Vi er nødt til at tale om sikkerheden hos Centeret for CyberSikkerhed (CfCS) og Forsvarets Efterretningstjeneste (FE)


Man kan hente et program på nettet, som "scraper" meta-information fra de dokumenter, billeder mv., som ligger på et website. Ja, man kan hente mange. 

 Søg på "program to scrape meta information from websites", og du er godt i gang.

 Meta-information er information om afsenderen/skaberen af billedet eller dokumentet med meget mere - f.eks. hvilken device du brugte, hvilken version af iOS du kører, osv.... 

Vi tager lige en afstikker, før vi vender tilbage til emnet:

 Dette fænomen med meta-information blev måske mest landskendt, da den Google-translate-drevne "oversættelse" af Jægerbogen til arabisk blev sendt fra den noget usle, daværende spindoktor i Forsvarsministeriet til pressen som bevis for, at det var meget farligt at udgive bogen, for nu læste arabiskkyndige den også.

 Men stymperen, der havde konspireret med en officer inde i ministeriet om denne snedige plan, hvorefter han fik denne oberst til at overtale Jesper til at udføre niddings-dåden, glemte liiige at fjerne meta-informationen, da han (stymperen) videresendte det oversatte dokument til pressen - så pressen/journalisterne kunne se et vandmærke i dokumentet fra... Forsvarsministeriet. 

 Andre har så også kunnet se, hvilken version af Windows utysket kørte på sin PC i ministeriet og dermed potentielt målrette en angreb mod ham og dermed komme ind i ministeriet. Flot.

 https://www.computerworld.dk/art/126905/forsvaret-fyrer-it-chef-maskinoversatte-jaegerbog

 Det er KLART, at det førte til, at ... Jesper, selvfølgelig!, måtte lade sig falde på sit sværd efter en i øvrigt lang og glorværdig karriere i Forsvaret.

 Og så gik spindoktoren og Forsvarsministeriet ellers i gang, måske lidt i panik:

 https://www.berlingske.dk/samfund/it-chef-i-forsvaret-oversatte-jaegerbogen-til-arabisk

 https://www.bt.dk/danmark/fyret-it-chef-fik-ordre-af-oberst

 https://www.kristeligt-dagblad.dk/danmark/forsvarsministeriet-forsvarer-spindoktor

 https://ekstrabladet.dk/112/article4150372.ece

 Jeg snød lidt og spurgte folk, der havde gjort tjeneste med Jesper i mange år og været med ham i med- og modgang. 

 De kaldte ham alle for en hædersmand, en yderst loyal officer, der aldrig ville kunne finde på at gøre den slags af egen drift. Men når man får valget mellem at få en træls tid uden pension og med en straf hængende over hovedet - eller at gå frivilligt og påtage sig rollen some scapegoat (ikke scrape-goat!), så vælger man jo tit den første option. 

 Det gjorde Hovsa-Olsen i øvrigt også, selvom det ikke var hans skyld, at missilet gik af. Den historie må I få en anden gang.

 Og det var slå slut på afstikkeren. Tilbage til emnet:

 En god mand brugte engang et af disse meta-info-scraping tools på Centeret for CyberSikkerheds hjemmeside og fik på den måde hevet en komplet liste ud over navnene på samtlige de ansatte i Centeret.

 Det gjorde han i øvrigt også på Datatilsynets hjemmeside.

 Hvis han kunne gøre det mange år efter Centerets opståen, så har mange andre nok også gjort det i tidens løb.

 Centeret, og FE, er bare ikke særligt gode til det der med IT-sikkerhed. Prøv at læse denne ret chokerende artikel fra i dag i Version2, f.eks.:

 https://www.version2.dk/artikel/rod-med-mail-sikkerhed-paa-flere-domaener-hos-forsvarets-efterretningstjeneste-cfcs-1087431

 Jeg er sikker på, at vi i Nordic Data Intelligence ikke har denne sikkerhed sat op (endnu), og det er sikkert de færreste, der har. Men når det drejer sig om Centeret og FE er der nogle pointer, som jeg gerne vil fremhæve i denne sammenhæng:

 1. De bør, når de bliver opmærksomme på den slags, bare få det fixet med det samme. De skal ikke gå i DJØF-selvsving med undskyldninger om processer og procedurer og noget med, at en medarbejder er i gang. Punktum. Ord skaber ikke handling. Man er, hvad man gør, ikke hvad man siger.

 2. De bør uden undtagelse og uden ophør sørge for, at de aldrig anbefaler noget medicin til andre, som de ikke selv tager. 

 3. I lyset af den forfærdende idé de har fået om at 

 - have fri leg med og adgang til alle, selv de mest interne, data hos alle de institutioner og private bikse de måtte have lyst til, OG

- vel at mærke opbevare det i akkurat lige så lang tid de har lyst hos dem selv OG 

 - være berettigede til at udveksle denne information med andre landes E-tjenester, specielt indenfor Nine Eyes, samarbejdet, hvor vi er medlem, OG

 - være fri for Forvaltningsloven, GDPR, mv. i de tilfælde, hvor de måttet have lyst til det (fordi de hører under Forsvarsministeriet), OG

- selv være herrer over, hvorvidt TET (Tilsynet med EfterretningsTjenesterne) må kontrollere dem...

 ... så synes jeg ikke, at FE/Centeret fremstår troværdige i forhold til en sådan opgave.

 Det er i forvejen vanvid at samle den slags information fra alle de vigtigste aktører indenfor samfundskritiske og samfundsvigtige funktioner ét sted. 

 Læg dertil, at FE/Centeret ligesom alle andre har svært ved at rekruttere nok dygtige folk.

