NOTER fra tale til Rådet for Digital Sikkerheds generalforsamling 2016

Skyen bor i virkeligheden i en lille computer. Med en enkelt ledning. Som nogen måske kunne træde på? Men hvem ville da gøre det? (fra xkcd)

Allerførst: Opgaven lød på at sige noget provokerende om sikkerhed og digitalisering.
Det falder mig ikke svært.

Jeg har ikke som sådan noget imod ny teknologi eller måder man kan bruge den på. 
Jeg har til gengæld meget imod fantasiløs, desperat og farlig brug af ny teknologi.
 Jeg mener, vi i fremskridtet og digitaliseringens navn er i gang med at reducere og varegøre mennesker, at vi laves om til noder på et netværk, til leverandører af data vi ovenikøbet selv er ansvarlige for at få tastet korrekt ind på maskiner, vi selv skal vedligeholde og opdatere. 
Det er ikke frivilligt. Vi har indført ‘obligatorisk digital post’ – ved lov. Børn får det automatisk når de er 15. Ingen kan fungere uden det. Og samtidig er sikkerhed blevet vores problem – ikke statens, ikke de, der udbyder tjenesterne og som tilgengæld for en tvivlsom tjeneste flår os for personlige og private data. Big data.
Jeg mener, at Big Data er luskeri! Man snyder data ud af folk uden at spørge dem og benytter sig gerne af samme metoder som efterretningstjenester eller politi.
Og jeg mener, at Big Data er lusk og løgn. 
Jeg stiller spørgsmålstegn ved, om der overhovedet kommer vækst ud af Big Data – eller om det bare ender med mere overvågning – igen!
Jeg mener også at forretningsmodellen på det nuværende internet, hvor vi bytter personlig og privat information for adgang til tjenester, er bimlende vanvittig og vil dø…
Og nej, jeg mener IKKE man behøver komme med et alternativ for at påpege, at der er noget rivende galt!

Fra MITs forsøg med Sølvpapirshatte – de virker ikke, forstærker snarere signaler….

Hvem er jeg, der råber sådan op?
Jeg er journalist, tror jeg nok, og lidt digter og radiovært.
Jeg har gennem mange år beskæftiget mig med ‘privacy’. Det er et engelsk ord og defineres sådan her:

pri•va•cy (prīˈvə-sē)►
n.
The quality or condition of being secluded from the presence or view of others.
(retten til at rulle gardinet for)

The state of being free from unsanctioned intrusion: a person’s right to privacy.
(retten til at være fri for uinviterede gæster – at kunne være i fred)

The state of being concealed; secrecy.
(Retten til at være anonym)

Retten til at være anonym på internettet er grundlæggende. Den har været der fra starten men er nu under konstant angreb. 
Værre endnu. Den bruges i undskyldninger for at misbruge oplysninger: Den såkaldte ‘anonymisering’ af data. 
Der er bunker af såvel praktiske som matematiske beviser på, at noget sådant, en anonymisering af private data, ikke er muligt: Man vil altid kunne finde personen bag. Punktum. 

Og vi bliver holdt øje med: 
Logningsbekendtgørelsen kræver af teleselskaberne at de i et år skal gemme:
hvem du ringer til og hvem der ringer til dig
hvor du er imens
hvem du smser til og hvem der smser til dig
hvor du er imens
Hver gang du sender en email
og til hvem
Hvad emmet er
Hvor du er imens

…det er den lovmæssige del af det. Men det som private firmaer gemmer – og som de iøvrigt har vist sig særdeles villige til at sælge/dele med stater rundt omkring bagefter – er langt mere omfattende og vi ved det egentligt godt: Alene det, at Google ved hver eneste søgning gemmer: Hvad du søger på, hvilke resultater du får og HVAD du klikker på, burde få os til at løbe skrigende ud på en mark udenfor WIFI-rækkevidde og blive siddende der, helt stille, mens vi samlede os selv igen….

rejsekortet – gemmer al din bevægelse i fem år…

Fri uovervåget bevægelighed i Danmark er ikke længere muligt. 
Med rejsekortet gemmes alle rejser på CPR-nr-niveau i fem år – man siger det er regnskabsloven, der kræver det, men der er også store planer om at luske data ud af rejsende. Til forskning, siges det, som sædvanlig, og som sædvanlig er der ikke nogen, der stiller spørgsmålet: Mon ikke man kunne have fået de samme data, hvis man havde spurgt os? Spurgt os pænt?
Samtidig overvåges vi algoritmisk: Afviger vi fra normalt rejsemønster, regnes det for mistænkeligt. Sker det for tit kan rejsekortet indrages i et år.
I USA anvendes algorimisk overvågning på hele bydele. Borgere får besøg af politi, hvor de får at vide, at ordensmagten holder øje med dem. Fordi de VED hvad de er ude på….
PreCrime kaldes det i ScienceFiction – nu er det virkeligt.

