tisdag 21 december 2010

Ny stabil Secunia PSI hjälper med uppdateringarna

Nu har Secunia släppt version 2.0 av Personal Software Inspector.

Jag har de senaste månaderna rekommenderat mina bekanta att köra 2.0 beta på grund av de bekväma auto-uppdateringarna som finns för "the usual suspects". Men nu är alltså till slut den stabila versionen ute.

Så lagom till jul när ni träffar er släkt kan ni alltså rekommendera Secunia PSI för att hålla dem automatiskt uppdaterade med Adobe-familjen, Java och så vidare.

Go get it!

onsdag 15 december 2010

Därför är nätverket en knarkarkvart

Min gamla parhäst Stefan Pettersson och jag har sedan ett år tillbaka gått skilda vägar vad gäller arbetsgivare, och därmed försvann jag även från vår gemensamma blogg. Men jag följer naturligtvis fortfarande när Stefan bloggar eftersom jag tycker det är en av de bästa svenska bloggarna.

Häromdagen skrev Stefan ett inlägg "Är nätverket en knarkarkvart?" där han sakligt och humoristiskt jämför den klassiska knarkarkvartens struktur med den IT-miljö som många verksamheter idag lever i. Om nätverket är en knarkarkvart? Svaret är nästan alltid "You bet!". Men varför? Stefan skriver "Varför det, trots detta, finns så många knarkarkvartar törs jag inte svara på." ...

Men det gör jag!! :>

<generaliseringsläge>
Grunden är enkel - Som Stefan pekar ut är IT-systemens brist på struktur och dokumentation något som är osynligt. Däremot finns det väl synliga faktorer så som
  • kalendertid
  • mantid
  • upptid
  • funktion
Det är dessa synliga kriterier som prioriteras högst, eftersom arbete på det osynliga inte ger någon belöning, utan istället resulterar i att alla undrar vad du egentligen gör.

Att det sedan i längden medför att ALLA de där fyra faktorerna blir både billigare och bättre om man har en god struktur och dokumentation på rimlig nivå, spelar mindre roll av ett antal anledningar. Vi kan förenkla anledningarna till att de flesta människor saknar förmåga att tänka längre än fem minuter framåt i tiden, än mindre agera för att få det bättre i framtiden, och inte heller tolerera när andra gör det på bekostnad av det som är NU. Och det går bra till en början att strunta i det, men då ska man vara väl medveten om att det är en skuld man bygger upp som en dag inte bara SKA, utan även KOMMER betalas. [läsarfråga: vem får betala?]

Att det blir både billigare och bättre vet vi tack vare regelverk som KRÄVER viss kontroll. Både då Sarbanes-Oxley Act infördes och då PCI DSS nu införs alltmer ställs IT-avdelningarna inför den skuld som arbetats upp. Det tar mycket resurser att arbeta av den skulden och därav har det knorrats en hel del, men när den väl är betald upptäcker många hur mycket lättare arbetet plötsligt blev.

... så varför krävs det då inte mer från högre chefsnivå? Borde inte ekonomichefen förstå att det finns pengar att tjäna långsiktigt på att ha ordning på sina saker - det är trots allt en väl accepterad sanning för ekonomichefen att med ordning och reda på ekonomin så mår företaget bättre. Samma sak borde gälla IT-systemen?

Jodå, det borde de förstå. Men kontrollmekanismen saknas. En IT-chef kan pladdra lite jibber-jabber som ingen förstår men som verkar tillräckligt avancerat för att ge intrycket att läget är under kontroll. Men det är det sällan. Det är nämligen inte vad IT-chefen säger, utan vad denne inte säger som är den största indikatorn på om IT-miljön sköts väl.

Med en kontrollmekanism som PCI DSS, revisioner från en auktoriserad QSA som i sin tur har revisioner på sitt arbete, så blir det ruskigt svårt att komma undan utan att verkligen ha kontroll. Just PCI DSS är speciellt i det att man inte bara granskar dokumentation och genomför intervjuer, utan även gör omfattande kontroller direkt mot systemen.
</generaliseringsläge>

Det finns förstås en del komplexitet i det här ämnet, men en bra kontrollprocess skulle vara en infallsvinkel som synliggör och då ger förutsättningar att åtgärda de flesta problemen som finns, oavsett vad det är hos just verksamhet X. Gäller bara att hitta en lämplig sådan kontrollprocess då....

fredag 10 december 2010

Datalagringsdirektivets mikro- och makroperspektiv - vad kostar det?

