Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Politik » Kryptoblog

Archive for the ‘Politik’ category

Är det inte dags för IT-sec-krav för finansiella aktörer?

January 28th, 2010

I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd av Finansinspektionen att hantera finansiella instrument – att sköta folks pengar. Och hoppsan, plötsligt ville webbplatsen sparka igång en applet och få access till min maskin. Hur pålitlig är den då? Så här:

Skärmdump Nordstaden.
Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.

Schneier skriver om Google-intrånget

January 24th, 2010

Bruce Schneier har skrivit en klart läsvärd och tankvärd essä om det kinesiska intrånget på Google. Schneier skriver:


China’s hackers subverted the access system Google put in place to comply with U.S. intercept orders. Why does anyone think criminals won’t be able to use the same system to steal bank account and credit card information, use it to launch other attacks or turn it into a massive spam-sending network? Why does anyone think that only authorized law enforcement can mine collected Internet data or eavesdrop on phone and IM conversations?

På debattpanelen tidigare i veckan var en av de saker vi diskuterade just hur jurisdiktion i olika länder påverkar säkerheten hos molntjänster, och är ett av de svåraste problemen med moln.

E-delegationen och federerad eID

October 25th, 2009

Förra veckan släpptes E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86), en rejäl lunta.

Av det jag har läst ser jag en väldig massa generella förslag och uttalanden som jag har svårt att se hur de skall leda till något konkret.

En relativt konkret sak är en samordningsfunktion för federerad identitet. Några som läst och funderat på förslaget är Fredrik Ljungberg på Kirei, Leif Johansson på SUNET och Anne-Marie Eklund Löwinder. Deras förslag till en modell för federerad eID i Sverige är väl värd att läsa igenom. Fredrik, Leif och Anne-Marie skriver:


I sitt betänkande (SOU 2009:86) talar E-delegationen om en samordningsfunktion som ska ha som uppdrag att samordna federerad identitet i Sverige. Detta i sig är ett stort steg i rätt riktning för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Vi föreslår att samordningsfunktionen får i uppdrag att samordna federerad identitet i Sverige för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Det är dock viktigt att uppbyggnaden görs på ett sätt som gör att hela samhället kan dra nytta av infrastrukturen. Därför anser vi att utgångsläget för federerad eID i Sverige bör:

* vara baserad på öppna standarder, * ge ett fullgott skydd av den personliga integriteten, * vara teknikneutralt, * vara tillräckligt kostnadseffektivt, och * vara tillgängligt för aktörer i alla delar av samhället.

Vi skissar här på en modell där samordning av federationer inom både stat, kommun, landsting och privat sektor kan ske på ett effektivt sätt och till en mycket låg kostnad.

Vi menar att samordning av eID kan ske genom att realisera två separata funktioner, gärna som uppdrag till två olika myndigheter:

* En samordningsfunktion med fokus på styrning och som har som huvudsakligt uppdrag att direkt, eller indirekt via ackrediterade granskare, godkänna identitetsleverantörer samt att publicera regler och tekniska ramverk för både identitetsleverantörer och tjänsteleverantörer. * En upphandlingsfunktion som genomför upphandlingar av identifieringstjänster baserat på de regler och ramverk som samordningsfunktionen publicerar, och som genom avtal med dessa tillgodoser myndigheternas behov av elektronisk identifiering.

Ett vanligt missförstånd är att samordningsfunktionen behöver vara involverad i de faktiska transaktionerna. På samma sätt som PTS övervakar telemarknaden utan att vara inblandad när telefonsamtal kopplas fram menar vi att samordningsfunktionens uppdrag ska formuleras i termer av ackreditering och tillsyn, snarare än att vara involverad i transaktioner och teknik.

Författarna har även gjort en bra, förklarande figur:
Roller vid federerad eID.
Roller vid federerad eID.

DN-chatt om FRA-lagen med Mark Klamberg

October 13th, 2009

På DN har det varit en ypperlig chatt med Mark Klamberg om den modifierade FRA-lagen som Riksdagen skall besluta om i morgon.

Mark Klamberg
Mark Klamberg

Mark Klamberg, doktorand i folkrätt vid Stockholms universitet är som vanligt lysande och väl värd att läsa. Och hör sedan av dig till din riksdagledamot.

Uppdatering: DN hade även en chatt med Sten Tolgfors i frågan. Kan vara värd att läsa och jämföra med Mark Klambergs svar.

Tre reformer för offentlighetsprincipen

October 12th, 2009

I dag släpptes rapporten Tre reformer för offentlighetsprincipen författad av Niklas Lundblad. På Timbros sida för rapporten beskrivs rapporten så här:

Det journalistiska hantverket är ständigt beroende av sitt sammanhang. I sig är det en trivial iakttagelse, men det betyder att vi måste vara uppmärksamma på hur förändrade förhållanden påverkar journalistens möjligheter.

I den här skriften för författaren ett resonemang om förutsättningarna för grävande journalistik. I huvudsak argumenteras för att förstärka och förändra offentlighetsprincipen, för att värna journalistikens granskande uppgift.

