Nørrebro Handelsforening
Formand Hans Mejlshede
Nørrebrogade 84
2200 København N
Tlf. +45 35 37 18 91

Overvågning, Aflytning og Hacking (57)

Staten giver dine sundhedsdata væk. Statens Serum Institut overholder ikke loven. Skoleelever bliver genkendt i ”anonym” undersøgelse. PET overtræder igen gældende lov. Du kan få adgang til dine oplysninger. FE ved, at de får kontrolbesøg en måned før. Sundhedsportalen giver forkert medicin. TDC klar til at blive stævnet for ulovlig overvågning. Vi kan gøre det meget bedre inden for cybersikkerhed herhjemme. Russisk troldefabrik tredobles. Mentalt handicappede i fare for svindel. Biometrisk database under sikkerhedsbrist. Nu kommer EU’ s persondatalov.

Staten giver dine sundhedsdata videre
Danmarks omfattende sundhedsregistre skal bruges som lokkemad for at få udenlandske firmaer til landet. Dette foreslår et såkaldt vækstteam, som regeringen har nedsat. Det specielle ved Danmark er, at vi sammenkører registre. Man vil kommercialiserer data uden at danskerne har ejendomsret til disse data. Beskyttelsen af data hos den danske stat er ringere end hos Google og Apple.

Man taler også om, at gen-materiale og data skal bruges i forsikringsmæssig sammenhæng. Vi må håbe, at staten kommer til fornuft og lever op til de klassiske krav om privatliv.

Statens Serum Institut overholder ikke loven
Statens Serum Institut overfører sundhedsdata til databehandlere, men fører ingen kontrol med, at der faktisk bliver passet på data. Se det er i strid med dataloven. Denne kræver, at der bliver ført tilsyn. Der findes ingen lister eller indberetninger.

Den dataansvarlige skal aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes. Reelt ved man ikke om der er sket noget med dansk patientdata. I Danmark har man åbenbart sluppet bremsen.

Skoleelever bliver genkendt
Titusindvis af forældre fik i efteråret 2017 en skrivelse om, at der skulle laves en ungeprofilundersøgelse af eleverne i 7. til 9. klasse. Der stod ikke noget om at det var frivilligt at deltage i undersøgelsen, der stillede ret nærgående og personlige spørgsmål. Til gengæld stod der, at eleverne var sikret fuld anonymitet.

Men dette er ikke rigtig. Indsamlingen var ikke anonym. Åbenbart er man fuldstændig ligeglade med børnene og deres retssikkerhed.

Det er ikke første gang, at kommuner overtræder loven ved at indsamle data. Og åbenbart er der også sket fejl med anmeldelse af undersøgelsen. Efter at Politiken har omtalt sagen er Datatilsynet gået ind i sagen.

Og hvad endnu værre er, at kommunerne ikke agter at slette de data, som de har fået af cirka 180.000 børn og unge. Dette forstærker kun mistilliden. Forældrene havde ikke et valg, og det har de heller ikke nu.

Private og følsomme oplysninger, der er blevet administreret i strid med loven skal slettes, siger man nu fra Undervisningsministeriet. Noget tyder på at nogle kommuner har brugt oplysningerne på deres egen måde.

Forældrene havde ellers fået at vide, at disse data kun skulle bruges til forskning og statistik.

Det er juridisk, etisk og metodisk forkert af kommunerne. Men de bliver næppe straffet, som når andre offentlige myndigheder overtræder datalovgivningen.

Også gymnasieelever og elever helt ned til 0.klasse har været gennem det samme.

Sundhedsplatformen giver forkert medicin
Patienterne på hospitalerne i Region Sjælland risikerer at få forkert medicin, forkerte doser af den rigtige medicin eller slet ikke at få den medicin, som de har brug for. Overlægerådet har reageret. Patienternes sikkerhed kan være i fare. Og alt dette skyldes Sundhedsplatformen.

