Dette indlæg er alene udtryk for skribentens egen holdning.

Fejltræ og et lyspunkt

Af Poul-Henning Kamp6. juni 2013 kl. 22:0614
Artiklen er ældre end 30 dage

Inden for disciplinen havari-udredning, bruger man ofte et fejltræ for at skyde sig ind på hvad der egentlig foregik.

Det burde nogen også gøre med CSC fadæsen, f.eks den IT-havarikommission jeg så brændende ønsker mig.

Ikke for at få placeret ansvaret og få nogen hængt til tørre, men for at undgå samme fejl igen.

Var der f.eks overhovedet nogen hos CSC der havde opdaget noget, inden politiet ringede nogle måneder senere ?

Artiklen fortsætter efter annoncen

Blev det rapporteret opad i CSC ?

Blev det kommunikeret til kunden ?

Stod der noget i kontrakten om at det skulle kommunikeres ?

Stod der noget i kontrakten om at data skulle krypteres ?

Stod der at de ikke skulle krypteres ?

Havde Datatilsynet godkendt det ?

Havde Datatilsynet overhovedet hørt om det ?

osv.

osv.

Men nej, det finder vi formodentlig aldrig ud af, for I Danmark begraver vi vores fejltagelser, frem for at lære af dem.

Men der er et lyspunkt:

Hatten af til politiets håndtering af fortrolighed.

Det er ikke mange politistyrker hvor den ene hånd kan efterforske et tyveri fra den anden hånd, uden at nogen taler over sig i kantinen.

Men tilsyneladende hørte Rigspolitichefen først om tyveriet idag, via DR, hvilket er helt efter lovens bogstav og intention.

Hat-tip!

Hvis Rigspolitichefen er sur er det helt berettiget, jeg ville personligt være helt oppe i det røde felt.

Det håber jeg også han er.

Men det er CSC han skal flippe ud over & på, ikke kriminalpolitet der tog tavshedspligten alvorligt.

phk

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
7. juni 2013 kl. 22:15

I forlængelse af PH's ønske om en havarikommision kunne det også være rigtigt interessant at vide;

  • var dette en kendt sårbarhed i styresystemet /systemerne?
  • hvis ja, var der udsendt information derom, og var der en patch?
  • hvis ja, hvorfor var den så ikke lagt på?

Herefter er det måske også en god ide, for alle dem der har outsourcet deres funktioner (file service, host service, web service) at tænke lidt på, hvor god sikkerhed der hvor deres data måtte ligge.

Men, som Frank siger, her begraver vi vores fejltagelser og skynder os videre, alt andet er alt for pinligt.

7
7. juni 2013 kl. 07:04

Et lille yndlingscitat, frit fra hukommelsen, fra Sean Connery's mund i filmen "Rising Sun":

"When there's a problem - in America, we find out who's to blame so we can punish them. In Japan, they fix the problem. Their system is better."

6
7. juni 2013 kl. 01:26

PHK har fuldkommen ret i at vi i Danmark begraver vores fejltagelser, frem for at lære af dem!

Jeg synes ikke der er nok der bruger tid på at stille de samfundskritiske spørsmål der burde være i alles bedste interesse, herunder IT sikkerhed i det offentlige såvel som det private.

Men det er nok fordi ingen gidder lytte til fremtidige forslag før skaden er sket eller noget går helt galt en dag, og Kiniserne lukker det hele ned (det sidste var en joke) - Men fordi det er spørsmål der kræver at der resonneres og tanken om at det nok er svært får de ansvarlige til at lukke ørene og tænke på noget andet. Er man så heldig at der er nogen der lytter og tager tingene seriøst, så kan man godt regne med at det alligevel ender med at blive syltet et eller flere steder i kæden. Der er ingen der gidder følge op på noget for det er jo noget der igen kræver noget.

Og medierne elsker at få historien bragt, og gerne gentaget 30 gange med et par 'top politikeres' dumme udtalelser, men det er kun for nyhedseffektens skyld. Der er meget lidt etiske og selvkritiske tanker skænket til hvordan historien bliver fortalt, og hvad der i det hele taget ligger bag historien. Det er blevet showbiz fremfor substans, selv dokumentar udsendelser som jeg holder så meget af, synes jeg bliver mere og mere dogme agtige og blottet for brugbart 'indhold'.

Jeg synes generelt at vi i Danmark, over det sidste årti, har bevæget os ud på et farligt skråplan, hvor ingen tænker fremad på de mulige konsekvenser uansvarligheden kan komme til at koste os. Det er jo ikke kun mangelfuld IT sikkerhed, tåbelige IT projekter og ignorante politikere der synes at sætte dagsordenen i dag, men hele møllen rundt. Kommuner der svigter udsatte børn, syge og ældre der lever i beskidte hjem, læger der strør om sig med lykkepiller, den ene idiotiske reform efter den anden, syge syge syge pensioner til politikerne.. osv osv jeg kunne blive ved, men bliver nød til at stoppe for ikke at koge over. Jeg tænker bare tit over hvor mon det hele ender?

