Monthly Archives: June 2014

Boder og fadsølsanlæg er pakket sammen efter utallige politiske debatter på Folkemødet på Bornholm, men ét spørgsmål hænger stadig i luften: Var det en overfortolkning af logningsreglerne, da arrangørerne krævede login med NemID eller telefonnummer af alle, der ville bruge wifi-netværket?

Nej, siger it-chefen hos Bornholms Regionskommune, Claus Munk, efter at han både har talt med Erhvervsstyrelsen, Justitsministeriet og Rigspolitiet. Tilbagemeldingen har været, at det ganske rigtigt er et krav at logge, hvilke personer der har brugt netværket.

»Vi tolker ikke selv på reglerne, men forholder os til de tilbagemeldinger, vi får. Og torsdag fik jeg svar fra Rigspolitiet, som fortalte, at vi skal kunne aflevere oplysninger om brugernes identitet, hvis politiet beder om det. De mente, at vi præcist opfylder det, som de forventer af en udbyder,« siger han til Version2.

Amnesty International og andre var ude med kritik af Folkemødets krav om registrering af folks identitet, og derfor brugte Claus Munk nogle kræfter på at undersøge reglerne ved at ringe til de ansvarlige myndigheder.

»Det er ikke, fordi vi ønsker at logge, men vi skal overholde lovgivningen. Så jeg gjorde alt, hvad jeg kunne, for at finde ud af, hvilket regelsæt der er gældende,« siger it-chefen.

I første omgang fik han slået fast hos Erhvervsstyrelsen, at selvom adgangen til det trådløse netværk var gratis, var kommunen og Folkemødet i lovens forstand en teleudbyder, fordi netadgang indgik i en større pakke med kommercielt grundlag. Med andre ord vil et gratis wifi-hotspot altså typisk være underlagt logningsreglerne, hvis der står en professionel organisation bag, mens en privatpersons eller frivillig forenings åbne netværk ikke er det.

Dernæst var spørgsmålet, hvad der så mere præcist skal logges, og her henviste Justitsministeriet til Rigspolitiet, som altså bekræftede, at man som udbyder af wifi-netværk skal kende brugernes identitet. Og at det i øvrigt ikke ændrer noget, at Justitsministeriet for nylig valgte at ophæve sessionslogningen. Der blev henvist til logningsbekendtgørelsens paragraf 5 stk. 2.

Notat ‘frikender’ åbne wifi-netværk

Men hos IT-Politisk Forening mener næstformand Jesper Lund, at det er en helt forkert tolkning af reglerne. Tilbage i 2011 blev det oven i købet slået fast i et notat fra Justitsministeriet, at man med den slags åbne wifi-netværk ikke skal logge brugernes identitet, med mindre man i forvejen gør det for eksempel for at kunne sende regninger ud til dem.

»Som udbyder skal du gemme de oplysninger, du i forvejen gemmer i systemerne. Og hvis du tilbyder anonym adgang, er det kun MAC-adresse, du får og skal gemme, og den kan i praksis ikke bruges til noget,« siger han til Version2.

MAC-adressen er bundet til netværkshardwaren i computeren eller telefonen, der logger på et netværk, så en sammenligning af mange logninger vil i teorien kunne vise, om det samme hardware har været brugt forskellige steder.

I notatet, som netop handler om muligheden for regler om at registrere alle brugere af åbne wifi-netværk, står der således:

»I praksis vil udbydere af internetadgang på eksempelvis internetcaféer eller via hotspots imidlertid sjældent have behov for at generere eller behandle oplysninger om identiteten på brugerne i deres net, hvilket betyder, at sådanne oplysninger som udgangspunkt ikke bliver registreret og opbevaret.«

Som det første i logningsbekendtgørelsen står der nemlig, at teleudbyderne generelt kun skal logge oplysninger, som i forvejen passerer gennem deres systemer. Og dermed kan man ikke kræve, at en udbyder skal have ekstra bøvl med registrering og logning af nye oplysninger.

»Det er nogle regler, som er svære at forstå. Det giver jo heller ikke nogen mening kun at logge MAC-adressen, og så begynder man måske at tolke mere ind i reglerne, end der i realiteten står,« siger Jesper Lund.

Hvis den fortolkning af reglerne, som it-chefen for Folkemødet har fået oplyst af Rigspolitiet, er gældende i dag, vil det have store konsekvenser. Så vil alle trådløse netværk drevet af kommercielle og professionelle aktører nemlig være underlagt samme krav om at registrere folks identitet, fra Roskilde Festival til den lille café.

Men reglerne har jo været der siden 2007, så hvordan har Bornholms Regionskommune gjort ved tidligere folkemøder?

»Det første år søgte og fik vi dispensation fra IT- og Telestyrelsen, for der var ikke software tilgængeligt, som understøttede det. Sidste år skulle man logge på med adgangskode med det software, vi købte til formålet, men systemet var først helt klar her i 2014,« siger Claus Munk, der både kender til kommuner, som logger på samme måde som på Bornholm, og til kommuner, der ikke gør det.

Version2 forsøger at få en kommentar fra Rigspolitiet og opklare, hvilke regler der gælder. Medarbejderen, som Claus Munk talte med, kan først træffes mandag den 23. juni.

Det er den Digitale Tinglysning, der har været anvendt til at lække CPR-numre på blandt andet statsminister Helle Thorning-Schmidt. Det vil Tinglysningsretten nu sætte en stopper for med en opdatering, skriver DR.

Kender man fødselsdato og køn, så er der forholdsvis få kombinationer, som er gyldige kandidater til at være personens CPR-nummer. Går man ind på Digital Tinglysning har man mulighed for at slå kombinationerne op. Hvis man rammer den rigtige, kan man få adresseoplysningerne fra CPR-registret.

Tinglysningsretten har mandag eftermiddag lukket ned for at kunne bruge systemet på denne måde.

»Det er dybt beklageligt,« siger retspræsident Søren Sørup Hansen fra Tinglysningsretten til DR.

Version2 har bekræftet, at det var muligt at misbruge tinglysningssystemet til at finde frem til det korrekte CPR-nummer og de tilhørende oplysninger. Tinglysningsretten oplyser på hjemmesiden, at systemet ventes tilbage i drift efter klokken 17:30.

Mobilt internet via 4G/LTE-teknologien er endnu langt fra udbredt til alle europæiske mobilbrugere, men allerede nu er arbejdet på den næste generation, 5G, undervejs. Det betyder, at der er flere teknologier, som er i spil, ligesom det var tilfældet med både 3G og 4G. Nu skal en alliance på tværs af en halv snes tidszoner sørge for, at Europa er med i forreste række.

EU har nemlig indgået en aftale med Sydkorea, som indebærer, at de europæiske og sydkoreanske organisationer, som arbejder på 5G, arbejder sammen om et fælles mål. Det oplyser EU-Kommissionen i en pressemeddelelse.

Mens Europa stadig har en række producenter af udstyr til selve mobilnetværkene som eksempelvis Alcatel-Lucent og Ericsson, så er Sydkorea hjemland for både Samsung og LG, der både leverer teleudstyr og ikke mindst smartphones.

Målet er at få lagt fundamentet for en 5G-standard i løbet af 2015, så teknologien kan blive færdigudviklet og rullet ud frem til 2020. EU har afsat 5,2 milliarder kroner til at støtte udviklingen af 5G-teknologier.

5G er blandt andet udpeget til at kunne fungere som mere end blot et mobilnetværk, der også kan give internetadgang til eksempelvis tablets. Tanken er, at et 5G-netværk også skal kunne bruges til at forbinde eksempelvis elmålere eller biler i det, der bliver omtalt som Internet of Things.

Med hjælp fra en offentlig hjemmeside har aktivisten Lars Kragh Andersen nu føjet statsminister Helle Thorning-Schmidts CPR-nummer til de oplysninger på politikere, han har offentliggjort som led i sin protestaktion mod overvågning. Det skriver DR Nyheder.

