Offentligt PC – syn er tåbegaranti for ingenting…

Teknologirådet må da ha’ drukket af natpotten ?

Der er en flok IT-ignoranter og tåber, som tilsyneladende i ramme alvor mener, at det offentlige skal gennemføre et PC-syn af min og din PC, for at kontrollere om sikkerheden på PC’erne er god nok !

Helt ærligt, så var jeg overbevist om, at det måtte være en dato-fejlplaceret Aprilsnar, indtil det atter dukkede op i Computerworld.
Og her til eftermiddag hørte jeg det tilmed i Danmarks Statsradiofoni…

Arbejdsgruppen anbefaler,
– at der indføres en digital identitet, der muliggør sikker identifikation. Identiteten skal udelukkende
rumme oplysninger, der identificerer brugeren, og skal være påkrævet når brugeren ønsker at benyt-
te offentlige services på nettet, hvor identifikation forlanges. Identiteten skal også kunne benyttes til
private services, som fx netbank, men en sådan sammenblanding af adgangen til private og offentli-
ge services forudsætter en væsentlig oplysningsindsats, såfremt den ikke skal møde modstand
blandt brugerne.
– at sikkerhedsopdateringer af software automatiseres i så vid udstrækning, det er muligt.
– at der arbejdes med at udvikle og etablere et offentligt pc-syn af brugernes sikkerhedsniveau med
krav, som de skal leve op til, såfremt de ønsker at anvende offentlige services på internettet. Det
offentlige bør ved indførslen af sådan et pc-syn tilbyde vejledning i, hvordan man lever op til de krav,
således at pc-synet opleves som en hjælp af de private brugere.
– at danske mailudbydere tilbyder mailfiltrering, der som standard er aktiveret. I modsætning til nu,
hvor brugerne i nogle situationer selv skal slå den til.
– at indføre sikkerhedsmærkningsordning af it-produkter, som skal tage højde for den hurtige udvik-
ling inden for it.
– at det undersøges nærmere, hvorledes direkte skadelige hjemmesider, der fungerer som en aktiv
del af it-kriminaliteten, kan sortlistes og blokeres.
– at der gøres en større indsats for at orientere private brugere om de fordele og ulemper, der er for-
bundet med at lagre private data på nettet hos kommercielle serviceudbydere. Det anbefales også, at
offentlige myndigheder kaster et kritisk blik på de rettigheder, der omfatter disse data.

Indførelse af en digital identitet…
Hmmm…, jeg troede da at vi allerede havde digital signatur, selvom den er et flop, bøvlet at bruge og egentligt kun designet til Microsoft miljø…
Men alligevel ?
Dog synes jeg det er godt, at de har indset, at Digital Signatur er noget bøvlet lort for almindelige mennesker.
Sålænge Digital Signatur og lignende løsninger ikke er lige så ukomplicerede som at benytte sit Visa/DanKort, så er systemet for dårligt !
Om det offentlige har lært lektien ?
Jeg tvivler !!!
Og hvorfor sammenblande det private og det offentlige ?
Jeg mener, nu snakker vi jo sikkerhed og så introducerer panelet selv den kæmpe usikkerhedsfaktor det er, at sammenblande adgang til det offentlige, med adgang til det private ?
Hvor vil vi trække grænsen for hvilke private institutioner, der tillades at køre med det offentlige adgangssystem ?
Hvorfor lige bankerne ?
Og hvis en bank ikke anser det offentliges sikkerhedsystem for tilstrækkeligt, hvad vil der så ske ?
Hvem skal eventuelt stå for alt dette ?
TDC, med en mulighed for, at mine data pludseligt befinder sig i USA, på en server de Danske myndigheder ikke kan kontrollere ?
Og hvis TDC, hvad så hvis de videresælges til eks.vis et Saudiarabisk, Pakistansk, eller lign. selskab ?
Hvilken sikkerhed er der så ?
Spørgsmål som skal rejses omkring alle, man kunne forestille sig skulle forvalte en sådan sikkerhedsløsning.

