Dette indlæg er alene udtryk for skribentens egen holdning.

V2security konference

Jeg var til V2security-konferencen, hvor GDPR er blevet et ret stort emne.
Blogindlæg15. maj kl. 10:00
errorÆldre end 30 dage

Kære organizers

Indcheckingen fungerede ikke. Vi havde samme situation sidste år. Igen i år var vi heldige med vejret: Jeg stod i kø i en time i fin forårssol, men havde det været silende forårsregn, så var jeg helt sikkert ikke blevet stående. Og jeg missede et par oplæg på den konto.

Ville en nem løsning ikke være at lade folk udprinte sit boarding pass hjemmefra? De, der måtte glemme det, kan så blive hjulpet ved indcheckningen.

Det samme gælder for det trykte program: Hvis I laver programmet, så formiddagsprogrammet kan være på en A4 i bredformat, og eftermiddagen være på en A4 mere, så kan vi altså godt printe det selv. Dermed bliver det også nemmere for jer at udsende et opdateret program hvis I f.eks. vælger at flytte debatten med Max Schrems en time.

Artiklen fortsætter efter annoncen

Gør det desuden gerne nemmere at skifte tracks: Jeg måtte skippe halvdelen af "mine" oplæg fordi de overlappede. I kan lære af Driving IT: Et oplæg starter kl. hel - præcis. Og måske starter der også et oplæg kl. halv - præcis.

Jeres trådløse headsets i salene må jeg virkelig tage hatten af for: Det spillede bare. Bravo.

Indholdet

Keld Norman fra Dubex var som altid underholdende. Hvis de problemer, som Keld viser, blev adresseret, så tror jeg faktisk IT-verdenen ville være lige så sikker, som folk naivt går og tror, at den er. Keld er i øvrigt en ivrig bruger af GNU Parallel og det lykkedes mig også at gøre ham interesseret i Find-first-fail.

Han lavede også lige en kopi af mit adgangskort.

Jeg hørte også Martin Folke Vasehus fra CompuCloud. Oplægget var befriende provokerende og kan groft opsummeres til "Du kan fortsætte, som du plejer med at sende data til USA. Vi skal nok sørge for, at du er dækket juridisk".

Det stod i skærende kontrast til Max Schrems oplæg, som med kirurgisk præcision udraderede præcis de juridiske smuthuller, som CompuCloud lukkede op for.

Jeg skal ikke kunne sige, hvem der har ret, men jeg håber, det er dem, der vil passe på mine data. For det virker ærligt talt fesent, hvis vi giver mulighed for masseopsamlingen af data, blot fordi vi har dækket vores røv med juridiske dokumenter. Hvis Snowdens afsløringer ikke er nok til overbevise dig, hvilke afsløringer skal der så til? Og mener du, at sådanne afsløringer er realistiske set i lyset af behandlingen af Snowden?

Hvis videoen fra Max' oplæg kommer online, så lov mig at se den. Eller se videoen fra sidste år allerede nu.

Max' debat med Henrik Udsen var også interessant. En debat var det nu ikke. Det ville det have været, hvis man havde sat Martin Folke ind. Nu blev det istedet en samtale, hvor der var plads til fordybelse.

F.eks. om hvad man kan gøre som virksomhed: Safe Harbour blev underkendt med Schrems-I, Privacy Shield blev underkendt med Schrems-II, og Privacy Shield++ vil formodentlig blive underkendt med Schrems-III. Så hvad sker der, hvis EU-Kommissionen bare fremsætter en ny Privacy Shield++ hver gang Schrems får den tidligere Privacy Shield kendt ugyldig? Så kan virksomheder formodentlig bruge CompuClouds juridiske smuthuller og hævde, at de jo afventer den nye Privacy Shield++. Det vil næppe være lovligt, men næppe heller give den store bøde.

Vi risikerer med andre ord at komme i et langstragt juridisk limbo, hvor Privacy Shield++ gælder indtil den bliver underkendt efter 12-24 måneder, hvorefter en ny Privacy Shield++ bliver fremsat efter endnu 12-24 måneder, hvorefter vi starter forfra.

Max mente i hvert fald ikke, at han ville blive arbejdsløs lige foreløbigt.

Shout out til Henrik for dagens grin: "Jeg kunne se, at Max stillede op til selfies. Jeg vil bare lige sige, at det gør jeg også."

