Category Archives: computer

Folketingets Ombudsmand har besluttet ikke at foretage sig yderligere i sagen om Digital Post, som man valgte at gå ind i i slutningen af januar. Det fremgår af en skrivelse fra Ombudsmanden til Digitaliseringsstyrelsen, som Version2 har fået aktindsigt i.

Version2 kunne i november 2013 berette, at myndigheder har mulighed for at ændre i afsender/modtager-feltet i borgerens digitale postindbakke med tilbagevirkende kraft. Hvis flere myndigheder eksempelvis bliver lagt sammen, så vil det i borgerens indbakke fremstå som om, at al tidligere kommunikation med de gamle myndigheder er foregået med den nye.

Datalogi-professor Peter Axel Nielsen fra Aalborg universitet kritiserede dengang Digital Post i skarpe vendinger

»Det betyder jo, at den information, man kan gå tilbage og slå op, ikke længere er troværdig og repræsentativ for, hvad der rent faktisk har fundet sted. Hele ideen ved digital post er jo, at man ikke skal printe ud for at dokumentere«, lød det fra Peter Axel Nielsen.

I januar gik Ombudsmanden ind i sagen og bad om en forklaring fra Digitaliseringsstyrelsen, der er ansvarlig myndighed for Digital Post.

Digitaliseringsstyrelsen oplyste i november til Version2, at man opfatter funktionen som en service til borgeren, og det standpunkt fastholdt styrelsen sin redegørelse til Ombudsmanden.

Og nu fastslår Ombudsmanden altså, at Digital Post ikke er i strid med gældende regler, da man kun ændrer i afsender/modtager – og ikke i selve brevet.

»Jeg har forstået, at de ændringer, som myndighederne kan foretage i postløsningens administrationsportal, ikke berører indholdet af de breve, der er sendt i postløsningen, men giver den enkelte myndighed mulighed for bl.a. at bestemme, hvilken (relevant) betegnelse myndigheden anvender om sig selv, f.eks. ud for breve, der ligger i borgeres og virksomheders indbakke i postløsningen. Under disse omstændigheder har jeg ikke grundlag for at foretage mig videre«, lyder Ombudsmandens konklusion.

Ombudsmanden tilføjer dog, at det ikke betyder, at man finder løsningen hensigtsmæssig – blot at den ikke er ulovlig.

»Mens det falder inden for Folketingets Ombudsmands virksomhed at vurdere, om en ordning er i strid med gældende ret – eller god forvaltningsskik – kan ombudsmanden i almindelighed ikke efterprøve, om en ordning er hensigtsmæssig. Jeg kan derfor ikke udtale mig om hensigtsmæssigheden af den omhandlede ordning«, hedder det i Ombudsmandens konklusion.

Digital post var senest i medierne i starten af februar, da to forskere fremlagde en gennemgang af systemets business-case, der viste, at Digital Post har kostet kommunerne millioner af kroner i 2013.

Den britiske efterretningstjeneste GCHQ har systematisk luret på millioner af Yahoo-brugere. Det fremgår af dokumenter, som tidligere konsulent for NSA, Edward Snowden, har lækket, skriver The Guardian.

GCHQ skaffede sig i 2008 adgang til at indsamle billeder fra Yahoos videochat, og det er blevet brugt til at opbygge en database med stillbilleder fra mindst 1,8 millioner brugerkontoer.

Overvågningssystemet, som blev døbt Optic Nerve, var beregnet til at identificere terrormistænkte, som brugte videochat via webcam til at kommunikere med hinanden. Optic Nerve indsamlede ikke hele videostrømmen, men tog et stillbillede hvert femte minut.

GCHQ eksperimenterede med forskellige søgefunktioner til at identificere brugernavne, der var næsten identiske, ligesom efterretningstjenesten også brugte ansigtsgenkendelse.

Billederne blev indsamlet fra alle brugere, som Optic Nerve kunne få adgang til, og det betød, at systemet også opbyggede en stor samling af billeder fra private samtaler. Mellem 3 og 11 procent af billederne viste sig at indeholde billeder, der kunne betegnes som pornografiske fra Yahoo-brugernes private samtaler.

Derfor forsøgte GCHQ at begrænse analytikernes adgang til disse billeder ved hjælp af automatiske filtre, som imidlertid gav problemer, fordi de mest primitive blot vurderede mængden af hud på et billede og dermed også kunne filtrere ansigter fra.

GCHQ’s Optic Nerve var aktivt mindst frem til 2012, men ifølge The Guardian var Yahoo aldrig underrettet om, at efterretningstjenesten aflyttede brugerne.