Automatisk tvungen sikkerhedsopdateringer af software er det næste punkt…
ALLE, jeg mener ALLE jeg kender, uanset hvilket styresystem de benytter, kører med automatiske opdateringer.
Kun i virksomheder, og i høj grad det offentlige…, oplever jeg at man fornuftigvis forhaler sikkerhedsopdateringerne lidt, fordi man først ønsker en sikkerhed for, at opdateringen ikke griber uventet, måske direkte data-ødelæggende ind i andre applikationer…
Har de tænkt sig at skrive til Microsoft og få dem til at komme med hyppigere opdateringer, eller hvad ???
Brugerne kan ikke gøre meget andet end, at opdatere når opdateringen er der og så håbe, at det ikke ødelægger noget vitalt.
For leverandøren er jo uden ansvar for eventuelle skadevirkninger af en opdatering !!!
Hvis brugeren er blevet frataget enhver mulighed for at kunne trække en sikkerhedsopdatering i tid, så vil der på ét eller andet tidspunkt ske dét, at én eller anden får møvet sig ind på f.eks en Microsoft opdateringsserver og får smidt noget ond kode på, som så smadrer i tusindevis af PC’er…

Og så endelig kommer vi til den del af forslaget, som de må ha’ gravet op af en gammel Østtysk (DDR) trækasse.
Det offentlige skal nu syne din PC, for at se om det lever op til sikkerhedskravene…
ØØØH…???
Skal de så til at komme rendende i mit hjem, sansynligvis i arbejdstiden så jeg må ta’ en fridag i dén anledning, og rode min PC igennem…, eller… ?
Rent faktisk så introducerer det offentlige selv den største sikkerhedsrisiko på denne måde, ved at lade såkaldte eksperter skulle vurdere om sikkerheden i mit udstyr er i orden.
Er de overhovedet kompetente til at vurdere sikkerheden på mine forskellige dual / tripple-boot maskiner ?
Og hvis jeg til den tid har valgt endeligt at ophøre med at bruge min XP, som kun benyttes til spil, er de så overhovedet i stand til at betjene nogle af mine styresystemer ?
Hvor mange af dem vil overhovedet opdage at jeg har smidt egen software på den ene af mine routere ?
Kan de vurdere sikkerheden på dén ?
Og alene det, at andre skal pille ved min PC er en sikkerhedsrisiko !
Hvad foretager de sig med mine filer ?
Hvem har ansvaret, når de får slettet samtlige mine digitale billeder fra de sidste 5 år ?
Jeg skal ha’ en backup ?
Hmmm…, næh det SKAL jeg faktisk IKKE !
Det er intet krav…
Og det har intet med denne sikkerhed at gøre, så…
Og forventer Teknologirådet virkeligt, at de kan holde virus-konstruktørerne stangen via disse initiativer ?
Hvem er mon hurtigst til at finde på noget nyt ?
Virus-, malware-, spam, osv.-konstruktørerne, eller det offentliges eksperter ?

For at få adgang til en hvilken som helst offentlig hjemmeside skal du have en elektronisk attest på, at din computer opfylder en række sikkerhedskriterier. Kriterierne kunne være, at der skal være installeret og opdateret sikkerhedssoftware på din computer, fx antivirusprogram, firewall*, anti-spyware*, samt at computerens styresystem og en række softwareprogrammer (fx Word) skal være opdateret. Kriterierne fastsættes af en offentlig instans, fx IT- og Telestyrelsen.

Altså så ønsker man at tørre sikkerheden af på den enkelte borger, fremfor at kræve, at det offentlige selv er ansvarlig for egen sikkerhed.
Meget, meget usympatisk og teksten oser jo af, at ingen af disse arbejdsgruppe medlemmer har viden om andet end Windows-verdenen.
Huller i sikkerheden hos det offentlige, eller andre virksomheder, skal ikke gøres til den enkelte borgers problem !
Og hvorfra har arbejdsgruppen denne næsegrus tiltro til det håndværksmæssige niveau hos virksomhedernes IT-professionelle ?
Jo de fleste er skam dygtige og samvittighedsfulde, men nogle gange bliver man strukket liiige en lille smule længere end ens vidensbasis reelt kan bære (Kurser koster jo penge…). Og nogle gange er man bare uheldig og lave en fejl…
Og hvor er sikkerheden, den reelle sikkerhed ikke blot den papirbaserede, med alt det som er/bliver udliciteret til Indien, Pakistan, Kina, de Baltiske lande osv. ?
Skal det også tørres af på den enkelte borger ?

Panelet fører sig også frem med tvungen mailscanning.

Der er dog fortsat mange brugere,som takker nej til at få deres mails scannet og filtreret.

