Dette indlæg er alene udtryk for skribentens egen holdning.

Computer Sikkerhed: Game Over (play again ?)

Af Poul-Henning Kamp14. november 2011 kl. 11:2637
Artiklen er ældre end 30 dage

Vi er i store træk nået til hvor computersikkerhed og i særdeleshed privacy er ikke existerende for flertallet af befolkningen.

Ud over deciderede kriminelle, er modstanderne også firmaer som Google og Apple hvis forretningsmodeller er centreret omkring målrettet annoncering. Dertil kommer teleselskaber der gerne vil tjene penge på "value-add", butikskæder der gerne vil lave "market surveys" og politikere der gerne vil reducere de offentlige udgifter ved digital selvbetjening, politistyrker der febrilsk prøver at opretholde deres voldsmonopol (og i visse tilfælde justificere deres overgreb og lovovertrædelser).

"Hvis du ikke betaler for en service, er det dig der er varen" som det er blevet udtrykt, og manner der bliver langet varer over disken, seneste er hele Israels personregister blevet solgt billigt, inklusive stamtavler og hele svineriet.

I lyset af den indlysende katastrofale overpopulation af Homo-Sapiens kan man naturligvis anlægge den kyniske holdning at nogen skal jo malke flokken, men det er temmelig langt fra de idealer vores bedsteforældre skrev ind i FNs menneskerettigheder.

Artiklen fortsætter efter annoncen

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.

Situationen er strategisk set ikke helt ulig den situation Niels Bohr analyserede i sit berømte brev til FN og løsningen er muligvis den samme: Tag værdien ud af magtmidlet.

Leg lidt med følgende tanke:

Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.

I stedet for at forsøge at opretholde illusionen om at vi har et privatliv, kaster vi os bevidst ud i et panoptikon og tilpasser vores opførsel derefter.

Det løser mange problemer der idag skyldes hemmeligholdelse af information for dem der kan verificere dem.

F.eks kan alle se om direktøren der render af pladsen for at "bruge mere tid med familien" eller af "helbredsmæssige årsager" løj.

Sorte penge, moms og Skattesnyd ? Held og lykke med det, når alle fra din jaloux svoger til naboen kan se hvad du betaler.

Løndiskriminering ? Jeg giver det 20min, max.

Er din cykel blevet stjålet ? Check selv overvågningskameraet for at se hvem der har gjort det.

Kører direktørbilen foran som en idiot ? Slå nummerpladen op, ring til dem og tilbyd dem en video...

Tager teenageren ikke telefonen ? Eller er din telefon blevet stjålet ? Check teleselskabets database for at finde ud af hvor den er henne.

Hvorledes vi indretter vores samfund er for os selv at beslutte og nu hvor vi i vores dårskab har lukket denne ånd ud af flasken, uden nogen realitisk chance for at få den proppet tilbage, bør vi overveje om vi istedet kunne få den til at arbejde for os.

Alternativet er at vi står i præcis sammen situation med vores privacy, uden at høste en eneste af de mulige fordele.

phk

PS: En eller anden, check lige om Stephan Engberg stadig trækker vejret :-)

37 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
37
22. november 2011 kl. 16:52

for det første vil det medføre misbrug og for det andet vil det voldsomt reducere værdien af de opsamlede data og derfor vil det økonomiske encitament formindskes ved at opbygge databaser.

Så kan man arguementere at det er en god ting og der vil blive færre databaser, men desvære overser det argument at der er en masse databaser der skal opbygges for at samfundet fungere (og virksomhedder fungere).

Hvis adgangen til dem ikke blev reguleret af en centraladministration så ville de blive misbrugt.

Det er lidt som når republikanere i USA argumentere for at den bedste måde at løse problemerne ved at den føderale stat ikke fungere som de gerne vil ha det, er at afskaffe den og demokratiet i samme pennestrøg...

Det er et falskt argument som cherrypicker i virkeligheden for at opnå relevans. Privatlivets fred er en af retstatens grundpiller og selv om det kan kompromiteres så gør det at det er ulovligt at forbryde sig mod den at langt de fleste afholder sig fra at gøre det. Inklusive myndighederne, specielt i form af den udøvende magt.

Desuden gør det meget nemmere at bevise at der er kriminele intentioner bag ved fx at en politiassistent slår op i strafferegistret for at se om hans søsters nye kæreste har en fortid hos politiet, eller når en skattefuldmægtig slår op i en tilfældig borgers skatteforhold. De manglede autoritation så derfor var det ulovlig adgang.

