Hvordan bliver data mere sikkert af at jeg sidder på et kontor og trækker det ud på en laptop jeg tager med mig i sommerhus, kontra at jeg trækker det ud når jeg sidder i sommerhuset? Resultatet er præcis det samme.Ganske rigtigt, men det betyder ikke, at det er alt man skal kunne gøre, hvor som helst.
At data kan trækkes ud er problemet her. Ikke lokationen.
Hvordan i alverden skulle jeg vide hvad den interviewede tænker?Kan I forklare, hvorfor interview-offeret overhovedet har behov for at forsikre, at forskerne skam ikke ønsker at hente data ud? Det er vel irrelevant ift. spørgsmål om datasikkerhed? Hvis de ikke ønsker det, hvorfor er muligheden der så overhovedet?
Min anke går på at det ikke gør nogen forskel hvor personen sidder. Problemet er at det kan trækkes ud - og det er et problem uanset hvor personen sidder. Også på kontoret.Og gør det nogen forskel, om data hentes ud i sommerhuset, eller om de bare tilgås?
Det var da en fin stråmand.Ah, "men de andre kører også uforsvarligt"-argumentet. Det gør mig på ingen måde mere tryg, og det virker her til at man prioriterer forskeres bekvemmelighed over min sikkerhed.
Hvis data kan hives ud af systemet, så er det bedøvende ligegyldigt hvor du sidder og gør det. Det kan også sagtens gøres fra din pind på kontoret.
Pointen er at det ikke er lokationen der gør data usikre. Tværtimod, så bliver der oftest stillet flere krav til adgang, hvis man sidder udenfor corp netværk.
Sommerhuset er selvfølgelig bare et eksempel. Det handler om at folk kan arbejde fra hvor de nu befinder sig. Det er ganske normalt, og findes i snart sagt alle virksomheder og offentlige instanser, og har gjort det i mange år. Om det så er foregået via et website, en VPN, en Citrix løsning, eller noget helt 4., så er det fuldstændig normalt.Hvorfor skal det være muligt at tilgå data fra sommerhuset (som selvfølgelig bare er et tænkt - men realistisk - eksempel)? Der har hverken dit eller mit privatliv noget at gøre.
Ifølge Nick Parker - og skitseret tilsvarende i et blogindlæg - vil selskabets fremtidige styresystem tage sig af ting som** sømløse opdateringer**, sikkerhed som standard, vedvarende ydeevne og konstant tilslutning til nettet.
Come on, kæft det er tyndt.
...Windows Hello, FIDO2, og WebAuthn..
https://fidoalliance.org/microsoft-achieves-fido2-certification-for-windows-hello/
Office pakken virker uanset, så den går desværre ikke.
Det virker som en udbredt (mis)forståelse, at hvis bare det er på lokalnettet, så behøver man ikke HTTPS. Har set flere kommunale systemer med persondata, hvor det er tilfældet.F.eks. er HTTPS og kryptering mere undtagelsen end reglen, dvs alt fra sundheds data til de ansattes logins m.m. bevæger sig rundt i lokalnettet i klartekst.
Eller systemer med persondata som kan tilgås eksternt, og bare kræver brugernavn & password. Ingen to-faktor eller andre måder at holde øje med logins eller misbrug. Det koster jo penge, og de penge er brugt på systemet må man jo forstå. Suk.
Hvordan finder de frem til skyldnere automatisk? Hvilke informationer bruger de, og hvordan får de fingre i dem?
CSP tier 1 og 2 har intet med eget datacenter at gøre.
Da CSP programmet blev introduceret var Microsoft alt for flinke med at dele tier 1 status ud, og specielt til hosting virksomheder der overhovedet ikle var gearet til det. Den eneste grund til de valgte at blive tier 1, er at de får et større cut af salget af licenser og Azure forbrug. Alternativet var en tier 2 status igennem de traditionelle distributører, med den konsekvens at de fik en mindre andel af salget. Tilgengæld står distributøren så for alt kontakt med Microsoft - hvilket de er langt bedre gearet til.
Det her jo fuldstændig volapyk.Vi kan ikke være sure over noget, der ikke meldt officielt ud endnu. Men hvis der ikke kommer en løsning på problemet med at køre Office 365 på partnernes egne servere, bliver vi ikke bare sure, men vrede
Det er jo ikke umuligt at betale turen selv ud af it-budgettet. Man SKAL ikke tage med en leverandør. Faktisk er de fleste leverandører opmærksomme på at offentligt ansatte ikke må få turen foræret.Ser vi på IT branchen så afholdes de globale konferencer steder som Dubai, Las Vegas, Singapore, Orlando osv. For sådan er det indenfor Medicinalindustrien, IT og mange andre brancher. Agendaen er jo som oftest udefra givet på disse konferencer.</p>
<p>Hvis du vil have førstehåndsadgang til de førende producenter, kunder med erfaring indenfor de nyeste teknologier, forskere mv., så dukker man op der.</p>
<p>Skal offentligt ansatte blive væk fra den slags konferencer? Det ville jeg som borger ikke være tryg ved, for se hvordan det går med Skat og deres forældede IT systemer. Det bliver med sikkerhed ikke bedre at, at man bliver væk fra den slags konferencer af frygt for efterfølgende at blive straffet.
Så svært er det heller ikke, at gøre tingene rigtigt.
Nu er det jo ikke bare et par manglende kvitteringer den her sag handler om.Det er sjovt at når udlændige er i Danmark så kan vi godt forstå at udlændingene skal følge vore regler og skikke, men er vi afsted, så skal udlandet underlægge sig danske ”bestikkelsesregler”.</p>
<p>For nogle år siden var jeg i Dublin og i flyveren hjem sad jeg bag et par skattefolk som højlydt brokkede sig over at var svært at (officielle) kvitteringer for taxi, mad og lignende. Og sådan er det i udlandet – anderledes.</p>
<p>Man er ikke svindler fordi man ikke har en officiel taxikvittering og sender vi offentligt ansatte afsted, så nytter det ikke noget at Dolores Nidkær i form af retten i Glostrup bagefter anvender danske regler på udenlandske situationer.
Eller menes der måske IT Relation?
Jeg hænger mig i din definition fordi den netop forplumrer billedet af hvad der er foregået.
Faktum er at problemet var adgangskontrol og ikke placering af data. Hvis man ikke kan se forskel på de to problemer og bare koger det ned til "datasikkerhed", så gider jeg ærlig talt ikke bruge mere tid på det.
Det er netop de relevante ting, fremfor en eller anden mærkelig definition på hvor data befinder sig.Jeg fokuserer netop på det, du skriver - eller rettere begge dele:</p>
<ul><li>outsourcing har medført, at der ikke er styr på, hvem der har adgang.</li>
<li>det har bl. a. betydet, at der har været adgang fra udlandet - og som jeg læser det, generer den tanke faktisk nordmændene en hel del.</li>
</ul><p>Og begge dele kan tænkes at være relevante ift. Roskilde-sagen
Forskellen på manglende adgangskontrol og hvor data rent fysisk befinder sig, er vel rimelig åbenlys.
Det er sådan set lige meget hvad du tror. Problemet er ikke at data har ligget udenfor Norge, men at uautoriseret personale har haft adgang. Det kunne lige så vel have været norsk personale, uden tilstrækkelig autorisation, der havde adgang.Som jeg skriver, så regner jeg ikke data som "i Norge", hvis der har været adgang fra andre lande ... og det gør nordmændene - så vidt jeg kan se - heller ikke.
Der er meget stor forskel, og du fokuserer på det forkerte.
Du er altså nød til at sætte dig ind i tingene før du skriver. Data har befundet sig i Norge, ganske som lovet. Det er andre ting der ikke er overholdt i den sag.
Udover diverse andre aftaler vedr. sikkerhedsgodkendelse og andre krav, så betyder "data i Danmark", rent faktisk bare at data rent fysisk befinder sig i Danmark. Det er de færreste der lukker ned for at der ikke kan logges på udenfor landets grænser, hvis der er åbent ind til miljøet (via VPN eller andre løsninger).Det der med, hvor data er, er jo lidt et definitionsspørgsmål - hvis der er adgang fra udlandet, er det efter min opfattelse løgn at sige, at data kun er i Danmark.
Det studsede jeg også over. Det er de færreste steder jeg har set, hvor det ikke er en selvfølge.
Og som bonus må der selvfølgelig sendes kagemails fra ulåste computere :-)
629 dage endnu, før Windows 7 er ude af extended support, desværre.
Og når der så sniger sig vira, malware og cryptolockers ind, så står man med et helt andet og meget større problem.Har du først en gang siddet med et akut, reelt behov for at installere et program kun for at løbe ind i ovenstående, så vil du nok revurdere din vurdering af, at det ikke kan være det helt store problem.
Har du først en gang siddet i den situation, så ville du ønske at du havde haft mere styr på din sikkerhed. Så må man istedet udarbejde processer der kan gøre godkendelsen hurtig, og i "akutte" (hvad er akut?) tilfælde kunne lave en brug og smid væk VM til formålet.
Jesper Hansen