Dette indlæg er alene udtryk for skribentens egen holdning.

Datatilsynet går HELT amok!

4. august 2015 kl. 20:3746
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet er gået helt amok på Rigspolitiet.

"Overordentlig Kritisabelt" skrevet med fed skrift er tydeligvis toppen af straframmen for lallende lemfældig omgang med alle danskeres persondata, når det medfører et datatab af ukendt omfang.

phk

46 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
46
17. august 2015 kl. 23:39

Til PHK: Ordsproget : "Når alt er sagt - og alt er gjort - er der ofte sagt mere end der er gjort" mener jeg desværre alt for ofte gør sig gældende også på Version 2. Derfor har jeg arrangeret en høring/debat på Christiansborg den 23. september 2015, kl. 10-15, hvor en række emner, herunder evt. oprettelse af en IT-Haverikommission vil bliver drøftet blandt partiernes It- ordførere og en særlig indbudt kreds af interesserede. I den forbindelse anmodes du om at give et kort oplæg (10-15 minutter) om dine tanker vedr. en It-kommission, der kan danne baggrund for en debat blandt deltagerne , forventelig 100-150 samt politikere. Emnerne der i øvrigt vil blive drøftet og debatteret er:

  • Overvågning
  • Privacy
  • Oprettelse af et Nationalt Cyberssikkerheds Råd, herunder It-Haverikommission
  • Bredbånd til alle
  • Behovet for It-undervisning/uddannelse

Håber du kan og vil afse tid til deltagelse. Jeg henvender mig til dig på dette medie i ønsket om også at gøre PR for selve debatten og arrangementet, der er et non-profit arrangement, der har til hensigt at gå et skridt videre end blot kommentering af utilfredshed med status quo. Bh John Michael Foley- arrangør og ordstyrer på debatmødet

44
11. august 2015 kl. 11:01

Tak for linket. I udsendelsen gennemgår en professor så hele idiotiet for lytterne. Der findes en retspraksis pt. over for virksomhedder der behandler borgernes data.... Der findes også en dispensation så offentlige myndigheder ikke kan rammes af denne retspraksis!

HAHA. Det er sørgeligt men sandt. Vi er en nation ledet af IT Analfabeter og disses rygklappere.

37
7. august 2015 kl. 17:21

Jeg synes gang på gang jeg læser om at it-leverandører dækker sig ind under at det og det forhold ikke er omfattet af kontrakten.

Selv basale ting og hvad andre opfatter som selvindlysende funktioner, bliver gjort til et spørgsmål, om det er omfattet af kontrakten.

Derfor kan det ikke overraske mig, at der opstår sikkerhedsproblemer, for leverandøren vil blot påpege - 'Det står ikke i kontrakten'.

Og så kører de derudaf med usikre systemer.

En ting er, at køber skal være opmærksom på hvad de har med at gøre, men specialistviden må det være leverandørens opgave at levere frivilligt ifm. struktureringen af projektet. Og selvfølgelig forlange betaling for dette.

Men som jeg har oplevet det et par gange eller flere, så virker det mere som om leverandøren gerne venter indtil køber oplever det åbenlyst uhensigtsmæssige i proceduren, og så tager sig godt betalt for at ændre i setup'et. Og hér taler jeg ikke om komplekse afhængigheder, men noget som er umiddelbart indlysende.

38
7. august 2015 kl. 18:20

Egentlig ville jeg sige, at leverandører har mere fokus på indtjening, end at levere et produkt som er gangbart.

Indrømme dét - næppe.

Men at få snablen ned i de offentlige kasser - ohh boy - that's wonderfull.

Gør dine kontrakter så uoverskuelige og så omfattende som muligt, så er din lykke gjort.

Mind mig lige om, at skifte aktier ud til de store It-selskaber.

