætte systemerne op, så byrådsmedlemmer eller pædagoger hændeligt kommer til at lægge persondata på den bærbares harddisk. Udgangspunktet er nu en gang, at det på grund af paragraffens formulering ikke er noget, man bare på almindelig embedsmandsvis kan skrive sig ud af.

Der skal forligge et klart forsæt fra medarbejderen, som man ingen ekspertise forventer af, til at overskride bestemmelserne, før det personlige ansvar kan blive relevant.

Alt andet ville også være for smart - for hvor bliver persondatalovens hensigt ellers af i den pølsesnak, der vil komme ud af det?

23. februar 2008 kl. 17:13
Byråd i strid om kryptering af bærbare

Det fremgår helt tydeligt af den oprindelige artikel på www.senyt.dk, at politikeren intet forsætligt havde gjort for at lagre persondata på disken.

Hendes outlook havde arkivfiler liggende. De bliver dannet regelmæssigt ved, at programmet selv foreslår overfor brugeren, at der dannes arkivfiler af gammel post. Disse arkivfiler lægges automatisk på hendes harddisk. Hun har sådan set intet valg haft.

Heroverfor siger hendes kommunaldirektør til "Harddisken" og Mads Lebech til computerworld, at man altid bliver promptet for, om disse data skal krypteres eller ej. Det er altid underholdende, når kommunaldirektører og borgmestre gør sig til tekniske eksperter. Men hvad pokker? Det er vel altid i det mindste politikernes lod at udtale sig om ting, de ikke nødvendigvis ved ret meget om. Risikoen er, at de tager fundamentalt fejl som her.

Ved arkivfunktionen bliver der ikke promptet for kryptering. Den mulighed eksisterer simpelthen ikke. Hvis vedkommende vil lave en ny folder udenfor outlookdomænet af egen drift, så bliver der promptet. Men det har intet med Frederiksberg Kommunes opsætning af politikernes bærbare pcer at gøre.

Når outlook ligger som program på pcen, så vil der naturligvis også ligge temp filer fra word, excel og powerpoint.

Det er rigtigt, at Schneier har påpeget en fejl i sikkerheden ved harddiskkryptering, når den aktive nøgle i brug er lagret i DRAM. Svagheden er af militær betydning og relevant for efterretningstjenester. Skal man skaffe sig adgang til den krypterede disk, skal man direkte stjæle den, mens den er i brug. Så sikkerheden er altså noget bedre, hvis den er krypteret, for de fleste bærbare bliver stjålet i slukket tilstand.

23. februar 2008 kl. 09:44