Koreanske forskere har udviklet en ny teknik til detektion af fingeraftryk, der udnytter molekyler, som skifter farve, når de kommer i kontakt med væske eller sved.

Tanken om at bruge svedporerne i huden i stedet for et direkte aftryk af forhøjningerne i huden er ikke ny, men der hidtil har manglet billige og pålidelige metoder hertil.

I Nature Communications skriver Jong-Man Kim fra Hanyang University i Seoul og en række kolleger, at de har udviklet en sådan metode baseret på en hydrokromatisk konjugeret polymer, dvs. et molekyle som skifter farve – i dette tilfælde fra blå til rød – når det kommer i kontakt med vand.

Det viser sig, at selv de små væskemængder (mindre end nanoliter), som afgives fra svedporerne på fingrene, er nok til at foretage et momentant farveskift (i løbet af 20-40 mikrosekunder) for 10,12-pentacosadionoic syre (PCDA).

Forskerne redegør i artiklen for, at det er muligt at identificere en person ud fra et aftryk, der kun indeholder 20-40 svedporer. Det gør teknikken meget mere følsom end den traditionelle teknik, der kræver en større del af fingeraftrykket.

I går tirsdag kunne de to unge it-iværksættere Anders Stolzenbach og Rasmus Theilsø Madsen, træde op på podiet i den danske Imagine Cup-finale som vindere.

Vinderprojekt var YouBeRu-app’en, der i kombination med en særlig chip blandt andet kan bruges til at måle løberes og triatleters bevægelser og hastighed langs deres rute. Hver gang atleten, der har chippen placeret på sig, passerer en publikummer, som har installeret YouBeRu-app’en, registreres atletens placering og hastighed automatisk og sendes til en central server.

Her bliver atleternes data samlet og sendt tilbage til tilskuerne, som kan følge atleterne i realtid på et kort inde i app’en.

Version2 fangede den bare 19-årige Anders Stolzenbach på telefon midt i undervisningen på Frederiksberg HF. Og han var stadig glad efter gårsdagens sejr.

»Det var en meget surrealistisk oplevelse at stå på scenen i går med pokalen i hånden. For at være helt ærlig tror jeg det er første gang for os begge to, at vi har vundet noget,« fortæller han.

Arbejdet på YouBeRu, der er en forkortelse for You Better Run, tog for alvor fat tilbage i september 2013 efter en kort indledende idefase i august.

I følge Anders Stolzenbach har de med projektet løst problemerne omkring tidstagning, når det eksempelvis gælder langdistanceløb og triathlon.

Han fortæller, at man i øjeblikket typisk måler løbernes tid via RFID-chips og særlige målemåtter. På et marathon-løb vil der eksempelvis typisk være mellem fem og otte målinger undervejs, hvor den mellemliggende tid bliver udregnet af algoritmer, der “oftest og altid regner forkert,” i følge Anders Stolzenbach, der fortsætter.

»Man kan ikke sætte en persons præstation ind i en boks. Vi introducerer ægte real lifetime tracking, der giver opdateringer direkte fra hvor løberen er på ruten. Det vil vi kunne gøre helt ned til 60-100 meters præcision, sammenlignet med i dag hvor man tracker hver femte kilometer. Det er en massiv forbedring, og vi ved det kan lade sig gøre at komme endnu længere ned,« siger han.

Han fortæller, at man foruden publikummernes smartphones også vil kunne indsætte små og billige målestationer langs ruten, for at gøre målingerne mere præcise i de mere publikumstomme områder. Men til eksempelvis marathonløb vil også være muligt at placere måleboksen på de såkaldte tidsholdere, der løber med på ruten i bestemte hastigheder.

Chippen på atlerene kommunikerer i første omgang med app’en via bluetooth. Men de to drenge er i øjeblikket i kontakt med teknologihuset Delta om at udvikle en ny chip, hvor der vil blive undersøgt, om der findes en bedre løsning.

Men i første omgang er de to iværksættere nu i fuld gang med at forberede sig på at skulle forsvare deres projekt i den europæiske Imagine Cup, der finder sted i næste uge. Vinder de også den, går de videre til den endelige internationale finale i Seattle, hvor førstepræmien er 50.000 dollars og muligheden for at præsentere ideen for Microsofts grundlægger Bill Gates.

App’en er i første omgang udviklet til Windows Phone. Men de håber, at app’en også snart vil være klar til Android og iOS. Ifølge planen vil teknologien blive sluppet løs i de første mindre danske løb i løbet af efteråret 2014.

Jeg lovede igår at skrive et blogindlæg om Nets og IBM’s sikkerhedsproblem.

Lad mig starte med at slå fast at uanset hvor afskyeligt jeg på alle måder finder blade som Se og Hør, med deres middelalderlige kvindesyn, skadefro bedreviden og kyniske destruktion af mennesker i jagten på profit, så handler den her sag ikke om Se og Hør, den handler om Nets og IBM.

Og om vores politikere.

Der er rigtig mange ting der bør graves i, så jeg tager dem bare på uprioriteret listeform, så kan I selv sortere.

10.000 kr/måned ?

Det første der slog mig var beløbets størrelse. Jeg er sikker på at Se og Hør kunne have betalt mere og at “vor mand hos IBM” gerne ville have modtaget mere. Det lugter lidt af at der var en begrænsning på hvilke personer eller hvilke kreditkort (eller evt. hvor mange?) der kunne laves “trace” på, som har begrænset denne business opportunity. Mere om det om lidt.

Den anden side af sagen er at hvis man kigger i Prosas eller IDAs lønstatistikker, så er 10.000 egentlig ikke så stor en lønforhøjelse for folk i den tunge ende af branchen.