Han lagde i sidste uge oplysninger forsvarsminister Nicolai Wammen ud på internettet i kølvandet på, at aktivister havde offentliggjort oplysninger om SF’s folketingspolitikere. Det skete som protest mod overvågning af danskerne, senest i form af den omdiskuterede lov om Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

Oplysningerne om CPR-numrene er fundet ved hjælp af en hjemmeside for en offentlig myndighed, hvor det er muligt at finde frem til et personnummer ved at afprøve de forskellige kombinationer.

Kender man fødselsdato og køn, så er der et begrænset antal kombinationer, som opfylder den formel, der bruges til at verificere CPR-numre. Selvom der er fire cifre, der skal gættes, er der væsentligt færre end 10.000 gyldige kombinationer. Hvis en hjemmeside har mulighed for at slå en gyldig kombination op i CPR-registret, kan man afprøve kombinationerne én efter én, indtil man får et positivt svar.

Lars Kragh Andersen, der er tidligere politimand, erkender ifølge DR, at hans handlinger formentligt er i strid med loven. Sagen minder da også om sagen mod aktivist og datalog Søren Louv-Jansen, som også delvist udstillede politikeres CPR-numre.

Har du lyst til at holde et skarpt øje med NemID og komme med dit bud på, hvordan samspillet mellem NemLogin og borger.dk kan gøres bedre? Så er chancen der nu.

Digitaliseringsstyrelsen søger nemlig en ‘teknisk stærk profil’, som skal indgå i et helt nyoprettet center, der får ansvaret for at holde leverandørerne op på kontrakten, og sikre en stabil drift af alle de store fællesoffentlige digitale løsninger.

Se her, hvis du vil tjekke de seneste jobtilbud for ingeniører.

De tunge it-løsninger har været holdeplads for gedigne høvl i offentligheden, blandt andet på Ingeniørens it-medie Version2, hvor kritikken mere end én gang har lydt, at de store løsninger ofte blev forsinket, som det var tilfældet med NemLogin-platformen og senest NemID til mobilen.

»Det nye center kommer blandt andet til at få ansvaret for de mindre og løbende tilpasninger – herunder også sådan noget som knopskud og tilpasninger af eksempelvis NemID. Om den nye organisering direkte kan fjerne forsinkelser, tør jeg ikke love, men jeg tør love, at kvaliteten vil være i fokus,« siger Morten Mejer-Warnich, kontorchef i Digitaliseringsstyrelsen.

Listen over digitale indgange til det offentlige er efterhånden ved at være lang, og løsningerne skal i stigende grad spille sammen. Det er baggrunden for, at Digitaliseringsstyrelsen opretter det det nye center, hvor systemforvaltningen af de mange platforme for første gang samles ét sted.

Skal kunne se ud over teknikken

Ifølge opslaget skal den nye medarbejder have ‘udpræget teknisk viden’, for opgaven bliver at holde styr på flere forskellige platforme og deres leverandører på samme tid.

»Stillingen dækker over den første af flere rekrutteringer, hvor vi løbende vil mande op på de forskellige løsninger. Vedkommende får selvfølgelig sit eget primære ansvarsområde, men der er lagt op til, at personen skal have muligheden for at bygge bro mellem de forskellige systemer,« siger Morten Mejer-Warnich.

‘Profilen’ skal både være udstyret med et sæt stærke tekniske briller, og samtidig være i stand til at navigere efter de store linjer, der ligger i myndighedens overordnede forretningsmål: Digitaliseringen og dermed effektiviseringen af det offentlige Danmark.

»Det handler grundlæggende om evnen til at kunne se lidt ud over teknikken i det enkelte system og se, hvilken større sammenhæng det indgår i,« siger Morten Mejer-Warnich.

