Monthly Archives: November 2013

Det var ikke godt nok sidste år – og det var det heller ikke i år. Rigsrevisionen er igen ude med riven, efter at have gennemgået it-sikkerheden hos statens store it-selskab Statens It, som blandt andet får kritik for ikke at have styr på, om servere og software har fået de nødvendige sikkerhedsopdateringer.

Kritikken bliver taget til efterretning, men den gode nyhed er, at niveauet hele tiden bliver bedre, lyder det fra Michael Ørnø, direktør for Statens It.

»Det er værd at bemærke, at hvor vi sidste år fik karakteren ’ikke tilfredsstillende’, var det i år ’ikke helt tilfredsstillende’, altså et trin op. Det er et udtryk for, at der er sket en masse forbedringer, og vi fortsætter med hele tiden at forbedre,« siger Michael Ørnø til Version2.

For eksempel har Statens It siden Rigsrevisionen kom på besøg før sommerferien fået styr på sikkerhedsopdateringer af servere, fortæller han.

»Det er bestemt alvorlige kritikpunkter, men de er mindre alvorlige end sidste år. Det er en stor opgave at komme igennem, det kommer vi ikke uden om. Men nu får vi historien om alt det, der ikke er i orden. Der mangler historien om alt det, vi har fået i orden,« siger Michael Ørnø.

Skal man som kunde hos Statens It være bekymret, når man læser Rigsrevisionens kritik?

»Nej, det skal man ikke, for man kan være sikker på, at vi arbejder seriøst og koncentreret med de her sager.«

Som ost og skinke

Statens It får også kritik for at bruge for mange af kræfterne på papirarbejdet med ISO 27001-certificeringen, som Statens It arbejder på at leve op til kravene i. Det går ud over arbejdet med at rette op på sikkerhedsmanglerne, lyder Rigsrevisionens vurdering.

Men man kan ikke se arbejdet med ISO 27001 som en modsætning til at løse sikkerhedsproblemer i praksis, mener Michael Ørnø.

»Det undrer mig, at det står sådan. En del af ISO 27001 er for eksempel, at man skal have styr på patch management. Det er et krav. Og selvom alle kan blive enige om, at det er vigtigere at patche servere end at skrive om at patche servere, så kan jeg ikke se, at det er i modstrid med hinanden. Vi har papiret færdigt, og så handler det om adfærd og om at gøre det. Udgangspunktet for at have styr på it-sikkerheden, det er at have styr på styringen af it-sikkerheden. Det tror jeg, at Rigsrevisionen er enig i,« siger Michael Ørnø.

Netop ved at bruge kræfter på at leve efter ISO 27001-standarden og dermed risikobaseret it-styring, kan Statens It bedre vurdere, hvor der skal sættes ind først.

»Hele vores styring af it-sikkerheden ligger i denne risikobaserede tilgang. Vi får ikke længere kritik for ikke at have et opdateret risikobillede. Og det er papirarbejde, der har ført os dertil. Papirarbejdet og den faktiske sikkerhed er som ost og skinke – det fungerer bedre sammen end hver for sig,« siger direktøren.

Det minder om censur-lignende tilstande, når socialdemokratiske og konservative politikere pusler med tanker om at blokere for adgangen til anonymiseringsteknologier som for eksempel TOR-netværket.

Det mener landsformanden for Liberal Alliances Ungdom Rasmus Brygger:

»Tænk at det skulle være ønskeligt for politikere at implementere samme internetpolitik som Iran, Rusland og Kina. Sådan en censur hører simpelthen ikke hjemme i en moderne retsstat. Særligt midt i skandalerne om den alt for omfattende overvågning af helt almindelige mennesker på internettet, er det vigtigt at slå et slag for et frit internet, hvor hverken danske eller amerikanske agenturer kigger med over skulderen,« skriver Rasmus Brygger i en mail til Version2.

