Ny dansk sikkerhedsstrategi skal tackle fremtidens trusler
Der skal gives 270 millioner til Danmarks cybersikkerhed de næste tre år – og hele 34 nye initiativer. Ikke alle mener dog at det er nok. Derudover ser vi bla. på foldbare telefoner og en kæmpestor GDPR-bøde i Norge.
Massivt sikkerhedshul bliver forhåbentlig lappet inden jul – og ny cyberstrategi skal være med til at sikre Danmark fremover
Torsdag lancerede regeringen Danmarks nye strategi for cyber- og informationssikkerhed. Med 270 millioner kroner i ryggen skal den danne rammen for de kommende tre års indsats for at "styrke Danmarks digitale sikkerhed og robusthed på tværs af samfundet, så vi kan følge med udviklingen i cybertruslen."
Som vi skal se nedenfor, kunne strategien næppe være præsenteret på et bedre tidspunkt – i hvert fald hvis målet er at kunne understrege sagens alvor ved at pege på nogle af de trusler, som står bag kravet om et større fokus på cybersikkerhed.
I disse dage buldrer det frem med historier om især én ny, omfattende sårbarhed, Log4Shell, der har har medført en regulær tsunami af hackerangreb og forventes at kunne skabe problemer i måske flere år fremover.
Det vender vi tilbage til – men først et par nedslag i den nye strategi, der præcis skal øge Danmarks forsvar mod den slags sårbarheder og angreb.
Strategien favner initiativer der skal hjælpe politiets indsats, tiltag som handler om at skabe bedre forankring af arbejdet med it-sikkerhed i firmaer, og øget oplysning til borgerne.
Rapporten opdeler planerne i fire målsætninger, der i alt rummer 34 hovedinitiativer – og her er et lille udpluk:
Robust beskyttelse af de samfundsvigtige funktioner:
- Skærpede krav til de statslige myndigheders cyber- og informationssikkerhedsarbejde
- Etablering af en cybersikkerhedsenhed for små og mellemstore virksomheder
- Styrkelse af politiets indsats mod it-kriminalitet
Øget kompetenceniveau og ledelsesforankring
- Kompetenceindsatser rettet mod topledere og ledere i staten samt statslige medarbejdere
- Styrket informationsindsats over for borgere, myndigheder og virksomheder, herunder styrkelse af informationsportalen sikkerdigital.dk
Styrkelse af det offentligt-private samarbejde
- Bedre hjælp til borgere og virksomheder via en cyberhotline
Aktiv deltagelse i den internationale kamp mod cybertruslen
- Bedre kapacitet til at imødegå statslige og ikke-statslige aktørers cyberangreb
- Styrket kontrol med spredning af cyberprodukter og indefrysning af økonomiske midler
Man kan læse hele strategien hos Finansministeriet (pdf).
Som forventet modtages den nye strategi med blandede reaktioner.
Til Computerworld siger således Rikke Hougaard Zeberg, branchedirektør for DI Digital, at hun er "alvorligt bekymret for om [strategien] er tilstrækkelig", og hun mener ikke at 270 millioner er nok til at løfte den store sikkerhedsopgave.
Hos IT-branchen siger formand for Cybersikkerhedsrådet også, at den aktuelle indsats ikke er nok, og at det næppe er tilstrækkeligt med den annoncerede økonomiske ramme, men at det omvendt er positivt, at der blandt andet nu kommer større hjælp til små og mellemstore virksomheder:
”40% af de små og mellemstore virksomheder har i dag et manglende sikkerhedssetup, og det gør dem sårbare overfor en lange række cyberangreb. Derfor er det positivt, at der nu afsættes flere penge til mere rådgivning, hotlines og erfaringsudveksling på dette område,” udtaler Bjarke Alling.
Og så tilbage til Log4Shell.
Log4Shell er navnet på et sikkerhedshul, der findes i Javabiblioteket Log4j, og som ligger til grund for den aktuelle bølge af angreb.
Vi kommer meget hurtigt hinsides mine it-kompetencer hvis vi skal prøve at forklare detaljerne, men i denne kontekst er det centrale nok også bare, at det er en udbredt fejl i et meget anvendt stykke software.
Log4Shell omtales allerede nu i samme kategori som de store historiske sårbarheder Heartbleed og Shellshock.
Fejlen blev opdaget i slutningen af november, men er heldigvis også allerede blevet rettet.
Det betyder dog desværre langt fra, at alle har opdateret deres systemer og lukket sikkerhedshullet, og derfor fortsætter angrebene, der forsøger at udnytte sårbarheden.
Hvis man vil vide lidt mere om den tekniske baggrund og have tips til hvordan man kan opdatere systemerne og lukke hullet, så kan man besøge Version2.
Samme instruktioner er naturligvis også delt mange andre steder på kloden, fordi Log4Shell som nævnt er en fejl i et meget udbredt værktøj. I USA er alle offentlige myndigheder således blevet pålagt at opdatere deres systemer og lappe sikkerhedshullet inden jul.
Herfra opfordrer vi alle, der har den mindste smule kontakt til it-sikkerhedsapparatet i deres virksomhed eller organisation, til at gøre det samme.