34
6. august 2015 kl. 16:49

Ser ud til at historien har ramt pænt i medierne i dag, hvor også PHK citeres, også med mere sympati for IT-Haverikommission ideen fra andre:

https://www.dr.dk/nyheder/indland/oenske-om-it-havarikommission-efter-kritik-af-csc-sag

https://www.dr.dk/nyheder/politik/dansk-folkeparti-rigspolitiets-it-sjusk-er-en-skandale

https://www.dr.dk/nyheder/politik/partier-chokerede-over-rigspolitiets-data-sloeseri

https://www.dr.dk/nyheder/indland/datatilsynet-i-skarp-kritik-rigspolitiet-havde-ikke-styr-paa-banal-it-sikkerhed

Og så med et obligatorisk Trine Bramsen citat:

</p>
<ul><li>
<p>Der skal være styr på datasikkerheden overalt i det offentlige, og det her er en ups’er, som ikke må ske, siger Trine Bramsen.</p>
</li>
<li>
<p>Men jeg har da en klar forventning om, at der er taget hånd om det, der bliver påpeget i Datatilsynets kritik, og at vi ikke ser det forekomme fremadrettet. Det må være konsekvensen af så hård en kritik, at man får styr på det, der er påpeget, siger hun.

Så jernet er i hvertfald varmt hvis der skal smedes...

30
6. august 2015 kl. 12:38

Problemerne er sikkert bygget op over årtier og det gør det nok i praksis svært at placere personligt ansvar og tage konsekvens af pligtforsømmelserne.

Men nedenstående citater alene burde være nok til at der må kunne falde en konsekvens overfor ledende medarbejdere.

Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (f.eks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC’s lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet.

Rigspolitiets informationssystemer, herunder Schengen-informationssystemet, blev driftet i LPAR D11 og D14. På Datatilsynets forespørgsel har Rigspolitiet i to omgange ikke svaret på et spørgsmål om, hvilke af informationssystemerne der blev driftet i henholdsvis LPAR D11 og D14.

Datatilsynet finder sagens langstrakte forløb meget beklageligt. Uanset at dette til dels beror på tilsynets egen sagsbehandling, er det Datatilsynets opfattelse, at Rigspolitiet i væsentlig grad har bidraget til det meget lange forløb. Datatilsynet har således under forløbet måttet stille de samme spørgsmål flere gange, og i flere tilfælde har tilsynet fået uklare eller ufyldestgørende svar.

22
6. august 2015 kl. 09:36

Jeg bliver mere og mere overbevist om, at IT-Havarikommisionen (IT-HK) ikke skal erstatte Datatilsynet, men supplere det.

Jeg får simpelthen pip nå jeg læser følgende: "Hullet webserver hos CSC delte virtuel server med Schengen-register[...]»Ved at Rigspolitiet har placeret driften af Schengen-informationssystemet i én mainframe, som også blev benyttet af andre dataansvarlige til helt andre formål, er Schengen-informationssystemet helt unødvendigt blevet eksponeret for risici, som kan henføres til andre dataansvarliges drift af deres systemer,« skriver tilsynet."

Lige nu udfører Datatilsynet IT-HK-arbejde; noget er væltet, og Datatilsynet er gået ind for at se på hvad der skete og hvorfor.

Men sådan skal det jo ikke være - Datatilsynet skal føre tilsyn, og påpege fejl, mangler og ricisi, før hele baduljen vælter. De skal kunne banke på døren - helst uanmeldt - og sige "Goddag. Vi komnmer fra Datatilsynet. Vi gennemgår lige jeres/statens systemer."

Datatilsynet kan så udarbejde en rapport som Rigspolitiet, eller hvem de heldige nu er, kan få, og så rette op på manglerne.

Hvis der så alligevel sker IT-havari, skal Datatilsynet stille sit materiale til rådighed for IT-HK.

Ved at dele tilsyns- og havariundersøgelses-opgaverne op, undgår vi at Datatilsynet eller IT-HK skal undersøge sig selv, hvis begge opgaver lå i samme institution. IT-HK vil således kunne udtale kritik af Datatilsynet, hvis deres præventive tilsyn ikke har været fyldestgørende, eller har været helt fraværende.