Nu är propositionen för datalagringsdirektivet färdigställd. Lagändring föreslås träda i kraft den 1 juli 2011, alltså om cirka ett halvår.

Ur ett mikroperspektiv är det stor oklarhet i teknikfrågorna
Propositionen pratar om "meddelandehantering" och den gör även ett djärvt försök i att definiera meddelandehantering som "tjänster som använder sig av olika kommunikationsprotokoll,
dvs. regler om hur kommunikationen ska ske, som SMTP (Simple Mail
Transfer Protocol, RFC 2821 och RFC 2822)". Själv använder jag emellanåt Live Messenger, som använder ett propreitärt protokoll, och det finns ju fler protokoll där. Var skall gränsen dras för när ett protokoll behöver hanteras av ISP:erna? Och betyder det här slutet för propreitära meddelandehanteringsprotokoll?

Min tolkning av propositionen är också att det är den ISP närmast den som sänder meddelandet som ska lagra trafikuppgifterna. Hur blir det då med alla de hundratusentals (miljontals?) svenskar som använder sig av Hotmail, Gmail eller andra HTTP-baserade mailtjänster?

Mikroperspektiv är viktigt för att kunna utröna vad lagen kommer leda till längre fram. Detaljerna kan man dock ofta ändra och utarbeta med tiden - det behöver inte vara perfekt på en gång under förutsättningen att vi har ett flexibelt system som åtgärdar de brister som uppenbarar sig med tiden.

Ur ett makroperspektiv bestämmer EU
Propositionen tar med några remissinstanser som har fått uttala sig kring vissa specifika, på förhand angivna frågor. Inte oväntat så tycker de som jagar folk (typ Åklagarmyndigheten, Antipiratbyrån, IFPI) att förslaget behövs och att balansen mellan information och integritet är väl utformat. Alla andra tycker det är någon grad av dåligt, med uttryck för att den inte över huvud taget skall införas. Men som propositionen kommit fram till så är det här ett EU-direktiv, och det är inte upp till Sverige att bestämma om lagen ska införas eller inte. Propositionen har alltså inte över huvud taget beaktat alternativet olydnad.

Det kanske inte var en del av propositionsförfattarnas uppdrag, men vem lyfter då fram vad alternativet olydnad innebär? Både Tyskland och Rumänien har tidigare åkt på bakslag när de utformat lagar utifrån direktivet som i sin tur stridit mot ländernas grundlagar. Även enligt svensk grundlag kan det finnas utrymme att underkänna datalagringsdirektivet. Och i dagsläget pågår utvärdering av lagen inom EU-kommissionen.

Med så mycket motstånd så hoppas jag att man förhalar beslut om lagen fram tills kommissionens utvärdering är klar - för det kan väl knappast finnas någon som i det här läget fortfarande tror att utvärderingen kommer framhålla att nuvarande direktiv är "A OK"?

onsdag 8 december 2010

Säkerhet i molnet som avtalsfråga

Molnet börjar nu bli ett etablerat begrepp allteftersom hypen långsamt lägger sig och begreppet får en fastare innebörd. Men säkerhet i molnet är fortfarande ett "hett" ämne, något som kan förbrylla om man bara pysslar med teknik.

Säkerhet i molnet handlar väldigt lite om teknik, fokus för den kund som funderar på säkerhet i molnet ligger snarare i kravställning, avtal och uppföljning.

Något annat som finns "out there" i debatten/media är om det är säkert att lägga ut sin data i molnet. Frågeställning i sig är kontraproduktiv - frågan skall handla om risk, inte om någon luddig uppfattning om vad som är säkert eller inte.

Mitt råd är att ta ställning till en förändrad risk i förhållande till förändrade kostnader.

För att reducera risken man som kund tar när man lägger ut information och funktioner i molnet, kan man fundera på vad som är mest prioriterat. Därefter antingen hitta en leverantör som redan gör Bra Saker(tm) för att reducera den risken, eller försöka få en existerande leverantör att gå med på ens egna krav.