Havde han også andre “kunder” end Se og Hør ?

God, Root, what is difference ?

Hint: Userfriendly

Folk hvis titel starter med “system-etellerandet” har som regel ret god adgang til at gøre hvad fanden det passer dem med både hardware og software.

Det kan godt være at der er logfiler der registrerer hvad de foretager sig, men dem har de også adgang til, ofte er det ligefrem dem selv der har ansvaret for at læse logfilerne og bemærke om der sker noget usædvanligt.

Jeg kender selv jobbet indefra. Jeg har brugt nætter og weekender på at få ting til at virke efter “mindre uvæsentlige software opdateringer”, balanceret filsystemer og databaser, debugget kerner og devicedrivere osv. osv. Jeg har faktisk fået et timeregistreringsystem til at advare om at uret muligvis gik forkert, fordi jeg i en periode arbejdede mere om natten end om dagen.

Jeg har også modtaget skideballer for at møde til frokost, fra folk der ikke ville fatte at jeg havde været der indtil klokken seks om morgenen og bare havde været hjemme og få et brusebad, en portion havregryn og to timers søvn. Jeg har også taget på vandreferier i Finland, alene fordi jeg vidste at der var over tyve km til nærmeste telefon og selv hvis de fandt telefonnummeret til den, talte den kun finsk og anede ikke hvem eller hvor jeg var.

Og nej, det er egentlig ikke ret behageligt at sidde og rode med noget der overhovedet ikke virker, mens IT-chefen, Finansdirektøren og den Administrerende står og kigger dig over skulderen, mens de snakker om hvad de skal gøre hvis ikke regnskabet kan offentliggøres imorgen klokken 10 som lovet.

I virksomheder hvor ting virker, er systemfolkene blandt de mest betroede og værdsatte medarbejdere: Der er aldrig noget pis med dem og ting virker, eller kommer til det meget kort tid efter at man beder om deres hjælp. Omvendt ved chefen at når de siger “vi skal bruge en XXXX” så skal der skrives under på en indkøbsordre og hvis de siger “det er en dum ide” skal der tænkes om. Lønnen er sat fornuftigt.

I virksomheder hvor ting ikke virker er der åben skyttegravskrig, næsten helt ud i BOFH-agtige tilstande, med rigide krav om udfyldning af timesedler fra den ene side, lige så rigide krav om service-vinduer og afspadsering fra den anden side og “uafhængige konsulenter” til at vurdere om det nu også er en XXXX der er brug for. Lønnen er ofte sit helt eget Dybbøl.

Alle andre kan personaleafdelingen muligvis slippe afsted med at behandle som “udskiftelige resourcer”, men i dette lille hjørne af firmaet bliver de nødt til at smøge ærmerne op og gøre et ordentligt stykke arbejde og det falder dem åbenbart utroligt svært. Kun én personalehåndbog har jeg set, som åbent og ærligt skrev “For systemafdelingen gælder særlige regler på grund af deres særlige arbejdsvilkår.”

Systemfolk er et “fact of life”, selv ikke NSA med deres uendelige budget kunne undvære folk som Edward Snowden og ingen der aner hvad de taler om, tror på at deres projekt med at automatisere den slags jobs når nogen steder.

I min optik har PBS/Nets/IBM et meget stort forklaringsproblem:

Hvordan kan en medarbejder i en så betroet stilling være til falds for kun 10.000 kroner om måneden ?

Ja, det er nemt undskylde sig med “et enkelt bråddent kar” med rod i privatøkonomien, men er det ikke netop hvad man har “moderne personaleledelse” til at forhindre ?

Var der slet ikke nogen advarselstegn ?

Hvad med MUS-samtalerne, var det bare skuespil ?

Og præcist hvad er en “sikkerhedsgodkendelse” egentlig værd, når det kommer til stykket ?

Den tekniske facilitet

Der er ingen tvivl om at der findes en facilitet i betalingskortssystemerne der gør at man kan sætte et “trace” på et bestemt kort, jeg ved faciliteten existerer i andre lande når Visa/Mastercard skal håndteres og jeg kan ikke forestille mig at Danmark er nogen undtagelse.

Det er uden tvivl også den facilitet politiet anvender og de vil formodentlig gerne have at det er real-tid, så de kan anholde folk de er efter, f.eks skatteål på weekendbesøg osv.

Sender faciliteten ligefrem en SMS i real-tid ? Det ville være en indlysende måde for Nets og senere IBM at undgå en masse papirtransaktioner: Kriminalassistent (1. grad) Thormod Jensen skriver simpelthen sit mobilnummer på dommerkendelsen og så kommer data bare væltende ind.

Hvis Datatilsynet ikke var en parodi på sit navn, ville de have sparket døren op så snart de havde læst gårsdagens avis, for at se nærmere på den facilitet, inden nogen byggede den om.

Er der nogen logfil med hvem der tilføjer/sletter den slags overvågning ?

Er der en logfil der viser hvilke beskeder der faktisk er sendt og til hvem ?

Er der nogen der faktisk læser disse logfiler ?

Er der en positiv liste med hvilke telefonnumre der kan sættes på listen ?

Og huskede PBS/Nets/IBM at kigge listen igennem da de fyrede medarbejderen ?

Har IBM et problem ?

Det er ikke indlysende for mig at IBM har et juridisk problem.

IBM har lavet en eller anden driftaftale og har i den forbindelse overtaget de medarbejdere der skulle udføre den, men selve systemerne og procedurene har de overtaget “as is” og det er helt sikkert at enhver forandring skulle godkendes af Nets, hvis ikke ligefrem initieres af Nets.

Selvfølgelig pynter det ikke på IBMs omdømme, men jeg har set nok IBM kontrakter til at vide at aben helt sikkert er parteret så hele liget ligger på Nets side af bordet.