ANPG-kameraer gemmer din nummerplade og hvor du var – hvor længe er ret svært at finde ud af – men mindst 24 timer – de her i mindst seks måneder!

Mens dette skrives er der fire fungerende visitationszoner i Danmark – To steder i Helsingør, i Hillerød og i Kokkedal kan politiet standse dig og visitere dig uden nogen mistanke, og uden at det skal begrundes. 

Og så er der ANPG, Automatisk Nummerplade Genkendelses kameraer, der både sidder på patruljevogne og som stationære kameraer over det meste af Danmark. Passerer man en patruljevogn med ANPG-kamera, gemmes ens position og tidspunktet. 
Det svarer til, at der står en politimand og tager noter, hver gang du starter din bil og hver gang du parkerer den. 
Kameraerne på bilerne gemmes oplysningerne i 24 timer – med mindre man er under ‘særlig overvågning’ eller efterlyst eller en hel del andre ting, der medfører, at man kan gemme endnu længere. 
De faste kameraer gemmer oplysningerne i seks måneder, da de angiveligt er til for at opklare grænseoverskridende kriminalitet…..

Overvågningssoftware på speed: Alle ansigter køres op mod databaser fra facebook og google – til man er genkendt.

Og det er kun begyndelsen: I Linz, Østrig, til Ars Electronica fastivalen i 2013, filmede man publikum og blæste billedet op på storskærm. Arrangørerne viste et egentlig ret uskyldigt rødt sigtekorn ovenpå billedet af os, det skiftede til grønt, når det fandt et ansigt. 
Det var ubehageligt for publikum. Flere vendte sig væk. Dukkede sig.
Men der foregik langt mere. Som ikke kunne vises. Bystyret og politiet havde nedlagt forbud mod(under trussel om fængselsstraf), at man viste de hits, som den israelske software finder automatisk ved at køre publikums ansigter op mod billeddata fra f.eks. facebook og google.
Men der var hits i over 60 procent af tilfældende. 
Og Israel bruger softwaren allerede i dag.
På den måde kan man følges rundt, fra kamera til kamara…CCTV inside.

Søren Pind: Luk hjemmesider, indsæt digtale påvirkningsagenter!

I dag kæmpes der også på de sociale medier. Grundlovsdag 2016 gik Justitsminister Søren Pind til Jylland Posten og talte varmt for lukning af hjemmesider uden dommerkendelse. Og for, at man skulle indsætte ‘digitale påvirkningsagenter’ på de sociale medier.
Det er ikke kun i Danmark det sker. Det er hele verden. Og vi er globale. Eller rettere:
Danmark er en by i USA. Vi bor der. Digitalt.
KMD – kommunedata hed det engang – er i dag ejet af den transglobale, amerikanske pengetank Advent International og de skal nu stå for alt IT-indkøb til staten og for den centrale DATAFORDELER. Nets blev købt af McBain og Advent International og sidder på kreditkort og pengeoverførsler i hele DK. Computer Science Coorperation CSC står sammen med IBM for resten af infrastrukturen til Folketing, CPR, SKAT og Politi.
Digitaliseringen af Danmark minder forbløffende meget om en amerikansk besættelse….

grunddataprogrammet i fordeleren

Og borgerne, vi er data. Grunddata. Til salg. 
STYRELSEN FOR DATAFORSYNING OG EFFEKTIVISERING skriver: 
‘Det kan omfatte videreudviklingen af data, der kan blive autoritative og derved muliggør straksafgørelser og lettere sagsbehandling. Det kan også omfatte sammenkædning af endnu flere registre til fælles fordele i den offentlige og private sektor.“
Kort sagt: Vi er i spil. Og til salg.
Vi er midt i en total ombygning af vores samfund: Forvaltningen går fra et sundt princip om, at forsøge at undgå at samkøre registre, af hensyn til borgerne, til det totalt modsatte: At samkøre alle registre af hensyn til staten.
Alle data samles ET sted og fordeles via ‘den centrale datafordeler’ – målet er angiveligt ‘digital velfærd’ – men er også et glimrende eksempel på det man kalder ‘single point of failure’-principper: Vi samler alle data et sted, som Joachim Von Ands penge tank – så ved alle bjørnebanderne fra hele verden hvor de skal angribe/hacke…
Men det er for sent nu. Nu er selve landet og borgerne her blot ‘grunddata’, der skal arbejde for staten og virksomhederne. Vi diskuterer det ikke. Det sker bare.
Går det godt? Jeg tvivler.