PET overtræder igen gældende regler
Vi kunne i sidste nummer fortælle, at PET ikke opbevarede deres data på en hensigtsmæssig måde, hvad angår sikkerhed. Nu viser det sig, at PET-loven er utilstrækkelig og ikke i overensstemmelse med den europæiske menneskerettighedskonventions artikel 8 om retten til privatliv.

Årsagen er en lovændring fra 1. marts 2017, som gør, at PET ikke længere har pligt til at kigge efter og slette ulovligt gemte oplysninger. PET kan nu indsamle alle slags oplysninger om hvem som helst når som helst. Og det er ikke kun oplysninger om terrorister og kriminelle som PET gemmer og samler på. Det er for eksempel også offentlige meningsdannere. Samlet set har PET oplysninger om 400.000 danskere.

Faktisk betyder det, at der overhovedet ikke mere kan føres tilsyn med PET. Det er et kæmpe problem for retssikkerheden.

Et efterretningsvæsen må aldrig blive en stat i staten. Og når man så tilmed sjusker med sikkerheden, ja så er det ravruskende galt.

Du kan få adgang til dine oplysninger
Danskerne kan stadig få at vide om PET har dig uberettiget registreret. Du skal gå på tilsynets hjemmeside www.tet.dk Her skal du udfylde en blanket, der er en anmodning om indirekte indsigt. Og det er jo rart at kunne undersøge, hvilke informationer der opbevares. Og hvis PET nu opbevarer disse uden legitim grund så at få oplysningerne slettet.

Men hvis nu alle 400.000 danskere ville gøre dette, ja så fik PET og Tilsynet mere end nok at gøre. Men på den anden side hvis de ikke tidligere har rettet sig efter Tilsynet, så kan man vel ikke fortænke sig, at danskerne vil gøre det.

Egentlig burde PET slette alle unødvendige oplysninger, men med denne nuværende lovændring er dette ikke muligt. Og det styrker jo ikke lige retssikkerhed.

FE (Forsvarets Efterretningsvæsen) får besked en måned før
Forsvarets Efterretningsvæsen får besked en måned før, når der er kontrolbesøg. Så kan alle medarbejdere nå at rydde op på deres arbejdsstationer. Det ville jo være rart, at det var en normal procedure, så vi undgik en ”Snowden-lækage”.

I 2016 opdagede TET, Tilsynet med Efterretningstjenesterne fejl i 12 pct. af data. Det er når oplysninger ikke er fjernet, når man ikke mere skal bruge dem. Men den lov behøver man ikke mere at rette sig efter. Nu skal oplysningerne kun slettes, når man lige ”løber over dem”

Normalt burde det være sådan, at arbejdsstationerne hele tiden var renset, når man var færdig med en sag. Åbenbart er det kun FE’ s interne regler, man overtræder (Kilde: Information)

TDC klar til at blive stævnet for masseovervågning
Som det første teleselskab herhjemme bliver TDC nu slæbt i retten med krav om at stoppe selskabets omfattende registrering af oplysninger om kunderne. Det er oplysninger, der kan følge kundernes færden. Dette oplyser TV 2

Allerede i december 2016 erklærede EU-domstolen en tilsvarende logning i Sverige for ulovlig. Herhjemme fortsætter teleselskaberne logningen. Og dette ville det danske justitsministerium ikke ændre på.

Men for at føre sagen skal man rejse 100.000 kr. Så disse penge skal først regnes.

Brancheforeningen Teleindustrien siger, at man skyder efter de forkerte. Staten har ansvaret for, at dansk lovgivning efterlever EU-retten, og Justitsministeriet har taget aktivt stilling til at opretholde dansk ret. Et anerkendelsesspørgsmål mod staten vil derfor være det rigtige, siger man herfra.

Vi kan blive meget bedre
Engang kunne vi det hele selv herhjemme. Vi havde Datacentralen, men det blev købt af CSC og vi havde Kommunedata, som nu hedder KMD og er ejet af amerikanske Advent International. Dengang kunne man stille krav. Nu foregår det med kontrakter, som man vanskelig kan følge op på og hardware, vi ikke ved, hvor står.