Desuden så er der informationer som aldrig kan tåle dagens lys... fx en liste over beskyttede addresser... navne og addresser på specialstyrkernes familier. Databasen over hvem der har fået taget en HIV test eller databasen over de mails du sender til din advokat når du modtager et krav fra skat som de ikke er beretiget til ? Hvem du har ringet til og hvornår ? Hvor du har brugt dit kredit kort og til hvad ? Om du har sukkersyge eller kræft eller en genetisk disposition til at få en af de to ? det vil forsikringsselskaberne sikkert være intresteret i at få...

Det er ikke et tankeeksperiment det er bare ren idioti både praktisk og juridisk. Ja der er folk der bliver hacket og ja der er databaser der bliver kompromiteret, men at komme fra at det er et problem som der findes relativt fornuftige løsninger på (lovkrav om inspektion fra et databasetilsyn når man opbevare data i databaser om folk fra Danmark, på samme måde vi stiller krav til importerede fødevare) til at sige "hey ville det ikke bare være nemmere at afskaffe konceptet privatliv"

Evt. den løsning som sundhed.dk har for læger der har lidt for lange øjne og ser på andre end deres egne patienter... der sendes der et faktisk brev til patienten om at læge X (som ikke er din egen læge) har tilgået dine fx. lab prøvesvar. Det er i særdeleshed enkelt at fuske for der er mange læger i det danske land der skal ha adgang til patient labsvar men hvis du snager i noget der ikke er dit sendes der svar til den om hvem du har lange øjne... Et system der måske kunne implementeres hos skat, så når andre end den skattemedarbejder der faktisk er tilknyttet din sag (navnet på hvem du kan få oplyst hos skat) tilgår din sag hos skat så får du brev.

Eller en linjeprinter der skriver alle opslag ud... men hvis vi nu fik etableret standarter for hvad man skal gøre for at ha lov til at opbevare data så ville det være et godt trin fremad med et certifikations program så fx. hosting tjenester kunne godkendes til forskellige niveauer af fortrolighed i privat regi. Med et godt budget så den godkendes opdateres og opfølges på.

26
15. november 2011 kl. 11:31

Vil i oprette en database over oplysninger i egentligt ikke vil ud med hvis loven krævede at databasen skulle offentliggøres ?

32
15. november 2011 kl. 13:03

Ting ? Medlemsblade etc. kan downloades fra foreningens hjemmeside. "Medlemsfordele" får man ved at fremvise sit medlemskort som man har fået ved oprettelsen.

nogle foreninger bruger papir baserede medlemsblade.

Medlemskort kan fortabes, og så skal man have udleveret et nyt. Medlemskort kan gives til andre, og det kan være nødvendigt at sikre sig at kun det rigtige medlem kommer ind. Derfor kan det være nødvendigt at have en database med oplysninger.

33
15. november 2011 kl. 14:42

Medlemskort kan fortabes.

Ja... det kan filer med medlemsplysninger også. Taber man et kort så indmelder man sig bare igen og når det gamle ikke bliver betalt så bliver det automatisk lukket, big deal.

Anonyme foreninger har eksisteret i hundredevis af år, du har et problem med at forstå det fordi du ikke vil have at det skal være anonymt.

34
15. november 2011 kl. 17:24

Jeg er ikke i tvivl om at anonymitet kunne benyttes i mange tilfælde, hvor man ikke gør det idag, ofte med fordel for medlemmerne. Jeg tvivler dog meget kraftigt på at det praktisk kan lade sig gøre alle steder, hvor man idag bruger personhenførbare oplysninger.

Eksempelvis giver det god mening at biblioteket registrerer hvem (personhenførbart) der har lånt hvilke bøger, med henblik på at kunne sende rykkere og indkræve bøde/erstatning, hvis du ikke afleverer bogen til tiden (eller overhovedet). Det er også en god service at man kan få tilsendt en email eller sms med en påmindelse når en tidsfrist nærmer sig. Det betyder ikke at jeg vil give alle adgang til at vide hvilke bøger jeg har lånt på et givent tidspunkt (hvem ved om det fx kunne give problemer at have lånt De Sataniske Vers, hvis man skal besøge Iran?) eller at jeg vil give fx spammere min email og/eller mit telefonnr.

23
15. november 2011 kl. 10:58

Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.

Hvad med yderlige foreninger, fx. Den Danske Forening, Nazi partiet, kommunisterne, ... Eller diverse homosexuelle foreninger? Eller måske de homofobe foreninger? Ville du også tvinge dem til at offentliggøre deres medlemsdatabase?

