Betydningen af sikkerhed – og hvem har ansvaret

"Fysisk" Kriminalitet er noget politiet har taget sig af. Sådan har det altid været... Mon ikke man skulle oprette en særlig "breed" af politibetjente? Politibetjente man ikke ser på vejene, men hvis opgave ene og alene er at tage sig af IT kriminelle?

Det måske liiige naivt nok at tænke, men hvis alle lande nu havde sådan en division af IT-politi som udvekslede informationer og hjalp hinanden + at man som almen borger selv tog en aktiv del i at sørge for at man færdede sikkert på internettet ville det jo nok være en hel del sværere at begå IT kriminalitet - ville det ikke?

Med andre ord så er ansvaret svær at på-dutte en enkelt instans. Man må som Hr og fru. Danmark selv tage en aktiv del i at ens computer er sikret. På samme måde som at man sætter lås på cykel, bil og bolig. Men har man sikret sig så godt som man "ved", så må politiet træde til og forsøge at komme til bunds i sagen.

#1: GeneralBobo
Politiets Efterretningstjeneste (PET) har allerede en afdeling for IT-kriminalitet. Den er desværre bare ikke særlig stor i øjeblikket. Det sidste jeg hørte var at der kun er én person til at klare sagerne


On-topic
Emnet er sådan set delt op flere aspekter da der er relativt stor forskel på hvordan sikkerheden skal afgøres blandt privatpersoner og virksomheder.

Virksomheder
1. Det er ledelsens ansvar at sørge for en god sikkerhedsløsning der automatisk sikrer virksomheden mod de mest almindelige trusler udefra (vira, hackere, osv).

2. Ledelsen bør også vedtage en fornuftig og tidssvarende reguleret IT-politik samt sørge for grundig uddannelse af alle medarbejdere således at disse er i stand til at opfatte trusler.

3. Det er også ledelsens ansvar at sørge for at al behandling af følsomme personoplysninger for både medarbejdere og kunder kun kan tilgås/ændres af meget få personer der har erfarring med netop håndteringen af følsomme oplysninger.

4. Det er så tilgengæld medarbejdernes ansvar at være åbne over for de nye/ændrede regler og har forståelse for at virksomhedens sikkerhed går ud over den enkelte brugers handlefrihed på/med internettet i forhold til hvad de er vant til hjemmefra. Det er vigtigt at alle medarbejderne føler et ansvar over for deres arbejdsplads, kan de ikke dette bør deres fremtid i virksomheden revideres. Der skal kun én lille dum fejl til for at en person udefra (in)direkte kan forårsage stor skade.

Privatpersoner
1. Privatpersoner behøver ikke den store kendskab til IT-sikkerhed da de fleste ISP'er idag sørger for en effektiv filtrering af trafikken således at skadelig software/scripts bliver sorteret fra. Ligeledes er de fleste computer-løsninger leveret med antivirus og firewall (dog ofte kun indgående traffik).

2. Det er op til den enkelte privatperson selv at definere i hvilken grad han/hun gerne vil kunne sikre sig yderligere, her tænkes specielt på spyware/malware/rootkits.
2.a. Privatpersonen kan selv forsøge at sætte sig ind i mulighederne for yderlig sikkerhed, både med software og "sikker brug af internettet".
2.b. Det er også muligt at spørge familie/venner til råds om hvad der kan gøres for at sikre sig yderligere og så lade dem om at forklare hvad sikker brug af internettet er, samt at installere og konfigurere eventuel software.

3. For privatpersoner der bor i lejlighed med delt internetforbindelse, er det vigtigt at de tager kontakt til deres udlejer og får svar på spørgsmål vedrørende "brug af internettet" og eventuelle indstillinger der skal foretages på routere/computere inden disse kobles op på udlejerens netværk. Med "brug af internettet" tænkes der specielt på om der er regler for downloads og hvilke porte det er muligt at få åbnet på udlejerens router(e). Ligesom med medarbejderne i en virksomhed, er det vigtigt at lejerne i en boligblok respekterer hinanden og ikke overbruger internettet så andre lejere ikke kan bruge det.

Andet
1. Jeg mener at persondataloven skal revideres således at der ved lov kan tildeles store bøder til virksomheder/offentlige instanser for lemfældig omgang med følsomme oplysninger. Jeg vil endda gå så vidt at sige at det ved lov skal være fyringsgrundlag hvis en medarbejder (in)direkte er skyld i at følsomme data bliver lækket til internettet eller helt forsvinder fra systemet. En professionel hacker behøver ikke mange oplysninger for at kunne diverse bankkonti og/eller overtage din identitet.

