Er CFCS pengene værd ?

Enig i din analyse Poul-Henning. Pengene er spildte og som belønning får CFCS nu yderligere ca. 1.4 millader kroner til ingen verdens nytte.

at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.

BTW. så virker mange af folketingets "tiltag" som spil for galleriet, og ofte oplever jeg at bare man ind imellem kan råbe "ULVEN KOMMER !" og få det til at lyde som om man ved noget, så er myndigheder og folketing glade (for nu har vi igen sat noget op som hjælper dem der betyder noget, nåh nej jeg mente samfundet !) med samfundet er jo ikke det enkelte menneske, en bolig forening, en virksomhed eller lignende, nej da samfundet er dem der får alt til at køre så godt som vi syntes det skal og som vi VED er den rette facon ! CFCS har som det skrives heller ikke fået andet at straffe med end at vifte bestemt med en pegefinger og selv det må de sikkert kun gøre i absolut mørke og med den/de skyldige med ryggen til !

Det lader til at folketinget sørger for at kriminelle og andet godtfolk hele tiden har huller i systemet, så folketinget kan "komme efter dem" med ekstreme kontrol instanser styrelser og tilsyn på alle hylder uden reelt indhold, (men først efter at have lavet huller andre steder), f.eks. fjernelsen af revisor kravet og uendeligt mange andre "tiltag" som de forskellige typer af kriminelle iler hen til og svindler alle høj som lav. og al kontrollen rammer alene alle os ikke-kriminelle (som jo INTET har at skjule HA HA, har du INTET at skjule har du aldrig været levende !). Vi kan så spændt vente på næste undergravning af tilliden mellem mennesker ! I øvrigt, hvor mange brøkdele af en promille af befolkningen udgøre disse kriminelle, og hvor mange ressourcer bruges der på at ramme disse oftest "usynlige" mål, fra fangst over beviser/indicier/vidner, udmåling, dom, anke, dom, anke, dom, til x mdr's straf. for slet ikke at tale om den skade de har forvoldt på ofrene !! Nogen skal dog have omstillet deres tillids niveau gevaldigt, eller er det grådighed, når man på nettet bestiller den nyeste Iphone eller en Louise Vuitton taske til 174,37 kr plus fragt og betaler I FORVENTNING OM AT MAN IKKE BLIVER SNYDT, og tilmed føler det berettiget at kræve erstatning fordi man kunne da ikke forestille sig at en 10000 kr's tlf eller 25000 kr's taske til under 200 kr skulle være svindel. Den slags væsner skal indstilles til en af-art af Darwin awards !

Desværre må vi, så længe så mange er tavse/ligeglade/grådige/afvisende/ikke-tænkende/sovende, håbe at nogen af disse mange vil vågne så vi kan få vækket endnu flere, inden alt ER LIGEMEGET eller slut, hvor mange år kan denne verden holde til mennesker som de er i dag, før alting slukker og lukker for alt er enten løbet tør eller forgiftet

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

... er i høj grad enig med Povl. Jeg savner også at se proaktivitet fra CFCS manifesteret i en “udrykningsstyrke”, der beskytter væsentlige interesser, både offentlige og private.

Den reelle udfordring er sammenblandingen af spionage- og beskyttelsesaktiviteter hos FE ... man kan jo næppe forvente at CFCS skal komme farende og advare om de 0-days den anden del af organisationen har tænkt sig at udnytte til at penetrere mulige fjender med ...?

Dermed har man reduceret CFCS til et forkrampet og forfejlet forsøg på at vise handlekraft ... pengene kunne være bedre brugt i en anden organisatorisk kontekst end FE.

Rapporten giver uforholdsmæssig megen omtale af crypto-ransomware. Det burde være det mindste problem. Ødelæggende virkninger af sådanne angreb kan man undgå ved at tænke sig om. I modsat fald kunne fyringer på C-suite level være et udmærket incitament.

Den omtaler derimod stort set ikke den værste type angreb, nemlig APT. Det kan måske være fordi DDOS og crypto-ransomware trækker overskrifter, som folk (incl. bevillingspersoner) kan forstå.

Og på rådgivningssiden savner jeg noget om open source og communities, eksempelvis IOC og REMnux med værktøjer som Yara og Volatility.

Jeg bliver langt klogere ved at læse artikler fra f.eks. SANS-instituttet.

I det, der senere blev kendt for at være "the science war", publicerede fysikeren Alan Sokal i 1996 en artikel i et anerkendt poststrukturalistisk tidsskrift med en hypotese om at kvantemekenikken var en "konstruktion".

Det var en joke - han havde brugt buzz-words og en vrøvlegenerator.

Det burde ikke være raketvidenskab at gentage forsøget, der sagtens kunne matche en CFCS-rapport i banaliteter.

Hej PHK

Hvad angår cfsc's mulighed for at have en indtjening på at sælge data, kan dette findes i statsregnskabet, jeg er næsten sikker på at det må de ikke.

Jeg kan takke CFCS for at gøre mit arbejde letter, ved at jeg får serveret kriterier (minimums anbefalinger) for godt it sikkerhed. Det gør at jeg ikke selv skal argumentere for hvorfor man bla. ikke skal være lokaladministrator

Tak for din korrektur-læsning Arne... Er du ikke sød at bruge noget af krudtet på også at kommentere indholdet af de mange offentlige høringer vi sender ud...

De er trods alt lidt mere betydningsfulde og gennemarbejdede end de pip jeg kommer med her :-)

Go’ sommer!

Både det at de mangler mandat, og evne til at søge mandat er vel med til at mindske deres berettigelse.