Det skal nok holde Datatilsynet skarpe.

Og selvfølgelig skal der være vandtætte skodder mellem de to institutioner - de skal ikke have samme ledelse, låne hinandens konsulenter, og ikke ligge under samme ministerier.

Datatilsynet kan med fordel stadig ligge under Justitsministeriet (udøvende magt). IT-HK kan ligge under Rigsrevisionen (dvs. Folketinget, den lovgivende magt), fordi deres undersøgelser jo netop kan afdække, at de gældende love og regler evt. ikke er tilstrækkelige, og dermed føre til et krav om lovændringer).

42
10. august 2015 kl. 14:28

Hvilke beføjelser ser du IT-HK have, hvis de fungere som Datatilsynet, kan div. myndigheder bare undlade at svare på spørgsmål mv.

Jeg høre dig sige at IT-HK skal overtage nogle af Datatilsynets opgaver (den opklarende del), og udvide deres beføjelser ala Rigsrevisionen, hvor en myndighed ikke kan undlade at svare.

45
11. august 2015 kl. 11:05

Hvilke beføjelser ser du IT-HK have, hvis de fungere som Datatilsynet,

Kik på Havarikommissionen for Transport.

Beføjelsen er meget simpel: Find ud af hvad der gik galt og dokumenter dette offentligt, så vi kan undgå at det sker igen.

Specifikt skal ITHK ikke placere et juridisk ansvar, det har vi domstole til.

ITHK har intet med Datatilsynet at gøre, selvom jeg naturligvis sagtens kan forestille mig at Datatilsynet vil læse ITHK's redegørelser med stor opmærksomhed.

24
6. august 2015 kl. 09:44

Det har hele tiden været min hensigt.

Great minds think alike :-)

Måske tager jeg fejl, men jeg mener at huske at i ét af de helt tidlige udkast til en IT-HK, blev det foreslået at der var en tilsynsopgave og/eller at Datatilsynet blev helt overflødiggjort. Det er måske foreslået af andre i de efterfølgende debatter...

26
6. august 2015 kl. 10:47

Måske tager jeg fejl, men jeg mener at huske at i ét af de helt tidlige udkast til en IT-HK, blev det foreslået at der var en tilsynsopgave og/eller at Datatilsynet blev helt overflødiggjort. Det er måske foreslået af andre i de efterfølgende debatter...

Styrken i en IT-Havarikommission er netop en selvstændig enhed som ikke skal tænke på løbende udvikling/tilsyn. I en konstant udviklende verden vil de stå som en rettesnor så man som minimum kan komme igennem opgaven uden for mange problemer. De vil i princippet kunne oparbejde en viden/erfaring som alle kan nyde godt af.

18
5. august 2015 kl. 19:47

fra John the Ripper sitet, der beskriver hvordan RACF passwords brydes:

"Also, most mainframe implementations don't require mixed case and there's only three special chars ($, @ and #). On top of that, the basic mainframe "shell" called TSO doesn't support passwords longer than 7. So basically if you're cracking a RACF database start with characters A - Z, 0 - 9, #, @, $ with a max length of 7 characters."

12
5. august 2015 kl. 09:07

Rigspolitiet forsøger igen at lukke låg på denne for dem særdeles pinlige sag. Efter Datatilsynets - noget forsinkede - meget kritiske rapport forsøger Rigspolitiet at vinde tid i håbet om at sagen dør hen. Rigspolitiet har for længe siden haft alle nødvendige oplysninger, og det har de haft i mere end 2 år. Alligevel prøver de at snige uden om deres ansvar og håber at lægge sagen død. Det skal de ikke få held til.