Men IBM var for nogle måneder ude med en nyhed om at de ville fyre en masse specialister og hyre dem ind på “nul-time kontrakter” når der var brug for dem.

Hvorledes rimer dette med jobs som dette, hvor det eneste der står imellem data og misbrug er medarbejderens integritet ?

Ville en medarbejder der ikke aner hvor mange timer han kan få lov til at arbejde næste måned være langt mere fristet til at finde kunder som Se og Hør ?

Jeg håber rigtig meget at IBM får et kommercielt problem ud af den her sag:

I min optik bør sagen få alle der har outsourcet IT drift til udenlandskejede virksomheder til at genoverveje om de faktisk får mere værdi og frem for alt mere sikkerhed for pengene på den måde.

Det vil kræve utrolig solid dokumentation før jeg tror på at svaret faktisk er “ja”.

Har PBS/Nets et problem ?

Om de har!

Der er sket brud på et antal love og kontrakter og alle fingrene peger direkte på at det var PBS/Nets der skulle sørge for at det ikke skete.

Men kan de faktisk holdes til ansvar for deres svigt ?

Nej, det kan de formodentlig ikke.

Jokke og Danielsen kunne muligvis anlægge sag i byretten om brud på privatlivets fred mv. men det er ikke klart om de kan gøre det imod andre end Se og Hør.

Visa/Mastercard kan muligvis brokker sig forhold til deres franchise kontrakt, men de har ingen grund til at vise tænder, tværtimod, de vil sikkert gøre alt for at distancere sig fra sagen.

Og datatilsynet ?

De har formodentligt stadig råd til at printe et par ark hvor de udtrykker bekymring og til frimærke til konvelutten, men så er deres budget, resort og kompetencer nok også udtømt.

Og Kriminalassistent (1. grad) Thormod Jensen, vil utvivsomt forklare unge Holm at sagen er politisk og at politiet derfor Absolut INTET foretager sig. (Med mindre ministeren ringer, naturligvis.)

Og ministeren ringer ikke, for der er igen minister der har ansvaret for borgernes privatliv og sikkerheden i offentlig IT.

Har Danmark et problem ?

Ja og det er ikke noget nyt problem.

For blot få uger siden forsikrede politikere og direktører det ikke anede en skid om hvordan computere faktisk virker og hvilke udfordringer drift og vedligehold af computere med personfølsomme oplysninger udgør, at der overhovedet ikke var nogen problemer I at sælge Nets til udlandet.

Det er utroligt sjældent at vi som IT-sikkerhedsfolk allerede så kort tid efter kan synge “Hvad sagde vi?” sangen, men denne gang er der en smule håb for et pædagogisk fremskridt.

Ovenikøbet kommer sagen to dage efter at en dommer i USA fastslog at firmaer med forretning i USA er tvunget til at udlevere data fra deres udenlandske besiddelser hvis USAs myndigheder beder om det, en dom der omfatter alle “the usual suspects” CSC, IBM, KMD, Google, Microsoft osv.

Og nogle måneder efter at kørekorts- og Schengen-registrene blev hentet på en piv-åben FTP server hos CSC.

Så jo: Det var og er allerhelvedes store IT-sikkerhedsproblemer i at Nets blev solgt til udlandet, uanset hvad der blev skrevet med småt i denne eller hine kontrakt eller aftale og beviset derfor er nu plastret ud over alle avisforsider.

Kritisk dansk IT infrastruktur, hvad enten det er CPR, EPJ, eBoks, NemID eller Dankortet, bør drives af staten selv, i et statsejet datacenter, bemandet med statstjenestemænd i vellønnede sikre jobs, så deres loyalitet aldrig kommer i tvivl — og da slet ikke for 10.000 sorte kroner fra et smudsblad.

Endnu idag sidder en svensker på guderne vide hvilken måned og helt uden god grund varetægtsfænglset her i Danmark, for at have demonstreret hvor elendig sikkerheden er i de offentlige IT-systemer der er blevet ansvarsparteret af outsourcingkontrakter med store udenlandske virksomheder som ikke kan drages til ansvar for noget som helst.

En fornuftig politisk reaktion på denne sag, ville være at frafalde alle anklager imod denne svensker, give ham en uforbeholden undskyldning og tilbyde ham jobbet som øverste chef og ansvarlig for IT-sikkerhed og privatlivsbeskyttelse i alle IT systemer der omfatter mange danske borgere.

Han er bevisligt langt mere kompetent til det job, end alle dem der idag har travlt med at bevise at det ihvertfald ikke var deres ansvar.

phk

Den helt afgørende aktør i sagen om salg af oplysninger kendtes brug af betalingskort – Nets – vil stadig ikke fortælle om, hvad der kan være sket eller hvordan det kunne være sket.

Version2 har siden skandalen blev kendt mandag været i kontakt med Nets mange gange og blevet mødt med besked om, at der først kommer en udmelding, når en intern undersøgelse af anklagerne er gennemført.

Men denne undersøgelse trækker nu ud og bliver ikke klar i løbet af få dage som først meldt ud. I stedet lyder det nu fra Ulrik Marschall, pressemedarbejder hos Nets, at der vil gå længere tid. Det bliver dog ikke måneder eller uger, ventetiden skal tælles i, siger han, uden at ville uddybe nærmere.

Når undersøgelsen er slut, vil Nets så komme med en redegørelse om sagen. Version2 vil til den tid forsøge at få svar fra Nets på de mange spørgsmål, sagen rejser om blandt andet datasikkerheden hos Nets.