Man burde lave en datasikkerhedsinstitution som havde mandat til at kræve konkrete tiltag i de enkelte virksomheder.

Man burde måske lave noget vurdering af CIS 20 (som er krav digitaliseringsstyrelsen anbefaler man stiller til leverandører), og lave direkte krav til operationel IT Sikkerhed.

Disse vil ikke forstås af ledere, hvilket er godt. Så kan de forhåbentlig skubbes ned til en der forstår det.

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

Viser lagkagen kun hændelser som Netsikkerhedstjenesten og deres Snort Fork har fundet eller er der også eksterne 3-parts tips med i lagkagen?

Hvis det er eksterne aktører, der har spottet en stor del af moderate, større og alvorlige hændelser, samtidig med at de mange falske positiver er fra Snort. Så viser det jo et bevidst skævt billede af virkeligheden, samt hvorfor TDC og Region H ikke gider lege med mere.

Ej, det kunne danske embedsmænd aldrig finde på. Al den tørke og dehydrering får mig til at se spøgelser.

25 procent af dem, der har it-sikkerhed som primær beskæftigelse, mener, at rådgivningen fra Center for Cybersikkerhed er dårlig eller meget dårlig

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Luk det, hellere i går end i dag, og fjern i samme åndedrag Digitaliseringsforstyrrelsen fra jordens overflade - nogle af pengene kunne så bruges til at styrke datatilsynet og lave et nationalt sikkerhedsråd som var til for civilsamfundet.

Jeg er enig med PHK om at vi (altid) skal stille spørgsmålstegn ved om vi får nok for pengene.

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Og hvis vi skal stille det i forhold til noget andet, så koster Digital Post os cirka 20 kr/år.

Men det svarer desværre ikke på om vi får nok for pengene :-/

Det må være op til Forsvaret at sandsynliggøre det. Selvom argumenterne nok vil ligne dem vi får om det militære forsvar generelt – "vi bidrager nok til at de store passer på os".

Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

Garbage in, garbage out - ret forudsigeligt. Sparrede lige 20 konsulenter og 10 fuldmægtige. Du kan bruge dem i hjemmeplejen.

Sender du os lige linket til de uafhængige undersøgelser af ISO 27001, der viser en signifikant effekt på IT-sikkerheden? Altså ikke dem, der er betalt af de som lever af at fakturere ISO 27001.

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

— fra en der er blevet ‘belønnet’ med en titel af Chefkonsulent (lige om lidt omdøbt til Seniorkonsulent) hos Digitaliseringsstyrelsen.

Det er ikke nok, at sende de sidste 7 dages print over kablet. Det er bedre med en kopi af ISO/IEC 27001. Hvis de er hurtige, kan de lige nå at se, at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere

Ja, mange af disse IT-sikkerhedseksperter bekæmper sikkerhedsproblemer med Office-pakken, som deres eneste våben.

De har lært Ctrl+C og Ctrl+V, som de bruger flittigt til sende tekst fra primært britiske sikkerhedsanbefalinger gennem google translate, for derefter at rette lidt på fonten og margener.

I Digitaliseringsstyrelsen kalder de det best practice, som belønnes med en Chefkonsulent stilling. I gymnasiet kalder de det plagiat, som belønnes med en dumpekarakter.

God analyse, Poul-Henning.

Med til at underbygge det forhold, at CFCS' rolle for it-sikkerheden i Danmark lader meget tilbage at ønske er Version2s undersøgelse fra foråret, hvor 25 procent af dem, der har it-sikkerhed som primær beskæftigelse, mener, at rådgivningen fra Center for Cybersikkerhed er dårlig eller meget dårlig - og knap halvdelen kan ikke sige den er god. https://www.version2.dk/1085008

Når rigsrevisionen har rejst en masse kritikpunkter af offentlige myndigheder

Problemet for begge er vel de ikke har mandat til et diktat

Bare se på deres trusselsvurderinger (som de mener er alignede med de generelle niveauer).

Hvis trusselsniveauet for hospitalssektoren er "meget højt", så er der vel en hær af CFCS folk på vej ud til regionerne, hvor de overtager kontrolrummet, og sørger for at alt er klart til at imødegå det kommende næsten uundgåelige angreb.

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere der mener at man kan smide bunken med de 7 sidste dages print ovenpå kablet, og så er der lukket.

Når rigsrevisionen har rejst en masse kritikpunkter af offentlige myndigheder, så burde CFCS sende en mand ud der sikrer at de relevante myndigheder løser problemerne. Eller ændre sine anbefalinger, så det er tydeligt hvad man bør og skal. Og man skal mene skal hvis det står skal.

For forskellen på Skal/bør/må så kan man eksempelvis se her:https://tools.ietf.org/html/rfc2119

NEJ!

I seneste jobopslag fra FE, vil de have nye folk til cybersikkerhed. Læs implicit: Helst cand. politter eller jurister. De skal mødes med andre cand. politter og jurister fra Digitaliseringsstyrelsens kontor for cybersikkerhed og sammenligne ISO 27001 skabeloner. Vi kommer til at leve i verdens meste sikre land... på papiret.

Der er også håb for Politiets nye center for IT relateret økonomisk kriminalitet (LCIK).

De hyrer HK-ere og flere cand. politter til at løse sagerne og bekæmpe den voksende IT-kriminalitet.

Den største trussel mod IT-sikkerheden i Danmark er ikke Rusland eller Rumænske IT-kriminelle, men den danske hær af Djøffer, der skaber flere problemer end de løser.