Dignatio
  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar

Dignatio AS

Det vi vet, har DU Godt AV!

Den brysomme datafyren & Smittestoppmysteriet

18/4/2020

0 Comments

 
Picture

​Det har vært stort engasjement rundt ulike meninger om smittestopp-appen. Jeg har fått både klapp på skuldra og spark i baken, om enn digitalt, siden jeg delte grunnlaget for min skepsis i går. Som mange andre er jeg svært bekymra for situasjonen vi er i og jeg er absolutt ikke imot at vi skal delta i en digital dugnad for å bli kvitt denne djevelskapen av et virus. Det jeg er derimot sterk motstander av at vi skal finne oss i arroganse fra FHI´s side. Det er altså ikke Erna jeg har en beef med, men sjølvaste FHI. 
 
Det må gå an å ha flere tanker i hodet på en gang. Jeg tviler ikke på at teknologi kan være med på å bremse smitteutvikling, men det betyr ikke at man skal være ukritisk til de avgjørelser som er tatt. Det må være lov til å stille spørsmål og man bør kunne forvente å få svar. Det hadde vært såre enkelt for FHI å legge korta på bordet uten at det ville utgjort en økt sikkerhetsrisiko. Det går fint an å liste opp hvilke bransjestandarder som ligger til grunn, hvilke testregimer som er benyttet og hvilke vurderinger som er foretatt, uten å kompromittere sikkerheten. Det er også mulig å liste hva som blir logget, hvordan det blir logget og hvordan dataene er tenkt brukt. Jeg er altså hverken motstander av bruk av app, eller desentralisert lagring av data. Det handler ikke om en motstand mot teknologi, men en motstand mot hemmelighetshold rundt avgjørelser.
 
På den ene siden fremstår appen som livsnødvendig, et magisk verktøy som skal ta knekken på styggedommen. På den andre siden sier Camilla Stoltenberg, at de ikke kan si noe sikkert om hvor mange som må ta i bruk appen Smittestopp for at den skal fungere som et godt supplement til den smittesporingen som allerede pågår Hun drister seg til å anslå at 50-60% av befolkningen må ta appen i bruk. Det er helt uforståelig. Hvis man setter i gang et slikt prosjekt, bør man ha gjort visse mattematiske øvelser på forhånd for å finne ut hvor mange deltakere man behøver å få med seg, før noe gir resultat. 
 
Den eneste måten smittestopp-appen kommer til å fungere tilfredsstillende på er altså hvis nok mennesker laster den ned og bruker den. For at folk skal gjøre det, må de ha tillit til at nytteverdien er større enn en eventuell belastning. For å inngi denne tilliten i folk, må myndighetene nødvendigvis orke å besvare spørsmål og bekymringer, selv i en pressa tid. 
 
Jeg er for at folk skal kunne ta informerte valg. Det kan godt hende at dette er verdens mest geniale app, som kan bidra til å bremse virusspredning samtidig som folks personvern blir ivaretatt, men det vet vi altså fint lite om og det er der jeg mener myndighetene feiler grovt. For min del hadde det vært mye bedre om de hadde sagt «vi er i grunnen ikke så sikre på om vi har fått til dette med personvern, men håper flest mulig vil delta selv om det foreligger usikre elementer». Da kunne man i det minste fattet nettopp et informert valg. 
 
Argumentet «du deler allerede ting sosiale medier, du er overvåka», blir brukt hyppig.  Det er mulig jeg er litt sær her, men jeg forventer mer av myndighetene i et demokratisk land, enn jeg gjør av multinasjonale konsern med profitt som formål. Jeg har heller ikke blitt anbefalt av ministere eller andre myndighetspersoner å laste ned Facebook, Instagram, Google, TikTok, Linkedin, Snapchat eller noen andre sosiale medier. Det har vært mitt eget valg basert på min egen kost-nyttevurdering. Det å mistenkeliggjøre mennesker som er opptatt av personvern er fjollete. Det er nok av historiske eksempler på hvorfor personvern er en nødvendighet, uten at vi trenger å gå nærmere inn på det. 
 
For de av dere som sier, ok, så vet jeg ikke nok, men jeg velger å stole på myndighetene så er jo saken grei. Det er kjempefint at man har tillit til myndighetene. Det finnes derimot mennesker som har en god grunn til å holde personvernet mer i hevd enn andre. Advokater, leger, journalister, og psykologer er blant de som har uttrykt sin skepsis. Politiet har tatt en avgjørelse om at ansatte ikke skal installere appen før det foreligger tilstrekkelig dokumentasjon rundt sikkerhet Leger, advokater, psykologer, redaktører og journalister regnes jo normalt sett ikke til rasen grottetroll som sitter på hver sin stubbe i bjørkeskogen og drømmer opp konspirasjonsteorier. 
 
Det må være lov til å fremsette helt legitime spørsmål knyttet til sikkerhet og de vurderinger som er tatt uten at man beskyldes for å være lavpanna konspirasjonsteoretikere som ønsker å sabotere myndighetens kamp mot viruset. Det må være lov til å forvente at FHI ikke behandler befolkningen som en gjeng med trassige 5-åringer som ikke fortjener svar utover «fordi jeg har sagt at det er sånn»
 
For meg er det forskjell på debattinnlegg og det som er skrevet i stein. Jeg har uttrykt en viss skepsis på et prinsipielt grunnlag og det er jeg langt fra alene om. 
 