Ja så…?
Mig bekendt er det mest virksomheder og det offentlige med Microsoft mailservere, som slås med disse problemer…
Panelet leverer jo heller ikke nogle tal for deres påstande, så… Mange brugere ???
Hvad med at tvinge alle borgere over på Gmail ?
Men så har panelet til gengæld i den forbindelse, ret i det problematiske i den robotscanning af Gmail emails, som foregår i reklameøjemed.
Ikke ét eneste sted er jeg stødt på, at panelet har den ringeste anelse om, at der faktisk er mennesker, som har deres helt egen personlige server stående, som agerer mailserver og alt muligt andet…
Hvad med scanning og filtrering hos dem ???
Ok, disse personer er nok allesammen væsentligt klogere på IT, end arbejdsgruppens medlemmer, så selvfølgelig er deres personlige server sikret på behørig vis !
Men ellers fører de sig frem med tvungen mailscanning…, uden at fatte at det allerstørste mailproblem er spamming. Og i høj grad frivillig spamming, hvor mailbrugere videresender alt muligt underlødigt, f.eks. falske virus-alarmer, på kryds og tværs til hinanden, eller netværkskvælende PowerPoint præsentationer, eller…
Og adskillige virus har jo været rigtig gode til at videresende sig via Microsoft Outlooks adressekartotek, så mon ikke problemet hér i virkeligheden er måden Microsoft har konstrueret deres mailprogram og deres operativsystem ?
Og så brugeradfærd, altså
!
Vælge en udbyder uden filtrering ?
Næh, det ville jeg aldrig gøre, men jeg vil gerne kunne styre graden af filtrering…
Nogle gange får jeg en sygelig lyst til at se, at jeg har vundet i et eller andet Nigeriansk milliondollar email-lotteri. Jeg skal blot sende dem mine personlige data og bankoplysninger og 1000$, så vil jeg VUPTI modtage min supergevinst 🙂
NOT !

Og lær så brugerne, hvilket også er jer paneldeltagere, at man ikke blot kaster sin email-adresse bevidstløst rundt på nettet, og at den heller ikke skal stå i klar tekst på nogle hjemmesider.
Hvis I ikke forstår hvorfor det er et problem, så… SUK !

Og så vil de sikkerhedsmærke IT produkter !
Det vil sige, at al’ ny hardware, grafikkort, netkort, harddiske, bundkort m.v. skal en tur igennem én eller anden offentlig instans for at opnå en eller anden (betydningsløs) sikkerhedsgodkendelse.
Det er en proces, som ikke har det fjerneste praktiske formål, men udelukkende vil virke fordyrende.
Mit bundkort er blevet godkendt…, fint…
Ved den næste BIOS upgradering (eller nedgradering…) introduceres der måske nogle grundlæggende ændringer som gør, at betingelserne for den tidligere godkendelse ikke længere er opfyldt !
Og hvad gør vi så, kære venner ???
Men alle bundkortfabrikanter skal måske ha’ en Dansk Myndighedsgodkendelse, før de frigiver opgraderinger til deres kunder ???
Sidst jeg købte en fabriksfærdig PC, var engang i slutfirserne…, men i panelet er den eneste løse computerdel de vist kan forestille sig, et USB-stik…
Gamere skifter indmad i deres PC’er oftere end de skifter sokker, men har panelet overhovedet haft den slags forhold med i tankerne ?

Bekæmpelse af kriminelle internetsider !
Det lyder jo meget godt og meget velment, men igen er det så uigennemtænkt “så tæerne må sig krølle”.
At begynde at blokere til højre og venstre er ikke så simpelt, for blokerer du for én er der ret så stor sansynlighed for, at du blokerer for en masse andre også…
Og hvad hulen er “direkte skadelige websider” ?
Sider som afvikler skadelig kode på min PC ?
Bag min tripple firewall, på min Linux-masine, hvor den onde kode skal kende administrator passwordet for at kunne noget som helst ?
Selv uden firewall’ene ville det næppe være sansynligt på andet end en Windows-maskine, men så kan man jo bare forbyde Windows !
Jeg tror Teknologirådets arbejdsgruppe henviser til f.eks. de allerede indbyggede phising-filtre i browserne.
Altså at de igen tager noget allerede eksisterende, putter nogle andre og lidt længere ord på, og får det til at lyde nyt, innovativt, gennemtænkt og smart i diverse politikeres øren.
Hvad har de egentligt tænkt sig med servere i udlandet ?
Hvem skal lukke af for rabiate terroristers hjemmesider ?
Skal de lukkes i hjemlandet (hvor de lokale myndigheder måske ikke engang synes, at hjemmesiden er synderligt rabiat) ?
Skal der spærres ét eller andet sted undervejs ?
Har arbejdsgruppen overhovedet nogle viden om, hvor mange indgangsmuligheder der eventuelt skal spærres og hvad konsekvensen vil blive ?
Kan de overhovedet gennemskue hvad der måtte være på en fremmedsproget hjemmeside ?
Men mangler de inspiration, så kan de jo blot forhøre sig hos Kineserne. De er eksperter i den slags !
Er det sådant et samfund vi vil ???