Ifølge efterhånden mange forskellige tidligere og nuværende Se og Hør-journalister kunne ugebladet gennem fire år købe strengt private oplysninger om kendte og kongeliges brug af betalingskort i ind- og udland. Dermed kunne Se og Hør-journalisterne for eksempel nemt opspore, hvor de overvågede personer rejste hen på ferie og følge efter dem.

Oplysningerne kom ifølge anklagerne fra en systemspecialist hos IBM, som driver systemerne for Nets. Han sendte angiveligt tips dagligt via sms til sladderjournalisterne, mod til gengæld at få en fast betaling på 10.000 kroner sort om måneden. Det ulovlige misbrug af kundedata skal have stået på fra 2008 til 2012, hvor medarbejderen blev fyret i en større fyringsrunde hos IBM.

Læs også Poul-Henning Kamps blogindlæg om sagen

Onsdag – to dage efter sagen om salg af betalingsdata fra Nets blev offentligt kendt – har politiet sendt folk af sted til Nets og leverandøren IBM for at sikre beviser til en eventuel retssag. Det skriver TV2, der har talt med Vestegnens politi.

»Vi er ude hos IBM og Nets for at se, om der er sket noget kriminelt. Vi kan hverken be- eller afkræfte, at der er begået en forbrydelse,« siger Carsten Jansson, vicepolitiinspektør, til TV2.dk.

Men foreløbigt er der ingen anholdelser i sagen, selvom identiteten på den hovedmistænkte it-medarbejder er kendt af politiet. Faktisk er politiet foreløbigt kun nået til at undersøge, om der kan være nogle paragraffer, som er overtrådt, og hvilke af dem sagen i så fald kan bygges på.

Misbrug og salg af transaktionsdata for kendte og kongeliges betalingskort stod på fra 2008 til 2012, hvorefter den pågældende medarbejder mistede adgang til disse data efter at have mistet jobbet hos IBM i en fyringsrunde.

Siden Gottfrid Svartholm blev udleveret til dansk politi i november, har han siddet isolationsfængslet, mistænkt for at have hacket mainframe-systemer hos CSC. Alt tyder på, at politiet holder ham der, indtil retssagen mod ham begynder til september, og begrundelsen har lydt, at den svenske hackermistænkte kunne påvirke bevismateriale i sagen, hvis han ikke var isoleret.

Den forklaring har mødt stærk kritik, men faktisk viser det sig, at både dansk og svensk politi i april måned har haft gang i efterforskningen i Cambodia, hvor Gottfrid Svartholm boede i en årrække, inden han blev anholdt i den tilsvarende svenske hackersag.

En tidligere samarbejdspartner i Cambodia fortæller nemlig, at han blev afhørt af dansk og svensk politi, og at det foregik på mærkværdig vis. Det skriver Torrentfreak.com, som kender til personens fulde identitet, men som har anonymiseret kilden under navnet John.

Ifølge Johns forklaring blev han tvunget til at møde op til en afhøring – ellers ville det lokale politi tage affære, sagde en truende svensk politimand over telefonen, uden at ville fortælle sit navn.

Til afhøringen, som foregik på neutral grund, var en dansk betjent og den danske vicestatsadvokat fra anklagemyndigheden, Anders Riisager, men ikke den truende svenske betjent.

Spørgsmålene var for det meste umulige at besvare, fordi de handlede om detaljer fra en periode for tre år siden, fortæller John, men et spørgsmål var nemt at svare på – nemlig om andre havde haft adgang til Gottfrids Svartholms computer. Der var nemlig over 50 personer med nem, fysisk adgang til maskinen, men det svar var politiet ikke interesseret i at få uddybet, lyder Johns udlægning af mødet med de danske myndigheder.

Spørgsmålet om adgang til Gottfrids Svartholms computer blev centralt i den svenske retssag mod ham og var med til at få ham frikendt for nogle af anklagerne, da politiet ikke kunne bevise, at det var Gottfrid Svartholm selv, der havde udført hackingen, kun at det var sket fra hans computer.

Det undrer John meget, at politiet fra Danmark og Sverige først har kontaktet ham nu – 20 måneder efter Gottfrid Svartholm blev anholdt. Han beskriver hele oplevelsen som ‘chokerende’ og ‘skandaløs’.

Jeg lovede igår at skrive et blogindlæg om Nets og IBM’s sikkerhedsproblem.

Lad mig starte med at slå fast at uanset hvor afskyeligt jeg på alle måder finder blade som Se og Hør, med deres middelalderlige kvindesyn, skadefro bedreviden og kyniske destruktion af mennesker i jagten på profit, så handler den her sag ikke om Se og Hør, den handler om Nets og IBM.

Og om vores politikere.

Der er rigtig mange ting der bør graves i, så jeg tager dem bare på uprioriteret listeform, så kan I selv sortere.

10.000 kr/måned ?

Det første der slog mig var beløbets størrelse. Jeg er sikker på at Se og Hør kunne have betalt mere og at “vor mand hos IBM” gerne ville have modtaget mere. Det lugter lidt af at der var en begrænsning på hvilke personer eller hvilke kreditkort (eller evt. hvor mange?) der kunne laves “trace” på, som har begrænset denne business opportunity. Mere om det om lidt.

Den anden side af sagen er at hvis man kigger i Prosas eller IDAs lønstatistikker, så er 10.000 egentlig ikke så stor en lønforhøjelse for folk i den tunge ende af branchen.

Havde han også andre “kunder” end Se og Hør ?

God, Root, what is difference ?

Hint: Userfriendly

Folk hvis titel starter med “system-etellerandet” har som regel ret god adgang til at gøre hvad fanden det passer dem med både hardware og software.