 Men det værste er måske, at de bliver centrum for al opmærksomhed fra alle, der vil have fat i den slags information, uanset om det er script-kiddies fra Hobro, hobby-terrorister fra Tyskland og Hviderusland - eller stats-aktører fra Tehran, Beijing, Moskva, Amsterdam eller Cheltenham.

 Lav nu et stærkt, civilt ministerium for Digital Sikkerhed. Eller til nød en styrelse under statsministeriet. 

 Og kopier så de kloge ting de har gjort i Estland, Holland, Belgien, Israel og et par andre steder.

 Start gerne med et råd, der omfatter forskere, civilie virksomheder, skrappe whitehackere, offentlige institutioner og FE/PET/Rigspolitiet, og lad dem mødes hver 14. dag og udveksle viden, data, idéer og forslag. Det ville være et fint første trin hen ad den rette vej.

 Man har i Danmark valgt at kopiere UK's idé om at GCHQ skal have adgang til alt. Kun UK har fået den idé. Men de har jo heller ikke engang en grundlov, som en af mine venner sagde en aften :).

 Hvad angår det sikkerhedsmæssige kunne det endda gå an. GCHQ er SÅ meget kraftigere og dygtigere (de har også en masse folk fra NSA siddende), at de til nød kan håndtere at være en potentiel sårbar SPOD (Single Point Of Data) og dermed en SPOF (Single Point Of Failure). Men det er stadigvæk helt hen i vejret set fra et demokratisk synspunkt.

 Det skal også fremhæves, at alle høringssvar til lovforslaget vender  samtlige fingre nedad, og at f.eks. Tradeshift, har sagt, at de i så fald ikke kan have folk og data i Danmark, da al kommunikation med deres kunder/partnere og mellem medarbejderne på den måde kan havne hos Centeret.

 https://www.computerworld.dk/art/246310/dansk-milliardvirksomhed-truer-med-at-forlade-danmark-hvis-nye-regler-for-center-for-cybersikkerhed-bliver-vedtaget

 Tak i øvrigt til Version2 for fremragende journalistik. 

Kommentarer

Send en kommentar

Populære opslag fra denne blog

Historien om Oracle i Danmark - TPI, DDE og den slags...

Der er nogle "historier", der ofte fortælles blandt gamle mænd, inklusive mig selv.  Der er f.eks. den med mobileventyret i Nordjylland, der brat stoppede, da man ikke mente, at GSM var lige så godt som NMT (Nordisk Mobil Telefon), selvom GSM var den vedtagne, internationale, fremtidige standard... hvorefter et gummistøvle- og kabel-firma ved navn Nokia så en mulighed for at komme ind på et helt nyt marked.  Og så er der historien om, hvordan Danmark kunne være blevet en virkelig sværvægter indenfor Oracle-verdenen. Engang i slut-70'erne eller begyndelsen af 80'erne hører en fyr i Ålborg om en ny type database, som et firma ved navn RSI havde lavet i Californien. De havde lavet en database til CIA, som de kaldte Oracle, fordi den kunne svare på alt. Eller noget.  Fyren - Tom Pedersen - så en mulighed og inviterede de to grundlæggere - Larry Ellison og Bob Miner - til Ålborg for at få en ordentlig introduktion til det europæiske marked. Det sagde de ja til, og
Læs mere

Velkommen, min Steve Jobs-fyring - og de tre nye bikse...

Velkommen! Jeg har haft en del blogs i tidens løb, jeg har skrevet mange klummer og lignende, jeg har holdt tusindvis af foredrag - og gjort mit til, at visse specielle dele af den danske presse ikke var komplet forudsigelige hele tiden... Men det er jo LÆNGE siden. Jeg er blevet ældre, mere "rund" (ahem), og meget mere fornuftig og afbalanceret. Efter min Steve Jobs-agtige afgang fra mit elskede Miracle i 2013 har jeg ligget lidt lavt, slikket sår, kigget på nye ting, startet nogle bikse, flyttet teltpælene fra Kratvej 2, 2760 Målløs til Nytorv 5, 1450 København K. Ingen nogenvideoer på kontoret, ingen deltagelse i Den Hemmelige Millionær, ingen skænderier med lobbyister... Alt i alt fire ret kedelige år, hvis man ser sådan på det. Men godt nok også nogle MEGET lærerige år. At blive smidt ud fra sin egen virksomhed er ikke noget jeg vil ønske for min værste fjende, men så får man da testet sig selv lidt. Jeg plejer at sige til mine nærmeste, at jeg er glad for, at jeg
Læs mere

Ny Offentlig Skat ...

Her er et indlæg, jeg MÅTTE lave forleden, da de nye, og storslåede, planer for Ny Skat blev offentliggjort. Jeg gjorde det så på Facebook (og i mit ugentlige radioindslag på Nordjyske Medier), da jeg jo ikke havde en brændende blogplatform på det tidspunkt (det er flere dage siden). Så lad mig gengive det som det blev skrevet - råt og gråt - på Facebook: 1. Der er tale om det ældste konsulenttrick i Verden: Foreslå det stik modsatte af det, som kunden gør nu. Så virker du klog. Tre eksempler: - For seks-syv år siden havde Forsvaret en krise , og McKinsey foreslog efter lange rapporter og mange penge, at de gjorde det modsatte, dvs. de-centraliserede stabsfunktionerne - for at specialisere og styrke ude i de enkelte afdelinger, etc. For et par år siden var den gal igen - ny pengekrise - og McKinsey foreslog, meget overraskende, en centralisering, så der kunne opnås .... wait for it... synergi! - LEGO: De var på røven, og Anders foreslog derfor, at de gjorde det stik modsatte
Læs mere