Gå til innhold

I harnisk etter datatilsyn-vedtak: – Se for deg at elektrikeren fikk beskjed om å bruke isolerte ledninger

Martin Braathen Røise

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
abooAyoob

abooAyoob

Skrevet
Skrevet

Mener at problemet er at straffen ikke står i stil til lovbruddet. Ikke at færre skal få lov til å "drive med it", det blir mye vanskeligere. Å få beskjed om å kryptere passord til neste gang er for liten konsekvens for en bilforhandler. 7,3 milliarder er ikke noe som helst (sånn omtrent) for Google, de budsjetterer med svære poster på gebyrer, og kan dure på som før.

Lenke til kommentar
Jarle-bj

Jarle-bj

Skrevet
Skrevet

Jeg tror kanskje analogien var at det er uhørt for en elektriker å benytte uisolerte ledninger (eller for dårlig isolerte eller feil dimensjonerte ledninger) og vedkommende ville bli mistet autorisasjonen dersom det ble oppdaget at han hadde gjort det: de hadde ikke bare bedt ham bruke isolerte ledninger neste gang og glemt saken.

  • Liker 5
Lenke til kommentar
OPV

OPV

Skrevet
Skrevet

Dette må være årets merkeligste analogi! Meningen var kanskje at "vanlige folk" skulle forstå hva han mente, men her må man vel si at hans overførte bilde av saken er en anelse forvirrende.

Uansett: T Hansen er ikke en bilforhandler. De er en forhandler av bilrekvisita og annet. I Norge har de overtatt Torshov bilrekivsita og har 36 butikker her i landet (83 i Danmark).

Ja, det hadde lagret passordene i klartekst, men den største feilen var vel egentlig at de ukritisk antok at kundenummeret var en-entydig knyttet til én fysisk person. På en måte logisk, om det ikke var for at de lot kundenummeret være det samme som mobilnummeret.

Så lot de kunder få tilsendt passordet sitt (på epost ?) ved å opplyse kundenummeret. Dette ble oppdaget av en kunde som byttet mobilnummer. Antok at systemet sendte eposten til den "gamle" epostadressen og at det var slik den gamle brukeren fant ut av det. Litt uklart hvordan den nye brukeren evt fikk vite om den gamle brukerens profildata. Denne løsningen burde egentlig være vanntett, siden alt knyttet til profilen kun var synlig for den gamle brukeren. Er nok noe vi ikke vet? Står ikke så mye mer i Datatilsynets vedtak.

Jeg er enig at her har ikke den som har konstruert systemet hatt tilstrekkelig innsikt i mulige sikkerhetsutfordringer, deriblant at mobilnummer gjenbrukes. Men løsningern virker ellers sikker nok (bortsett fra lagring av passord i klartekst i databasen). Jeg kjenner til flere systemer i Norge som også opplyser passord til kunder, i stedet for å sende en epost med en lenke for å endre det. Til og med flere som bruker mobilnummer som kundeID også.

En statsautorisert datasikkerhetseksamen hadde sikkert vært smart, men den tror jeg vil være ganske omfattende.

  • Liker 4
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet
15 hours ago, OPV said:

Så lot de kunder få tilsendt passordet sitt (på epost ?) ved å opplyse kundenummeret. (...) Men løsningern virker ellers sikker nok (bortsett fra lagring av passord i klartekst i databasen). Jeg kjenner til flere systemer i Norge som også opplyser passord til kunder, i stedet for å sende en epost med en lenke for å endre det.

 

Faktisk lekkasje til side, så regnes det som et varsko om dårlig sikkerhet allerede dersom det finnes en måte å få det gamle passordet tilsendt på noe som helst vis, for passord skal ikke lagres i klartekst. Videre regnes det som et varsko om dårlig sikkerhet dersom man får et nytt passord som ikke er engangspassord tilsendt i epost, fordi epost er en åpen kanal tilsvarende postkort.

  • Liker 2
  • Innsiktsfullt 1
Lenke til kommentar
arne22

arne22

Skrevet
Skrevet (endret)

Den danske artikkelen er inne på noe ganske vesentlig.

For å kunne sette opp elektriske installasjoner så finnes det omfattende krav til utdanning, kompetanse og sikkerhet. Det finnes også et omfattende reghelverk som stiller krav til hvordan elektriske installejoner skal utføres.

Tilsvarende finnes ikke for det som går på "Cyber Security". Det finnes en norm eller standard, men det er vel ikke noe formelt krav at man skal følge den, eller bruke den.

https://www.nek.no/nek-iec-62443-en-baerebjelke-for-cybersikkerhet/

Denne standarden gjelder vewl spesielt for sikkerheten til tekniske datasystemer, men det gjelder vel også tilsvarende problemstillinger for "vanlige IKT systemer".

Endret av arne22
  • Liker 1
Lenke til kommentar
xyzæøå

xyzæøå

Skrevet
Skrevet

Pøh! Det vi trenger er "zero knowledge" om kunder, ikke KYC (Know Your Customer), da slipper vi mye av GDPR problematikken. Før verden var digitalisert visste faktisk ikke butikkene hvem kundene var, og man betalte kontant så det ikke var mulig å finne ut av det heller. Fungerte helt fantastisk!

Lenke til kommentar
arne22

arne22

Skrevet
Skrevet
2 hours ago, xyzæøå said:

Før verden var digitalisert visste faktisk ikke butikkene hvem kundene var, og man betalte kontant så det ikke var mulig å finne ut av det heller. Fungerte helt fantastisk!

Og det kan faktisk fungere fremdeles, men det finnes noen som ikke ønsker det.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...