Det kan godt være at der er logfiler der registrerer hvad de foretager sig, men dem har de også adgang til, ofte er det ligefrem dem selv der har ansvaret for at læse logfilerne og bemærke om der sker noget usædvanligt.

Jeg kender selv jobbet indefra. Jeg har brugt nætter og weekender på at få ting til at virke efter “mindre uvæsentlige software opdateringer”, balanceret filsystemer og databaser, debugget kerner og devicedrivere osv. osv. Jeg har faktisk fået et timeregistreringsystem til at advare om at uret muligvis gik forkert, fordi jeg i en periode arbejdede mere om natten end om dagen.

Jeg har også modtaget skideballer for at møde til frokost, fra folk der ikke ville fatte at jeg havde været der indtil klokken seks om morgenen og bare havde været hjemme og få et brusebad, en portion havregryn og to timers søvn. Jeg har også taget på vandreferier i Finland, alene fordi jeg vidste at der var over tyve km til nærmeste telefon og selv hvis de fandt telefonnummeret til den, talte den kun finsk og anede ikke hvem eller hvor jeg var.

Og nej, det er egentlig ikke ret behageligt at sidde og rode med noget der overhovedet ikke virker, mens IT-chefen, Finansdirektøren og den Administrerende står og kigger dig over skulderen, mens de snakker om hvad de skal gøre hvis ikke regnskabet kan offentliggøres imorgen klokken 10 som lovet.

I virksomheder hvor ting virker, er systemfolkene blandt de mest betroede og værdsatte medarbejdere: Der er aldrig noget pis med dem og ting virker, eller kommer til det meget kort tid efter at man beder om deres hjælp. Omvendt ved chefen at når de siger “vi skal bruge en XXXX” så skal der skrives under på en indkøbsordre og hvis de siger “det er en dum ide” skal der tænkes om. Lønnen er sat fornuftigt.

I virksomheder hvor ting ikke virker er der åben skyttegravskrig, næsten helt ud i BOFH-agtige tilstande, med rigide krav om udfyldning af timesedler fra den ene side, lige så rigide krav om service-vinduer og afspadsering fra den anden side og “uafhængige konsulenter” til at vurdere om det nu også er en XXXX der er brug for. Lønnen er ofte sit helt eget Dybbøl.

Alle andre kan personaleafdelingen muligvis slippe afsted med at behandle som “udskiftelige resourcer”, men i dette lille hjørne af firmaet bliver de nødt til at smøge ærmerne op og gøre et ordentligt stykke arbejde og det falder dem åbenbart utroligt svært. Kun én personalehåndbog har jeg set, som åbent og ærligt skrev “For systemafdelingen gælder særlige regler på grund af deres særlige arbejdsvilkår.”

Systemfolk er et “fact of life”, selv ikke NSA med deres uendelige budget kunne undvære folk som Edward Snowden og ingen der aner hvad de taler om, tror på at deres projekt med at automatisere den slags jobs når nogen steder.

I min optik har PBS/Nets/IBM et meget stort forklaringsproblem:

Hvordan kan en medarbejder i en så betroet stilling være til falds for kun 10.000 kroner om måneden ?

Ja, det er nemt undskylde sig med “et enkelt bråddent kar” med rod i privatøkonomien, men er det ikke netop hvad man har “moderne personaleledelse” til at forhindre ?

Var der slet ikke nogen advarselstegn ?

Hvad med MUS-samtalerne, var det bare skuespil ?

Og præcist hvad er en “sikkerhedsgodkendelse” egentlig værd, når det kommer til stykket ?

Den tekniske facilitet

Der er ingen tvivl om at der findes en facilitet i betalingskortssystemerne der gør at man kan sætte et “trace” på et bestemt kort, jeg ved faciliteten existerer i andre lande når Visa/Mastercard skal håndteres og jeg kan ikke forestille mig at Danmark er nogen undtagelse.

Det er uden tvivl også den facilitet politiet anvender og de vil formodentlig gerne have at det er real-tid, så de kan anholde folk de er efter, f.eks skatteål på weekendbesøg osv.

Sender faciliteten ligefrem en SMS i real-tid ? Det ville være en indlysende måde for Nets og senere IBM at undgå en masse papirtransaktioner: Kriminalassistent (1. grad) Thormod Jensen skriver simpelthen sit mobilnummer på dommerkendelsen og så kommer data bare væltende ind.

Hvis Datatilsynet ikke var en parodi på sit navn, ville de have sparket døren op så snart de havde læst gårsdagens avis, for at se nærmere på den facilitet, inden nogen byggede den om.

Er der nogen logfil med hvem der tilføjer/sletter den slags overvågning ?

Er der en logfil der viser hvilke beskeder der faktisk er sendt og til hvem ?

Er der nogen der faktisk læser disse logfiler ?

Er der en positiv liste med hvilke telefonnumre der kan sættes på listen ?

Og huskede PBS/Nets/IBM at kigge listen igennem da de fyrede medarbejderen ?

Har IBM et problem ?

Det er ikke indlysende for mig at IBM har et juridisk problem.

IBM har lavet en eller anden driftaftale og har i den forbindelse overtaget de medarbejdere der skulle udføre den, men selve systemerne og procedurene har de overtaget “as is” og det er helt sikkert at enhver forandring skulle godkendes af Nets, hvis ikke ligefrem initieres af Nets.

Selvfølgelig pynter det ikke på IBMs omdømme, men jeg har set nok IBM kontrakter til at vide at aben helt sikkert er parteret så hele liget ligger på Nets side af bordet.

Men IBM var for nogle måneder ude med en nyhed om at de ville fyre en masse specialister og hyre dem ind på “nul-time kontrakter” når der var brug for dem.

Hvorledes rimer dette med jobs som dette, hvor det eneste der står imellem data og misbrug er medarbejderens integritet ?