Mere om DIGITAL VELFÆRD HER

Google har fået adgang til patientjournaler i England for penge….man arbejder hårdt på lignende tiltag her i landet

Lad os tage et par scenarier for fremtiden for digitaliseringen af Danmark:
1: Det hele går fremragende. Vi bliver rige. Systemerne virker!
Eller:
2: Samtlige data fra datafordeleren hackes/korrumperes
Eller:
3: Udenlandske firmaer hugger alle data – Danmark mister konkurrencefordele.
Eller:
4: Terrorister hugger alle data – og ødelægger dem.
Eller:
5: Kritisk Infrastruktur bryder endegyldigt samme da vi ikke har nogen analog backup.
Eller:
6: Pengesystemet ødelægges af mangel på tillid – og da vi ikke længere har kontanter opstår der panik.
7: Borgerne mister tilliden til staten – totalt.
OG:
8: Oprør, fakler og høtyve?

aktivist Torben Andersen igang med at smadre ANPG-kameraer med en hammer…

Usandsynligt? NEJ!
Tænk på CSC-sagen!
Den begynder i februar 2012. Nogen forsøger at logge ind på en ukrypteret FTP-server tilknyttet CSC’s IBM-mainframe. Men ingen er kommet ind. Endnu. Og ingen alarmer er gået hos CSC.
Den 7. april, 2012 trænger nogen så helt ind, angiveligt via en såkaldt zeroday-sårbarhed. Dagen efter overføres et script til CSC’s mainframe, og nu har indtrængerne administratorrettigheder. Den adgang bliver brugt til at lave tre bagdøre i systemet og sætte gang i en massiv kopiering og overførsel af data fra CSC’s systemer.
Der er downloadet filer og datasæt fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet. Det er de mest følsomme data, vi overhovedet har.
De data passerer gennem servere i Cambodia, Tyskland og Iran. Den sidste “uberettigede aktivitet” sker den 28. august!
De mest højlydte advarsler kommer fra svensk politi i juni 2012. De gentager dem tre gange mere i det efterår. Ingen lytter.
Samtidig, i juni 2012, undlader CSC og Rigspolitiet at reagere på en stærkt kritisk revisionsrapport fra Deloitte.
Svensk politi anholder Gottfried Swartholm Warg i Cambodia i august 2012. Hans computere er fyldt med data fra CSC’s servere og indeholder et program, der kan simulere en mainframe magen til den, CSC bruger. Det svenske politi ringer til Danmark igen.
I februar 2013 underretter dansk politi CSC om indbruddet. CSC får først lukket den sidste smækkende bagdør 6. marts 2013 – angiveligt for ikke at forstyrre kunderne på systemet for meget.

Det største hack du aldrig har hørt om: Office of Personel Management – personalekontoret for den amerikanske stat – 21,5 millioner profiler, inklusive fingeraftryk og sikkerhedsgodkendelser hacket og forsvundet….

Det amerikansk ejede firma CSC er en af den danske stats største it-leverandører. CSC har siden maj 2001 stået for al it i Folketinget og stort set alle andre funktioner i det offentlige Danmark. Det kan undre, at et så betroet firma ikke har haft bedre sikkerhed, men det har hidtil ikke været sagens kerne: Medier og myndigheder har endnu en gang valgt at fokusere på symptomerne; i dette tilfælde den meget dygtige Warg og den dansker, han har været perifert i kontakt med via en chat.
Data fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet er kopieret. 
De er angiveligt ikke misbrugt. Endnu.
Ingen ved hvor de kan være havnet. 
Og ingen ved, om data hos CSC allerede ER manipulerede. 
Om vi er det? Om du nu står i kriminalregistreret for en andens forbrydelse, at du nu er ‘kendt af politiet’, selvom du aldrig har gjort noget?

