Massivt sikkerhedshul bliver forhåbentlig lappet inden jul – og ny cyberstrategi skal være med til at sikre Danmark fremover

Torsdag lancerede regeringen Danmarks nye strategi for cyber- og informationssikkerhed. Med 270 millioner kroner i ryggen skal den danne rammen for de kommende tre års indsats for at "styrke Danmarks digitale sikkerhed og robusthed på tværs af samfundet, så vi kan følge med udviklingen i cybertruslen."

Som vi skal se nedenfor, kunne strategien næppe være præsenteret på et bedre tidspunkt – i hvert fald hvis målet er at kunne understrege sagens alvor ved at pege på nogle af de trusler, som står bag kravet om et større fokus på cybersikkerhed.

I disse dage buldrer det frem med historier om især én ny, omfattende sårbarhed, Log4Shell, der har har medført en regulær tsunami af hackerangreb og forventes at kunne skabe problemer i måske flere år fremover.

Det vender vi tilbage til – men først et par nedslag i den nye strategi, der præcis skal øge Danmarks forsvar mod den slags sårbarheder og angreb.

Strategien favner initiativer der skal hjælpe politiets indsats, tiltag som handler om at skabe bedre forankring af arbejdet med it-sikkerhed i firmaer, og øget oplysning til borgerne.

Rapporten opdeler planerne i fire målsætninger, der i alt rummer 34 hovedinitiativer – og her er et lille udpluk:

Robust beskyttelse af de samfundsvigtige funktioner:

  • Skærpede krav til de statslige myndigheders cyber- og informationssikkerhedsarbejde
  • Etablering af en cybersikkerhedsenhed for små og mellemstore virksomheder
  • Styrkelse af politiets indsats mod it-kriminalitet

Øget kompetenceniveau og ledelsesforankring

  • Kompetenceindsatser rettet mod topledere og ledere i staten samt statslige medarbejdere
  • Styrket informationsindsats over for borgere, myndigheder og virksomheder, herunder styrkelse af informationsportalen sikkerdigital.dk

Styrkelse af det offentligt-private samarbejde

  • Bedre hjælp til borgere og virksomheder via en cyberhotline

Aktiv deltagelse i den internationale kamp mod cybertruslen

  • Bedre kapacitet til at imødegå statslige og ikke-statslige aktørers cyberangreb
  • Styrket kontrol med spredning af cyberprodukter og indefrysning af økonomiske midler

Man kan læse hele strategien hos Finansministeriet (pdf).

Som forventet modtages den nye strategi med blandede reaktioner.

Til Computerworld siger således Rikke Hougaard Zeberg, branchedirektør for DI Digital, at hun er "alvorligt bekymret for om [strategien] er tilstrækkelig", og hun mener ikke at 270 millioner er nok til at løfte den store sikkerhedsopgave.

Hos IT-branchen siger formand for Cybersikkerhedsrådet også, at den aktuelle indsats ikke er nok, og at det næppe er tilstrækkeligt med den annoncerede økonomiske ramme, men at det omvendt er positivt, at der blandt andet nu kommer større hjælp til små og mellemstore virksomheder:

”40% af de små og mellemstore virksomheder har i dag et manglende sikkerhedssetup, og det gør dem sårbare overfor en lange række cyberangreb. Derfor er det positivt, at der nu afsættes flere penge til mere rådgivning, hotlines og erfaringsudveksling på dette område,” udtaler Bjarke Alling.

Og så tilbage til Log4Shell.

Log4Shell er navnet på et sikkerhedshul, der findes i Javabiblioteket Log4j, og som ligger til grund for den aktuelle bølge af angreb.

Vi kommer meget hurtigt hinsides mine it-kompetencer hvis vi skal prøve at forklare detaljerne, men i denne kontekst er det centrale nok også bare, at det er en udbredt fejl i et meget anvendt stykke software.

Log4Shell omtales allerede nu i samme kategori som de store historiske sårbarheder Heartbleed og Shellshock.

Fejlen blev opdaget i slutningen af november, men er heldigvis også allerede blevet rettet.

Det betyder dog desværre langt fra, at alle har opdateret deres systemer og lukket sikkerhedshullet, og derfor fortsætter angrebene, der forsøger at udnytte sårbarheden.

Hvis man vil vide lidt mere om den tekniske baggrund og have tips til hvordan man kan opdatere systemerne og lukke hullet, så kan man besøge Version2.

Samme instruktioner er naturligvis også delt mange andre steder på kloden, fordi Log4Shell som nævnt er en fejl i et meget udbredt værktøj. I USA er alle offentlige myndigheder således blevet pålagt at opdatere deres systemer og lappe sikkerhedshullet inden jul.

Herfra opfordrer vi alle, der har den mindste smule kontakt til it-sikkerhedsapparatet i deres virksomhed eller organisation, til at gøre det samme.

På den måde kan vi forhåbentlig undgå sager som denne her i USA, hvor lønudbetalings-systemet Kronos er ramt af et ransomware-angreb, og hvor lønchecken for tusindvis af medarbejdere derfor er truet – midt i højtiden.

Heldigvis bliver der arbejdet på en alternativ løsning, så julegaverne ikke kommer i fare...