Apple og Google vildleder børn med gratis apps, der alligevel er fyldt med knapper, hvor børnene kan bruge masser af penge. Det er i hvert fald opfattelsen hos EU-kommissionen, som vil stramme op på, hvordan de store amerikanske it-giganter markedsfører apps, skriver avisen The Guardian.

Selvom en app er gratis i henholdsvis Apples App Store eller Googles Google Play-butikker, kan den indeholde en række muligheder, hvor børn eksempelvis kan tilkøbe nye våben i kampspil eller nye farve til digitale påklædningsdukker. På engelsk kaldes det in-app purchases, eller blot IAP.

Og fordi købsknapperne oftest er blot ligner de øvrige knapper i spillet, kan det være svært for børn at vurdere, om de rent faktisk bruger penge og hvor meget. Viviane Reding, der kommissær for justits i EU-kommissionen formulerer det sådan her:

»Vi er nødt til at beskytte børnene bedre, når de bruger de apps, som er gratis, men hvor man alligevel kan ende med at bruge rigtig mange penge. Det bryder ikke alene med EU’s regler, men også med god markedsføring,« siger hun til The Guardian.

Over årene er der sket visse forbedringer i de forskellige app-butikker. Eksempelvis kan forældre med Apples iOS-styresystem giver børnene indskrænkede muligheder for at trykke rundt i både spil-apps og andre programmer, hvis de låner forældres iOS-enheder.

Det kommer i kølvandet på en række sager hos både Apple og Google, hvor børn har købt for adskillige tusinde kroner. Går man tilbage til 2011 brugte en britisk dreng for hele 36.000 kroner på to apps. Her refunderede Apple dog pengene til drengens far, der stod som kontoindehaver.

EU-kommission vil ikke blot kigge på de sædvanlige knapper til at føre IPA. Også bannere med store-blinkende reklamer om at ‘køb nu’, ‘buy now’ og ‘opgradér nu’ skal begrænses, så børnene ikke bliver unødigt fristet til at købe løs.

Det danske Datatilsynet, som kontrollerer og sikrer, at danskerne personfølsomme data beskyttes, er under stigende pres – især på økonomien, skriver Berlingske.

Konkret ses det på antallet af kontrolbesøg udført af Datatilsynet. i 2003 blev der udført 71 på årsbasis, mens der i 2012 blev gennemført 58. Takket være Edward Snowdens, den tidligere it-konsulent hos amerikanske NSA, afsløringer, er sikkerheden i danske virksomheder som udgangspunkt bedre, skriver Berlingske.

Alligevel oplever Datatilsynet en stigende antal sager om datalækage. Tilbage i 2003 kunne tilsynet notere 20 af den type sager, mens det i 2013 var steget til 80. Og det kan betyde, at danskernes NemID, bankoplysninger og cpr-numre er sværere at beskytte end nogensinde før.

Hos Birgit Kleis, der er direktør i Datatilsynet, lyder det sådan her:

»Nogle gange opdager vi sikkerhedsbrister i forbindelse med vores inspektioner, andre gange får vi et tip eller en klage fra en berørt person. Fejlene kunne ofte være undgået, hvis myndighederne havde bedre viden om, hvad deres ansvar er, og var mere omhyggelige med deres håndtering af personoplysninger. Ansvaret er blevet overladt til de myndigheder og virksomheder, som er ansvarlige for oplysningerne. Vi kan ikke være inde i billedet hver eneste gang, der behandles personoplysninger,« siger hun til Berlingske.

Datatilsynet erkender også, at det har været nødvendigt at begrænse antallet af kontrolbesøg, skriver Berlingske. Og det er uholdbart, mener Peter Blume, der er professor i persondataret ved Københavns Universitet og medlem af Datarådet. Et råd, der afgør større og principielle sager på dataområdet.

»Øget kontrol vil ikke give en absolut sikkerhed, men det ville selvfølgelig minimere risikoen for, at udenlandske myndigheder får fat på vores oplysninger. Vi kan ikke regne med, at persondataloven bliver overholdt og sige til borgerne, at de kan regne med at deres privatliv er beskyttet,« siger Peter Blume til Berlingske.

Rigspolitiet giver ingen garantier

Senest er diskussionen om danskernes personfølsomme data blusset op i forbindelse med det bebudede salg af Nets, som står for at drive NemID. Samtidig går bekymringen nu også på, hvem der egentlig kan føre lovgivning over de store mængder data, som findes på danskerne – hvis Nets kommer på udenlandske hænder.