NemId som kommunikerer mellem stat og borgere, ja det er også i hænderne på diverse udenlandske firmaer og kapitalfonde.

Hvem TDC egentlig bliver ejet af nu, ja det har jeg lige fulgt med i, men i 1997 blev det ejet af Ameritech, som er en kendt samarbejdspartner med NSA. Og så det regulær kinesisk spionage, da folk fra Huawei kom hertil og sad med direkte adgang til 750.000 danskers kommunikation. Og man glemte lige at sikkerhedsgodkende disse folk.

I paragraf 41 i Persondataloven har man den såkaldte krigsregel, der stille krav til, at følsomme data skal behandles i Danmark. Den regel er man ikke særlig glad for i DI, hvor man har foreslået at denne paragraf droppes, da det ellers vil være vanskeligt at outsource opbevaring og behandling af data, for eksempel hos Cloud-udbydere i Indien, Kina eller USA.

Vi bliver nødt til at drive landet under massivt cyberpres, også når internettet er gået ned. Der er bunker af lyslederkabel langs jernbanesporene. De gamle kobberkabler kan holde 100 år endnu. Vi skal have flere egne data her i landet.

Apples, Googles og Amazon, der kommer her til Danmark med vindmølleenergi kan vi ikke bruge til noget. De har direkte forbindelse til den amerikanske efterretningstjeneste.

Vi mangler en national strategi for, hvordan Computer-Danmark skal hænge sammen. Vi skal væk fra det kludetæppe af en hovsa-hurra digitalisering, vi nu har skabt. Skruppelløse konsulentfirmaer har udnyttet situationen.

Der er lige afsat en større bunke penge i det nye forsvarsforlig til cybersikkerhed. Men vi aner ikke, hvad det er vi vil beskytte og hvorfor og hvad der ligger på en server i et andet land.

Det er på tide, at regeringen og styrelser lytter til folk, der ved, hvad de taler om. Man kunne jo starte med et Teknologiråd. Vi har jo nogle meget kompetente folk herhjemme. Det er vores kritiske infrastruktur, der er galt med. (Kilde: Altinget)

Russiske hackere taget på fersk gerning
I sommeren 2014 lykkedes for det hollandske efterretningstjeneste AIVD at bryde ind i et russisk computernetværk i en universitetsbygning nær Den Røde Plads i Moskva. De hollandske agenter kunne følge med, da russiske hackere gik til angreb på Det Demokratiske Parti i USA. Det var Cozy Bear, man havde fået adgang til. Man kunne følge, at der blev stjålet tusinder af e- mails og dokumenter fra USA’ s Demokrater.

Man tog også videobilleder af personer. Men det er dog uklart hvilke informationer, som hollænderne har overgivet deres amerikanske kollegaer.

Donald Trump har ikke villet anerkende, at russerne forsøgte at påvirke udfaldet af det amerikanske valg. Og Putin har afvist, at russerne har haft en finger med i spillet.

Russisk Troldefabrik tredobles
Nu udvider Internet Research Agency fra 4.000 kvadratmeter til 12.000 kvadratmeter. Og denne ligger i Skt. Petersborg. Det er i hvert fald, hav den russiske avis, Delovoj Petersburg skriver. Ja egentlig står det i et nyhedsbrev fra EU. De har ligefrem oprettet en taskforce til bekæmpelse af russisk disinformation.

Taskforcen bruger ligesom en række internationale medier udtrykket ”troldefabrik” om stedet. En trold eller "troll” skal i denne sammenhæng forstås som en person, der i stor stil skaber ravage på internettet med sine systematiske beskeder-gerne under opfundet identitet. Disse trolde skal have arbejdet så intensivt på stedet og i så stort antal, at det kaldes fabrik.

Den amerikanske Kongres fik at fabrikken købte annoncer for mindst 100.000 dollar på Facebook. 2.700 konti på Twitter med tilknytning til ”fabrikken” havde sendt 130.000 tweets i månederne op til valget.

Samtidig kunne også Google identificere, at omkring 1.000 videoer med tilknytning til stedet var blevet lagt op på YouTube, skriver New York Times.

En anonym person har til TV Rains sagt, at hans arbejde på ”fabrikken” var at starte en informationskrig. Målet var ikke at orientere amerikanerne om Rusland. Det var at vende amerikanerne mod deres egen regering. 

  • At provokere uro, utilfredshed og sende Obama ned ad ranglisten.

Ja sådan lød oversættelsen i The Telegraph.

Hovedopgaven var dog at kritisere Hillary Clinton for alt, hvad de kunne komme på. Han fortalte, at arbejdet foregik alle døgnets 24 timer. Ansatte mødte ind på 12-timersvagter til en løn mellem det, der svarer til 5.000-7.000 kr. pr. måned.

Man kunne for eksempel sende informationer ud, om at størstedelen af tyskerne støtter Putins politik og er utilfreds med deres egen kansler, Angela Merkel.

Mentalt handicappede i fare for svindel
Pas på, hvis du i den kommende tid får et telefonopkald fra Skat, der fortælle, at du skal have penge tilbage. De skal have fat i dit CPR-nummer, for at dette kan lade sig gøre. Men det er ikke Skat. Det er svindlere.

Men selv om de bliver afvist, så ringer de igen. Og nu udgiver de sig for at være banken. Og så siger de, at det er kunder, der er ved at skaffe sig adgang til ens konto. På den måde skaffer de sig NemId og koder. De kan også finde på at sige, at de er fra politiet.

Biometrisk database under sikkerhedsbrist
Ti minutters ventetid og 500 rupi svarende til omkring 60 kr. Så lidt krævede det for en journalist fra The Tribune for at udstille et alvorligt sikkerhedshul. Han købte sig adgang til data over 1,2 milliarder personer.

Det drejer sig om den indiske biometriske database Aadhaar med 4-8 megabyte pr. person. Det er tale om fingeraftryk, nethinde-skanninger, navne, billeder, mail-adresser, telefon- og postnumre.

Meningen var, at også bankkonti og mobilkonti også skulle kobles sammen med Aadhaar. Dette er en katastrofe i et land som Indien.

Nu kommer EU’ s persondatalov
Det er mange firmaer, der tager yderst afslappet på dette. Tiden hvor et antivirusprogram og en firewall gjorde arbejdet er forbi. IT-kriminelle finder alligevel ind. Og det går lang tid, inden du opdager dette. Typisk har de haft adgang til dit system 140-200 dage, før de iværksætter et egentligt angreb.

Dit firma må have installeret teknologi som opdager usædvanlig aktivitet. Du må også lige som ved it hus have en vagt ved indgangen.

Dit firma er ikke for lille. Hackere ved godt, hvor der er sårbarheder. Og det er uanset firmaets størrelse.

Hvis noget beslutter sig for at gå ind i dit firma, så lykkes det. Der findes to slags firmaer. Dem, der er blevet hacket, og dem der endnu ikke er blevet hacket. Dette skyldes, at hacking er organiseret, økonomisk kriminalitet. Og alle firma har pligt til i det mindste at beskytte personfølsomme data på forsvarlig vis.

Det kan betale sig, at tage sine forholdsregler. Det du mister ved et angreb, kan aldrig stå mål med det, du sparer ved at lade være med at beskytte sig. Du kan altid begrænse skaderne.

Du bør tage sikkerheden alvorlig. I dag kan man ikke drive virksomhed uden internet. 

  • Det var månedens bidrag inden for dette tema. Vi vender frygtelig tilbage i næste måned. Du kan se de tidligere bidrag i vores elektroniske database. Brug søgefunktionen. Vi opdaterer også flere gange dagligt på vores Facebook.

Copyright 2018 • Nørrebro Handelsforening • All rights reserved
Nørrebro Handelsforening • Nørrebrogade 84 • 2200 København N • Tlf.: 35 37 18 91 • CVR nr.: 72 01 43 16