"Rigspolitiet har ifølge tilsynet haft flere lejligheder til at forholde sig til den omfattende kritik, men har kun i begrænset omfang ønsket at forklare omstændighederne bag den manglende sikkerhed." Set i det lys forekommer det meget kritisabelt at Rigspolitiet igen er fodslæbende og tillukkede som østers. De såkaldte ansvarlige i Rigspolitiet er uasvarlige grænsende til kriminel pligtforsømmelse. Ledelsen er ikke kun uansvarlige men også ligeglade med befolkningens krav om anstændig opbevaring af deres personfølsomme oplysninger. Bemærk at denne sag ingen konsekvenser har haft for hverken Rigspolitiet eller CSC. CSC fortsætter med at skrive masser af kontrakter med det offentlige og Rigspolitiet er ikke blevet klogere til trods for tilførsel af millionvis af ekstra penge til området.

10
5. august 2015 kl. 08:33

Ja, Nej eller lade stå til. Lade stå til er stadig en beslutning!

At man i dette tilfælde politisk ikke vil beslutte hvad der skal ske med firmaer/personer som ikke kan/vil efterleve et minimum af sikkerhedsmæssige krav er mig en gåde... Eller sagt på en anden måde. Hvad fanden skal vi med Datatilsynet? For mig at se skal det lukkes ASAP da denne instans koster penge og ingen funktion har.

Rigspolitiet kan reelt sig SH*T THE F**K UP! for lige meget hvad datatilsynet gør sker der ikke noget med os. De kan skrive "ja nu overholder vi alle de ting vi ikke gjorde sidst" velvidende at de ikke har ændret noget som helst.

Det er så utroligt underligt man kan finde offentlige systemer som ikke benytter adskillelses princippet. Dette beviser at kompetencerne er i så dårlig forfatning at man reelt kan sige den ikke er tilstede.

Så efterfølgende at bede de selv samme om at lave de nødvendige ændringer er vel at bede aber om at bygge Femerforbindelsen. Man kan sige det nok så mange gange.... De vil nok svare det samme som sidst og spise deres bananer som de plejer.

17
5. august 2015 kl. 17:53

Rigspolitiet kan reelt sig SH*T THE F**K UP! for lige meget hvad datatilsynet gør sker der ikke noget med os.

Det kan alle - Kommunerne, regionerne, statslige styrelser og databehandler m.fl., og det ser vi jo udført glad og fro hver eneste gang fordi:

Både Datatilsynet, Rigsrevisionen samt stakkels Frelle-Petersen i Digitaliserings- styrelsen, samt 'dem vi ikke snakker om' har jo alle i fuld offentlighed tilstået, at det er ikke deres bord, at de ikke har fornøden hjemmel, at de ikke har de tilstrækkelige muskler og lignende mumbo jumbo.

Politikerne (dem vi vælger) har med fuldt overlæg sikret en bunke papirkrigere i aktion, som laver fornøden afrapportering, og basker lidt med vingerne i dagspressen. Men de har og får hverken enkeltvis eller tilsammen kræfter til faktuelt at håndhæve den fornøden retssikkerhed for borgerne - formålet, og samtidig simpelt og billigste valg på hylden.

Og det giver maksimale friheder for politikernes "kan vi ikke lige.." og "..så lige også..".

Tænk dog på hvad både Bramsen og Vestager et al havde gang i få år tilbage.. eValg mm, samt ..http://www.version2.dk/artikel/vestager-nemid-skal-erstatte-cpr-validering-ved-nethandel-56963

En effektiv styrelse med rejsende personale, uanmeldte besøg samt eftersyn/revision med fornødne muskler er ikke undervejs, fordi:

  1. det er bøvlet (adm. + politisk)
  2. er begrænsende ( - do - )
  3. koster fuldt udbygget noget med 8-9 nuller
  4. giver synlige slagsmål i offentligheden.

Politiker og administration har en fælles interesse i trænering længst muligt.

Om 2-3 uger trille maskineriet igen og medierne tygger på en helt anden 'sag', så det her er forlængst glemt.