Ungdomspolitikeren bruger selv TOR, som han mener er en sikring for privatliv mere end det er et redskab til at udføre kriminalitet:

»Internettet er efterhånden det eneste sted, hvor man har en smule privatliv tilbage. Men den frihed søger politikerne at underminere og det understreger behovet for klare afgrænsninger for hvor langt politikerne skal gå med overvågningen af os helt almindelige borgere. Det er ikke en retsstat værdigt at vi alle behandles som kriminelle, alene fordi vi ønsker en flig af privatliv,” skriver han videre i mailen.

Rasmus Brygger kræver på vegne af Liberal Alliances Ungdom svar både fra moderpartiet og fra de øvrige partier om, hvorvidt de støtter ideen om at blokere TOR.

»Bitcoins, TOR og alle de andre nye muligheder internettet byder for anonymitet, er netop kommet som reaktion mod en alt for omfattende overvågning. At det overhovedet er nødvendigt at bruge TOR er et tydeligt tegn på at politikerne skal holde fingrene fra internettet og droppe den alt, alt for omfattende overvågning af vores dagligdag,« lyder det fra Rasmus Brygger.

It-driftsleverandøren CSC har i dag haft et totalt nedbrud i GS/OPUS i ca 5 timer. Ifølge It, Medico og Teknik (IMT) i Region H var nedbruddet nationalt og nødsystemerne, der giver læseadgang til en nylig backup, var angiveligt nede flere steder blandt andet Herlev hospital og psykiatrien i Ballerup, oplyser en kilde til Version2 via tip-brevkassen.

Berlingske kører også historien og skriver, at sundhedspersonalet kun kunne tilgå de elektroniske patientjournaler via nødsystemer, og det var helt umuligt at opdatere dem.

Ifølge pressechefen hos CSC, Kim Ege Møller, skulle problemet være løst omkring torsdag middag og alle systemer er igen oppe at køre. Men inden da nåede problemet at manifestere sig på hospitaler i tre regioner.

»Vi er gået i IT-beredskab, hvilket er vores højeste alarmberedskab i forhold til IT-problemstillinger. Vi tager det selvfølgeligt meget alvorligt, når vi ikke kan registrere i patientjournaler,« siger Torben Dalgaard, der er vicedirektør i IMT, til Berlingske.

»Det er sådanne fejl, som kan ske, og de er forfærdelige, når de sker. Dagens problem berørte Region Hovedstaden, Region Sjælland og Region Syddanmark, og flere dele har været ramt, blandt andet patienthåndtering og journalerne. Så det er forholdsvist omfattende, og det er også derfor, at der er blevet arbejdet så hårdt og hurtigt på at få tingene til at køre igen,« siger Kim Ege Møller til Berlingske.

Nu skal du ikke tro, jeg ønsker, at du skal fejle – jeg tror bare på at det er en uundgåelig del af livet.

Når man tror på, at vi uden tvivl kommer til at fejle, så giver det mening at lægge noget energi i at tænke over hvordan vi håndterer fejl. Lærer vi noget eller bliver vi ved med at begå samme fejl? Skammer vi os og lader være med at prøve igen? Står vi ved vores fejl eller finder vi på undskyldninger? Hænger vi folk ud som begår fejl eller hjælper vi dem til ikke at begå dem igen? Tilgiver vi?

Det er ligegyldigt om det handler om softwareudvikling, iværksætteri, parforhold eller politik. Fejlhåndtering er en nødvendig evne. Frygt for at begå fejl kan gøre os handlingslammede. Her i huset siger vi “dem der laver fejlene er dem der laver noget” og det hjælper faktisk at huske, når man ærgrer sig over en fejl. Man kan naturligvis finde mange ordsprog og citater med variationer over samme tema.

Selvfølgelig skal man også være opmærksom på hvad det koster at begå en fejl. En kirurg oplever større konsekvenser ved fejl end softwareudviklere. Men hvis man er i et domæne, hvor det bedre kan betale sig at fejle hurtigt end at bevæge sig langsomt for ikke at fejle, så bør man overveje om ikke det skal være fokus.