Lad mig til sidst slå tre, helt uimodsigelige ting helt fast:
Alt der er digitalt kan manipuleres
Alle data, der har værdi eller kan omsættes til værdi, bliver hacket før eller siden
DER FINDES IKKE ABSOLUT DATASIKKERHED
 OG DET KOMMER DER ALDRIG!
DIGITAL OG SIKKERHED ER MODSÆTNINGER

Hvad skal vi SÅ gøre?
Jeg foreslår: En NY Forretningsmodel på nettet, hvor ting koster det, de gør=slut med frivillig overvågning
(Gen)Opbygning af infrastruktur hvor vi beholder analoge systemer – enten som backup eller simpelthen som selve løsningen
.
Drop dårlige IOT-løsninger med lav sikkerhed(scada)
Bevar kontanter!
Adskil registre igen!
REEL COST-BENEFIT ANALYSE AF DIGITALISERINGEN! NU! Har det egentlig givet penge? Finansministeren siger 2.8 milliarder – på 15 år – men hvor er beregningerne?
Og så – ikke mindst:
SPØRG BORGERNE FØR DER LOGGES DATA
!
GEM SÅ LIDT DATA SOM MULIGT – JO MINDRE DER GEMMES, DES MINDRE RISIKO FOR MISBRUG.
DROP TELEFON- OG DATA-FETISCHISME – at noget er digitalt eller kan gøres på en iPhone gør det altså ikke automatisk til noget godt. Vel? Vågn op og løft hovedet fra din fjernbetjening i lommen – verden udenfor forfalder.
DET OFFENTLIGE UD AF FACEBOOK – ved at flytte sagsbehandling og information over på Facebook understøtter staten(og diverse public service-tv/radiostationer) et system hvor borgerne tvinges til at aflevere data til kommercielle firmaer for at blive betjent. Stop jer selv! Det er SYGT!

TÆNK OVER, HVORDAN VI FÅR DANSKERNE VÆK FRA SKÆRMEN – IKKE HEN FORAN DEN!

Engang var det sjovt at være på nettet. Det handlede om at dele, lære af hinanden, skabe, spille, kommunikere, menneske til menneske.
I dag har vi skabt et registreringshelvede, en overvågningsstat, vi alle sammen tvinges til at bo i, mens resten gik under.
Det behøver ikke være sådan.
Hvis vi vil noget andet, så kan vi gøre det. Men det skal være nu. Inden det er for sent og vi er blevet gennemsigtige mennesker, spændt fast foran en skærm, evigt optaget af at administrere os selv i digitaliseringsgudens hellige navn.

København 21.06-2016

One thought on “NOTER fra tale til Rådet for Digital Sikkerheds generalforsamling 2016

  1. Kære Anders.

    Allerførst stort TAK for et godt og knaldvigtigt radioprogram – Aflyttet. Din blog er et glimrende supplement. Du skriver “Og nej, jeg mener IKKE man behøver komme med et alternativ for at påpege, at der er noget rivende galt!”[*]

    Det er jeg helt enig i. Men lykkeligvis ER der et alternativ, nemlig konsekvent fri software og fri hardware (fri som i frihed). Du kender ret sikkert til begreberne, men det vil være vidunderligt, hvis du vil bringe noget mere om dem på din blog og i programmet.

    Fri software er altid også open source. Open source er derimod ikke altid fri, men kan mere eller mindre indeholde proprietære elementer, selvom der er åben kildekode. Og så er man som bruger ufri, i hvert fald hvis man ikke er programmør og nørd. Dette er der desværre mange open source-entusiaster, der ikke rigtigt har forstået endnu. Lidt om fri software:

    https://www.gnu.org/philosophy/free-sw.da.html

    https://www.youtube.com/watch?v=UeWq1Mek5Uk (en kort video).

    https://www.youtube.com/watch?v=g472-mnQ-ik – her bruger dr. Richard Stallman meget pædagogisk en analogi om mad og madopskrifter, og han berører på en livsklog og begavet måde, hvorledes ufri/proprietær software faktisk understøtter en socialt usund måde at omgås hinanden på. Og han kommer ind på Bush jr. og overvågning og på vigtigheden af, at også uddannelsessektoren benytter fri software.

    Om fri hardware: https://www.gnu.org/links/companies.html

    Vil du bringe noget mere om dette, fx bringe et telefoninterview med Stallman? Jeg bruger selv styresystemet Trisquel, som Stallman har været med til at udvikle. En ny version af Trisquel, version 8.0, er på trapperne. Måske interviewet kan handle om blandt andet dette. Måske også om forskellene på open source og fri software. Eller hvad I nu synes er det mest presserende eller oversete.

    - Venlig hilsen Magnus Falko, København

    [*]: https://aflyttet.dk/noter-fra-tale-til-radet-for-digital-sikkerheds-generalforsamling-2016/

Comments are closed.