Om 5 år findes stadig ingen anvendelig og uafhængig kontrolinstans, men antagelig nogle ansatte i en overbygning, som spilder gode penge på koordinering af nuværende uanvendelige ;)

15
5. august 2015 kl. 13:38

Man kan sige det nok så mange gange....
De vil nok svare det samme som sidst og spise deres bananer som de plejer.

Hvad har aber nu gjort dig :-) Det drejer sig formentlig om citronmåner.

" Det burde ikke være svært at sammenligne data med en backup, så spørgsmålet er så hvorfor det hele har taget SÅ lang tid!"

Hvilken Kopi ?

Se i log ? Som den indtrængende, selv kan have slettet eller ændret :-( Hvis de har eksisteret.

Det ser mere ud som CSC ikke er hacket, og at Gottfrid Svartholm Warg ikke skulle være dømt for dette, men kun simpel ran. Måske der for at sagen skulle trækkes ud, så dette her ikke kunne indgå i retssagen ? Eller at de ansvarlige håber at nå at gå på pension, med en god million årligt, istedet for at side og forklare sig i en embedsmands sag.

5
5. august 2015 kl. 01:13

... omend noget repetetiv. Er det virkeligt nødvendigt at skrive det samme 17 gange?

Måske er det det, der skal til, for at få budskabet igennem...

3
4. august 2015 kl. 22:56

Under punkt 4:

Datatilsynet finder sagens langstrakte forløb meget beklageligt. Uanset at dette til dels beror på tilsynets egen sagsbehandling, er det Datatilsynets opfattelse, at Rigspolitiet i væsentlig grad har bidraget til det meget lange forløb. Datatilsynet har således under forløbet måttet stille de samme spørgsmål flere gange, og i flere tilfælde har tilsynet fået uklare eller ufyldestgørende svar.

Så ikke nok med at de har brudt loven. De har også forsøgt at sabotere efterforskning. Hvad får det her af konsekvenser?? Nærmer det sig ikke en retssag?

4
5. august 2015 kl. 00:25

Ork, den slags forekommer også andre steder i det offentlige. Jeg var ude for en socialsag, hvor der under klageprocessen manglede papirer i sagen som kommunen skulle udfærdige. Tre rykkerskrivelser (hver med beskeden "Svares ikke indenfor ti dage, afgøres sagen på det foreliggende") og en telefonopringning skulle der til, før man modstræbende erkendte (mundtligt) at de lovpligtige papirer ikke fandtes. I afgørelsen hed det så at det var "dybt kritisabelt" at papir A, B og C manglede i sagen. Men uden konsekvens, for papir D manglede også i sagen.

2
4. august 2015 kl. 22:15

I afsnit 3.3 står der: "RACF-databasen indeholdt adgangskoder og autorisationer for ca. 85.000 bruger- og administrator-id’er hidrørende fra forskellige myndigheder...hackeren har været i stand til at bryde den kryptering, der var på RACF-databasens indhold, og dermed tilgå indholdet." Jeg troede at man normalt gemte adgangskoder i hashet udgave, så man ikke kunne få fat i selve adgangskoderne. Men det lyder som om at CSC gør noget andet (ligesom Uni-C).

8
5. august 2015 kl. 08:29

RACF cracking er beskrevet mange steder, se eksempelvis denne random googlede walk through http://mainframed767.tumblr.com/post/43072129477/how-to-copy-the-racf-database-off-the-mainframe

og data fra http://www.openwall.com/lists/john-users/2012/03/14/1 John the Ripper er en meget populær password cracker.

Jeg mindes kort at der findes forskellige algoritmer nu, men jeg er ikke ekspert i RACF. Jeg VED dog at med så mange brugerkonti er det nok muligt at knække en god procentdel blot ved simpel password cracking.

13
5. august 2015 kl. 09:09

IT-havarikommission

Det her er nok det tætteste vi kommer på det for tiden. Hvilke konsekvenser bør det have?