I startupverdenen bruger man et udtryk; “FUCK IT. SHIP IT.” til at fortælle at det ofte er bedre at have et fejlfyldt produkt på markedet end at bruge 3 år ekstra på at gøre det fejlfrit og så er produktet blevet overflødigt, overhalet eller gammeldags undervejs. Når man laver nye produkter er det også bedre at få det testet in the wild og så hurtigt finde ud af at interessen ikke er der end at lave et fejlfrit produkt for derefter at finde ud af at markedet ikke er der. Fejl hurtigt – det er billigere.

I softwareudvikling ser vi ofte kultur omkring fejl komme på banen, når vi skal tale bugfixing, continuous integration, continuous deployment og agil udvikling. Mobbes folk for at brække build? Gør det helt så meget at man får en fejl sendt i produktion, hvis systemet understøtter at man konstant sender nye versioner ud til kunderne? Fokuserer vi på antal fundne bugs som en god eller en dårlig ting? Ved folk at de bliver fyret for at begå fejl og derfor udvikler de CYA-taktikker? Sender man lorten videre i systemet eller står man ved den og får den fjernet inden dunsten breder sig?

Kulturen omkring fejl kan betyde meget for en virksomhed. Heldigvis kan det ændres. Der er mange teknikker især på ledelsesniveau, som påvirker fejlkulturen. F.eks. har Microsoft lige droppet en evalueringsmetode som påvirkede fejlkulturen i en negativ retning. På den anden side kan man se at ord som flawsome og fejltastisk er kommet på banen i den seneste tid og det påvirker vores holdninger til at stå ved sine fejl mod at være noget positivt.

Hvad er dine favoriteksempler på at fejlkultur har påvirket et projekt eller en virksomhed?

Når en Teliabruger besøger et af de fire filmsites www.dreamfilm.se, www.swefilmer.com, www.movie4k.to og www.primewire.ag møder vedkommende et stopskilt, der fortæller dig, at siden er ulovlig. Samtidig linker teksten til sitet sharewithcare.dk, hvor man angiveligt kan få en liste over lovlige alternativer til de nu ulovlige filmdelingstjenester.

Sharewithcare.dk er administreret af den kendte ophavsrestadvokat Johan Schlüter, og ved hjælp af en HTTP-referer, kan advokatfirmaet se, hvilket site du besøgte, inden du havnede hos sharewithcare.dk.

Dette er faldet IT-Politisk Forening for brystet. Foreningen klager i en henvendelse til Version2.dk over sagen, der er opstået efter en kendelse fra 8. oktober i en sag anlagt af den danske filmbranche mod Telia. Her fik internetudbyderen forbud mod at henvise trafik til de omtalte fire film-sites, der angiveligt bryder ophavsretten ved at linke til gratis film og tv-serier.

»Normalt kommer folk fra google og andre ukritiske steder. Men i det her tilfælde vil linket til sharewithcare.dk altså betyde, at advokatvirksomheden får en lind strøm af data om hvilke danske internetbrugere, der forsøger at tilgå hvilke domæner,« skriver foreningen, der anbefaler danske internetudbydere ikke at linke til sharewithcare.dk eller andre sider, der derved kan identificere deres kunder overfor advokatvirksomheden.

Cisc advarer om, at firmaets resultater i indeværende kvartal kan falde med op til 10 procent som følge af de aktuelle amerikanske spionage-afsløringer. Nedgangen i ordrer forventes at fortsætte i 2014, skriver nyhedsbureauet Reuters.

Selskabet offentliggjorde onsdag et regnskab, der var lidt svagere end forventet, med en omsætning på 12,1 milliarder dollar mod forventet 12,3 milliarder dollar.

Det fremgår ikke direkte af regnskabet, at nedgangen skyldes afsløringerne af amerikansk NSA-overvågning, men Ciscos finansdirektør Frank Calderoni udtaler i forlængelse af offentliggørelsen af regnskabet, at selskabet er mærket af den politiske uro i det kinesiske marked.

Også IBM oplever ifølge Reuters pludselige dyk i salget af hardware til Kina.

Kinesiske myndigheder har desuden varslet tilsyn med flere it-selskaber om deres mulige medvirkning til amerikansk spionage.