2. Vi er generelt ikke så gode i Danmark til IT-sikkerhed (se links i oplægget), mest af alt fordi det ikke er et område der bliver debatteret særligt ofte på de danske tv-kanaler, og når det gør, er de råd der bliver givet ofte råd som er meget abstrakte uden konkrete eksempler på genkendelse af trusler. Det eneste større tiltag der har været i nyere tid, var da spywarefri.dk for 1-2 år siden var på tv (DR2?). Mere oplysning tak.

3. I samme dur mener jeg at alle ISP'er bør vedlægge en lille folder i de papirer de sender ud til deres nye kunder. Folderen skal så indeholde nogle råd om sikkerhed, hvilke farer der kan være på internettet, og hvordan man beskytter sig imod disse samt links til videre læsning på ekspertsider.

Off-topic
Nogen der kender et program der kan scanne data-packages for meta-data, både ved hjemmesider, men også filoverførsler?

Jeg gaar ellers normalt ikke ind for mere statslig indblanding i private virkrsomheder, men paa dette punkt synes jeg der er brug for det.

De seneste utallige sager hvor data er blevet "stjaalet" har mere haft at goere med extrem indkompetance hos en virksomhed eller medarbejder end dygtige tyve. Fx en hel database med 100.000-vis af kunder, gemt paa en CD eller Laptop der saa er blevet glemt eller stjaalet ved et tilfaelde.
Man tager sig til hovedet naar man hoerer den slags og paa det seneste har man hoert det alt for ofte!

Som jeg ser det er grunden til den daarlige sikkerhed at det ikke giver oekonomisk mening for virksomheder at have en god sikkerhed. En ting er hvis en virkelig god "tyv" bryder et anderkaendt sikkerhedssystem, men hvis der tydeligt er blevet sloeset med sikkerheden boer det have stoerre konsekvenser for virksomheden eller personen der findes skyldig.

En bonus er at naar virksomheder begynder at efterspoerge mere sikkert software vil software-producenter ogsaa fokusere mere paa det.

Kort sagt mener jeg at der skulle vaerre strammere lovgivning naar virksomheder eller personer findes at sloese kraftigt med sikkerheden omkring data beskyttet af persondataloven.

Der er sikkert nogle mere eller mindre uskyldige der vil blive ramt af dette. Men hvis ikke der bliver indfoert stoerre konsekvenser, vil der aldrig ske noget.

----
Med hensyn til folks sikkerhed af data paa deres egen PC er det efter min mening deres eget ansvar at soerge for det. At man ikke forstaar en teknologi, er ikke en undskyldning.
Hvis jeg ikke vidste hvad en laas var er det jo ikke en god undskyldning naar tyve toemmer mit hjem for vaerdier.

Del almindelige bruger har ansvaret for at sørge for at have stærke passwords, en opdateret computer med dertilhørende opdateret firewall + antivirus.
Alt det andet hører til hos de enkelte firmaer - man FORVENTER jo, at sikkerheden i sådanne databaser er iorden. Og hvis ikke, så ryger tilliden hurtigt og man finder andre græsgange.
Faktum er, at følsomme private data, hvad enten det er personoplysninger, eller forretningshemmeligheder, bør krypteres med en tilstrækkeligt kraftig algoritme, så at udefrakommende ikke kan bruge det til en skid.

Som bekendt, så er det svageste led ved en computer brugeren. Det hjælper ikke at sikre sig i hovede og røv, hvis brugeren uforvarende ødelægger det hele.

Jeg er med på #2's holdning til, at der skal være mere oplysning i medierne omkring grundlæggende sikkerhed. Giv det en plads i TV-avisen indimellem, ligesom der er masser af andre sektioner. Befolkningen har brug for oplysning på det punkt.

Når man betragter, at politikerne (officielt) ønsker at DK skal være et forgangsland for it, så kan man vel også forvente, at der øges en politik indsats for at gøre folk kompetente til at sikre sig selv.

Når det så er sagt, så mener jeg også at privatpersoner har ansvaret selv. Men det skal ikke være et konsekvensløst ansvar, som det er i dag - der skal være følger!

Når en privat computer bliver kompromitteret, så har det altså indflydelse på andres sikkerhed. Man kan eksempelvis blive en del af et botnet med øget spam og vira til følge. Eller hvad med dem, der naivt sender kædeemails videre til alle vennerne, fordi de ikke forstår at den vedhæftede fil er en virus?