Ville en medarbejder der ikke aner hvor mange timer han kan få lov til at arbejde næste måned være langt mere fristet til at finde kunder som Se og Hør ?

Jeg håber rigtig meget at IBM får et kommercielt problem ud af den her sag:

I min optik bør sagen få alle der har outsourcet IT drift til udenlandskejede virksomheder til at genoverveje om de faktisk får mere værdi og frem for alt mere sikkerhed for pengene på den måde.

Det vil kræve utrolig solid dokumentation før jeg tror på at svaret faktisk er “ja”.

Har PBS/Nets et problem ?

Om de har!

Der er sket brud på et antal love og kontrakter og alle fingrene peger direkte på at det var PBS/Nets der skulle sørge for at det ikke skete.

Men kan de faktisk holdes til ansvar for deres svigt ?

Nej, det kan de formodentlig ikke.

Jokke og Danielsen kunne muligvis anlægge sag i byretten om brud på privatlivets fred mv. men det er ikke klart om de kan gøre det imod andre end Se og Hør.

Visa/Mastercard kan muligvis brokker sig forhold til deres franchise kontrakt, men de har ingen grund til at vise tænder, tværtimod, de vil sikkert gøre alt for at distancere sig fra sagen.

Og datatilsynet ?

De har formodentligt stadig råd til at printe et par ark hvor de udtrykker bekymring og til frimærke til konvelutten, men så er deres budget, resort og kompetencer nok også udtømt.

Og Kriminalassistent (1. grad) Thormod Jensen, vil utvivsomt forklare unge Holm at sagen er politisk og at politiet derfor Absolut INTET foretager sig. (Med mindre ministeren ringer, naturligvis.)

Og ministeren ringer ikke, for der er igen minister der har ansvaret for borgernes privatliv og sikkerheden i offentlig IT.

Har Danmark et problem ?

Ja og det er ikke noget nyt problem.

For blot få uger siden forsikrede politikere og direktører det ikke anede en skid om hvordan computere faktisk virker og hvilke udfordringer drift og vedligehold af computere med personfølsomme oplysninger udgør, at der overhovedet ikke var nogen problemer I at sælge Nets til udlandet.

Det er utroligt sjældent at vi som IT-sikkerhedsfolk allerede så kort tid efter kan synge “Hvad sagde vi?” sangen, men denne gang er der en smule håb for et pædagogisk fremskridt.

Ovenikøbet kommer sagen to dage efter at en dommer i USA fastslog at firmaer med forretning i USA er tvunget til at udlevere data fra deres udenlandske besiddelser hvis USAs myndigheder beder om det, en dom der omfatter alle “the usual suspects” CSC, IBM, KMD, Google, Microsoft osv.

Og nogle måneder efter at kørekorts- og Schengen-registrene blev hentet på en piv-åben FTP server hos CSC.

Så jo: Det var og er allerhelvedes store IT-sikkerhedsproblemer i at Nets blev solgt til udlandet, uanset hvad der blev skrevet med småt i denne eller hine kontrakt eller aftale og beviset derfor er nu plastret ud over alle avisforsider.

Kritisk dansk IT infrastruktur, hvad enten det er CPR, EPJ, eBoks, NemID eller Dankortet, bør drives af staten selv, i et statsejet datacenter, bemandet med statstjenestemænd i vellønnede sikre jobs, så deres loyalitet aldrig kommer i tvivl — og da slet ikke for 10.000 sorte kroner fra et smudsblad.

Endnu idag sidder en svensker på guderne vide hvilken måned og helt uden god grund varetægtsfænglset her i Danmark, for at have demonstreret hvor elendig sikkerheden er i de offentlige IT-systemer der er blevet ansvarsparteret af outsourcingkontrakter med store udenlandske virksomheder som ikke kan drages til ansvar for noget som helst.

En fornuftig politisk reaktion på denne sag, ville være at frafalde alle anklager imod denne svensker, give ham en uforbeholden undskyldning og tilbyde ham jobbet som øverste chef og ansvarlig for IT-sikkerhed og privatlivsbeskyttelse i alle IT systemer der omfatter mange danske borgere.

Han er bevisligt langt mere kompetent til det job, end alle dem der idag har travlt med at bevise at det ihvertfald ikke var deres ansvar.

phk

»Der er ikke grundlag for at tro, at amerikanske efterretningstjenester har ulovlige efterretningsaktiviteter rettet mod Danmark og danske interesser.«

Sådan har det officielle svar fra regeringen lydt, hver gang der dukkede spørgsmål om NSA’s massive og verdensomspændende overvågning op, og på et samråd tirsdag eftermiddag i Folketingets retsudvalg, blev den sætning gentaget – med små sproglige variationer – igen og igen.

Justitsminister Karen Hækkerup og forsvarsminister Nicolai Wammen svarede på spørgsmål fra især Pernille Skipper fra Enhedslisten – som havde indkaldt til samrådet – og fra Venstre og Liberal Alliance.

Anledningen var artikler i Information, som beskrev hvordan NSA-dokumenter, lækket af Edward Snowden, beskrev brugen af ’signal intelligence’ ved klimatopmødet COP15 i 2009 i København. Det harmonerer ikke med regeringens standardsvar, mente Pernille Skipper, som efter flere forsøg fik en lille slags forklaring fra Karen Hækkerup.

»Der er jo dokumentation for, med NSA’s egne ord, at NSA har udført Signal Intelligence over for et klimatopmøde afholdt i Danmark. Er det fordi, det ikke er sket, eller at alle andre tager fejl – eller fordi det er blåstemplet af danske efterretningstjenster?« spurgte Pernille Skipper.