I torsdagens indlæg fra EU Kommissionen var Alisa Vekemann overraskende klar: "Det bliver meget svært at få lavet en ny Privacy Shield, hvis Privacy Shield II bliver underkendt". Jeg tror, både jeg og industrien satte pris på den udtalelse: Juridisk limbo er noget skidt - så hellere klare (omend stramme) regler. Mit råd til industrien er (hvis nogen skulle være i tvivl): Forbered jer på, at så længe USA dumstædigt holder fast i FISA, så kan persondata ikke lovligt sendes til USA.

Jan Lemnitzer fra CBS talte om cyberwar i Ukraine, som både er en uhyggelig og en uhyggelig interessant case, når vi skal se, hvad det egentlig er, vi skal forsvare os imod. Han nævnte, at vi lige som i den fysiske verden også på cybersiden primært så angreb den første uge - hvilket er med til at underbygge tesen om, at Putin regnede med, at dette var klaret på en uge. Fokus for angrebene var at kopiere data (f.eks. er nummerpladeregisteret godt til at vide, hvor en bil hører til), at smadre IT-infrastruktur og gøre regeringsførelse umulig. Det er gode indikatorer for, hvad vi allerede nu bør sikre bedst.

Han nævnte, at vi ikke ser de store GDPR-bøder i Danmark, fordi vi generelt har bedre styr på GDPR. Jeg fik ham lidt på glatis ved at spørge, om vi var mere sårbare overfor cyberangreb (fordi Danmark er mere digitaliseret) eller om vi er mindre sårbare (fordi vi er bedre forberedte).

Christian Dambaard Jensen fra DTU havde et fint indlæg om, hvor AI kan passe ind i sikkerhed - nemlig i detect fasen gerne i distribuerede sikkerhedssystemer. Men at man også ved IT-angreb kommer til at se GANs. Det skal jeg nok have kikket lidt mere på: Jeg er lidt en GAN-fetishist.

Han nævte også at målene mellem safety og security ikke altid er forenelige: En ulåst dør er safe (så du kan slippe ud af det brændende hus), mens en låst dør er secure (så forbrydere ikke kan komme ind). 

Missede oplæg

Heldigvis var en del af oplægsholderne for de missede oplæg på konferencens stande rundt omkring. Så jeg gik rundt og fik den korte version af deres oplæg.

Udstillere

Flere udstillere havde løsninger på at kunne "kryptere" data, så GDPR-kravene til data blev mindre. Ideen er den samme som at pseudonymisere alle data - ikke kun navn og CPR-numre, men istedet for at have en hel pseudonymiseringstabel kan man nøjes med en enkelt nøgle. De "krypterede" data kan man så beholde f.eks. til statistiske formål, for disse behøver man ikke samtykke til at opbevare.

Et par udstillere gav mig et uhyggeligt blik ind i, hvordan nogle kyniske virksomheder tænker: Bøder fra Datatilsynet bliver behandlet som risici på lige linje med datalæk. Man kalkulerer simpelhen med, om ens ulovlige praksis bliver opdaget, og hvor stor bøde i så fald vil være. Det mener jeg er fair, hvis man arbejder hen mod at stoppe med den ulovlige praksis, men det f*nme ikke i orden, hvis man blot fortsætter med praksisen, fordi bøden er billigere end at leve op til reglerne. Jeg kan kun have den dybeste afsky for den indstilling, men det er tydeligt, at det er en del af GDPR-Danmark. Hvis du vil være whistleblower for en sådan praksis i organisationer du kender, så tag fat i mig (Signal: +45 28939798).

Jeg fik også et GDPR-spil med hjem. Det var Trivial Pursuit med GDPR-spørgsmål. Det testede vi i forrige fredag over nogle øl. Svarene har en del problemer - måske fordi mit publikum kender alle mulige undtagelser og detaljer, så svarene ikke altid var korrekte. Men måske kan vi lave vores egne spørgsmål baseret på de GDPR-spørgsmål, som mine kolleger kommer med i forbindelse med deres arbejde. Så bliver spørgsmålene i hvert fald relevante. Under alle omstændigheder så har jeg den største respekt for, at nogen faktisk prøver at gøre GDPR mere underholdende.

Succes

Alt i alt vil jeg vurdere konferencen som en succes: Da Version2-scenen lukker med ordene, at konferencen næste år bliver den 10. maj, siger min nabo, at han glæder sig allerede. Bedre anmeldelse får man næppe.

 

 

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger