For ca. seks år siden ble jeg forespurt om jeg ønsket å delta i NHO UMB – som høres nokså kryptisk ut. NHO bør være kjent for de fleste, men UMB er ikke like kjent. Det står for “Utvalget for Mindre Bedrifter”, noe som er viktig – så jeg takket ja.
Utvalget gir råd til NHOs styre og administrasjon, og de skal sikre at NHO fremmer interessene til de mindre bedriftene. I tillegg er UMB initiativtaker til en rekke NHO-arrangementer rettet mot de mindre bedriftene, for eksempel Småtinget.
Det står det å lese på NHO sine nettsider om UMB. Videre heter det: “NHOs politikk er rettet mot å gjøre alle bedrifter mer konkurransedyktige. Det er et særlig ansvar å se til at de mindre bedriftene har NHO som talsperson for en næringspolitikk som ivaretar disse bedriftenes interesser”. Dette er en så viktig målsetting at jeg med glede har brukt seks år i dette utvalget, og har derfor fått deltatt i mange møter intern i NHO og ekstern i forhold til politikere og andre aktører innen næringspolitikk.
I 2009 vedtok NHOs styre sin politikk for mindre bedrifter kalt “Med mindre vi skaper…” inspirert av EUs Small Business Act med 10 målsettinger gjeldende for inneværende stortingsperiode. Ti ledere ble frontet på hver sin målsetting, og jeg ble forespurt om å ta mål 5 om “Gode rammebetingelser for nyskaping”. Jeg sa naturligvis ja da dette er noe som ligger mitt hjerte nært. Nedenfor er side 20-21 hvor mitt mål er fremsatt (med tekst på side 22-23). Klikke på bildet for å få frem hele dokumentet.
Det er en tid for alt, og jeg sa fra meg plassen i UMB fra årsskiftet 2011/12 slik at en ny engasjert og interessert leder av en mindre bedrift i Norge kan få plass ved bordet; for å uttrykke sine behov, tilegne seg ny kunnskap og dannet nytt nettverk gjennom NHO.
Det har vært en nyttig og lærerik reise å delta i dette utvalget bestående av engasjerte og dyktige ledere fra ulike bransjer og deler av Norge.
Lykke til videre, UMB! Og takk til NHO som jobber for de mange tusen mindre bedriftene i Norge. Og husk: Alle bedrifter starter som små bedrifter. Og det er flest små selskaper i Norge. Så tenk smått først, kjære politikere! Det er en viktig leveregel for UMB.
La meg avslutte med nok et godt sitat fra nettsidene til NHO:
Mindre bedrifter søker ikke spesielle fordeler fordi de er mindre. De søker oppmerksomhet hos politikerne og beslutningstakerne som medfører endring i lover og regler, slik at bedriftene enkelt kan leve etter reglene, uten at etterlevelse blir unødig kostbart.
Så sant, så sant!
written by Terje Wold
Norge følger i USA sine fotspor med oktober som nasjonal sikkerhetsmåned. Norsk senter for informasjonssikring (NorSIS) skriver følgende i en artikkel:
USA har siden 2004 arrangert «National Cyber Security Awareness Month» i oktober, som en nasjonal holdningskampanje for å oppfordre alle til å beskytte sine datamaskiner og nasjonal kritisk kyberinfrastruktur. EU er i planleggingsfasen av en tilsvarende kampanje for oktober 2012.
De skal i den forbindelse arrangere en nasjonal kampanje for informasjonssikkerhet i oktober med samarbeidspartnere. Denne kampanjen, eller sikkerhetsmåneden, skal frontes av statsråd Rigmor Aasrud som populært kalles IT-minister. Det skal avholdes arrangementer i Oslo og Tromsø mtp. brukere av datamaskiner for å holde dem oppdatert. Nettstedet Sikkert.no er etablert i denne forbindelsen.