#1 ideen med et it-politi er fint nok, men når nu vi i forvejen har svært ved at holde på betjentene, så skal der nok noget andet til indtil vi får folk nok til at bemande posterne ordentligt

Synes helt sikkert bedre information i medierne og evt. skolerne ville være et godt tiltag. Fx er det pludselig blevet møj svært at finde et åbent trådløst netværk når ens eget net er nede eksempelvis.

Dog er jeg kraftigt ISP'er som blokkerer porte osv. Det giver en falsk sikkerhed. ISP'er kan ikke blokkere alt da store del af den vira derude skyldes fejl 40.
NEJ du skal ikke bare trykke OK på alle popupbokse. NEJ du har ikke vundet 38.6mia dollars selvom du aldrig har deltaget i en konkurrence. Information og undervisning er vejen frem.

Dog støtter jeg idéen om at staten skal sætte krav til virksomheders IT sikkerhed. Det er bare pisse irriterende for at være ærlig når man som kompetent PC bruger ligepludselig fratages alle rettigheder på sin PC og skal vente 3 måneder på at en IT mand som er mindre kompetent end halvdelen af medarbejderne vurderer om firefox kan tillades på en PC.

kraftigt *imod* ISP'er... 5 min edit... Comon... Pwetty Plz!

Jeg vil gerne her komme med et eksempel på hvor slap en holdning nogle IT ”ansvarlige” har til behandling af følsomme oplysninger: Jeg går på en IT uddannelse I Nordjylland hvor vi helt fra starten selv skulle hente vores skema på en hjemmeside. For at se vores skema skulle vi indtaste vores navn, fødselsdato og holdnavn. Vi kunne nøjes med at indtaste de oplysninger der ville være nødvendige for at der kun var et hit i databasen eks. Vis man havde et specielt navn. Dette var for så vidt godt nok, men for noget tid siden blev dette så lavet om således at vi nu skal indtaste vores CPR nummer, for at se vores skema, på vores skema står vores fulde navn så øverst på siden, det er efter min mening en meget dum ide af bruge CPR nummeret i denne sammenhæng (de kunne jo bruge vores brugernavn), men hvad være var at i starten var siden ikke krypteret, i starten kørte de to systemer dog parallelt så dem der ikke ville sende deres CPR nummer ukrypteret kunne jo bruge det gamle, men det gamle blev jo selvfølgelig udfaset på et tidspunkt, da det skete fik IT afdelingen åbenbart så mange henvendelser omkring den manglende kryptering at de valgte at skrive på siden ”Skemaet er krypteret selvom din browser ikke viser det” hvilket man hurtigt kunne afsløre, med en sniffer, at det ikke var, dette gjorde mig da også så rasende at jeg talte med meget store ord, og trusler om politi anmeldelse, da jeg ringede til IT afdelingen. Det var der tilsyneladende også andre der havde gjort for der gik ikke mere end et par dage før siden var krypteret.

Alene den ide at man skulle bruge CPR nummer til at få vist et skole skema er for mig fuldstændig absurd, men at man i det mindste ikke kryptere det, når det sendes, er mig endnu mere ubegribelig.. Det er jo ikke specielt svært at sætte en sniffer på et access point på en skole.

Til dem af jer der så siger ”Jeg er da ligeglad med om folk kender mit CPR nummer, de kan jo ikke bruge det til noget alligevel” (ja det har jeg hørt flere sige) vil jeg opstille et lille scenarie: En eller anden får fat i et CPR nummer og tilhørende navn. Det er med det førnævnte skema stadigvæk ikke særlig svært da der for hver dag mellem 1937-1999 (på nær mænd der er født 1/10 1965) kun er 272 mulige kombinationer pr. køn, og de fleste har ikke noget problem med at fortælle andre deres fødselsdag. Personen henvender sig i receptionen på skolen og fortæller en eller anden historie hvor pointen er at han skal sikre sig at skolen har hans rigtige adresse, så udlevere skolen hans adresse, (ok, det er ikke så slemt igen at han får adressen), en anden mulighed er at han tager hen til folkeregistret og ændre adressen for den person han har CPR nummeret og navnet på samt muligvis den rigtige adressen, herefter får han alt post til vedkommende, fra de steder der får adresse oplysningerne fra folkeregistret, eks. Banker, sendt til den nye adresse (adressen kan være et forladt hus), han kan også få oprettet en bankkonto, eller nok nærmere lån eller kasse kredit, i personens navn, den uheldige person vil formentligt først finde ud af det når det er for sent, ved at han undre sig over hvor hans post bliver af!