Og nej, læg bare høtyven og faklen væk, jeg tænker ikke på minimumsstraffe af middelalderlig karakter til personer med høj lønramme. Jeg tænker på, hvordan får vi sikret at vi alle får mest muligt ud af de erfaringer, som der står her?

Jeg erindrer stadig, da jeg måtte opgive at debattere med en Bramsen type, som mente sig i stand til skråsikkert at udtale sig om IT-sikkerhed, men som ikke ville anerkende betydningen af det ene af de tre grundlæggende principper, som Datatilsynet indledningsvist peger på. Hvordan når vi dem? Der er ingen tvivl om, at udtalelsen snildt kan indgå som illustrativ eksempel på mange IT-uddannelser, men hvordan rammer vi beslutningstager-segmentet (hint: i hvert fald ikke ved at skriv RACF i hvert andet afsnit)?

Hvordan kan man ellers sørge for, at få nyttiggjort de erfaringer, som udtalelsen indeholder? Og indirekte, hvordan får vi synliggjort, at man med fordel kan lære af erfaringer (#host#IT-havarikommision#host#)?

14
5. august 2015 kl. 11:22

Jeg tænker på, hvordan får vi sikret at vi alle får mest muligt ud af de erfaringer, som der står her?

Der bliver lavet cases/bøger med IT sikkerhed så de er gemt til eftertiden, men når man så sidder 20-25 år efter og kan konstatere at det ikke er nået ind på lystavlen for de ansvarlige så..

Bankerne lærte det rimeligt hurtigt da det var forretningen der blev ramt af idiotiske beslutninger. I dette tilfælde bliver staten ikke ramt og alt kan køre videre uden konsekvens.

tja der er 2 måder du kan løse problemet inden for 1 måned.

  • lav en strafferamme for inkompetence for IT sikkerhed.
  • lad det indgå i aflønningen af chefer på negativ måde hvis de sjusker i så en fatal grad (mellem 80-90%).

Den alternative måde: Indsætte en fil på hver kritisk system et ministerier varetager. Denne fil indeholder oplysninger så man kan hæve penge fra den pågældende ministers pension uden man bliver straffet.

en del af dette indlæg er skrevet med humor ;)

20
6. august 2015 kl. 08:24

tja der er 2 måder du kan løse problemet inden for 1 måned.</p>
<ul><li>lav en strafferamme for inkompetence for IT sikkerhed.</li>
<li>lad det indgå i aflønningen af chefer på negativ måde hvis de sjusker i så en fatal grad (mellem 80-90%).

Selvfølgelig er der ingen snuptagsløsninger - og da slet ikke dem du foreslår her. Det eneste du vil få ud af straf og bøder (i form af lønnedgang) er, at kompetente mennesker med en IQ på over 100, som ikke øsnker at sætte deres personlige frihed og økonomi i risikozonen, finder et andet arbejde end dette her chef-job.

De eneste ansøgere du vil få til disse poster, er dem der ikke tænker særligt dybt over tingene. Så du vil sikkert kunne svælge i straffe og "bøder" til de ansvarlige efterfølgende - men det vil jo kun være fordi det grundlæggende problem ikke vil blive løst ved at skræmme de mest intelligente ansøgere væk med truslen om pisk og stokkeslag.

En IT-Havarikommission vil netop kunne afdække hvilke procedurer og organisatoriske strukturer der skal til, for at en konstant bevægelse hen mod højeste sikkerhedsniveau sikres - hvis man vil have den bedste sikkerhed, skal man have de bedste teknikere på det felt, og dvs. man skal ansætte cheferne der har lysten, modet og mulighederne for at kunne tiltrække disse.

At give de ansvarlige en trussel om fængsel og bøder, og så iøvrigt udstyre dem med et budget der er for lille, er jo decideret at bede om katastrofer, for derefter at sætte det tilfældige fjols der bed på, i gabestok.