Dette er et godt tiltak, og håpet er at det skal utvides til å omfatte datasikkerhet på bredere front slik at det favner mer av den sikkerhetsrisikoen personer og bedrifter blir utsatt for ved bruk av Internett. Og det er sterkt økende for tiden. Dessverre.
written by Terje Wold
Det har nesten vært bannlyst å komme med kritiske bemerkninger om formuesskatten under gjeldende politiske forhold. Man kunne jo bli mistenkt for å prate for sin syke mor – for derigjennom å øke bedriftens profitt. For å bli mer formuende. For å øke forskjellene. For å skape ulikhet. For å underminere rettferdig fordeling. Problemet er at det ikke er problemet.
Vel, nå kan også jeg komme ut av skapet . Roar har gjort det. Da kan også jeg gjøre det.
Det at LO- leder Roar Flåthen har tatt tydelig til orde for å se nærmere på de negative konsekvensene formuesskatten, er et svært viktig og gledelig signal for norske bedrifter. Så tydelig og så viktig at det fikk forsiden av Dagens Næringsliv tirsdag 4. oktober.
Jeg er medlem av NHOs Utvalg for Mindre Bedrifter, og derfor ønsker jeg å formidle vårt budskap nedenfor. For vi jobber med å forbedre forholdene for mindre bedriftene i Norge, og da står formuesskatten høyt på vår liste av mange viktige saker.
Rammer arbeidsplasser
Det er ikke bare de rike som betaler formuesskatt. Denne skatteformen rammer først og fremst tusenvis av eiere av små- og mellomstore bedrifter spredt over hele landet. Skattleggingen av det som omtales som ”arbeidende kapital”, altså kapitalen som er bundet i bedriftene, er skatt på alt fra PC’er, traktorer og skiftenøkler til det bygget hvor virksomheten foregår. Ikke bare rammer den bedriftenes eiere, men også de ansatte. Det er altså en skatt på arbeidsplasser.
Uheldig nok rammer denne skatten bedriftene enten de går med overskudd eller underskudd, hvert eneste år. Det er en skatt på allerede skattlagt kapital som dermed svekker sårt tiltrengt likviditet og egenkapital. Som om ikke dette ikke er nok, så slipper både statlige bedrifter og utenlandske private eiere unna denne særnorske skatten. Dette diskriminerer norske gründere og norsk eierskap.
Viktig distriktspolitikk
LO- lederens utspill viser at han forstår hverdagen for norske bedrifter og deres eiere. Formueskatt er en eierskatt som belastes eiere av butikker, verksteder, hoteller – og store hjørnesteinsbedrifter. Bedrifter som ofte representerer selve fundamentet for et lokalsamfunn. Flåthen ser hvordan formuesskatten truer arbeidsplassene og hindrer viktige investeringer i norsk næringsliv.
Derfor var hans utspill godt nytt for alle oss som driver mindre virksomheter over hele landet. Det virker nå som om de aller fleste innen det politiske liv forstår vårt budskap. Nå gjenstår det å se om Flåthen får med seg resten av fagbevegelsen og Arbeiderpartiet. La oss inderlig håpe det.
Takk så langt, Roar!
written by Terje Wold
Steve Jobs døde i natt. Twitter flyter over av meldinger og en hel verden kjenner sorg over at en av IT-bransjens største profiler gjennom tidene har gått bort i en alt for tidlig alder av 56 år. Ord er egentlig overflødige i denne situasjonen, men la meg likevel formidle noen gode ord fra redaktøren i Fast Company:
Steve Jobs, co-founder of Apple, has passed away at the age of 56, leaving behind a larger-than-life legacy which no single obituary could possibly capture. As colleagues and family members and all those who he inspired begin to reflect on his life and impact, it’s impossible not to do so without feeling an almost shared sadness, as if the world is collectively mourning the loss of a close relative–even if most of us were never fortunate enough to meet him. We all knew this day was coming, but we can’t believe it came so soon.