Sorry, bliver let grebet.. :-)

3
7. juni 2013 kl. 00:46

Lige som man kan registrere sig som donor(*) eller på Robinsonlisten /reklamer nej tak, eller få adressebeskyttelse, så burde det være muligt at markere at "der skal vises billedlegitimation eller nemid for at indgå kontrakter med dette cprnummer".

Eller måske skal dette være default, og man kan, imod at acceptere en selvrisiko, fravælge dette. (Og dette skal naturligvis ske med tilsvarende sikre metoder)

(*) (i parentes bemærket, så bør der være en optjeningsperiode, man skal have være registret som donor i 5 år før man kan modtage et organ (dog ikke for børn; personer under 23 skal være registreret fra 18-års alderen))

2
7. juni 2013 kl. 00:29

CSC har allerede frikendt sig selv - de løser opgaven så godt teknologien tillader: "De borgere, der har deres data liggende i systemer hos os, er så sikrer, som det overhovedet er muligt at sikre dem med dagens teknologi, konstaterer Jens Schmidt."

http://mobil.dr.dk/smartphone/#artikel/Nyheder/Indland/2013/06/06/06170605.htm

Gu' ved om en havarikommision ville nå samme konklusion?

4
7. juni 2013 kl. 01:22

Interessant om Nets er enig med Jens Schmidt i den vurdering.

1
7. juni 2013 kl. 00:02

Jeg synes absolut ikke at der nogen grund til at rose staten/politiet på dette punkt.

Fortrolige oplysninger om flere millioner borgere er blevet kompromitteret for et år siden. De pågældende borgere har krav på omgående at få at vide, at det offentlige (eller i dette tilfælde det offentliges underleverandør, CSC) ikke har været i stand til at passe på de fortrolige data.

Det er decideret latterligt at politiet et år efter kommer med denne advarsel til borgernehttps://www.politi.dk/da/aktuelt/nyheder/SIKKERHEDSBRIST.htm

Jeg mener også at denne offentliggørelse til borgerne skulle være sket, selvom der havde været en risiko for at det måske kunne skade opklaringen af sagen. De berørte borgere har krav på at få besked, så de kan træffe de fornødne forholdsregler i tide (det er ikke et år senere).

Først og fremmest skal sager som denne undgås ved at forbedre sikkerheden (en virksomhed som bruger FTP bør diskvalificeres på samme måde som Ansaldo Bredo). Om man smider en hacker mere eller mindre i fængsel i et par år har begrænset betydning. I værste fald kan det ende som en sovepude hvis man får dømt nogle i sagen.

For en god ordens skyld: jeg argumenterer ikke for straffrihed til de ansvarlige hackere, blot at det ikke er væsentligt for IT-sikkerheden fremover om de bliver dømt eller ej.

12
7. juni 2013 kl. 18:03

Det er decideret latterligt at politiet et år efter kommer med denne advarsel til borgerne
<a href="https://www.politi.dk/da/aktuelt/nyheder/SIKKERHEDSBRIST.htm">https://w…;

Dette slutter med:

Kontakt folkeregisteret i kommunen og bed dem notere tyveriet på CPR-nummeret.

Det har jeg så gjort, og fået dette svar:

Hej Leif.
Tak for din mail vedr. notat på dit cpr.nummer.</p>
<p>Der er lagt et notat i CPR-registret, hvor der står at der er risiko for misbrug af dit cpr.nr.

Det bør alle vel gøre; hvis teleselskaberne får meddelelse om at dette cprnr ikke kan verificeres sikkert på alle numre, må de jo finde andre metoder.

14
7. juni 2013 kl. 22:59

Som der står på politiets nye pressemedelelse[1] fra d. 06/07/13 kl. 18.29, skal politi-anmeldelser af tyveriet foregå til ens egen lokale politikreds*. Mvh. David

*Hvorfor ikke have en "data-politikreds" som varetager informations-teknologisk kriminalitet så det hele er samlet?

[1]http://www.mynewsdesk.com/dk/rigspolitiet/pressreleases/hvis-du-vil-anmelde-muligt-misbrug-af-cpr-numre-874438?utm_source=rss&utm_medium=rss&utm_campaign=Subscription&utm_content=current_news

5
7. juni 2013 kl. 01:25

Jeg synes absolut ikke at der nogen grund til at rose staten/politiet på dette punkt.

Du blander ting sammen nu.

Jo, der er faktisk grund til at rose politiet for at kunne holde tand for tunge.

Kriminalbetjente skal ikke give sig til at bryde deres tavshedspligt, bare fordi det tilfældigvis drejer sig om et politi-register der er stjålet, lige så lidt som de skal bøje reglerne for andre venner, bekendte eller kolleger.