Joakim Jardenberg sammanfattar de tre reformerna:

1. Informationsexplosionen. Reformförslag: anmälningsplikt för egenpublicering av offentliga handlingar och nya arkiverings- och märkningsregler.

2. Från passiv till aktiv offentlighetsprincip. Reformförslag: inför en aktiv offentlighetsprincip.

3. Integritet och offentlighet. Reformförslag: privat identitet och digital glömska.

Jardenberg skriver på sin postning även en del tankar, både om rapporten och dagens presentation av rapporten. En Även Daniel Risberg har läst och ger en bra sammanfattning.

Mycket intressant och klokt, från såväl Niklas som från Joakim, Daniel med flera. Det här är viktiga saker.

Opengov samt Lundblad om FRA

September 11th, 2009

Två snabba länkar. Opengov.se är en ny, mycket intressant blogg och ett bra initiativ av Peter Krantz. Syftet med bloggen enligt honom är:


I andra länder pågår just nu aktiviteter för att tillgängliggöra offentlig information digitalt. Med tillgång till digital information skapa möjligheter för medborgare att bilda sig en uppfattning om hur offentlig sektor förbrukar medel och presterar. Samtidigt blir det möjligt att skapa nya e-tjänster på medborgarnas villkor och starta företag för att vidareförädla information. På opengov.se hoppas jag att kunna synliggöra den data som finns undanstoppad i svensk offentlig sektor och bidra till att mer av den släpps fri.

Nicklas Lundblad har postat om att det är synd om FRA. Nicklas skriver att FRA knappast skulle kunnat bidra till ett attentat som bombningarna i London:


Låt oss ställa en rak och enkel fråga. Hade något av mejlen som skickades om planerna i Storbritannien kunnat fångats med hjälp av signalspaning utförd med stöd av FRA-lagen? Om svaret är ett entydigt nej – och det tror jag att det är – så visar det två saker: för det första hur litet lagen kommer att betyda för vår säkerhet och för det andra hur oerhört lätt det är att bara använda enkla, närmast steganografiska metoder för att försvinna ur söknäten.

USAs myndigheter skall börja använda OpenID

September 10th, 2009

Enligt en nyhet på Programmable Web skall USAs myndigheter börja implementera stöd för OpenID och InfoCards. När börjar svenska myndigheter med OpenID på bred front?

Debattartikel om IT-säkerhet

September 5th, 2009

Moderata riksdagsledamöterna Eliza Roszkowska Öberg och Karin Enström har skrivit en debattartikel på Dagens Samhälle där de uppmanar till att Ta itu med IT-säkerheten. Artikeln är en relatvit allmän hållen artikel om hot mot IT-infrastruktur och samhällets beroende av denna infrastruktur. Författarna skriver:


Att it-säkerhet berör i stort sett alla sektorer i samhället gör frågan extra svår att överblicka och hantera strategiskt. Nya tekniska lösningar öppnar fortlöpande nya möjligheter att störa it-systemen. Två exempel är den ökade integrationen mellan fasta och mobila tjänster och floran av sociala nätverk som länkas samman.
...
Vi måste nu se till att följa de strategier som finns för hur vi ska möta kriser och hot i vår vardag. Det ska inte behövas en allvarlig incident för att vi riksdagsledamöter och andra ansvariga ska ta tag i frågan på ett ansvarsfullt sätt.


Ytterst är det en demokratifråga: Statsmakten måste kunna skydda sina samhällskritiska system, och därigenom sina medborgare, så att fientligt sinnade aktörer, kriminella nätverk eller enskilda personer inte kan åstadkomma skada.

Artikeln innehåller en generell uppmaning till i första hand kommuner och landsting att ta tag i säkerhetsarbetet. Intressant att iaf se att det finns riksdagsledamöter som ser IT-säkerhet som någonting viktigt.

Göran Marby ny GD på PTS

September 3rd, 2009

Regeringen har idag meddelat att Göran Marby utses till Generaldirektör för Post- och Telestyrelsen (PTS).

Göran har tidigare arbetat på Cisco, Unisource, Telia Sonera, Cygate och senast som VD på det Göteborgsbaserade säkerhetsföretaget AppGate.

En GD på PTS som genuint kan data- och telekom samt IT-säkerhet? Inte illa.

Leverantören av digitala pass i konkurs

March 16th, 2009

Elektroniktidningen hade en nyhet för några veckor sedan om att företaget Smarticware gått i konkurs. Smarticware är företaget som lett utvecklingen av EU-passen med RFID-kretsar för digital lagring av information.

I artikeln förklarar Smarticwares VD Omid Aval vad som orsakade konkursen:

– Vi fick inget gehör hos riskkapitalbolagen. Och när min nya revisor dessutom slarvade med att rapportera ordentligt så gick bolaget i konkurs, och det var ingen ide att försöka rätta till det. Men vi har inga skulder, säger Omid Aval.

Amid Aval.
Amid Aval, VD på Smarticware.

Svårt att säga om det finns några säkerhetsmässiga aspekter på konkursen. Men det står inget i artikeln om vad som händer bolaget (blir det en rekonstruktion, eller läggs det ner?) och om det finns känslig information som i och med detta riskerar att halka iväg på avvägar.