Den kinesiske reaktion er måske også præget af en ‘tak for sidst’-effekt, da der tidligere har været højlydt vestlig mistanke om spionage via kinesiske netværksprodukter. Således er en af Ciscos konkurrenter, kinesiske Huawei, blevet udelukket fra at indgå kontrakter med offentlige myndigheder i USA på grund af sikkerhedsbekymringer.

Statens It fik sidste år en ordentlig røffel af Rigsrevisionen for ikke at have styr på it-sikkerheden.

Og selvom der er sket forbedringer siden da, konstaterer Rigsrevisionen nu, at det stadig ser skidt ud. Det fremgår af den netop udkomne Beretning om revisionen af statsregnskabet 2012.

Der er fortsat ’væsentlige svagheder i it-sikkerheden, fx manglende dokumentation for, om kundernes væsentlige fagsystemer kan genetableres, manglende overblik over, om servere, systemsoftware og programmer er fuldt sikkerhedsopdateret og mangelfulde procedurer og kontroller for sikkerhedsopdateringer’, skriver Rigsrevisionen.

Kritikken går også på, at der er ’mangler i beredskabsstyringen’, hvilket blandt andet dækker over, at der ikke er en plan for, hvordan man kommer tilbage i normal drift efter et nedbrud.

Og så er den gal med prioriteringen, mener Rigsrevisionen, for Statens It bruger mange kræfter på at indføre nye, dokumenterede arbejdsprocesser, hvilket går ud over sikkerhedsarbejdet.

»Rigsrevisionen vurderer på den baggrund, at det vil være en udfordring for Statens It samtidig at rette op på de sikkerhedsmæssige svagheder, hvilket Rigsrevisionen finder stærkt påkrævet,« skriver Rigsrevisionen.

I forhold til Rigsrevisionen kritik for et år siden, har der dog været fremgang på nogle områder. Ledelsen har i løbet af 2013 haft meget fokus på at hæve sikkerheden, og arbejdet med at få nye interne procedurer og kontroller er ’forløbet tilfredsstillende’, lyder dommen.

Vejledninger og fælles standard over et år forsinket

Et andet kritikpunkt fra tidligere er heller ikke rettet op, selvom Statens It meldte, at det ville ske i løbet af første halvår 2013.

Stikprøver hos 14 af Statens It’s ’kunder’, altså ministerier og styrelser, viste i 2011, at der slet ikke var styr på styringen af it-sikkerheden. Selvom kritikken formelt var rettet mod disse 14 myndigheder, tog Statens It sidste år en del af ansvaret på sig.

Men afhjælpningen på problemet – en fælles standard for styring af it-sikkerhed – er ikke blevet klar som aftalt. Meldingen var, at Statens It ville lave skabeloner og vejledninger for eksempelvis informationssikkerhedspolitik, it-risikoanalyse og it-beredskab, og at hele staten med tiden så kunne bruge disse fælles dokumenter.

I juni 2013, da Rigsrevisionen rykkede for resultater, lød meldingen i stedet, at den fælles standard først kunne blive klar i oktober 2014.

‘Rigsrevisionen finder, at fremdriften ikke har været tilfredsstillende, og vil følge sagen’, skriver Rigsrevisionen.

De Konservatives ordfører vedrørende Grundloven udtaler til Politiken: »Overvågning er jo altid en balancegang, som vi er opmærksomme på. Når Politiet laver razzia op til jul for at fange spritbilister, tror jeg faktisk, at danskerne er glade for politiets indsats. Også selvom langt de fleste ikke har noget at skjule. Sådan tror jeg sådan set også det er med overvågningen af nettet.«

Jeg er helt enig med Tom Behnke i at politiets stikprøvekontrol er et fornuftigt middel mod spritbilisme. Men kan det virkelig sammenlignes med den overvågning som politikerne ønsker at rette mod internetbrugerne?

Lad os først sammenligne formålet. Politiets stikprøvekontrol tror jeg primært har et generelt adfærdsregulerende mål, først og fremmest er den rettet mod dem der efter julefrokosten tænker “ahhh, det går nok, så meget har jeg heller ikke drukket”. Den systematiske spritbilist der blander alkohol og biler for spændingens skyld tror jeg ikke de fanger. Retorikken for overvågning af internettet er netop rettet mod at vi alle sammen kan slappe af, for det er jo kun den systematiske kriminelle den er rettet mod.