Et bilde sier mer enn tusen ord, og Apple sine nettsider i dag er det beste eksemplet på det. Tankene fra en hel verden går til hans familie og nærmeste.
written by Terje Wold
Dette blogginnlegget skulle publiseres 22. juli, men så kom nyheten om terroraksjonen i Oslo. Da ble det med ett helt uvesentlig. Jeg skrev i stedet et lite blogginnlegg samme kveld med en liten oppfølging på mandag for å uttrykke mitt om den tragiske hendelsen. Norge vender smått om senn tilbake til hverdagen, om enn noe forandret, og dermed er jeg nå tilbake med ordinære innlegg.
———- # ———-
Sist uke kunne man lese artikkelen Hackers Gained Access to Sensitive Military Files i The New York Times med følgende alarmerende ingress:
WASHINGTON — The Defense Department suffered one of its worst digital attacks in history in March, when a foreign intelligence service hacked into the computer system of a corporate contractor and obtained 24,000 Pentagon files during a single intrusion, senior officials said Thursday.
Dette er nok et oppslag om den stadig økende mengde datainnbrudd i inn- og utland med tilhørende avsløringer om dårlig datasikkerhet. Det skjer som følge av at Internett nå gjennomsyrer hele samfunnet, og at mange derfor forsøker å tilrane seg andre sine data via datainnbrudd; både fra personer og bedrifter – og nå stater. Det store paradokset er at mens det blir stadig enklere å lagre og dele data på nettet, blir det tilsvarende vanskeligere å sikre dem. Derfor har vi det siste året sett stadig flere medieoppslag om dette, og det er dessverre bare starten på noe som vil tilta i fremtiden. Derfor er økt datasikkerhet nå blitt en viktig sak for nasjoner, ikke bare personer og virksomheter. La meg derfor kort gjengi og forklare hva som kan ha skjedd i dette Pentagon-caset.
 Avsløringen kom når viseforsvarsminister William J. Lynn III sist uke presenterte en ny strategi for militære operasjoner i cyberspace i den tro at tradisjonelle passive program for å beskytte militære data er utilstrekkelig i en tid der stadig mer kriminalitet skjer via Internett. Filene tilhørte en underleverandør til Pentagon, og er at av de største dataangrepene mot en slik leverandør noen sinne.
NYT skriver i sin artikkel: “In releasing the strategy, William J. Lynn III, the deputy defense secretary, disclosed that over the years crucial files stolen from defense and industry data networks have included plans for missile tracking systems, satellite navigation devices, surveillance drones and top-of-the-line jet fighters.” Selv sier Lynn følgende: “A great deal of it concerns our most sensitive systems, including aircraft avionics, surveillance technologies, satellite communications systems and network security protocols”.
USA lanserer derfor en strategi kalt “Department of Defense Strategy for Operating in Cyperspace” (PDF-fil) med fem strategiske initiativer:
- Treat cyberspace as an operational domain to organize, train, and equip so that DoD can take full advantage of cyberspace’s potential
- Employ new defense operating concepts to protect DoD networks and systems
- Partner with other U.S. government departments and agencies and the private sector to enable a whole-of-government cybersecurity strategy
- Build robust relationships with U.S. allies and international partners to strengthen collective cybersecurity
- Leverage the nation’s ingenuity through an exceptional cyber workforce and rapid technological innovation
De har opprettet U.S. Army Cyber Command for å koordinere de defensive og offensive operasjonene for Pentagon og militære datanettverk. Det er ikke bare USA som har skjønt dette, og flere land gjør det samme. For noen dager siden blogget jeg om Norge som er i ferd med å gjøre “cyberforsvar” til en egen forsvarsgren med et milliardbudsjett pr. år. Og alle bedyrer behovet for internasjonalt samarbeid samt økt samhandling med næringsliv og offentlig sektor for øvrig.
Det er naturligvis ikke bare nasjoner og forsvar som berøres; også annen samfunnskritisk infrastruktur og institusjoner må beskyttes. I tillegg må både privat og offentlig virksomhet skru opp sitt fokus på datasikkerhet ved en bred tilnærming for å avdekke risiki, mål og strategier – herunder systemer for å sikre data i og utenfor virksomheten. Jeg vet på ingen måte alt om dette store og komplekse området, men vet at kryptering av data er en del av dette komplekset fordi jeg jobber med det til daglig i Invenia gjennom Yoobits for kryptering lagring og deling av data på nettet. Det er egentlig litt forstemmende at dette markedet vokser så fort for tiden da det viser et økende problemer i samfunnet. På den andre siden er vi avhengig av et marked for vårt produkt, noe som åpner seg nå i det analytikerne kaller en megatrend.
CBS News hadde en nyhet om saken 14. juli (klikk på bildet) der også andre sikkerhetstrusler mot det amerikanske forsvaret nevnes. Det er en ekte wake-up call. Mange norske medier slo også opp saken i dette kjølvannet.
Hvis du vil vite mer om hvordan Pentagon-hacket ble gjort, kan du lese det hos Fast Company. Det gir et innblikk i hvor enkelt det kan være å infiltrere en organisasjon, og bør bekymre mange. Det finnes ulike medlemsorganisasjoner i Norge, bl.a. Næringslivets Sikkerhetsråd og Norsk Informasjonssikkerhetsforum (Invenia er medlem begge steder). Tilsvarende finnes i det offentlige, og myndighetene har bl.a. NorSIS, Nasjonal Sikkerhetsmyndighet og Datatilsynet. Slike organisasjoner, private som offentlige, vil få økt betydning etter hvert som datasikkerhet kommer mer i samfunnets søkelys.
Velkommen til en ny (virtuell) virkelighet!
written by Terje Wold
Som jeg skrev i mitt forrige blogginnlegg på fredag, er terroraksjonen i Oslo og på Utøya uvirkelig. Fortsatt. Men det umiddelbare sjokket og sinnet har i løpet av helga gått over i sorg og fortvilelse, og mange har store problemer med å forstå omfanget av denne tragiske terroraksjonen.
Media har hatt en kontinuerlig og intens dekning siden fredag. Mange kommentatorer i inn- og utland har gitt sine analyser av ulike sider av denne uvirkelige situasjonen som hele landet ble revet inn i på fredag. Skildringer fra berørte personer har også gjort sterkt inntrykk i ulike kanaler, og sosiale medier har vært brukt intenst hele tiden. Jeg skal ikke gjenta eller trekke frem noe av dette havet av inntrykk og informasjon da det får stå som basis for den enkeltes vurdering og ettertanke. Mange personer skal ha ros for sin innsats, og det blir nesten urettferdig å trekke fram noen. Jeg vil likevel berømme statsminister Jens Stolenberg.
Veien videre blir tung for mange, men i dag viste hele nasjonen – med støtte fra en hel verden – hva som er den mest brukte følelsen i dag: Medfølelsen. En stor, dyp og ekte medfølelse i sorgen med alle de som er rammet av denne katastrofen. Det kom til uttrykk gjennom de mange blomster- og fakkeltog rundt omkring i landet med Oslo som det naturlige midtpunkt. I min hjemby Tromsø var det også en mektig og verdig markering, og jeg tillater meg å vise et bilde fra byens avis iTromsø der mer enn 5.000 personer møtte opp på en regntung kveld.
 Norge vil etter hvert finne tilbake til hverdagen, noe jeg også vil gjøre her i bloggen min – selv om den blir før og etter 22. juli 2011. Jeg vil derfor avslutte mine to innlegg om denne tragedien med det nå så kjente utsagnet fra AUF-jenta som ble intervjuet på CNN. Det kommer til å bli stående for alltid. Det samme gjelder minnet om de som omkom.
Hvis en mann kan vise så mye hat, tenk da på hvor mye kjærlighet vi kan vise sammen.
written by Terje Wold
Det er sorgens dag for Norge, og alles tanker går nå til ofrene og deres pårørende for terrorbomben i Oslo og skytingen på AUFs ungdomsleir på Utøya. Situasjonen er i skrivende stund uavklart, og jeg ser som de fleste andre på nyhetene og følger med på nettet.
Det er vanskelig å sette ord på en slik situasjon, og det er kanskje derfor at dagens mest brukte ord i nyhetene er “uvirkelig”. Med rette. Jeg skal derfor ikke bruke flere ord, men bare la hovedoppslaget på CNN.com sin forsiden akkurat nå stå som en markering til ettertanke – og håpe at antall skadde og drepte blir lavest mulig.
Verdens øyne og sympati er nå rettet mot Norge.
written by Terje Wold
Den 21. mars 2006 skrev Jack Dorsey (co-founder og styreleder i Twitter) den første tweeten (les: Twitter-melding for uinnvidde) på en tjeneste som da var resultatet av en intern brainstorming og et prosjekt kalt twttr i podcast-selskapet Odeo. Senere skiftet de navn til Twitter, og lite visste de hvilken revolusjon det skulle skape få år senere.
I november 2008 passerte Twitter 1 milliard sendte tweets fra starten i 2006, og i oktober 2009 passerte de 5 milliarder tweets. I mars 2010 ble 10 milliarder meldinger nådd, noe jeg blogget om her. Og veksten fortsatte eksponentielt, for 29. mai i fjor passerte de 15.000.000.000 tweets som omtalt her. Og den oppvakte leser har da skjønt at Twitter ble fem år i mars i år slik dette blogginnlegg viser.
Og nå: Twitter har passert 200 million brukere og 200 million tweets pr. dag. Og veksten ser ikke ut til å avta. Til sammenligning ble det for to år siden sendt 10 millioner meldinger pr. dag. Mashable omtalte rekordtallet på følgende måte:
To demonstrate just how large a number that is, Twitter decided to do the math and see how many books could be written with 200 million tweets. According to its calculations, a day’s worth of tweets would be enough to write a 10-million-page book or 8,163 copies of War and Peace. Every second, 2,400 tweets are sent through Twitter’s servers, enough for 1.4 billion tweets per week.
Siste nytt er at Jerry Seinfeilt har tatt i bruk Twitter, og du kan følge ham på @SeinTime. Og det bør være kjent for alle hvor viktig Twitter har vært i ulike samfunnsmessige forhold, f.eks. Iran, Libya og Egypt. Som Mashable har sagt det: “It reminds us that the little tweeting platform that was once about nothing, well, now it’s about something. Something big. One thing’s for sure: It’s changed the world”.
Nedenfor kan du skue høydepunktet i deres historie på en illustrativ infografikk. Et bilde sier som kjent mer enn 1000 ord, så jeg stopper her etter 347 ord.
written by Terje Wold
For en halv mannsalder siden var jeg i førstegangstjenesten i det såkalte “gardekompaniet” på Sessvollmoen, utpekt til å bli soldat i Hans Majestets Kongens Garde. Jeg ble imidlertid før uttjent rekruttskole sendt til Bardufoss for å ha et særskilt IT-ansvar (EDB som det ble kalt da) ved Brigaden i Nord-Norge (Brig N). Dette fordi jeg hadde noe få soldater hadde den gangen: Cand. mag. i informatikk (eller datafag som det het den gangen med påbygging til Cand. scient. etter førstegangstjenesten). De aller fleste soldatene tjenestegjorde ute i felt; enten som infanterister, sambandssoldater, sanitet, kavaleriet eller annen stridende tjeneste. Det var tross alt en kald krig der ute, og måten man bekjempet inntrengere på var med fysisk tilstedeværelse i felten. Slik har det vært siden tidenes opprinnelse for Forsvaret.
Men ikke nå lenger. Ikke hvis man stoler på artikkelen Aftenposten skrev på søndag med tittelen “Norges nye forsvarsgren” med ingressen: “Nesten hver tiende norske soldat forsvarer Norge mot cyberangrep. Også resten av verden satser stort på å forsvare seg mot dataangrep”. Joda, det er fortsatt infanterister, samband, sanitet og kavaleri der ute – men det meste er endret etter den enorme økning i datakriminalitet mot både sivile og militære mål de siste få årene. Jeg har tidligere blogget om Sony som ble utsatt for datainnbrudd med potensielt 100 millioner brukerkonti berørt, og om sikkerhetsfrykten som er sterkt stigende i verden. Ikke rart hver 10. soldat jobber med cyberforsvar. Og dette er kompetente soldater med høyere utdannelse og/eller betydelig erfaring – for dette er ikke så enkelt som å fyre av en AG-3.
Nok skriblerier. Nå til saken i Aftenposten: De skriver innledningsvis om “Norges cyberforsvar” som er i ferd med å bli en egen forsvarsgren på linje med Hæren, Sjøforsvaret og Luftforsvaret. Formelt sett er de ikke blitt det, men etter å ha blitt etablert i 2009 under navnet Forsvarets Informasjonsinfrastruktur (INI) teller de nå hele 1.200 ansatte. Til sammenligning er hæren 4.300 ansatte etter et par hundre år. I tillegg er det personell innenfor hver forsvarsgren som jobber med datasikkerhet. Hele 2,5 milliarder kroner av Forvarets budsjett er satt av til INI, og de kjøper inn utstyr for 1 milliard i år. Wow! Lengst fremme er soldater og offiserer på Jørstadmoen på Lillehammer.
I følge Aftenposten er det fremmede staters hemmelige etterretning står bak de mest alvorlige truslene i cyberspace. Forsvaret utsettes for daglige angrep, og i mars i år ble de utsatt for et svært målrettet angrep. “Angrepet ble avverget, men illustrerer hvorfor vi må ha evne og kapasitet til å forsvare våre datasystemer”, sier generalmajor Roar Sundseth som er sjef for INI (jeg kjenner til ham via Invenia fra hans tid på Bardufoss – en dyktig offiser med et viktig ansvar hos INI). Videre sier han:
I realiteten er cyberforsvaret en ny forsvarsgren. Tidligere har vi hatt forsvaret på land, til sjøs og i luften, og i verdensrommet, men nå er også cyber kommet inn som et nytt domene.
Sundseth sier også at han gjerne skulle ønsket at Forsvaret, andre offentlige etater og private samarbeidet mer for å bekjempe cyberangrep. For landets sikkerhet dreier seg ikke bare om Forsvarets installasjoner og informasjon, men om strømnett, mobilnett og andre vital infrastruktur. Aftenposten viser også til en rapport fra Nasjonal sikkerhetsmyndighet som tilsier at gapet mellom trusler og sikkerhetstiltak øker. Det er ikke en god utvikling. Aftenposten har for øvrig tidligere satt søkelys på dårlig datasikkerhet ved norske departementer.
Andre land jobber også aktivt på området datasikkerhet og cyberforsvar, og da spesielt USA. Men nok er nok, og nå overlater jeg Aftenposten sin artikkel til interesserte lesere – selv om jeg har gitt en oppsummering i dette blogginnlegget.
Konklusjon: Behovet for bedre datasikkerhet i privat og offentlig sektor er sterkt økende, og det siste året har hatt en markant økning i antall medieoppslag. WikiLeaks har nok utløst mye, og medias interesse på dette området er riktig. Som en del av dette blir kryptering av data stadig viktigere, noe mitt selskap Invenia jobber mye med for tiden.
Tre av!
written by Terje Wold
 Dropbox er en kjent og kjær tjeneste for mange da de løser et viktig behov for lagring, synkronisering og deling av data mellom utstyrsenheter og brukere. Selskapet ble etablert i 2007 og har gått fra å være én blant mange tjenester til å bli kongen på haugen. Resten er historie, noe jeg overlater til andre å berette. Jeg skal derimot vie noen ord til et par sikkerhetsbrudd som nylig ble avdekket . Det er ikke en nyhet lenger, men jeg vil oppsummere hva som skjedde fordi dette dreier seg om den viktigste egenskapen ved slike tjenester: Datasikkerhet. Eller mangel på det som her.
Bakgrunn
Jeg skriver dette fordi mitt selskap Invenia har utviklet tjenesten Yoobits for kryptert lagring og deling på Internett som av noen feilaktig sammenlignes med Dropbox mpt. funksjonalitet og sikkerhet. Selv om begge tilbyr lagring og deling via nettet, så er det to store forskjeller: Dropbox lagrer og synkroniserer data lokalt på den enkelte PC – vi gjør det utelukkende på Internett. Dropbox krypterer/dekrypterer alle data på nettet – vi gjør det lokalt på PC’en til den enkelte brukere. Effekten er at Dropbox ikke kan tilby full datasikkerhet til sine 25 millioner brukere. De har imidlertid hevdet det hele tiden, og nylig ble det tatt med boksen åpen for å si det slik. For det er kjent at man kun oppnår fullverdig sikkerhet ved å kryptere/dekrytpere lokalt hos den enkelte bruker slik Yoobits gjør. Og det har verden begynt å skjønne, og dermed øker antall oppslag om manglende datasikkerhet i ulike tjenester. Men nå altså Dropbox sin historie.
Nyheten sprekker
På nyåret kom jeg over de første blogginnleggene som påpekte at Dropbox ikke var sikker. Det ble tilbakevist av Dropbox som refererte sine nettsider som behørig omtalte sikkerheten som fullverdig. Jeg så da konturene av en nyhetsboble. Men lite skjedde utover våren. Ikke før 12. april når doktorgradsstudent Christopher Soghoian ved Indiana University skrev blogginnlegget “How Dropbox sacrifices user privacy for cost savings”. Dagen etter har flere kilder rapportert at Dropbox endret sine vilkår fra “Alle filer lagret på Dropbox-servere er kryptert (AES256) og det kan ikke oppnås tilgang uten ditt kontopassord” til “Alle filer lagret på Dropbox-servere er kryptert (AES256)”. Dermed viste de at data lagret hos dem kan åpne av ansatte og myndigheter om det kreves. Det opprørte mange, bl.a. ZDNet som 18. april skrev artikkelen “If you have something to hide from the government, don’t use Dropbox”.
Dropbox har gitt en offisiell kommentar på denne endringen datert 21. april, og den bekrefter det den kløktige studenten fant ut; nemlig at de kan åpne dine filer. Begrunnelser er etter mitt skjønn dårlig da de hevder at data må krypteres på serverne da det ellers er umulig eller vanskelig å få tilgant via nettleser. Det er nok sant fordi ingen andre ser ut til å ha løst det heller. Jeg kan da slippe nyheten om at vi har løst det i Yoobits, noe vi søkte patent på i april i år. Innvilges det vil verdien på vår tjeneste mangedobles. Men det er en annen historie.
I Norge smalt denne nyheten 16. mai når Computerworld skrve “Dropbox-data ikke hemmelige likevel” med følgende konsise ingress: “Krypterer dataene på kontoen din, men har krypteringsnøkkelen også”. De refererete en artikkel hos ZDNet som tre dager før slo opp denne saken med følgende ingress:
Dropbox, one of the favourite cloud synchronisation services available for free, ‘deceived’ its users about the security and encryption of its cloud storage services.
Og nettopp det er problemet: Dropbox påstod at de ikke hadde nøklene til brukerne, men hadde det likevel slik at ansatte og myndigheter kan åpne brukernes filer. Og dermed var usannheten og sikkerhetsbruddet et faktum. Mange stod da i kø for å formidle denne nyheten, og når selveste The Economist skrev artikkelen “Keys to the cloud castle” den 18. mai tok det full fyr via sosiale medier. Dropbox fikk hendene fulle med å forsvare seg; først med å bortforklare – og deretter med å unnskylde når de kort tid etter var tvunget i kne. Det viser at det ikke er mulig å skjule noe på nettet.
Anmeldelse til FTC
Mange følte seg lurt av Dropbox til å tro at data var sikre hos dem. Noen ergret seg mer enn andre, og i særdeleshet studenten nevnt ovenfor som satte i gang denne saken med sitt blogginnlegg. Han har derfor levert en anmeldelse til den amerikanske handelskommisjonen (FTC) fordi han mener Dropbox har lurt sine brukere mtp. datasikkerhet. I tillegg mener han at Dropbox urettmessig har tillegnet seg en markedsledelse som følge av denne usanneheten. Hele klagen, som er i 54 punkter over 16 sider, kan leses her.