Exempel på krav kan vara att backup skall göras dagligen, att status från backupen skall kontrolleras av leverantören, att den är synlig för dig som kund. samt att återläsning testas årligen. Här i Sverige förlorade Fastbikes sitt arkiv då det visade sig att deras leverantör Ipeer aldrig hade gjort någon backup.

Även andra risker kan tillkomma, till exempel att din information blir "collateral damage" när leverantör får intrång. Som svenskt exempel kan vi ta då ett intrång hos Agresso resulterade i publikation av deras kunders lösenord. Det väcker i sin tur frågor som vilken logginformation man som kund får tillgång till, och i vilken utsträckning man delar miljö med andra. Absolut något att tala om innan det gått för långt.

Med lite tänk i förväg kan det finnas mycket pengar att spara.

måndag 6 december 2010

Alla stans bankomater trojaniserades av insiders

... nej det är inte i Stockholm, utan Yakutsk i Ryssland. Stans alla bankomater trojaniserades av den lokale IT-chefen, en systemadministratör, en tredje man som skulle vara pengaåsna och en fjärde som skrev själva trojanen.

Incidenten påminner om hur viktigt det är med separation av roller i miljöer som kräver hög säkerhet. Som Wikileaksdokumenten har påmint om så förekommer det alltid ett visst mått av insiders. Det måste man räkna med. Därför ska det begränsas vad en enstaka person kan åstadkomma, och att man i känsliga miljöer ska ha dedikerad personal för att hantera säkerhetsfrågorna.

Chefen skall inte heller per automatik ha samtliga behörigheter. Jag har själv utrett insiderfall i Sverige där just den lokala chefen har varit den som i slutändan visat sig vara den drivande kraften. Det räcker oftast gott med att chefen har administrativ kontroll över företaget, men att ge chefen fullständig teknisk tillgång till allting är bara onödig risk.

onsdag 1 december 2010

Don't try this at home

Idag publicerade DN en artikel med rubriken Känsliga uppgifter på tv-kändisens sajt.

Sammanfattat så är Charlie (ni vet lyxfällan-numera-plus-Charlie) förfasad över att hans sajt pengakollen.nu hade en pinsamt lättutnyttjad sårbarhet på sig som gjorde att man kunde se andra kunders uppgifter om inkomst, lån, aktier, sparmål med mera.

Vad som förvånar mig är inte att sajten hade brister, det är snarare medias rapportering av det. Det är inte direkt ovanligt att sajter är sårbara - vad som däremot är ovanligt är att mainstream media rapporterar om det såhär utan att det föregåtts av några incidenter. Vad har fått dem att singla ut just pengakoll.nu? Lite fult, lite misstänkt... definitivt ingen ansvarsfull rapportering.

Hur som helst, någon har uppenbarligen testat sajten utan ägarnas vetskap. Mitt råd: se till att ALLTID ha tillstånd att utföra tester om du vill jobba med IT-säkerhet. Flera personer har tidigare blivit åtalad för de mest harmlösa testerna och i det här fallet ter det sig uppenbart att någon gjort sig skyldig till dataintrång.

måndag 29 november 2010

Skyldig tills motsatsen är bevisad

Nominet som är ansvariga för toppdomänen .uk har börjat fundera över vad de kan göra för att snabbare stänga av domännamn som används i samband med brottslighet. De har uttryckt intresse för att kunna stänga av domäner om det finns "rimlig grund" att tro att domänen används i brottslighet.

En sådan "rimlig grund" som de pekar ut är om någon brottsbekämpande myndighet ber dem om det.

Du skulle alltså anses skyldig tills motsatsen bevisats - om du ens får chansen.

Bakgrunden är återigen legitim. Många domäner används i kriminella syften (ex: spam, botnät), och det kan möjligen fungera rätt bra i det korta perspektivet om Nominet gör schyssta bedömningar.

Ett problem är att man med ett sådant beslut skulle bygga in en stor bit godtycke i systemet. Vad är en "rimlig grund" och vem avgör det? Var överklagar man? Vem tar kostnaden om avstängningen hävs?

Det finns anledningar att vi har domstolar som dömer om ärenden så som häktning, och att åklagare - inte polis - beslutar om husrannsakan.