På den måde kan vi forhåbentlig undgå sager som denne her i USA, hvor lønudbetalings-systemet Kronos er ramt af et ransomware-angreb, og hvor lønchecken for tusindvis af medarbejdere derfor er truet – midt i højtiden.
Heldigvis bliver der arbejdet på en alternativ løsning, så julegaverne ikke kommer i fare...
1. Foldbar mobil løser skærmproblem – men kan desværre kun købes i Kina
Som faste læsere måske vil vide, så er vi på Techliv ret fascinerede af foldables og rollables, altså mobiler og tablets, der på en eller anden facon kan klappes sammen, foldes ud eller rulles, så skærmen passer i størrelse til det man er igang med.
Også selvom vi ikke nødvendigvis er 100 procent overbeviste om, at de giver mening i hverdagen for særlig mange...
Ikke desto mindre bliver der stadig arbejdet på at udvikle de klapsammen-bare mobiler. Tidligere i år præsenterede Samsung nye versioner af deres Fold og Flip, som rettede en række børnesygdomme, og Microsoft har også opdateret deres Surface Duo.
Nu følger den kinesiske producent Oppo så efter, med deres nye Find N.
Ligesom Samsungs Galaxy Z Fold 3 har Oppos Find N et format, der minder om en bog – hvor man får adgang til den store 7.1-tommer skærm når man folder mobilen ud, og "kun" har adgang til en mindre 5.5-tommer skærm på ydersiden når den er klappet sammen.
Og ifølge Techradar er det lykkedes Oppo at overkomme et af de store problemer ved dét format, nemlig at den store skærm har en generende fold på midten, som man også kan se og mærke, selv når mobilen er foldet helt ud.
Dét lille trick kræver – udover selve skærmen – et særligt hængsel med 136 dele, siger Oppo.
Desværre for os foldable-nysgerrige kommer Oppo Find N ikke til salg uden for Kina. Men man har jo lov at håbe på en Find N 2...
2. EU ønsker større åbenhed i de algoritmer, der styrer arbejdet for såkaldte 'gig workers'
Vi skal også lige samle op på en nyhed fra sidste uge, hvor EU præsenterede en række forslag der skal forbedre vilkårene for såkaldte 'gig workers', altså personer der arbejder for tjenester som VOLT, Uber, TIER og lignende.
Målet er at sikre arbejderne rettigheder på linje med "almindelige" ansatte, selvom de ofte kategoriseres som selvstændige forretningsdrivende af firmaerne.
EU-Kommissionen vurderer, at der aktuelt er over 28 millioner mennesker der arbejder som løs-ansatte for digitale tjenester, og at det tal vil stige til 43 millioner i 2025.
Samtidig hævdes det, at over 5 millioner af de 28 fejlagtigt bliver betragtet som selvstændige, hvor de i virkeligheden burde være ansatte eller freelancere hos firmaerne.
Et af de nye forslag handler om at "øge gennemsigtigheden" af de algoritmer, der typisk bliver brugt til at uddelegere opgaver til gig-arbejderne, tracke deres lokation og hvor meget tid de bruger, og distribuere deres indtjening.
Det skal både gøre algoritmerne mere retfærdige og gøre det muligt for arbejderne at klage, hvis de ikke mener algoritmerne fungerer korrekt.
Der er som sagt endnu tale om forslag, der nu er offentliggjort til feedback, og samtidig skal diskuteres i Parlamentet, før de – potentielt – kan gøres til lov.
3. Norge uddeler kæmpebøde til dating-appen Grindr
Det norske datatilsyn har virkelig været ude med det store spanskrør overfor dating-appen Grindr.
Grindr har ulovligt delt brugernes personoplysninger med eksterne firmaer til markedsføring, og det mener datatilsynet altså skulle koste 65 millioner norske kroner (ca 47 millioner danske kroner).
Specifikt mener tilsynet, at Grindr har vildledt brugerne om brugen af deres data, ligesom det ikke har været muligt specifikt at fravælge accepten af data-salget i appens generelle brugerbetingelser.
Det betyder altså, at Grindrs reklamekunder har kunne få adgang til fx IP-adresser, lokation, alder og køn på brugerne.
Overtrædelsen vurderes også som særlig graverende, da Grindr primært henvender sig til LGBTQ+-personer, for hvem private oplysninger kan være særligt følsomme.
Ifølge pressemeddelelsen overvejede man endog en bøde på hele 100 millioner norske kroner, men tog hensyn til at Grindr har rettet op på deres praksis efter den oprindelige klage blev indgivet i 2020.
LINKS TIL LÆSEHESTE
Selvkørende robotplatform til barnevogn eller cocktails. Det er snart CES-tid, og strømmen af sære, nye gadgets er begyndt...
Og pengene skal bruges til mere RAM? AI-"kunstner" tjener sin første million på NFT'er
Manipulation eller kreativ brug af nye værktøjer? Digitalt animerede fotos af dræbte kvinder skal advare andre om voldelige forhold
E-krone? CBS-professor argumenterer for at Danmark skal have en digital møntfod