»Der kan også være en helt tredje løsning – at der ikke er grundlag for at antage, at der er indhentet ulovlige oplysninger mod Danmark eller danske interesser – og så kan man selv tolke sig frem til det sidste,« lød det kryptiske svar fra Karen Hækkerup.

Det mente Pernille Skipper ikke var godt nok i et demokratisk land.

»Regeringen har den ene sætning – og så må man selv tolke sig frem til resten. Så er spørgsmålet, om det er acceptabelt, at borgerne i et demokratisk samfund skal tolke sig frem. Enten så er alle de her afsløringer, som er kommet fra Snowden, det pure opspind. Eller også sker det med dansk tilladelse. Og så har danske borgere efter min mening krav på at vide det,« sagde hun.

Kafkask med afvisningerne

Også Venstre greb fat i ministrenes standard-afvisning og fandt den i sig selv mistænkelig.

»Det bliver jo lidt kafkask i forhold til afvisningerne. Det kan i sig selv give anledning til at tro, at der foregår alt muligt. Jeg tror, at der foregår en masse overvågning, men lovligt, med danske myndigheders tilladelse, og så er det jo en relevant politisk diskussion, hvad omfanget skal være,« sagde Karsten Lauritzen fra Venstre.

Justitsministeren forklarede på samrådet, at der var meget, som efterretningstjenesterne ikke kunne lægge åbent frem, blandt andet på grund af forholdet til de efterretningstjenester fra andre lande, som man samarbejder med.

»Vi bliver nødt til at erkende, at man ikke kan lægge alt frem og tage en plenardiskussion. Det betyder ikke, at der ikke skal være demokratisk kontrol, og det er derfor, vi har kontroludvalget og andre kontrolinstanser,« sagde Karen Hækkerup, med henvisning til to udvalg, det ene med fem folketingspolitikere fra de fem største partier, som med tavshedspligt kan få mere indblik i efterretningstjenesternes arbejde.

»Vi taler under ministeransvar. Det er ikke sådan, at vi lyver, men der er ting, vi ikke kan lægge åbent frem. Det handler ikke om, at vi ikke vil gøre noget ved overvågning – der gøres mange ting – men det er noget, vi ikke kan lægge åbent frem,« sagde justitsministeren også.

Undervejs i samrådet understregede hun, at hvis andre landes efterretningsfolk skulle arbejde lovligt i Danmark, er det på samme vilkår som PET og Forsvarets Efterretningstjeneste er underlagt, altså at følge retsplejeloven, herunder for eksempel krav om en dommerkendelse, hvis personer skal aflyttes.

Ambassadør kunne ikke afvise overvågning af statsministeren

Et af de spørgsmål, Enhedslisten havde bedt om svar på, var den amerikanske ambassadørs udtalelse i et interview på DR2, hvor ambassadøren ikke kunne afvise, at den danske statsminister blev aflyttet.

»Han kunne ikke sige ’naturligvis overvåger vi ikke den danske statsminister’. Er det ikke bekymrende, at man kan afvise det i forhold til den tyske kansler, men ikke i forhold til den danske statsminister?« spurgte Pernille Skipper.

Justitsministeren gentog den faste sætning om, at der ikke var grundlag for at antage, at amerikanerne ulovligt har efterretningsaktiviteter rettet mod danske interesser – heller ikke mod danske ministre eller danske folketingsmedlemmer.

»Jeg hæfter mig ved, at ambassadøren klart understreger, at alt hvad amerikanerne gør, er koordineret med Danmark,« sagde Karen Hækkerup.

Den generelle diskussion – eller mangel på samme – om overvågning og borgernes rettigheder blev også taget op af oppositionen.

»Der mangler en erkendelse af, at der er et overvågningsproblem i Danmark. Før vi har den erkendelse, kan vi ikke diskutere det. Det er da mærkeligt, hvis Tyskland og de andre lande har et overvågningsproblem – men ikke her. Skal vi virkelig vente på et folketingsvalg, før socialdemokraterne erkender det?« sagde Simon Emil Ammitzbøl fra Liberal Alliance.

Også Enhedslisten bemærkede, at den danske regering – modsat de fleste andre lande – ikke forholder sig til NSA-afsløringerne, men blot gentager, at der ikke er grundlag for at antage, at der sker ulovlig overvågning fra amerikanernes side.

I sin indledende melding forklarede justitsministeren i øvrigt, at der er masser af spionagetrusler mod Danmark og danske interesser – for eksempel mod forsvaret og mod forskning på universiteter og i private firmaer.

»PET vurderer, at en række lande i dag aktivt bedriver spionage mod Danmark. Når der kun har været meget få offentlige sager om spionage i Danmark, skal det ikke tages som et udtryk for, at det ikke sker herhjemme,« sagde Karen Hækkerup.

Se hele samrådet på folketingets webside.

De danske og europæiske patentregler giver allerede i dag masser af plads til softwarepatenter. For undtagelsen, der forbyder softwarepatenter, bliver fortolket meget snævert og gælder i praksis kun selve kildekoden.

Sådan lyder det fra Peter Borg Gaarde, patentadvokat og partner hos patentbureauet Høiberg.

»Det er en vildfarelse at tro, at man ikke kan tage patent på software i Europa, eller at der er stor forskel på reglerne i USA og Europa. Forskellen er undtagelsesbestemmelsen, men den skal fortolkes snævert og dækker computerprogrammet i sig selv, altså kildekoden bag et program,« forklarer han til Version2.

Man kan få patent på tekniske løsninger på tekniske problemer – herunder også fremgangsmåder, som bliver udført på en computer. Og kildekoden, som man altså ikke kan patentere, er i forvejen beskyttet af ophavsret. Men at reglerne giver mulighed for softwarepatenter, betyder ikke at det er nemt at tage et patent på software.