Dernæst er der forskelle i metoden. Politiets aktioner op til jul er en klar stikprøvekontrol af om bilisten her og nu opfylder kravene til at føre et køretøj. Det er minimalt hvilke andre krænkende oplysninger der bliver opsamlet om folk. Overvågningen af internettet er derimod totalitær: Den forsøger at følge alle borgeres mindste bevægelse, store som små. Den logger hvilke netbutikker jeg besøger, hvilke politiske partier jeg kommunikerer med, hvilke emner jeg holder af at diskuterer og hvilken slags porno jeg foretræker at se.

Resultatet af julerazziaerne er forhåbentlig at vi alle sammen lige tænker os om en ekstra gang inden vi sætter nøglen i tændingen. Men den type kriminilatitet som retorikken for overvågning af internettet er rettet imod er allerede i den grove ende. Vil et forbud mod kryptering på nogen som helst måde virke afskræmmende når man i forvejen med stærkt forsæt begår kriminalitet med en strafferammer fra 6 år til livstid? Ender vi ikke bare med at det kun er de kriminelle der har privatliv?

LGs bøjede såkaldte “G Flex”-telefon bliver den første bøjede telefon i Europa, når den ifølge selskabet lanceres til februar. Her bliver den båret ind med teleselskabet Orange, der i hvert fald vil tilbyde den til sine franske kunder. LG oplyser, at den også bliver lanceret i Norden man evner ikke at bekræfte om det også gælder Danmark i første omgang.
Under alle omstændigheder kommer den allerførst på gaden i Sydkorea i november, hvor den er en af to konkurrerende telefoner, der udnytter OLED-teknologi til et ultratyndt plastik display, der kan bøjes. Den anden telefon er Samsungs Galaxy Round.

Ud over at have en bøjet skærm gør LG en hel del ud af at fortælle, at den også har en selv-helende bagside. Altså en ny coating, der gør at telefonen selv lapper ridser efter en dag sammen med nøgler og mønter i lommen. Dette kan man så se i en reklamevideo som firmaet har sendt med sin pressemeddelelse.

Apple-fans og Mac-interesserede, der har diskuteret iPhone 6-rygter på Macrumors.com, skal gå ud fra, at deres e-mail-adresse og passwords nu er i hænderne på hackere. Det skriver Macrumors.com selv til brugerne i en besked, der derfor opfordrer til, at man skifter password, både på Macrumors og alle andre steder, man har brugt samme password.

For selvom passwords i den stjålne database er blevet hashet, altså udsat for en-vejs-kryptering, der burde gøre det matematisk umuligt at regne sig frem til selve passwordet ud fra hash-værdien, har sikkerheden ikke været høj.

Macrumors har nemlig brugt den forældede MD5-hash-funktion, som ikke længere regnes for sikker, og som gør det nemt at teste et stort antal muligheder med brute-force. Ifølge Wikipedia kan et grafikkort i den dyre ende afprøve 200 millioner mulige passwords i sekundet, og dermed vil hackerne med tiden kunne komme igennem alverdens tænkelige passwords.

Hackerne, som stjal databasen med brugeroplysninger, loggede på en moderator-konto og kunne derfra så arbejde sig videre ind i systemerne, skriver Ars Technica. Hvordan hackerne i første omgang fik fat i et moderator-password, er ikke opklaret. Der er endnu ikke tegn på, at de mange stjålne data cirkulerer på nettet, hverken i hashet eller dekrypteret form.

Lækket fra Macrumors er blot ét ud af mange eksempler. Senest er en enorm kundedatabase fra softwarefirma Adobe blevet stjålet og florerer nu på nettet, med e-mail-adresser og password-tips for 38 millioner brugere. Her er passwords ikke beskyttet af hashing, men af traditionel kryptering. Dermed kan alle passwords blive dekrypteret på én gang, hvis hackerne finder frem til ’hovednøglen’ til databasen.