Det løser ikke problemet, og tilfredsstiller kun folk der elsker at spille blame-game.

25
6. august 2015 kl. 10:36

Selvfølgelig er der ingen snuptagsløsninger - og da slet ikke dem du foreslår her. Det eneste du vil få ud af straf og bøder (i form af lønnedgang) er, at kompetente mennesker med en IQ på over 100, som ikke øsnker at sætte deres personlige frihed og økonomi i risikozonen, finder et andet arbejde end dette her chef-job.

Jeg prøver at sætte tingene på spidsen! Så jeg kan forstå du fortrækker at lade stå til. OK

Hvilken IQ, personlig frihed/økonomi vurdering har den nuværende chef?

De eneste ansøgere du vil få til disse poster, er dem der ikke tænker særligt dybt over tingene. Så du vil sikkert kunne svælge i straffe og "bøder" til de ansvarlige efterfølgende - men det vil jo kun være fordi det grundlæggende problem ikke vil blive løst ved at skræmme de mest intelligente ansøgere væk med truslen om pisk og stokkeslag.

Den påstand er jeg ikke sikker på du har ret i! pt. har du personer som "IKKE TÆNKER SÆRLIGT DYBT OVER TINGENE". Så nej din påstand er direkte modbevist med den forliggende sag.

Er du skæmt af der er straf for at fx. udsende dit firmas source kode med mail til kunderne? --- Jeg anser det for den samme forseelse som der er udført i den pågældende sag!

En IT-Havarikommission vil netop kunne afdække hvilke procedurer og organisatoriske strukturer der skal til, for at en konstant bevægelse hen mod højeste sikkerhedsniveau sikres - hvis man vil have den bedste sikkerhed, skal man have de bedste teknikere på det felt, og dvs. man skal ansætte cheferne der har lysten, modet og mulighederne for at kunne tiltrække disse.

Seriøst?

IT-Havarikommission skal angive standarden som alle mindst skal overholde for at holde deres service/system i operation! Intet andet og intet mindre. Når så denne standard kompromitteres undersøger de hvorledes og opdatere standarden. Det har intet med blame/pinlige forhold/ ansvar etc.!!

Din påstand om organisatoriske ændringer og de bedste teknikere bla. bla. har jo intet med chefen og sikkerhed at gøre!!! Sat på spidsen så skal der være en chef som kan varetage jobbet og har ansatte personer som kan opretholde den standard som ønskes.

Jeg er lodret uenig med dig på dette punkt! Man skal IKKE have de bedste teknikere og den BEDSTE organisatoriske opbygning for at implementere de 3 principper som rapporten viser ikke er overholdt!

Det er direkte noget fis. De fleste mennesker som har gennemgået et undervisningsforløb i sikkerhed og har en IQ over 99 kan løse de 3 problemer! Man skal ikke tale problemet op! Heller ikke i denne sag!

Min påstand er "Det er så banale og simple fejl at de fleste IT personer i DK undres! Undres over at der intet gøres?"

Ja jeg går ind for man tager en beslutning også selv om den senere viser sig at være forkert! Sådan er livet, men at lade stå til er spild af alles liv.

29
6. august 2015 kl. 11:32

Jeg er lodret uenig med dig på dette punkt! Man skal IKKE have de bedste teknikere og den BEDSTE organisatoriske opbygning for at implementere de 3 principper som rapporten viser ikke er overholdt!

Beklager, men du er ikke uenig med mig :-)

Man skal have de bedste medarbejdere og den rette organisatoriske opbygning for at være på forkant med sikkerheden.

At du ikke behøver de store tiltag for at imødegå de 3 brudte principper i rapporten, kan meget vel være - men det er ikke nok blot at fjerne amatørfejlene. Vi skal selvfølgelig sikre at datatab ikke sker, selv hvis rigtig dygtige hackere gør sig rigtig stor umage.

Det håber jeg du kan forstå - og ikke er uenig i.