Nok et sikkerhetsbrudd
Ikke før hadde stormet roet seg før en ny skandale slo inn over Dropbox: “Dropbox var vidåpen i fire timer” skrev Computerworld den 22. juni. Årsaken skal ha vært feil i en oppdatering som gjorde at man kun trengte brukernavnet for å logge inn på Dropbox. Dermed stod 25 millioner brukerkonti åpne for hugg fra uvedkommende den 20. juni. Igjen var det vår omtalte student som varslet om dette først med dette blogginnlegget.
I ettertid raste debatten blant sikkerhetseksperter og vanlige brukere om dette var avorlig eller ikke. For privatpersoner som ikke lagrer sensitive data er ikke dette noe å rope høyt om mener mange. For bedrifter bør situasjonen være en helt annen.
Når store medier som bl.a. Mashable, TechCrunch og Computerworld skrev om dette, spredte nyheten seg raskt på nettet. Dropbox har naturligvis svart på dette med et blogginnlegg der det hele forsøkes minimert. Og det kan så være, men problemet er igjen manglende datasikkerhet. Det er for øvrig ikke bare Dropbox som har dette problemet; de fleste skytjenester for lagring og deling sliter med dette.
Yoobits har datasikkerhet og privathet innebygd i sitt design, og er derfor en av få tjenester som kan garantere at data er kryptert hele tiden og hele veien – kun tilgjengelig for eieren og de han deler med. Det er mulig pga. en forskningsbasert sikkerhetsmodell og riktig håndtering av krypteringsnøkler. Det er en annen historie.
Endring i brukervilkårene
Og ikke nok med det: I juli endret Dropbox sine vilkår (omtalt her) på en måte som kan tyde på at de har innsyn i dine data. ZDNet kommenterte dette i sin artikkel “Convenience over privacy: Is Dropbox watching you?” der de avslutter med følgende råd:
Dropbox offers a great service and useful free accounts, which is an attractive combination. Unfortunately, the terms of service do not offer adequate protections against sensitive data. For this reason, I suggest you discontinue use of the product for applications where privacy and confidentiality are mission critical. In practice, however, Dropbox is unlikely to read your “stuff” or prepare derivative works, despite what’s in the terms of service. Therefore, continue using Dropbox for everyday file transfers where you value convenience over an absolute guarantee of privacy.
Hvor sikker er da Dropbox?
La meg føye meg inn i rekken av personer som hyller Dropbox som en enkel og funksjonell tjeneste for å synke data mellom brukere og deres ulike utstyrsenheter. Jeg har selv brukt Dropbox – men da til ikke-sensitive data. Og det er nettopp her valget ligger for mange; hvor lang skal en gå i bruken av Dropbox? Til nå har det vært slik at man enten må velge enkle tjenester med svak sikkerhet eller komplekse tjeneste med full sikkerhet. Målet med Yoobits er nettopp å bli en tjeneste som kombinerer det enkle med det sikre.
Utfordringen for mange er at de ikke har tilstrekkelig kunnskap til å skjønne om en tjeneste er sikker eller ikke, noe ovenfor nevnte artikkel i The Economist omtaler slik:
Dropbox has massively expanded casual access to cloud storage, but a large part of its users probably lack the sophistication to differentiate between what may be safely stored there or in any similar service. With the right knowledge, customers could determine whether or not they care if any files are disclosed. When information is not encrypted on the computer before being sent to a storage service, there is always the risk of a leak, either deliberate or resulting from a software glitch.
Jeg håper med dette innlegget å ha belyst hvor vanskelig temaet sikkerhet er i slike skytjenester, og hvor vanskelig det er å være en tjeneste som ikke forteller hele sannheten. Dropbox har fått noen skraper i lakken, men vil klare seg helt fint i fortsettelsen da det er en populær tjeneste.
Rådet fra ZDNet ovenfor kan stå som en god konklusjon.
written by Terje Wold
|
Siste kommentarer