Ska man verkligen bygga in ett delegerande av maktutövande till andra myndighetsorganisationer, eller ska man åtgärda problemet vid dess källa - att rättsväsendet har svårt att förstå och hinna med när det kommer till IT-brottslighet?

onsdag 24 november 2010

Oracle plockar hem 9 miljarder från SAP

Nu har domen kommit i rättegången där Oracle stämde SAP: 1,3 miljarder dollar, motsvarande cirka 9 miljarder kronor skall SAP betala till Oracle.

Bakgrunden är att SAP's TomorrowNow har laddat ner mängder av material från Oracles supportweb, och gjort så med konton som tillhör kunder som SAP tagit över från Oracle. SAP har inte bestridit att man brutit mot avtalet, men förstås hävdat att beloppet skulle varit lägre - max 40 miljoner dollar ville de gå med på.

Skall man analysera allt det här finns flera lärdomar:

  • Oracle hänvisar sin upptäckt till "ovanligt många nedladdningar"
  • Att din konkurrent kan ge sig på ditt företag elektroniskt är inte något som säkerhetsföretag bara säger att det kan hända - det händer på riktigt, och de ekonomiska konsekvenserna kan bli massiva.
  • Oracle skyddade sitt material dåligt - i stämningen nämns flera gånger att de konton som SAP använt laddade ner material som kontona inte hade rätt att ladda ned (men ändå var det uppenbart tekniskt möjligt).

Vad jag finner extra intressant är upptäckten genom "ovanligt många nedladdningar". Det rimmar väldigt väl med uppfattningen att har man bra koll på hur ens IT-system används får man enkelt många säkerhetsfördelar på köpet.

Just i fallet Oracle så kanske det bara var något så enkelt som att bandbredden maxades i fyra dygn, det kom klagomål och Oracle utredde saken.

Visar även på vikten av att utreda incidenter - den enkla vägen är att bara strunta i det med bortförklaringar som "det gick över" eller "vi väntar & ser om det går över". Oavsett vad orsaken hade varit är det bra att ha mycket god kunskap om sina system. Även om man inte vinner mångmiljardbelopp på det på en gång kommer det garanterat att sänka din driftskostnad långsiktigt.

måndag 22 november 2010

MSB önskar synpunkter på nya dokument

Idag har Myndigheten för Samhällsskydd och Beredskap publicerat nya dokument. Dokumentnamnen är:
  • Fastställa säkerhetsåtgärder
  • Utforma policy och styrande dokument
  • Utforma säkerhetsprocesser
  • Beslut 2a
  • Beslut 2b
  • Övergripande utforma LIS
Har du synpunkter på vad innehållet i dessa är eller skall vara är nu en bra tid att lämna dessa. Kommentarer kan lämnas fram till den 16:e december.

fredag 19 november 2010

Chrome framstår oförtjänt i dålig dager

Många har reagerat på Bit9's blinda räknande av antalet fixade buggar, och de alltför stora växlar (pun intended) som drogs från det räknandet. Här hemma i Sverige var det bara IDG som rapporterade om Bit9's siffror.

Ett stort "Fuck You" får ni från mig, och en länk till Krebs utsökta blogginlägg: "Why Counting Flaws is Flawed" J*la noobs! :p

Google Chrome rekommenderas varmt från mig till alla som bryr sig om säkerheten när de surfar på webben, för allt vi vet är Chrome det absolut bästa valet.

Säkerhet i molnet enligt Microsoft

Microsoft har släppt en tredje paper om informationssäkerheten för infrastrukturen till Microsofts molntjänster. Den här handlar om informationssäkerhetsstyrningen, och hur denna är anpassad för att efterleva standarder som ISO27001, SOX och PCI DSS.

