Monthly Archives: July 2014

CSC havde tirsdag problemer med selskabets batchkørsler, og det påvirkede udarbejdelsen af den opdaterede version af den Robinson-liste, som CSC skulle levere til CPR-kontoret. Det førte til det enorme læk af cpr-numre for de 900.000 danskere på Robinson-listen, skriver Ritzau ifølge Information.

Da CSC blev rykket for listen, endte selskabet med at udlevere en version, hvor der endnu ikke var kørt de batchprogrammer, som skulle fjerne cpr-numrene fra udtrækket fra cpr-registret, som er grundlaget for listen.

Hverken hos CSC eller hos CPR-Kontoret blev listen kontrolleret, inden den blev lagt ud på den tjeneste, hvorfra cirka 600 tilmeldte virksomheder henter listen.

CSC havde torsdag i sidste uge kørt en ekstraordinær testkørsel på batchsystemerne, men ifølge Ritzau er det uvist, hvorvidt testen har haft indflydelse på batchsystemet.

I alt 15 firmaer nåede at downloade den version af Robinson-listen, som indeholdt cpr-numre, skriver Ritzau ifølge Information. I første omgang havde CPR-Kontoret oplyst, at 18 firmaer havde hentet listen, men en nærmere gennemgang har vist, at der har været gengangere blandt firmaerne.

CPR-Kontoret har foreløbig fået bekræftet fra otte af firmaerne, at de har slettet listen igen.

Hjemmesider med pornografisk indhold er nu ophørt med at fremgå af Google’s adviseringer.

Allerede i mandags stoppede Google med at reklamere for websites, der indeholder former for seksuelt tematisk indhold – særligt de med intentionen om, at indholdet skal føre til andre seksuelle handlinger, så som onani, citeres Google for af amerikanske CNBC.

Ifølge en talsmand fra Google har selskabet længe haft en restriktiv politik på området, hvorfor det umuligt kan have kommet som et chok for nogen kunder, som Google i øvrigt også mener leder efter andre adviseringskanaler.

Folk fra reklameindustrien er dog af en anden opfattelse end Google, skal man tro CNBC.

»Jeg var meget overrasket. Jeg var en af de allerførste annoncører for AdWords tilbage i 2002. Det er et marked, der har været urørt i 12 år, så man forventer ikke, at sådan en forandring skal til at begynde,« siger Theo Sapoutzis, der er administrerende direktør og formand for virksomheden AVN Media Network.

Notifikationen om ændringen blev sendt rundt til en række sider med indhold, der kunne støde sammen med den nye Google-politik.

Endnu har pornoindustrien ikke reageret. Til CNCB siger insidere i industrien, at det endnu er usikkert, hvad Google’s beslutning kommer til at betyde i sidste ende.
I maj måned havde Google 351 millioner forskellige variationer af søgninger, hvori ord som ‘porno’ og ‘sex’ indgik – dermed bidrager industrien også pænt til aktiviteten på Google.

Den nye AdWord-politik kan dog være første skridt på vejen mod, at Google helt blokerer pornografisk indhold fra deres søgninger, mener advokaten Michael Fattorosi fra Fattorosi & Associates.

»Det her er endnu et eksempel på, at et mainstream-selskab vender ryggen til en industri, som har støttet det. Nu bliver spørgsmålet: Vil de blokere voksent indhold fra deres søgeresultater?« spørger han retorisk.

CNBC har rettet henvendelse til Google for at få svar på, om dette er inde i overvejelserne. Google har dog ikke rettet henvendelse tilbage.

Overvejer du, at have 100 Netflix-film i HD kørende på en gang? Hvis du gør, og måske endda allerede har forsøgt, så ved du, at det ikke kan lade sig gøre, fordi internetforbindelse ikke er hurtig nok.

Men ifølge 3 så varer det ikke længe inden det – teoretisk set – kan lade sig gøre. Teleselskabet regner nemlig med, at de indenfor en overskuelig fremtid kan sælge forbindelser på op til 600 megabit pr. sekund.

På et presseevent på Roskilde Festival viste 3 i samarbejde med Huawei en wifi-router, som kan bruge flere forskellige 4G-forbindelser på en gang og på den måde opnå en højere hastighed.

Samler datastrømme

Routeren, som 3 viste frem, benytter sig af de to forskellige frekvenser, som 3´s mobile bredbånd arbejder på. Routeren henter data fra begge frekvenser og kører dem sammen, så de to frekvenser bliver til én kraftig internetforbindelse. Det vil sige, at de to 75 megabit pr. sekund forbindelser, som 3 har nu, bliver til 150 megabit pr. sekund.