24
15. november 2011 kl. 11:03

Ja, alle er ens for loven.

22
15. november 2011 kl. 09:11

PHK, husk nu at sætte dine artikler i ironi tags, ellers kan folk ikke forstå at de ikke er alvorligt ment.

21
15. november 2011 kl. 09:10

PS: En eller anden, check lige om Stephan Engberg stadig trækker vejret :-)

Stephan Engberg lever og har det godt - ovre på computerworld.dk. Han er da for nem at overvåge, til at du behøver efterlyse ham :-)

20
15. november 2011 kl. 00:49

Det ved ingen - og derfor manglen på tillid. Eneste vej ud af den situation, er at give individet sin suverenitet tilbage - at han/hun selv kan bestemme hvem han/hun vil stole på, at han/hun selv kan bestemme hvem der må vide hvad om ham/hende, at eliminering af alle lange øre - enhver politimyndighed og efterretningstjenestes mareridt, eller som i Danmark, enhver myndigheds mareridt.

Som vores faktiske produktion (primær sektoren) stille og roligt bevæger sig mod 0 således gør vores tillid - og sjovt nok hænger det sammen. Det minder vel efterhånden mest af alt om en stor børnehave.

19
14. november 2011 kl. 22:13

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer

Øehm - hvordan kan man det? Nu ved jeg ikke, hvilke programmer du har på din laptop, men selv med en kontorpakke og en browser er du oppe på et anseeligt antal kodelinier at gennemtrævle for at kunne være så "skråsikker".

10
14. november 2011 kl. 17:19

Omtalte roman bruger samme ide men tilføjer en ophavsretsbetaling: Når noget data bliver læst, modtager både den, der har publiceret dette data og alle, der optræder i dette data, en mikrobetaling. Der bruges ansigtsgenkendelse til at se hvem, der optræder i billeder og film, og al data har indkodet ophavsret.

Det ville hurtigt gøre det urentabelt at lave databaser over mennesker: Hver gang nogen bruger basen, deler du mikrobetalingen med alle personer i listen.

6
14. november 2011 kl. 14:05

Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.

Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.

Personligt kører jeg også altid NemID i en virtuel maskine, fordi jeg synes det er specielt problematisk at staten skal diktere hvilke closed source-programmer der skal køre uden for sandkassen på min computer.

27
15. november 2011 kl. 11:36

Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.

Hvorfor er det at mange giver Apple æren for noget de ikke skal ha' æren for! Hvis du skal gi' æren for HTML5 til nogen, skal den gives til Opera Software som fandt på "ideen" til HTML5. Derefter var det chromium projektet som havde den bedste html5 support i starten. (Det er det så vist ikke mere... ved bare ikke lige hvem der har den bedste nu?)

1
14. november 2011 kl. 13:19

Umiddelbart lyder det måske besnærende at alle skal have lige adgang til data, og at din mulighed for at skaffe information om hvad Google, PET eller din nabo laver skal være lige så god som Googles eller PETs mulighed for det samme (det vil dog kræve at PET og Google udviser samme "åbenhed" som de forventer af os, eller måske snarere tiltvinger sig hos os).

Jeg tror bare at det scenarie bliver endnu mere "de stærkes ret" end det persondatakaos som vi ser i dag (det er på ingen måde ikke skrevet for at forsvare den nuværende tilstand, men forandring skal ex ante være "til det bedre", ellers skal man lade være).

Analyse af de mange data som nu på papiret bliver tilgængelige for alle vil kræve betydelige ressourcer, enten tid eller computere (en serverfarm som hos Google eller NSA er ikke indenfor mit budget). Hvis du har en forretningsmodel baseret på kommerciel profilering eller paranoid masseovervågning af befolkningen, har du disse ressourcer i forvejen. Den almindelige borger har dem ikke, og den almindelige borger vil formentlig blive taberen i dette spil.

3
14. november 2011 kl. 13:55

Det afhænger udelukkende af hvad vi skriver i vores straffelov...

Både straffeloven og persondataloven har den begrænsning at de kun gælder i Danmark (eller EU hvor persondatalovene bygger på et fælles EU direktiv; dog synes tyskerne at få mere ud af deres persondatalov end vi gør, og Irland synes at køre med en forholdsvis liberal fortolkning for at tiltrække filialer af amerikanske virksomheder).

Vi kan reelt ikke regulere hvad Google og Facebook gør. Det er vi nødt til at acceptere, og problemet skal naturligvis ikke løses med DNS blokering, uanset hvad de nævnte firmaer gør i USA. Vi kan ikke på samme tid kritisere Kina for censur og forsøge at udstrække dansk lov til at gælde i hele verden (og vi vil også blive til grin hvis vi gjorde det).