Det här är bra gjort av Microsoft. Genom att öppet publicera hur de sköter säkerheten får Microsoft flera positiva effekter:
  • För kunder som verkligen är intresserade av informationssäkerhet finns informationen tillgänglig
  • Publik granskning medger att Microsoft kan få in kvalificerade frågor och förbättringsförslag
  • Signaler sänds om hur seriöst Microsoft ser på informationssäkerhet i sina molntjänster
  • Signaler sänds om att Microsoft är så pass bra på informationssäkerheten att de inte har något att dölja.
Ett par mindre negativa effekter kan dock också tänkas:
  • "The Bad Guys" kan hitta luckor utifrån det publicerade materialet, eller använda sig av det på annat sätt, så som social engineering eller att välja ett annat angrepssätt. MEN, "The Bad Guys" är sannolikt endast ett fåtal och jobbar oftast på andra sätt.
  • Fokus kan riktas mot den oro som redan finns kring informationssäkerheten i molnet. MEN, den oron har ofta redan nått sådan omfattning att den ändå inte kan tigas ihjäl.
Det är inte alltid som situationen är så fördelaktig för att vara öppen med sitt säkerhetsarbete, men i det här fallet är det klockrent.

Update: En kollega till mig på Cybercom påminde oss i veckan om att vissa av de här molntjänsterna är väldigt tillgängliga för amerikansk underrättelsetjänst. Rekommendationen är fortfarande att inte lägga ut någon som helst information i utländska moln om ditt bolag konkurrerar med stora kommersiella intressen. Oavsett hur bra säkerhet de har i övrigt renderas den null and void när administratören glatt hjälper till att kopiera ut all information.

torsdag 18 november 2010

TT: Antivirus skyddar allt sämre; Källkritik mina damer och herrar!

TT har idag kablat ut en nyhet att de vanligaste antivirusprogrammen bara skyddar mot 30% av den skadliga kod de utsätts för.

Vilka tester som avses anges inte.

Men "flera IT-säkerhetsexpert" anges som källa för att "datasäkerhetsföretagen nu måste tänka om".

Vilka TT har frågat har jag ingen aning om. Vad jag gärna skulle påpeka är att 30% är en siffra tagen ur luften. Utan att redovisa hur testerna gått till är det Enormt svårt att bedöma hur relevant den där 30%-siffran egentligen är. Vilket urval av malware har egentligen testats? Är testet rent av designat för att ge låga siffror? Är det ett test som har provat hur effektivt verktyget msfencode är på att obfuskera kod? Har det viktats något mot risken för att stöta på just den utvalda malwaren?

Till alla som frågar mig så brukar jag säga att antivirusprodukterna är långt ifrån 100%:iga, men man ska ändå ha ett eftersom de fångar de största hoten. Men betala inte för mycket för det, och låt annat väga tyngre än deras påstådda detection rate i diverse "tester".

Så i syfte är det bra att TT:s artikel når ut eftersom många Svenssons har bilden av IT-säkerhet är samma sak som att man har antivirus och brandvägg. Har man det så går man säker. Kanske behöver man kryptera någonting också. Den bilden har fått fäste eftersom det är det enda enkla råd vi IT-säkerhetsfolk har haft att ge privatpersoner.

Alla som har någorlunda datavana skulle jag dock vilja rekommendera att även köra Secunia Personal Software Inspector för att hålla tredjepartsprogramvaran uppdaterad. Välj version 2.0 beta, och aktivera automatiska uppdateringar. Genom att hålla Java, Adobe Reader, Adobe Flash Player, Quicktime och dylika program uppdaterade (+ Microsoft-produkterna) så är man avsevärt säkrare när man surfar runt på nätet.

Update 19/11: Fick svar från TT att det fanns två versioner av nyheten. En kort och en lång. Tyvärr hade de flesta tidningar bara kört den korta. Den långa var långt bättre, mycket mer balanserad.

onsdag 17 november 2010

Swedbank nere, igen...

Igår eftermiddag och kväll var stora delar av Swedbanks IT-system otillgängliga. Internetbanken var nere, telefonbanken var nere, det gick inte att hämta ut pengar från bankomaterna och Maestro-korten gick inte att betala med.

Det här är inte första gången Swedbank har avbrott. Faktum är att Finansinspektionen rapporterade 2008 om att Swedbank och avbrott i den IT-stödda verksamheten hade ett starkt samband. Finansinspektionen konstaterade bland annat att: "Sparbankerna som är beroende av Swedbank för sin it-drift rapporterar markant fler avbrott än övriga sparbanker."

Då, 2008, när Anna Sundblad på Swedbank konfronterades med dessa siffror i Computer Sweden, lät det såhär: "– Det är ju inte bra när det blir stopp. Men kunderna har alltid kunnat nå oss, om internetbanken har legat nere har telefonbanken fungerat, och vice versa."