Samtidig vil stillingen også indbefatte en løbende videreudvikling af de forskellige løsninger i samarbejde med leverandøren, men det er ikke meningen, at den kommende medarbejder skal kode videre på specifikke it-systemer.

»En af arbejdsopgaverne bliver løbende at samle al den information omkring systemet, det er muligt, så vi kan videreudvikle og tilpasse det. På den måde får vi ikke et system, der står stille i den fire til seks års periode, kontrakten løber,« siger Morten Mejer-Warnich.

Leverandørstyring skal centraliseres

Tidligere har styrelsen organiseret sig på en måde, hvor dedikerede teams havde til opgave at holde øje med driften af hver deres løsning, men den ‘silostrukturering’ skal der fra 1. august gøres op med, så det bliver nemmere at holde snor i de mange private it-leverandører.

Selv om selve teknikken bag f.eks. NemID og Digital Post fysisk set er gemt i serverrum hos leverandørerne, er det Digitaliseringsstyrelsen, der har ansvaret for at sikre, at de private virksomheder lever op til de specifikke krav om oppetid og sikkerhed, der står i kontrakterne.

Det er håbet, at en samling af systemforvaltningen i ét center vil give synergi-effekter, der kan gøre fremtidens digitale Danmark endnu mere robust.

»I og med at vi nu samler alle systemerne i ét center, får vi en række medarbejdere, som arbejder med den samme logik, der på et vist niveau kan overlappe hinanden. Det giver dels en mere robust organisation, men også mere mulighed for sparring på tværs af løsningerne,« siger Morten Mejer-Warnich.

Han forklarer, at de digitale indgange til det offentlige bliver viklet mere og mere ind i hinanden. Derfor giver det god mening at centralisere systemforvaltningen.

Single sign on-løsningen NemLogin gør eksempelvis brug af NemID og skal blandt andet bruges til at logge på borger.dk, som i stigende grad skal integreres med mailsystemet Digital Post, der fra 1. november bliver obligatorisk at bruge i al kommunikation mellem borger og myndighed.

»Hvis man kigger ned over porteføljen, er der jo tætte slægtskaber mellem eksempelvis NemLogin og NemID, og der bliver mere og mere mellem borger.dk og Digital Post. Ikke fuldstændige overlap, men der er nogle snitflader, hvor vi ville kunne høste nogle stordriftsfordele ved ikke at have en organisering på tværs af kontorer,« siger han.

Se Digitaliseringsstyrelsens opslag her.

Kære Version2-bruger

Siden lørdag formiddag er vi blevet ramt af en stor bølge af spam-trafik, der har omgået vores forskellige anti-spam foranstaltninger og er lykkedes med at oprette et stort antal brugere.

Disse brugere har oprettet kommentarer, begivenheder i IT-kalenderen samt selvstændige debatindlæg, fyldt med reklamer og links.

Særligt IT-kalenderen har været hårdt ramt, og vi har haft i omegnen af en kvart million hits på nogle af de falske begivenheder, genereret af spammerne selv.

Vi kan se, at der blandt andet har været meget trafik fra Rusland og Filippinerne.

For at begrænse angrebet har vi i første omgang aktiveret mere og strengere kontrol med indholdet og blokeret IP-adresser. Desuden er vi i gang med at undersøge, hvilke smutveje spammerne benytter sig af, så vi mere målrettet kan begrænse deres adgang til sitet.

Vi har også lukket midlertidigt for oprettelsen af begivenheder og nye forumtråde, så man vil se en fejlmeddelelse, hvis man trykker på “Tilføj indhold” i øverste højre hjørne af V2.
Vi kan dog forhåbentlig snart åbne for dette igen.

Det er ikke slut endnu, og vi oplever i skrivende stund stadig forsøg på at oprette falske brugere og indhold på sitet.

Det er vigtigt at sige, at spammerne ikke har opnået adgang til noget, som almindelige brugere ikke har adgang til, og der er altså ingen sikkerhedsrisiko forbundet med angrebet, på nær hvis man klikker på de links som indgår i spamindlæggene.