»Du stikker bare sim-kortet i og så kører det,« lød det fra 3′s netværksansvarlige, Stefan Ring, da han fremviste routeren, som er beregnet til privat brug.

Indtil videre benytter de mobile bredbåndsroutere kun én af de to 4G-frekvenser, men 3 regner med, at det fra efteråret bliver muligt for alle at benytte begge med den omtalte router.

På presseeventen viste 3 på to computere med hver deres router forskellen på effekten. Den almindelige router sneg sig op på 20 megabit pr. sekund, mens den anden ved første forsøg kom op på 40 og ved andet forsøg 50 megabit pr. sekund. 3 forklarede, at netværket i området er stærkt belastet af de mange festvalgængeres mobilforbrug, og at forbindelserne uden forstyrelser ville kunne nå op på henholdsvis 75 og 150 megabit pr. sekund.

Men derfra er der fortsat et stykke op til de 600 megabit.

Tre udvider frekvensområderne

Derfor lover 3 også endnu mere. Routeren kan nemlig samle signaler fra andre typer af frekvenser, blandt andet de såkaldte TDD-frekvenser, som mobilselskabet købte rettighederne til ved 4G-frekvensauktionen i 2010. Frekvenserne forventer 3 kommer i drift fra 2015 og derfra regner Stefan Ring med, at den samlede hastighed kan nå op på 600 megabit i sekundet, i hvert fald forsøgsvis.

»Om det bliver kommercielt næste år ved vi ikke, men det bliver testet,« siger han, og understreger, at det kun er en teoretisk mulighed for 600 megabit, da andre brugere på nettet og mange andre ting spiller ind i forhold til at give de optimale betingelser for at få hastigheden helt derop.

Men uanset om hastigheden kan nå helt op på 600 megabit pr. sekund, så lover 3, at deres netværk med den nye teknologi bliver langt hurtigere.

Indtil videre er en af forhindringerne ved at nå de høje hastigheder hardwaren, som skal modtage TDD-frekvenserne, da det er et relativt uberørt område, men blandt andet Huawei er ved at udvikle hardware, som kan benytte teknologien.

Huaweis repræsentant på stedet kunne videre fortælle, at de sideløbende med deres router også arbejder på at overføre den frekvenssamlende teknik til håndholdte enheder, så mobiltelefoner fremover også kan hoppe på flere frekvenser og dermed få hurtigere netværksforbindelse.

»Infrastrukturen står klar, så følger teknologien efter,« udtalte repræsentanten fra Huawei.

Danmarkshistoriens største hackerangreb på CSC i 2012 kunne være blevet opdaget og endda delvis afværget, lyder det nu fra Politiken.

Det kunne det, hvis altså Rigspolitiet og CSC havde reageret på en meget kritisk revisionsrapport fra selskabet Deloitte fra 2012, som avisen har fået aktindsigt i.

Det gjorde de bare ikke, og det får nu flere eksperter til at give både politiet og CSC en voldsom kritik.

Rapporten blev bestilt af CSC, og da den endelig forelå, viste det sig nemlig allerede, at hackerne var fuldt i gang med at suge oplysninger ud af CSC’s systemer og kopiere fortrolige oplysninger fra blandt andet kørekort- og kriminalregistret.

Ifølge avisen hev hackerne i løbet af en periode på mindst fire og en halv måned fire millioner danske kørekortnumre ud af systemet. Alligevel blev angrebet først opdaget flere måneder senere.

Først ni måneder efter rapporten forelå, i marts 2013, reagerede Rigspolitiet og CSC efter et tip fra svensk politi.

Oplysningerne er meget belastende for de involverede parter, mener flere eksperter.

»Revisionsrapporten er en rygende pistol i forhold til den elendige it-sikkerhed, som gjorde hackerangrebet muligt. Der sker simpelthen det, at Deloitte sender et stykke papir og fortæller CSC og Rigspolitiet, at de står med et helt hus, hvor døre og vinduer står åbne. På samme tidspunkt render de ubudne gæster rundt og tager, hvad de vil have i huset. Men CSC og Rigspolitiet reagerer ikke,« siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS.

Ifølge Politiken oplistede Deloitte i 2012 syv konkrete sikkerhedsbrister, hvor der under nogle af punkterne har været tale om, at sikkerhedshullerne var lukkede, som Deloitte formulerer det.

Rigspolitiets it-direktør, Michael Steen Hansen, har ikke ønsket at lade sig interviewe af Politiken, men han medgiver i en mail over for avisen, at der ikke blev foretaget en sådan konsekvensanalyse.

»Det var ikke fast praksis i branchen at gennemføre en omfattende undersøgelse af, om nogen har udnyttet svaghederne, medmindre der konkret er noget, der giver mistanke om det. På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb,« skriver han til Politiken.