Not this time.

Den stora frågan jag egentligen vill lyfta fram med det här är att det finns inga legala krav på att bankerna ska vara tillgängliga 24/7, men det finns däremot en stor förväntan om det från samhällets sida. Situationen är precis den samma när det gäller mjukvara och säkerhet.

Jag har mer än en gång stött på mjukvarutillverkare som säger att säkra system inte är något deras kunder efterfrågar och därför anser tillverkarna att det är helt ok att leverera system med fler hål än en schweizerost.

Jo, visst, kunderna är generellt dåliga på att kravställa säkerhet, men det finns ändå en stor förväntan om det. På samma sätt som att när jag köper en bil så kravställer jag inte att gaspedalen inte ska fastna i full gas, eller att ratten inte ska lossna när jag kör... även utan specifik kravställning är det rimligt att ha en förväntan om en viss basnivå.

Här är min debattartikel i TechWorld från 2009 då jag manade till bättre kravställning från kunderna. Det står jag fortfarande fast vid.

... och skulle det vara så att man prioriterar bankens tillgänglighet väldigt högt så gör man gott i att lämna Swedbank. Det är inte en isolerad incident, Swedbank har uppenbarligen systemfel som de har svårt att komma tillrätta med.

Personligen har jag ett möte med mitt lokala Swedbankkontor om två veckor för att diskutera att bli kund hos dem. Så länge de ersätter mina förluster är deras IT-problem inte något jag är villig att betala flera tusen kronor per år för att slippa. Däremot kommer jag kanske luta åt en konkurrent om konkurrentens erbjudande är liknande.

tisdag 16 november 2010

Artikel om hur datalagringsdirektivet kan slå mot vissa grupper

En artikel på Realtid tar en vinkling om hur datalagringsdirektivet kan komma att påverka yrken som har krav på sekretess, ex. journalisters relation till anonyma källor. Läsvärt.

Några fler intressanta noteringar:
  • Vissa politiker vet inte vad lagen de beslutar om egentligen innehåller och inte. Det är lätt att bli cynisk eftersom sånt här händer gång på gång. Våra folkvalda är ofta allt för okunniga när det kommer till detaljer (och därmed samtliga konsekvenser), samtidigt som det finns ett starkt drag av att ignorera allt som inte stödjer den förutbestämda åsikten. Eller som en bekant till mig uttryckte sig, "Det är en massa medelmåttor som sitter och tycker".
  • Materialet som kommer komma från det här kommer i sig vara av betydelse för rikets säkerhet. Väcker förstås frågan om hur väl det kommer skyddas, vad som ska anses vara "tillräckligt" skydd, vem som ska bestämma vad som är tillräckligt och vem som kommer kontrollera att det skyddas tillräckligt.
Artikelrubriken "Säg farväl till din iPhone" tycker jag är överdramatiserad, men så behöver den nog vara för att locka läsare...

måndag 15 november 2010

Pentagon vill hacka världen i "förebyggande syfte"

Lördagen bjöd på en artikel i Washington Post där det framgår att Pentagon's Cyber Command önskar utöka sin verksamhet. Eller som Sveriges IT Incident Centrum tolkade det i sitt veckobrev - "Cyber Command söker Carte Blanche för att utföra Cyber-krig".

Specifikt skriver Washington Post att "Cyber Command is seeking authority to carry out computer network attacks around the globe to protect U.S. interests" och det genom att använda '"the full spectrum" of operations in cyberspace.'.

Får de sin vilja igenom kan det alltså innebära att de har tillstånd att ge sig på vilket land, vilket företag eller vilket privatperson som helst - allt för att skydda amerikanska intressen. Dessutom handlar det inte om åtgärder after-the-fact utan även i förebyggande syften, s.k. preemptive strikes.

Innebär det här måntro, att Saab skulle kunna bli en måltavla om de säljer vapen till "fel" land? Kanske ligger det tillräckligt i amerikanska intressen att Brasilien, Indien, Tjeckien o.s.v. väljer att köpa amerikanska flygplan istället för svenska?

