I harnisk etter datatilsyn-vedtak: – Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger

Martin Braathen Røise · 19. november 2021

Mag ne · 19. november 2021

"Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger"

Har ikke elektrikeren beskjed om det da?

abooAyoob · 19. november 2021

Mener at problemet er at straffen ikke står i stil til lovbruddet. Ikke at færre skal få lov til å "drive med it", det blir mye vanskeligere. Å få beskjed om å kryptere passord til neste gang er for liten konsekvens for en bilforhandler. 7,3 milliarder er ikke noe som helst (sånn omtrent) for Google, de budsjetterer med svære poster på gebyrer, og kan dure på som før.

tommyb · 19. november 2021

37 minutes ago, Mag ne said:

"Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger"

Har ikke elektrikeren beskjed om det da?

Kanskje under utdanninga. Ikke på et tilsyn.

Endret 19. november 2021 av tommyb

Jarle-bj · 19. november 2021

Jeg tror kanskje analogien var at det er uhørt for en elektriker å benytte uisolerte ledninger (eller for dårlig isolerte eller feil dimensjonerte ledninger) og vedkommende ville bli mistet autorisasjonen dersom det ble oppdaget at han hadde gjort det: de hadde ikke bare bedt ham bruke isolerte ledninger neste gang og glemt saken.

Stratleray · 19. november 2021

Uisolerte ledninger er farlig for omgivelsene.

Isolasjon med farger gir også nyttig informasjon.

OPV · 19. november 2021

Dette må være årets merkeligste analogi! Meningen var kanskje at "vanlige folk" skulle forstå hva han mente, men her må man vel si at hans overførte bilde av saken er en anelse forvirrende.

Uansett: T Hansen er ikke en bilforhandler. De er en forhandler av bilrekvisita og annet. I Norge har de overtatt Torshov bilrekivsita og har 36 butikker her i landet (83 i Danmark).

Ja, det hadde lagret passordene i klartekst, men den største feilen var vel egentlig at de ukritisk antok at kundenummeret var en-entydig knyttet til én fysisk person. På en måte logisk, om det ikke var for at de lot kundenummeret være det samme som mobilnummeret.

Så lot de kunder få tilsendt passordet sitt (på epost ?) ved å opplyse kundenummeret. Dette ble oppdaget av en kunde som byttet mobilnummer. Antok at systemet sendte eposten til den "gamle" epostadressen og at det var slik den gamle brukeren fant ut av det. Litt uklart hvordan den nye brukeren evt fikk vite om den gamle brukerens profildata. Denne løsningen burde egentlig være vanntett, siden alt knyttet til profilen kun var synlig for den gamle brukeren. Er nok noe vi ikke vet? Står ikke så mye mer i Datatilsynets vedtak.

Jeg er enig at her har ikke den som har konstruert systemet hatt tilstrekkelig innsikt i mulige sikkerhetsutfordringer, deriblant at mobilnummer gjenbrukes. Men løsningern virker ellers sikker nok (bortsett fra lagring av passord i klartekst i databasen). Jeg kjenner til flere systemer i Norge som også opplyser passord til kunder, i stedet for å sende en epost med en lenke for å endre det. Til og med flere som bruker mobilnummer som kundeID også.

En statsautorisert datasikkerhetseksamen hadde sikkert vært smart, men den tror jeg vil være ganske omfattende.

tommyb · 20. november 2021

15 hours ago, OPV said:

Så lot de kunder få tilsendt passordet sitt (på epost ?) ved å opplyse kundenummeret. (...) Men løsningern virker ellers sikker nok (bortsett fra lagring av passord i klartekst i databasen). Jeg kjenner til flere systemer i Norge som også opplyser passord til kunder, i stedet for å sende en epost med en lenke for å endre det.

Faktisk lekkasje til side, så regnes det som et varsko om dårlig sikkerhet allerede dersom det finnes en måte å få det gamle passordet tilsendt på noe som helst vis, for passord skal ikke lagres i klartekst. Videre regnes det som et varsko om dårlig sikkerhet dersom man får et nytt passord som ikke er engangspassord tilsendt i epost, fordi epost er en åpen kanal tilsvarende postkort.

arne22 · 20. november 2021

Den danske artikkelen er inne på noe ganske vesentlig.

For å kunne sette opp elektriske installasjoner så finnes det omfattende krav til utdanning, kompetanse og sikkerhet. Det finnes også et omfattende reghelverk som stiller krav til hvordan elektriske installejoner skal utføres.

Tilsvarende finnes ikke for det som går på "Cyber Security". Det finnes en norm eller standard, men det er vel ikke noe formelt krav at man skal følge den, eller bruke den.

https://www.nek.no/nek-iec-62443-en-baerebjelke-for-cybersikkerhet/

Denne standarden gjelder vewl spesielt for sikkerheten til tekniske datasystemer, men det gjelder vel også tilsvarende problemstillinger for "vanlige IKT systemer".

Endret 20. november 2021 av arne22

xyzæøå · 22. november 2021

Pøh! Det vi trenger er "zero knowledge" om kunder, ikke KYC (Know Your Customer), da slipper vi mye av GDPR problematikken. Før verden var digitalisert visste faktisk ikke butikkene hvem kundene var, og man betalte kontant så det ikke var mulig å finne ut av det heller. Fungerte helt fantastisk!

arne22 · 22. november 2021

2 hours ago, xyzæøå said:

Før verden var digitalisert visste faktisk ikke butikkene hvem kundene var, og man betalte kontant så det ikke var mulig å finne ut av det heller. Fungerte helt fantastisk!

Og det kan faktisk fungere fremdeles, men det finnes noen som ikke ønsker det.

Logg inn

I harnisk etter datatilsyn-vedtak: – Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger

Anbefalte innlegg

Martin Braathen Røise

Lenke til kommentar

Videoannonse

Mag ne

"Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger"

Lenke til kommentar

abooAyoob

Lenke til kommentar

tommyb

"Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger"

Lenke til kommentar

Jarle-bj

Lenke til kommentar

Stratleray

Lenke til kommentar

OPV

Lenke til kommentar

tommyb

Lenke til kommentar

arne22

Lenke til kommentar

xyzæøå

Lenke til kommentar

arne22

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Hvem er aktive 0 medlemmer