Endelig oplyser CSC ifølge avisen, at selskabet ikke kunnet have gjort noget som helst ved angrebet, fordi det dengang udnyttede en hidtil ukendt sårbarhed.

Det lakker mod enden for danskernes afhængighed af det Java-plugin, som har været plaget af flere alvorlige sikkerhedshuller. Efter lanceringen af den nye Java-fri udgave af NemID er bankerne i fuld gang med at skifte.

En rundringning, som Version2 har foretaget, viser, at langt flertallet af de danske pengeinstitutter er i færd med at teste den nye Javascript-baserede løsning, som Digitaliseringsstyrelsen officielt lancerede tirsdag den 1. juli. Flertallet af bankerne forventer således at være skiftet i løbet af august.

Danske Bank oplyser til Version2, at banken forventer at skifte til den nye udgave på browserudgaven af netbanken i løbet af juli, hvorefter de øvrige platforme vil blive opdateret i løbet af efteråret.

Hos Nordea gælder det i første omgang om at teste den nye løsning.

»Vi er i fuld gang med test, og vi regner med at lancere i løbet af efteråret. Jeg har ikke en eksakt dato, men det er vores antagelse, at det vil gå forholdsvis hurtigt,« siger Martin Andersen fra Nordea Netbank og underdirektør i Nordea til Version2.

Flere af de øvrige danske pengeinstitutter deler den samme bagvedliggende netbankløsning, og her er leverandørerne også i fuld gang med udrulningen af den nye version.

Bankdata, som blandt andet leverer løsninger til Jyske Bank og Sydbank, kører i øjeblikket en intern pilottest.

»Afhængig af hvordan den går, så regner vi med tage den nye løsning i anvendelse i august, men med mulighed for at vi kan rulle tilbage på Java-løsningen,« siger it-arkitekt Flemming Nielsen fra Bankdata til Version2.

Stort set samme budskab lyder fra BEC, der har blandt andre Nykredit og Arbejdernes Landsbank som kunder.

»Vi er i gang med de sidste test, og vi forventer en udrulning efter sommerferien, så det vil sige cirka midt i august. Vi vil rulle det ud stille og roligt, for oplevelsen af tryghed for brugerne er vigtig. Derfor laver vi ikke et ‘big bang’,« siger udviklingschef Henrik Jensen fra BEC til Version2.

Dermed ser det ud til, at de fleste danskere allerede efter sommerferien vil kunne slippe for at bruge Java-plugin, når de skal logge på netbanken, ligesom det også gælder på de offentlige tjenester, som bruger NemLogin. Dog vil enkelte stadig hænge fast i Java – nemlig alle dem, som har købt sig til NemID på hardware, så de kunne få fuld kontrol over deres egen, private NemID-nøgle, i stedet for den centrale opbevaring af private nøgler, som den normale udgave af NemID gør brug af. Der er ‘kortsigtet’ ikke planer om at udfase Java-løsningen for dem, der har NemID på hardware, har Digitaliseringsstyrelsen fortalt Version2.

Java-browserpluginet har været så plaget af sikkerhedshuller, at mange sikkerhedseksperter anbefaler, at man afinstallerer det. Det har danskerne hidtil ikke kunnet gøre, fordi det var et krav for at bruge NemID, men med den nye Javascript-baserede version bliver det muligt at fjerne Java-pluginet, hvis man kun har skullet bruge det til NemID.

Debatten har raset i årevis blandt eksperter og lægfolk med forstand på privacy og it-sikkerhed: Er cpr-nummeret en hemmelig oplysning? Og er cpr-nummeret tilstrækkeligt til at bekræfte, at en person er den, han giver sig ud for at være?

Nu er cpr-nummerets særstatus for alvor kommet under pres: CPR-Kontoret kom til at lægge en udgave af listen over danskere, der nyder beskyttelse mod telemarketing, ud på en server, hvorfra alle, der kendte kodeordet, havde adgang til at hente den. Listen skulle ikke indeholde cpr-numre, men en fejl hos it-leverandøren CSC betød, at der alligevel var plottet cpr-numre for alle 900.000 ind på listen.

Der har været en række tidligere tilfælde, hvor kommuner eller andre myndigheder er kommet til at offentliggøre dokumenter, der indeholdt cpr-numre.

Sagerne har ført til kritik af, at cpr-nummeret nyder en særlig beskyttelse i persondataloven, hvor det fremgår, at det er ulovligt at offentliggøre cpr-numre.

I mange år har det været muligt at misbruge kendskabet til en persons navn, adresse og cpr-nummer til visse former for identitetstyveri. De seneste sager har imidlertid betydet, at der er blevet sat en stopper for de fleste typer misbrug.