De kommer også ind på ekstern lagring af data på internettet hos kommercielle serviceudbydere.
Og panelet har ret i, at det er problematisk at eventuelle personlige data, pludseligt ligger udenfor direkte kontrol, og at nogle gratistjenester måske endda roder dine ting igennem, for at danne en profil af dig.
Men problemet er altså reelt mest koncentreret omkring gratistjenesterne.
Og her er det tydeligt, at panelet selv ikke har den store praktiske erfaring i hvad de udtaler sig om.
Har nogle af dem prøvet at overføre f.eks. 120 GB data til ADrive.com ?
Aaah, der er en 50GB begrænsning på deres gratistjeneste… Godt så, 50 GB er jo alligevel en sjat, så…
Damn, man kan ikke overføre store filer… 2 GB er maksimalstørrelse, som hos alle de andre…
Så f.eks alle dine digitalfoto’s (hvis de er mindre end 2 GB) skal overføres én af gangen…
Kære panel, kun hvis I betaler jer til serverplads, som har en ftp-adgang, er ekstern lagring en brugbar løsning.
Men så snakker vi betalingsløsninger, hvor du som bruger vil være lige så sikkert stillet, som når du opbevarer møbler hos et opbevaringsfirma (og så kan I jo passende ha’ jeres harddisk-sikkerhedskopier liggende dér også !), eller hvis du smed dem op på et eller anden offentlig storage (Det offentlige laver jo aldrig fejl og offentliggør f.eks 1000’vis af cpr-numre…???)

Hvad arbejdsgruppen i stedet burde være kommet meget mere ind på er, det offentliges og virksomheders eget ansvar for at data opbevares og forvaltes sikkert og korrekt. Og at stille krav til såvel hardware, software og data sikkerhed i den forbindelse !
Har arbejdsgruppen prøvet at anskue det fra den anden vinkel, at hele problemet reelt skyldes, at borgerne sidder med et styresystem og tilhørende software, som i virkeligheden er problemet ?
Hvad med at lægge hovedansvaret, hvor det retteligt hører hjemme, nemlig hos producenten af det markedsdominerende operativsystem ?
I en out-of-the-Box Linux installation, OpenSuSE, eller Ubuntu…, eksisterer hovedparten af problemerne ikke !

Retteligt burde rapporten hedde: “Windows-sikkerhed i forbindelse med borgeres adgang til offentlig myndighed”.
Ikke at det vil ændre ved rapportens indhold af tåbeligheder, men overskriften vil så være mere præcis !

For mig lyder det som om, disse forslag er blevet rablet bevidstløst af, fordi man ligesom var nødt til at komme med ét eller andet…
Uanset hvor hult og langt ude…

Brugeradfærd, kære venner. Brugeradfærd, brugeradfærd, brugeradfærd, brugeradfærd, brugeradfærd, brugeradfærd (Forestil jer det råbt op i en lang remse, af en svedig overgearet Steve Ballmer…).

Jeg er vitterligt dybt rystet over, denne samling “ud af ærmet rystede” forslag.
Hvad er det dog der sker ?
Skal dette forestille at være de største sikkerhedstanker for den personlige desktop, der kan tænkes i Danmark, så har vi godt nok et seriøst problem…
Ét eller andet sted, så håber jeg at det afspejler venstrehåndsarbejde og dovenskab, frem for manglende evner…

Jeg er dybt bekymret !

Men igen, så kan mange af målene opnås ved blot, at forbyde samtlige Microsoft styresystemer !

Skriv et svar