»Det er en udfordring at skrive softwarepatenter, for man er oppe imod alt, som er offentliggjort tidligere. Og nogle gange er det afgørende spørgsmål, om det er teknisk nok, eller om det er en mental proces, for eksempel om det er ren matematik,« siger Peter Borg Gaarde.

Læs mere om muligheden for softwarepatenter i Peter Borg Gaardes indlæg på DenFri.dk.

Et forsøg på at tage patent på flekslån-konceptet faldt således til jorden, fordi det var for meget matematik og for lidt teknisk, mens cookies nok godt kunne blive patenterede, hvis princippet om at websider placerer små tekstfiler lokalt på de besøgendes computere blev opfundet i dag, lyder vurderingen.

Men det berømte eksempel med Amazons patent på ’1 Click’-nethandel – at man kunne købe noget i Amazons webbutik med bare ét klik – blev forkastet i Europa.

»Amazons forsøg på at patentere det i Europa faldt på manglende opfindelseshøjde. Det handlede ikke om softwarepatenter eller ej,« siger Peter Borg Gaarde.

Enhedspatent har ikke noget med softwarepatent at gøre

På samme måde handler den nuværende diskussion om ja eller nej til det europæiske enhedspatent slet ikke om softwarepatenter, selvom nogle forsøger at dreje debatten i den retning, mener han.

»Det er en pseudo-diskussion at koble softwarepatenter på afstemningen om enhedspatent, for et ja eller nej vil ikke betyde noget for, om vi har softwarepatenter eller ej. Diskussionen er bare blusset op igen, fordi man tror, at Danmark har en speciel fortolkning, men det er en misforståelse. Hvis danske domstole skal behandle et softwarepatent, vil det ske efter samme praksis som i resten af Europa,« siger Peter Borg Gaarde.

Til gengæld vil antallet af patenter, som gælder i Danmark, stige med et ja til enhedspatent, og dermed også antallet af softwarepatenter.

»Der vil være mange flere patenter, som får effekt i Danmark, fordi mange i dag vælger Danmark fra, når de søger patent i Europa, fordi vi er et lille land. Med enhedspatent vil flere patenter gælde i alle landene. Det kan nej-fløjen godt bruge som argument. Men hvis man vil tiltrække virksomheder, er det jo godt at være et patentvenligt land, højt oppe i værdikæden, hvor man har rettigheder, man kan beskytte,« siger Peter Borg Gaarde.

Den modsatte nationale strategi er at have dårlig patentbeskyttelse og tiltrække virksomheder, som vil lukrere på andres ideer, men det er en kortsigtet strategi, mener han.

Forstår ikke ‘fråden om munden’

At der blandt softwareudviklere er modstand mod softwarepatenter, undrer patentadvokaten. ’Trusselsbilledet’ mod små softwarefirmaer er også blevet overdrevet kraftigt, mener han.

»Jeg forstår ikke den fråde om munden, det giver hos softwareudviklere, når man taler om patenter. Man behøver ikke som softwareudvikler at være hverken mere eller mindre skræmt over patenter end alle mulige andre brancher. Det er jo ikke anderledes for en lille snedker, som udvikler en dims, som også kan være omfattet af patent. Men softwarebranchen vil gerne have, at der gælder andre regler for dem,« siger Peter Borg Gaarde.

Den sædvanlige fortælling om store, onde globale firmaer, som kan køre de selvstændige udviklere og små firmaer over med alverdens urimelige patentsager mangler modspil – for i virkeligheden er et patent også i høj grad de små firmaers mulighed for beskyttelse.

»It-branchen burde være moden til, at man beskytter sin investering. Vi har hjulpet flere it-virksomheder med at sikre sig rettigheder til den teknologi, man har opfundet. Har man ikke beskyttet de immaterielle rettigheder, vil investorerne ikke røre et firma med en ildtang. Det handler ikke kun om at beskytte en opfinder, men også virksomhedsejeren, der betaler opfinderens løn, og aktionærerne i firmaet,« siger Peter Borg Gaarde.

Selvom der efterhånden er kommet de samme muligheder for at tegne softwarepatenter i Europa som i USA, er det næsten kun i USA, man hører om store patentsager på it-området. Det handler om erstatningsreglerne i USA, der er skruet sammen helt anderledes, og som giver mulighed for langt større ’gevinst’ end i Europa.

»Lovgivningsmæssigt kunne man sagtens forestille sig samme slags sager i Europa, men der er bare mange flere penge i det i USA. Af samme grund skal man ikke som lille udvikler frygte patentsager, for de bliver ført for at tjene penge, og det har en lille udvikler jo ikke. Vi kender ikke ret mange eksempler på folk, som er blevet stoppet af et stort firma med et softwarepatent,« siger patentadvokaten.

For patentsystemet generelt, altså uanset om det handler om software eller ej, vil et ja til europæisk enhedspatent også være en fordel for de små virksomheder, mener Peter Borg Gaarde.

»Det koster i dag en formue at få et patent i hele Europa, fordi det skal valideres i mange lande. Det er virkeligt mange penge man skal bruge på oversættelser og en masse administrativt arbejde, som ikke kommer nogen til gode. Og skal man håndhæve sit patent er det også dyrt. For eksempel forsvarer Lundbeck hårdnakket lykkepillen i hvert enkelt land, men det er meget dyrt at gøre. Og det er kun en fordel for de store virksomheder,« siger han til Version2.

Version2 og Ingeniøren afholder i dag 30/4-2014 debatmøde om det fælles EU-patent og EUs patentdomstol. Følg liveblog derfra på Version2 fra klokken 13.