Tidligere var et cpr-nummer i visse tilfælde tilstrækkeligt til at oprette kviklån eller tegne mobilabonnementer. Derfor var det problematisk, at det var forholdsvis enkelt at gætte sig frem til en persons cpr-nummer, hvis blot man kendte fødselsdatoen.

I princippet ville det ikke være noget problem, at andre kan gætte dit cpr-nummer, hvis det altså ikke var fordi, det i visse tilfælde behandles som en oplysning, kun du kender. Reelt burde der ifølge it-sikkerhedseksperter blot være tale om et unikt nummer, der kan bruges til at identificere – og ikke til at autentificere.

Autentificering er eksempelvis login med et kodeord eller en pinkode, som kun du kender. Identifikation kan spænde fra at trække et nummer i køen på posthuset til ja, eksempelvis et cpr-nummer.

Problemet ved at lade cpr-nummeret flyde mellem disse to begreber er, at forudsætningen for at bruge det til autentifikation er, at kun du kender det. Derfor dur det ikke, at det er nemt at finde frem til et cpr-nummer.

Det forsøgte datalogistuderende Søren Louv-Jansen at sætte fokus på med en hjemmeside, hvor man kunne spille ‘bingo’ med kendte politikeres cpr-numre, som var fundet ved at udnytte de websider, teleselskaberne stillede til rådighed for oprettelse af abonnementer.

Striden om cpr-nummerets status har haft to lejre, hvor det ene yderpunkt har krævet strengere straffe for at offentliggøre personnummeret og bedre beskyttelse af personer, som udsættes for identitetstyveri. Det andet yderpunkt har opfordret til at offentliggøre alle danskeres cpr-numre og én gang for alle fratage det dets særstatus, som har ført til, at det er blevet brugt til både identifikation og autentifikation.

Udfordringen er blevet større i takt med øget digitalisering, som betyder, at der er flere steder, hvor cpr-numrene kan blive lækket fra. Som regel har der været tale om menneskelige fejl, og det gør det vanskeligt at sikre sig mod dem. Det er ét af argumenterne for, at cpr-numrene ikke bør være hemmelige.

Digitaliseringen er på den anden side også nået så langt, at det nu i princippet er muligt at benytte eksempelvis NemID, når en borger skal autentificeres – til mange formål i hvert fald, for NemID’s opbygning har også sine kritikere blandt privacy-eksperterne. Men det er en anden diskussion.

Og så alligevel ikke, for brugen af cpr-nummeret som standardbrugernavn med NemID er blot ét eksempel på, at cpr-nummeret – trods dets særstatus som en beskyttet oplysning – alligevel bliver indsamlet af mange systemer, som bruger det til at slå adresser op eller blot som et bekvemmeligt unikt brugernummer.

Nu er selve det kontor, som administrerer cpr-numrene, kommet til at offentliggøre hele 900.000 danskeres cpr-nummer. Vel at mærke danskere, der havde bedt om at få lov til at være i fred for telemarketing og adresserede reklamer.

Det er selvfølgelig ikke carte blanche til at offentliggøre samtlige cpr-numre, men det er i hvert fald en hændelse, der sætter en tyk streg under, at vi er nødt til at tage diskussionen om, hvorvidt cpr-numrene blot er en bekvem størrelse, der hjælper os med at skelne Lars Larsen fra Lars Larsen, eller om det er noget, der er personligt og hemmeligt.

Margrethe Vestagers særlige rådgiver bebudede tidligere på dagen, at der ingen kommentarer ville falde fra ministeren ovenpå dagens store nyhed om lækagen af 900.000 danske CPR-numre fra CPR-kontoret. ‘Hun holder ferie,’ lød meldingen.

Men nu melder Økonomi- og Indenrigsministeren sig alligevel på banen med en skriftlig undskyldning til de berørte danskere.

»Det er en fejl som ikke må ske. Det er naturligvis meget, meget beklageligt, og jeg ser med dyb alvor på denne sag,« siger hun i en pressemeddelelse.

Samtidig understreger ministeren, at hun har krævet en fuldstændig redegørelse.

»På den baggrund kan jeg danne mig det fulde overblik over sagen,« siger hun og tilføjer: »Det er klart, at jeg grundigt vil overveje, hvilke konsekvenser denne sag skal have.«

Tidligere på dagen meddelte Datatilsynet, at man ville åbne en sag mod staten på grund af lækagen. Tilsynet råder dog over begrænsende sanktionsmuligheder, da der er tale om en offentlig myndighed. Havde det været en privat virksomhed, var en politianmeldelse nok kommet på tale, men da det er en myndighed, har tilsynet kun mulighed for at udtale kritik og komme med henstillinger.