1. Foldbar mobil løser skærmproblem – men kan desværre kun købes i Kina

Som faste læsere måske vil vide, så er vi på Techliv ret fascinerede af foldables og rollables, altså mobiler og tablets, der på en eller anden facon kan klappes sammen, foldes ud eller rulles, så skærmen passer i størrelse til det man er igang med.

Også selvom vi ikke nødvendigvis er 100 procent overbeviste om, at de giver mening i hverdagen for særlig mange...

Ikke desto mindre bliver der stadig arbejdet på at udvikle de klapsammen-bare mobiler. Tidligere i år præsenterede Samsung nye versioner af deres Fold og Flip, som rettede en række børnesygdomme, og Microsoft har også opdateret deres Surface Duo.

Nu følger den kinesiske producent Oppo så efter, med deres nye Find N.

Ligesom Samsungs Galaxy Z Fold 3 har Oppos Find N et format, der minder om en bog – hvor man får adgang til den store 7.1-tommer skærm når man folder mobilen ud, og "kun" har adgang til en mindre 5.5-tommer skærm på ydersiden når den er klappet sammen.

Og ifølge Techradar er det lykkedes Oppo at overkomme et af de store problemer ved dét format, nemlig at den store skærm har en generende fold på midten, som man også kan se og mærke, selv når mobilen er foldet helt ud.

Dét lille trick kræver – udover selve skærmen – et særligt hængsel med 136 dele, siger Oppo.

Desværre for os foldable-nysgerrige kommer Oppo Find N ikke til salg uden for Kina. Men man har jo lov at håbe på en Find N 2...


2. EU ønsker større åbenhed i de algoritmer, der styrer arbejdet for såkaldte 'gig workers'

Vi skal også lige samle op på en nyhed fra sidste uge, hvor EU præsenterede en række forslag der skal forbedre vilkårene for såkaldte 'gig workers', altså personer der arbejder for tjenester som VOLT, Uber, TIER og lignende.

Målet er at sikre arbejderne rettigheder på linje med "almindelige" ansatte, selvom de ofte kategoriseres som selvstændige forretningsdrivende af firmaerne.

EU-Kommissionen vurderer, at der aktuelt er over 28 millioner mennesker der arbejder som løs-ansatte for digitale tjenester, og at det tal vil stige til 43 millioner i 2025.

Samtidig hævdes det, at over 5 millioner af de 28 fejlagtigt bliver betragtet som selvstændige, hvor de i virkeligheden burde være ansatte eller freelancere hos firmaerne.

Et af de nye forslag handler om at "øge gennemsigtigheden" af de algoritmer, der typisk bliver brugt til at uddelegere opgaver til gig-arbejderne, tracke deres lokation og hvor meget tid de bruger, og distribuere deres indtjening.

Det skal både gøre algoritmerne mere retfærdige og gøre det muligt for arbejderne at klage, hvis de ikke mener algoritmerne fungerer korrekt.

Der er som sagt endnu tale om forslag, der nu er offentliggjort til feedback, og samtidig skal diskuteres i Parlamentet, før de – potentielt – kan gøres til lov.


3. Norge uddeler kæmpebøde til dating-appen Grindr

Det norske datatilsyn har virkelig været ude med det store spanskrør overfor dating-appen Grindr.

Grindr har ulovligt delt brugernes personoplysninger med eksterne firmaer til markedsføring, og det mener datatilsynet altså skulle koste 65 millioner norske kroner (ca 47 millioner danske kroner).

Specifikt mener tilsynet, at Grindr har vildledt brugerne om brugen af deres data, ligesom det ikke har været muligt specifikt at fravælge accepten af data-salget i appens generelle brugerbetingelser.

Det betyder altså, at Grindrs reklamekunder har kunne få adgang til fx IP-adresser, lokation, alder og køn på brugerne.

Overtrædelsen vurderes også som særlig graverende, da Grindr primært henvender sig til LGBTQ+-personer, for hvem private oplysninger kan være særligt følsomme.

Ifølge pressemeddelelsen overvejede man endog en bøde på hele 100 millioner norske kroner, men tog hensyn til at Grindr har rettet op på deres praksis efter den oprindelige klage blev indgivet i 2020.


Selvkørende robotplatform til barnevogn eller cocktails. Det er snart CES-tid, og strømmen af sære, nye gadgets er begyndt...

Hyundai’s bizarre new four-wheel droid wants to carry your baby and your booze
Eccentric by name, eccentric by nature

Og pengene skal bruges til mere RAM? AI-"kunstner" tjener sin første million på NFT'er

Botto, the decentralized AI/human artist, makes its first million
An AI algorithm called Botto has made somewhere around US$1.3 million at auction for its first six NFT artworks. Botto generates thousands of images, and a community of humans vote to influence its direction and decide which pieces go to auction.

Manipulation eller kreativ brug af nye værktøjer? Digitalt animerede fotos af dræbte kvinder skal advare andre om voldelige forhold

‘I was murdered’ - tech gives voice to victims
Animated photographs of women before they were killed warn others about abusive relationships.

E-krone? CBS-professor argumenterer for at Danmark skal have en digital møntfod

Professor i clinch med Nationalbanken: Vi skal have en e-krone, hvis vi vil være herrer i eget hus
Danmark skal have en digital møntfod. Det mener en gruppe forskere, der beskæftiger sig med digitalisering og økonomi. Men Nationalbanken er uenig i behovet for en e-krone.