28
6. august 2015 kl. 11:24

Jeg prøver at sætte tingene på spidsen!
Så jeg kan forstå du fortrækker at lade stå til. OK

Nej - drop lige stråmanden.

Jeg er enig i at vi står i en dårlig situation, og at der skal gøres noget. Men det gør ikke automatisk dit forslag til det rigtige, at det er "at gøre noget".

Man skal naturligvis gøre noget som virker. Og det er her jeg ikke er enig med dig; det du foreslår vil ikke forbedre situationen, men måske endda forværre den.

31
6. august 2015 kl. 13:29

Hvilken del af "havarikommission" er det du ikke forstår ?</p>
<p>ITHK skal efterforske og klarlægge når det går galt, så vi kan undgå gentagelser.</p>
<p>Hverken mere eller mindre.

Undskyld. Sprang for mange led over for at holde teksten "kort". Ja de skal undersøge og komme med brugbar viden så fremtidige fejl/mangler undgås.

Så hvad vil der ske med denne viden???

Hvordan kommer der ikke rettesnor/standard/best practice ud af det (hvis denne viden anvendes).

Kan du forklare det?

33
6. august 2015 kl. 15:57

Så hvad vil der ske med denne viden???

En indlysende ting er at man skriver i sine kontrakter "Alle ITHK's anvisninger skal følges" hvorved leverandøren bliver nødt til at læse den igennem og tænke sig om, så de ikke laver en af de samme fejl igen.

Hvis vi virkelig skal videre med IT kvaliteten skal vi have producent- og rådgiver-ansvar for software.

11
5. august 2015 kl. 09:01

Det er formodentlig et af de experimenter en IT-havarikommission ville have gennemført i analysen af denne sag.

Helt enig - det er jo nu der skal smedes, hvis vi ønsker en IT-HK indenfor en overskuelig fremtid.

Datatilsynets opgave og kompetence her er åbenbart at undersøge, og så skrive lidt knækprosa. Diverse chefer kan så efter forgodtbefindende læse lidt i dette skriv. Hensigten er sikkert, at disse chefer skal handle på kritikken, fyre de ansvarlige, og sørge for at der rettes op.

Men kammeraterne indenfor det offentlige skal såmænd nok bare klappe hinanden på skuldrene, og fortsætte som hidtil.

En IT-HK, skal kunne pålægge at der handles, efter at der er udtalt kritik i en sådan rapport, indgive politianmeldelse, og sende udtalelser om behov for lovændringer til den ansavrlige minister.

Det kan simpelthen ikke passe at der ingen konsekvenser er for denne fadæse.

1
4. august 2015 kl. 21:58

Som jeg læser det, så kan det ikke afvises at der er foretaget ændringer i databaserne. Lidt underligt at man ikke har kunne trække en log ud om ændringerne af databaserne, f.eks. ved at foretage en sammenligning med en række backups. På den måde burde man kunne konstatere omfanget af mulige uretmæssige ændringer. Så mange ændringer kan der heller ikke være tale om med 1,2 millioner records globalt. Men det skyldes nok at man er fuldstændig ligeglad med datatilsynets kritik. Det er business as usual, og det får ingen konsekvenser for nogen som helst.

40
10. august 2015 kl. 10:53

Men det skyldes nok at

... Backup & Restore ikke er en del af SLA'en!

Husk på at IT i Danmark ikke er til for at göre noget lettere, bedre, enklere eller bare mere effektivt - Offentlig IT skal spare penge, intet andet. Det konflikter bare med at god IT - ligesom alle andre ordentlige stykker värktöj - faktisk koster penge.

7
5. august 2015 kl. 08:27

Processen burde vel være. Gå tilbage til en god kopi, sammenlign med data nu, undersøg forskelle.

Det burde ikke være svært at sammenligne data med en backup, så spørgsmålet er så hvorfor det hele har taget SÅ lang tid!