Det finns förstås en bra bakomliggande anledning till förslaget, men lagstiftarna måste ha tungan rätt i mun för att inte ge ut för stora befogenheter - Cyber Command tar alldeles säkert hellre för sig av för stora befogenheter än för små :)

En annan intressant notis är att det här förslaget tas emot ljummet av amerikanska politiker inte bara för att det kan ge utrikespolitisk backlash, utan även för att CIA anser att det här med att bryta sig in i andra fredliga länders nätverk är DERAS monopol, och inget som Cyber Command ska lägga sig i!

Oops, .. USA är på offensiven minsann. Här hemma i svensk media ser vi inte så mycket debatt om vilka befogenheter den svenska militären ska ha när det kommer till annat än FRA-lagen. Men vilka svenska intressen och intressenter finns det egentligen?

torsdag 11 november 2010

Datalagringsdirektivet sågas - men varför?

Idag har det varit mycket skriverier om datalagringsdirektivet och regeringens nya förslag.

I korthet går det ut på att för alla SMS och e-post som skickas skall avsändare, mottagare, tidpunkt och plats lagras i 6 månader. Förslaget har fått kritik från alla håll - från polisen som inte tycker 6 månader är tillräckligt, och från förespråkare av personlig integritet som tycker förslaget är alldeles för påträngande.

Intressant kuriosa är att Tyskland var tidiga med att införa en liknande lag, men att högsta domstolen senare kom fram till att den lagen var emot tysk grundlag.

De flesta privatpersoner har inte så mycket emot att den personliga integriteten ruckas på - om det ger dem något i utbyte. Det behöver inte vara mycket - något så litet som en chokladbit har visats vara en lång bit på vägen.

Ett exempel på det är alla dessa plastkort vi går omkring med - kreditkort, betalkort, medlemskort. Många tänker inte två gånger på att köpa prylar på dessa kort trots att informationen om köpen då lagras för längre tid än 6 månader. Och på samma sätt som man kan välja att betala med kontanter, kan man på Internet välja att använda kryptering och anonymiseringstjänster.

För fallet med datalagringsdirektivet får man nog därför konstatera att myndigheterna varit usla på att nå ut med information om vad vinsten med det här verkligen är i förhållande till kostnaden. Liknande integritetsprövande frågor så som kameror, har inte direkt basunerats ut som någon effektiv framgångssaga. Ibland hör man om något brott som löstes med kamera - men det enstaka fallet redovisas sällan med någon prislapp, och aldrig med någon jämförelse på vad de pengarna kunnat göra istället. Lägg till det att man som individualiserad västerlänning kanske känner att den vinsten är rätt långt borta, medan kostnaden - integriteten - kan kännas väldigt nära.

... nu ska man väl inte lasta Svenska myndigheter och politiker allt för hårt för att de inte lyckats marknadsföra den här lagen. Det är trots allt ett EU-direktiv.

Det kommer bli mycket intressant att se vad som händer framöver när Tyskland faktiskt konstaterat att det är mot deras grundlag - kommer EU backa eller är det OK att EU kör över ett medlemsland grundlagar? Och ska verkligen Sverige införa de här lagarna innan den saken är avgjord? Det kostar ju trots allt en bra slant...

Svenssons riskhantering - vinterdäck

Byte till vinterdäck har aktualiserats nu i veckan, och som vanligt är många sent ute.

Enligt en undersökning som If gjort väntar nästan en tredjedel med att byta till vinterdäck fram tills antingen 1 december eller då första halkan slagit till.

Definitivt tänkvärt att en så stor del av befolkningen inte byter förrän de bokstavligt talat ser anledningen med sina egna ögon. Inte ens att de själva upplevt situationen förr räcker alltså.

Halkan kommer ju varje år och vem har inte halkat & slagit sig? Att det är halt och man kan slå sig är ju ett synnerligen enkelt koncept, och det blir inte så mycket klurigare när man blandar in att det lär göra ondare om man smäller in i något i högre hastighet. Kanske är det så att många tänker sig att de kan hantera halkan på annat sätt än att sätta på vinterdäck?

En annan intressant iakttagelse: majoriteten av bilägarna har faktiskt satt på vinterdäcken i tid före första halkan. Går väl i linje med att majoritetens beslut faktiskt ÄR bra så länge problemet är enkelt att förstå sig på.