Vi kan heller ikke regulere hvad USAs regering gør med de mange persondata som vores egne EU regeringer frivilligt udleverer til dem via aftaler om PNR data med ikke-eksisterende retssikkerhedsgarantier eller ikke-eksisterende muligheder for aktindsigt (aftaler der primært er lavet af cover-my-ass hensyn for de europæiske flyselskaber, da USA faktisk har alle data i forvejen eftersom alle PNR databaser spejles i USA, og USAs regering har direkte feeds til de databaser som er i USA) eller anden adgang til danske persondata (fingeraftryk og DNA, for at tage et eksempel hvor Danmark har indgået en "bilateral" aftale med USA).

Hvis vi (som "Danmark") skal gøre noget, skal vi starte hos os selv. Når først persondata er havner hos Facebook eller Google er det for sent. En teknisk detalje, som jeg synes er overset, er at Google og Facebook ikke kan indsamle deres data alene. De er i høj grad afhængige af lokale medløbere som DR der bruger Google Analytics og placerer Facebook "I Like" tracking widgets på deres websider. Det er efter min mening videregivelse af persondata (trafikdata) til tredjepart uden samtykke, og det er noget som vi kan skride ind over for -- hvis vi vil.

5
14. november 2011 kl. 13:59

Vi kan reelt ikke regulere hvad Google og Facebook gør.

Præcis, eller for den sags skyld den russiske, italienske, kinesiske, japanske eller USAnske organiserede kriminalitet.

Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?

Argumentet har været brugt tidligere i Dansk lovgivning, f.eks med billedpornografiens lovliggørelse og den fri abort.

11
14. november 2011 kl. 18:20

Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?

Hvon' synes du denne model virker i USA hvor det står indskrevet i grundloven at alle har ret til at bære våben for at kunne forsvare sig overfor lovløse med våben? Lad mig minde om at USA er et af de lande med mest kriminalitet og flest folk i fængsel. Jeg vil påstå, at uregulering ikke er vejen frem.

12
14. november 2011 kl. 18:24

Det står der ikke i USAs forfatning og sagen er en hel del mere nuanceret end du giver udtryk for at have gennemskuet.

13
14. november 2011 kl. 18:39

Det står der ikke i USAs forfatning og sagen er en hel del mere nuanceret end du giver udtryk for at have gennemskuet.

Fortolkningen af Second Amendment af forskellige stater er egentlig irrelevant, pointen er at det udspringer af "The people have a right to bear arms for the defense of themselves and their own state, or the United States, or the purpose of killing game..."[http://www.constitution.org/mil/rkba1982.htm]

Og analogien er vel åbenlys, du argumenterer for ingen regulering, jeg påpeger hvad der sker når man bare giver los. Om det er æbler, våben, pærer eller privatliv er vel i princippet underordnet.

14
14. november 2011 kl. 19:00

Har du overvejet at undersøge den faktiske tekst, istedet for at citere en eller anden propagandaside ?

"Amendment II

A well regulated Militia, being necessary to the security of a free State, the right of the people to keep and bear Arms, shall not be infringed. "

15
14. november 2011 kl. 19:39

Propagandaside? Det oprindelige amendment er fra 1789, og er ikke i sig selv særlig interesant. I USA må man bruge tidligere domme til at danne præcedens, hvorfor den oprindelige tekst med "milits" i sig selv ikke betyder en dadel, bortset fra at den var første link i kæden. Læs selv om District of Columbia v. Heller, United States v. Cruikshank mf.

Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering. Skal vi bare lade Iran berige så meget uran som de har lyst til, når bare vi har mere end dem så går det jo nok? Med status-quo har man dog trods alt mulighed for opt-in (køb dig en feature phone, browse nettet uden cookies, køb økologisk), hvorimod alternativet helt sikkert ikke vil tilbyde opt-out. Dén praksis kan du allerede observere med rejsekortet, der ganske vist giver dig mulighed for opt-out, mod så lige at snuppe 60% eksta.

17
14. november 2011 kl. 20:08

Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering.

Se det er jo kernen: Du har misforstået mit forslag. Der er ikke nogen regulering der fjernes, tværtimod bliver der tilføjet en "Jeg håber du har taget nok med til alle" regulering så alle kan komme ligeligt til fadet. Dertil skal der føjes de nødvendige forandringer i straffeloven ("Den der uretmæssigt tilbage holder data fra andre..." osv)