 
Mitt håp er at FHI kommer på banen og gir folket den informasjonen mange etterspør. Det burde være såre enkelt å få til. Hvis det av ulike grunner ikke er mulig, bør de hoste opp noen plausible og betryggende forklaringer på hvorfor det ikke lar seg gjøre. Erna, det er altså ikke deg jeg er sur på, men FHI får neppe julekort i år heller. 

Foto: Kai Hansen

0 Comments

Derfor er jeg skeptisk til smittestopp-appen

16/4/2020

0 Comments

 
Picture

I disse dager rulles det ut en app som er en del av det som beskrives som «et system for digital og automatisert sporing av nærkontakter til personer som er smittet av koronaviruset, og til å informere de personene som har vært i nærkontakt». Tanken er i og for seg hverken dum, eller uforståelig. 
 
Jeg som flere andre som jobber med datasikkerhet, er derimot relativt skeptiske til hvordan dette kommer til å fungere i praksis.  Appen er utviklet av Simula Research Laboratory som beskriver funksjonaliteten slik på sine egne sider: «Når appen er installert vil den samle data ved hjelp av GPS og Bluetooth som finnes i alle smarttelefoner. Dataene blir så kryptert og lagres i en egen, sikker skyløsning. Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel.
Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel.»

​Så hvorfor er jeg skeptisk? 
  • Det har kommet svært lite informasjon fra myndighetene om:
    • Hva som deles og lagres
    • Hvordan dette lagres
    • Hvordan det som lagres er kryptert mellom mobil og sky
    • Hvordan det som lagres er beskyttet mot datatyveri. 
    • Hvilke data anonymiseres, eller pseudonymiseres. 
  • I flere andre land har man bevisst unngått å lagre data sentralt, i Norge har man valgt en løsning der dette gjøres, uten at man har klart å rettferdiggjøre dette valget på en tilfredsstillende måte. At det gjør jobben for Simula enklere, er ikke et argument i seg selv. Av og til kan det være smart å følge med på hva kloke hoder verden over faktisk kommer fram til. 
  • I flere andre land har man valgt å ha en åpen kildekode, som er tilgjengelig for offentligheten. I Norge har man valgt å ikke gjøre dette. Fordelen ved en åpen kildekode er at folk som faktisk har peiling på sikkerhet, kan bidra til å gjøre systemet atskillig sikrere, enn det et mindre utvikler-team kan klare. En annen fordel er at ved en åpen kildekode, vil det være klart hvilke data som lagres, på hvilken måte de håndteres og så videre. 
  • Sikkerhetshistorikken til offentlige norske systemer generelt og kanskje helsesystemer spesielt, er vel ikke akkurat noe å henge i juletreet. Det har vært mer enn nok av kriser, episoder og hendelser i systemer og applikasjoner som har blitt utviklet i bedagelig tempo. Her blir vi altså bedt om å stole på noe som har blitt utviklet i hui og hast og der det meste holdes hemmelig. 
  • Både FHI og Simula Research Laboratory henviser I artikler til bransjestandarder og bruk av eksterne testkonsulenter, uten at det påpekes hvilke bransjestandarder det er snakk om, eller hvilken type tester som utføres, eller som har blitt utført. Det å foreta en skikkelig sikkerhetsgjennomgang av et system på denne størrelsen kan ta månedsvis 
 
For at jeg skal bli mindre skeptisk til dette tiltaket, må myndighetene på banen og begynne å besvare helt legitime spørsmål. Spørsmål som stilles av mennesker som vet hva de snakker om, være seg spørsmål som gjelder datatekniske spørsmål knyttet til sikkerhet, eller personvernspørsmål. Joda, det finnes argumenter både for og imot åpen kildekode. Det er helt riktig at en åpen kildekode gir slemminger en mulighet til å få et forsprang, samtidig er har vi mange dyktige sikkerhetsfolk i Norge som mer enn gjerne blir med på en dugnad. Mitt problem er at i denne sammenhengen blir befolkningen spurt om å gå med på en overvåkning vi ikke kjenner omfanget av, med metoder man ikke ønsker å avsløre, og det uten at det gis plausible bevis for at personvern og datasikkerhet faktisk er ivaretatt. 
​Foto: Kai Hansen 

0 Comments
    Bilde

    Author

    Lars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA
    Sandell er etisk hacker og jobber blant annet med datasikkerhet for bedrifter. Han er grunnlegger, medeier og CTO i Dignatio AS,  norges eneste privateide firma som utvikler og leverer tjenester innenfor rettsteknisk behandling av lyd, video og data. Han har bistått organisasjoner og etater i mer enn 20 land i planlegging og gjennomføring av internettrelaterte etterforskninger.

    Archives

    April 2020
    December 2018
    February 2018
    October 2017
    August 2017
    May 2017
    December 2016
    November 2016

    Categories

    All
    Datasikkerhet
    Epost
    Hacker
    IT
    Kryptering
    Samfunn Og Sikkerhet
    Valg
    Valg2017
    Wpa
    Wpa2

    RSS Feed

  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar