Daily Archives: April 8, 2014

»Jeg bliver ret irriteret over, at jeg får en mail om, at jeg skal gå ind og tjekke et eller andet, og så skal jeg først finde min NemID frem og logge ind. Så vil jeg meget hellere have det som e-mail. Det ville være meget nemmere, og så ville det være mig selv, der stod for opbevaringen i stedet for, at min post skal ligge et eller andet arbitrært sted.«

Sådan siger it-aktivist Christian Panton.

Christian Panton henvendte sig for nyligt til Digitaliseringsstyrelsen og spurgte om han kunne få leveret sin Digital Post som m/MIMS krypteret e-mail ligesom virksomheder kan. Det kunne han ikke. Mere om det senere.

Digital Post har været obligatorisk kommunikationskanal mellem virksomheder og offentlige myndigheder siden november 2013, og det bliver det samme for private borgere om lidt under syv måneder. Men hvad er egentlig Digital Post?

Usikkerheden har hersket i debattrådene under de fleste artikler om emnet. Er Digital Post ikke bare e-Boks?

Ikke helt men næsten. Ligesom e-Boks får man en mail om, at der er en besked fra det offentlige. Og ligesom med e-Boks skal man logge på med NemID for at læse beskeden. Men det er alligevel ikke helt det samme.

Hermed et forsøg på en forklaring: Digital Post er leveret af e-Boks A/S, og kort fortalt er det e-Boks beregnet til det offentlige – nu med tovejskommunikation. En grundlæggende forskel på e-boks og Digital Post er nemlig, at borgeren også kan svare det offentlige, når (næsten) alle myndighederne begynder at bruge Digital Post til at kommunikere med borgeren fra november.

Men hvis man både har e-Boks og Digital Post, så man kan man alle tingene begge steder – og behøver altså kun at gå et sted hen. Man kan således både vælge at modtage post fra private virksomheder på Digital Post eller post fra offentlige myndigheder på e-Boks. Så længe du har oprettet dem begge, kan du nøjes med at bruge den ene, lyder ræsonnementet på Århus Kommunes hjemmeside.

Ingen interesse hos privatpersoner

Virksomheder kan dog slippe for at logge på med NemID, hver gang der er post. De har nemlig mulighed for at få leveret deres Digital Post som e-mail via krypteringsstandarden m/MIMS. Men Christian Panton måtte erfare, at det samme ikke gør sig gældende for private borgere.

»Muligheden for at få videresendt Digital Post som s/MIME er kun for virksomheder,« lød svaret fra Digitaliseringsstyrelsen til Christian Panton med den tilhørende begrundelse, at behovet for løsningen er minimalt hos privatpersoner.

»Vi har ikke kendskab til andre, som har ønsket dette,« hedder det i en mail fra styrelsen.

Det fik Christian Panton til at lægge svaret på Twitter og spørge, om det nu også kan passe, at han er den eneste, der gerne vil have Digital Post på e-mail. Det ser det ikke ud til, at han er. Flere kom på banen og tilsluttede sig ønsket om at kunne læse vigtige meddelelser fra det offentlige via en e-mail-klient. Digitaliseringsstyrelsen lovede at tage det med i overvejelserne om fremdige opgraderinger af systemet, og det håber Christian Panton vil bære frugt.

»Mit argument er ikke, at det er noget, der skal trækkes ned over hovedet på folk, der ikke har lyst til det. Men når løsningen nu ligger der til virksomhederne, så forstår jeg ikke, hvorfor det ikke bare er muligt at tilvælge,« siger Christian Panton til Version2.

Ifølge it-aktivisten, der for nylig var i vælten, da han havde udviklet sin egen NemID-klient, er det ikke synderligt svært at sætte sin e-mail op til den krypteringsstandard som det offentlige bruger til virksomheders Digital Post.

»Man skal have en e-mail klient som Thunderbird eller Outlook, og så er der tale om nogle få ændringer i indstillingerne. Det er ikke særligt svært,« siger Christian Panton.

Vil du gerne have din Digital Post videresendt som krypteret e-mail? Hvis det er tilfældet, så skriv en kort begrundelse i kommentarfeltet, så vi kan gå videre med det.

Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).

Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.

OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.

»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS

Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.

Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).

Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.

OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.

»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS

Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.

Tirsdag formiddag blev tæppet trukket væk under EU’s otte år gamle direktiv, der stiller krav om telelogning i alle medlemslandene. EU-Domstolen afgjorde, at reglerne var et brud på EU-borgernes grundlæggende rettigheder.

Og den afgørelse bør få sat Folketinget i sving med at ændre de danske regler, mener Dansk Industris branchefællesskab for it- og telebranchen, ITEK.

»Vi bakker op om terrorbekæmpelse, men det skal ske med proportionalitet og respekt for grundlæggende rettigheder. Nu må regeringen handle og ændre de danske logningsregler hurtigst muligt,« udtaler Christian Hannibal, chefkonsulent i DI ITEK, i en skriftlig melding.

Han ser dommen som en oplagt lejlighed til at kigge de danske regler, som oven i EU-reglerne om telelogning også omfatter billioner af registreringer årligt om danskernes internetbrug. Sessionslogning, som det særlige danske tiltag blev døbt, har været under hård kritik i årevis, især fordi politiet og justitsministeriet foreløbigt kun har kunnet pege på én sag gennem årene, hvor det er blevet brugt med succes i politiets arbejde.

Men alligevel har skiftende regeringer gang på gang udskudt en planlagt revision af reglerne, de senere år med den forklaring, at man ventede på en revision af EU’s direktiv om telelogning. Et flertal uden om regeringen besluttede dog, at den danske revision af reglerne skal ske senest ved udgangen af 2014.

Hos brancheforeningen Teleindustrien mener direktør Jakob Willer, at EU-Domstolens afgørelse kræver en revision af de danske regler snarest.

»Nu er der ingen grund overhovedet til at udsætte revisionen, når EU-direktivet er blevet underkendt. Det bliver klart meldt ud, at det at overvåge borgerne er et indgreb i de grundlæggende regler om privatliv,« siger han til Version2.

Og når de danske politikere oven i købet valgte at tage den danske telelogning et stort skridt videre med internet-overvågningen, kalder det på ekstra refleksion, mener han.

»Det her er et vink med en vognstang til politikerne om, at man ikke bare skal overvåge borgerne, fordi man kan. Den slags skal være propertionalt og præcist. Så det her er en rigtig god anledning til at overveje, hvorfor vi i Danmark skal have sessionslogning, for her er det klart for enhver, der kigger på reglerne, at der ikke er propertionalitet mellem indgrebet og det udbytte, man får af det,« siger Jakob Willer.

Den samlede tele- og internetlogning i Danmark – hvor sessionslogning udgør over 90 procent af dataindsamlingen – har anslået kostet de danske teleselskaber 200 millioner kroner at indføre, og 50 millioner kroner i drift hvert år siden reglerne trådte i kraft i 2007.

Tirsdag formiddag blev tæppet trukket væk under EU’s otte år gamle direktiv, der stiller krav om telelogning i alle medlemslandene. EU-Domstolen afgjorde, at reglerne var et brud på EU-borgernes grundlæggende rettigheder.

Og den afgørelse bør få sat Folketinget i sving med at ændre de danske regler, mener Dansk Industris branchefællesskab for it- og telebranchen, ITEK.

»Vi bakker op om terrorbekæmpelse, men det skal ske med proportionalitet og respekt for grundlæggende rettigheder. Nu må regeringen handle og ændre de danske logningsregler hurtigst muligt,« udtaler Christian Hannibal, chefkonsulent i DI ITEK, i en skriftlig melding.

Han ser dommen som en oplagt lejlighed til at kigge de danske regler, som oven i EU-reglerne om telelogning også omfatter billioner af registreringer årligt om danskernes internetbrug. Sessionslogning, som det særlige danske tiltag blev døbt, har været under hård kritik i årevis, især fordi politiet og justitsministeriet foreløbigt kun har kunnet pege på én sag gennem årene, hvor det er blevet brugt med succes i politiets arbejde.

Men alligevel har skiftende regeringer gang på gang udskudt en planlagt revision af reglerne, de senere år med den forklaring, at man ventede på en revision af EU’s direktiv om telelogning. Et flertal uden om regeringen besluttede dog, at den danske revision af reglerne skal ske senest ved udgangen af 2014.

Hos brancheforeningen Teleindustrien mener direktør Jakob Willer, at EU-Domstolens afgørelse kræver en revision af de danske regler snarest.

»Nu er der ingen grund overhovedet til at udsætte revisionen, når EU-direktivet er blevet underkendt. Det bliver klart meldt ud, at det at overvåge borgerne er et indgreb i de grundlæggende regler om privatliv,« siger han til Version2.

Og når de danske politikere oven i købet valgte at tage den danske telelogning et stort skridt videre med internet-overvågningen, kalder det på ekstra refleksion, mener han.

»Det her er et vink med en vognstang til politikerne om, at man ikke bare skal overvåge borgerne, fordi man kan. Den slags skal være propertionalt og præcist. Så det her er en rigtig god anledning til at overveje, hvorfor vi i Danmark skal have sessionslogning, for her er det klart for enhver, der kigger på reglerne, at der ikke er propertionalitet mellem indgrebet og det udbytte, man får af det,« siger Jakob Willer.

Den samlede tele- og internetlogning i Danmark – hvor sessionslogning udgør over 90 procent af dataindsamlingen – har anslået kostet de danske teleselskaber 200 millioner kroner at indføre, og 50 millioner kroner i drift hvert år siden reglerne trådte i kraft i 2007.

De to store it-virksomheder Steria og Sopra er i dialog om at fusionere til et stort konsulenthus, for sammen at stå stærkere på markedet. Det skriver Steria i en pressemeddelelse.

Det nye konsulenthus vil beskæftige 36.000 ansatte og have en omsætning på 23 milliarder kroner – Steria oplyser at virksomhedens skandinaviske organisation ikke vil blive direkte berørt.

»En potentiel fusion med Sopra vil give os adgang til flere, store referenceprojekter inden for finans-, transport- og offentlig sektor – ligesom det vil give os adgang til en international ekspertise, der vil komme vores kunder til gode. Begge selskaber har en kultur, hvor medarbejdernes kompetencer og specialistviden er den vigtigste ressource, og dette vil også blive den væsentligste parameter i den videre strategi,« udtaler Kjell Rusti, der er administrerende direktør i Steria Skandinavien.

Den nye virksomhed vil blive ledet af Sterias koncernchef Francois Enaud.

De to store it-virksomheder Steria og Sopra er i dialog om at fusionere til et stort konsulenthus, for sammen at stå stærkere på markedet. Det skriver Steria i en pressemeddelelse.

Det nye konsulenthus vil beskæftige 36.000 ansatte og have en omsætning på 23 milliarder kroner – Steria oplyser at virksomhedens skandinaviske organisation ikke vil blive direkte berørt.

»En potentiel fusion med Sopra vil give os adgang til flere, store referenceprojekter inden for finans-, transport- og offentlig sektor – ligesom det vil give os adgang til en international ekspertise, der vil komme vores kunder til gode. Begge selskaber har en kultur, hvor medarbejdernes kompetencer og specialistviden er den vigtigste ressource, og dette vil også blive den væsentligste parameter i den videre strategi,« udtaler Kjell Rusti, der er administrerende direktør i Steria Skandinavien.

Den nye virksomhed vil blive ledet af Sterias koncernchef Francois Enaud.

Forbrugerne har ingen sikkerhed på nettet overfor de store mænger data, der bliver indsamlet af forskellige virksomheder. Derfor skal den utidssvarende persondatalov have en overhaling. Det er budskabet fra Forbrugerrådet Tænk, Rådet for Digital Sikkerhed og Ingeniørforeningen.

Ifølge Jyllands Posten er de tre organisationer gået sammen, for at få sat persondataloven og det manglende privatliv på den politiske dagsorden.

»Der er ikke længere nogen grænse for, hvor meget privatliv man skal afgive som bruger på nettet. Virksomhederne tilegner sig flere og flere data, og vi forbrugere må nødtvungent acceptere det, da vi ikke har alternativer. Det betyder, at vi mister
retten til at kontrollere vores oplysninger. Vi ved ikke, hvor de havner, og hvad de bliver brugt til i fremtiden,« udtaler seniorjurist Anette Høyrup fra Forbrugerrådet Tænk.

De tre organisationer påpeger, at persondataloven stammer fra før begreber som big data, cookies og sociale medier – og at det derfor er nødvendigt med en opdatering.

Forbrugerne har ingen sikkerhed på nettet overfor de store mænger data, der bliver indsamlet af forskellige virksomheder. Derfor skal den utidssvarende persondatalov have en overhaling. Det er budskabet fra Forbrugerrådet Tænk, Rådet for Digital Sikkerhed og Ingeniørforeningen.

Ifølge Jyllands Posten er de tre organisationer gået sammen, for at få sat persondataloven og det manglende privatliv på den politiske dagsorden.

»Der er ikke længere nogen grænse for, hvor meget privatliv man skal afgive som bruger på nettet. Virksomhederne tilegner sig flere og flere data, og vi forbrugere må nødtvungent acceptere det, da vi ikke har alternativer. Det betyder, at vi mister
retten til at kontrollere vores oplysninger. Vi ved ikke, hvor de havner, og hvad de bliver brugt til i fremtiden,« udtaler seniorjurist Anette Høyrup fra Forbrugerrådet Tænk.

De tre organisationer påpeger, at persondataloven stammer fra før begreber som big data, cookies og sociale medier – og at det derfor er nødvendigt med en opdatering.