Et andet eksempel kunne være amerikanske CSC, som blandt andet håndterer det danske politis data fra Kriminalregistret eller Det Centrale Pasregister. Selvom politiet i Danmark har fået stigende fokus på lækager af danskernes personlige data, kan Michael Steen Hansen, der er direktør for IT-området i Rigspolitiet, ikke give garantier:

»Jeg kan ikke garantere, at der ikke kommer endnu et hackerangreb, men jeg kan garantere, at vores kontrakter er udformet således, at CSC ikke må tage vores data ud af landet. Man kan ikke grave data ned i jorden, så teoretisk set tror jeg godt, at man kunne gøre systemet mere uigennemtrængelig, men i praksis ville det ikke fungere. Hvis man ikke kan få data ind og ud af systemet, er det ubrugeligt, så der vil altid være en risiko,« fortæller han til Berlingske.

I it-regi er det eneste, der er værre end dårlig it-sikkerhed, nok falsk it-sikkerhed. Det var nogenlunde det, der var tilfældet, da en Version2-læser bemærkede en mildest skrevet uheldig omgang med personfølsomme data, da han blev bedt om at sende data til legitimations-oplysninger til banken som konsekvens af den såkaldte hvidvaskningslov.

Det foregik via en nyoprettet webformular, der skulle være til sikker kommunikation med Vestjysk Bank. Men i stedet endte dataene med at blive sendt over nettet i ukrypteret mail-format ligesom pasbilledet, Version2-læser Bjørn Damborg Froberg havde vedhæftet, endte med at være tilgængelige for alle med den rette URL.

Sikkerhedsproblemet er nu fikset, men udviklingschef i banken, Carsten Anderson er dog ikke stolt af implementeringen, der i princippet blotlagde personoplysninger stik mod Datatilsynets anbefalinger på området.

»Det er noget rigtig skidt, vi har lavet. Vi er selvfølgeligt enige i Datatilsynets anbefalinger,« siger Carsten Anderson.

Banken havde netop lanceret webformularen, der skulle sikre krypteringen. Formularen have kun været i luften i omkring seks dage, før Bjørn Damborg Froberg 25. februar gjorde banken opmærksom på problemer i forhold til sikkerheden. Herefter blev sikkerheds-hullet lukket i løbet af et kvarter, fortæller Carsten Anderson.

Pas kunne tilgås af alle

Hullet skyldes, at selvom informationerne sendt via formularen ganske vist blev krypteret, så fik kunden automatisk en retur-mail med oplysninger, som ikke var krypteret. Eksempelvis indeholdende CPR-nummer. Og hvad værre er, et link til billedmateriale sendt via webformularen, i Bjørn Damborg Frobergs tilfælde, et indscannet pas.

Linket havde format af:

http://www.vestjyskbank.dk/Files/Files/FormUpload/XXXXXXXXXXXXXXXX_Pas.jpg

Bjørn Damborg Froberg testede, om billedets-url’en kunne tilgås af andre, det kunne det. Carsten Anderson bedyrer, at udover der ikke længere bliver sendt en autogenereret og ukrypteret mail retur til kunderne med personfølsomme oplysninger, så skulle det heller ikke længere være muligt for uvedkommende at tilgå indhold på http://www.vestjyskbank.dk/Files/Files/FormUpload/

Vestjysk Bank har selv i samarbejde med bankens it-leverandør udviklet løsningen, som Carsten Anderson medgiver, har været for dårligt testet.

»Vi har ikke fået det testet ordentligt. Normalt er vi meget omhyggelige med at få testet den slags ordentlig. Hvis der er nogen, der går ind for datasikkerhed, så er det os, det er en beklagelig fejl, og det er ikke noget, vi normalt sløser med,« siger udviklingschefen og fortsætter:

»En bank skal man jo kunne stole på. Hvis man indtaster noget personfølsomt på vores hjemmeside, skal man jo kunne stole på, det kun er banken der modtager det og ingen andre.«

Vi er flove

I forhold til webforumularen med den problematiske implementering, lyder det ærligt fra Carsten Anderson:

»Vi er egentlig flove over den.«

Bjørn Damborg Froberg oplevelser med it-sikkerheden i Vestjysk Bank er dog ikke helt slut. Han fortæller i en henvendelse til Version2, hvordan han i første omgang blev opfordret til at sende alle informationer i en mail. Det afviste han dog at gøre, og blev først derefter gjort opmærksom på den – på daværende tidspunkt – ikke så sikre webformular. Men at sende personfølsomme oplysninger i en mail, er ikke i overensstemmelse med bankens politik, lyder det fra Carsten Anderson.

»Bankens anbefaling er, at man bruger den krypterede formular eller gør det via vores netbank, der også er sikker. Det er ikke bankens politik, at sende den slags på mail. Det er ikke noget, banken anbefaler, og det er ikke noget, vi anbefaler nogen som helst at gøre. Det er også imod vores it-sikkerhedspolitik,« siger Carsten Anderson.