• grundslide3.jpg
Forsiden Artikler Section Sikkerhedsforhold
Sikkerhedsforhold
Have a nice Day, Huawei
Den australske regering afviser Huawei som leverandør til National Broadband Network.
29. marts 2012

Denne sag har kørt i australien siden 24. marts i år, og har nu også nået de danske medier. I denne opdatering holder vi os til de australske medier, som er tættest på sagen.

Det hele drejer sig om, at i slutningen af 2011 blev Huawei's australske selskab orienteret om, at selskabet ikke burde bruge tid på at byde ind på en kommende udbudsforretning som leverandør til National Broadband Network (NBN). Her i marts 2012 er leverandørerne nu blevet annonceret.  Huawei's udelukkelse blev hermed kendt og til en mediebegivenhed den 24. marts 2012, først i Australien:

Den 23. marts udtalte Attorney General's Department sig til Connecting the Australian Channel (CRN.COM.AU), som publicerede artiklen 'Huawei banned from NBN' den 24. marts 2012:
"The National Broadband Network (NBN) is the largest nation-building project in Australian history, and it will become the backbone of Australia’s information infrastructure".
"As such, and as a strategic and significant Government investment, we have a responsibility to do our utmost to protect its integrity and that of the information carried on it."
"This is consistent with the government’s practice for ensuring the security and resilience of Australia’s critical infrastructure more broadly."

Det viser, at der fra starten har været foretaget en grundig evaluering af potentielle risici ved at inddrage en kinesisk leverandør i et så nationalkritisk projekt.
(Kilde: Connecting the Australian Channel)

Siden denne artikel, og mange efterfølgende, har der været en intens debat, se følgende korte uddrag med links:

26. marts skrev Sydney Morning Herald en god baggrundsartikel "Gillard defends Huawei NBN bar as 'prudent'"
Her siger premierministeren: "You would expect, as a government, we would make all of the prudent decisions to make sure that that infrastructure project does what we want it to do, and we've taken one of those decisions," Så hermed er det helt officielt - det bliver ikke mere klart, end når en statsminister melder ud.

Også 26. marts, skrev Financial Review i artiklen "ASIO forced NBN to dump Huawei" at beslutningen blev truffet på baggrund af rådgivning fra ASIO (Australian Security Intelligence Organisation). Der har altså været tale om en risikovurdering og sikkerhedsmæssig konklusion - lige efter bogen.

Og, som noget næsten helt andet: Symantec har nu annonceret at man bryder samarbejdet med Huawei og dermed at det fælles datterselskab i Californien opløses. - ellers vil Symantec tabe kontrakter med forbundsregeringen - et ømt punkt.
Kilde: The New York Times: Symantec Dissolves a Chinese Alliance (26. marts 2012)

Så hvis man overvejer Huawei udstyr i infrastruktur-projekter, nationalt, institutionelt og på koncern-niveau, bør man nok lige genoverveje denne leverandør.

                                                                 

Bør Huawei dermed være helt ude i kulden, generelt
Det bør være op til de enkelte beslutningstagere, lige fra direktør niveau og til den den enkelte privatperson, om man vil støtte et kinesisk firma, hvis ledelse består af tidligere medlemmer af den kinesiske folkehær. Så enkelt er det.

 
 
Hvordan undgås spild af arbejdstid på Internet?

Hvidovre-sagen: Ekstrabladet (både avis-udgaven og på nettet) og Computerworld.dk skriver 1. & 2. December 2011 om Web-surfing (ikke-arbejdsrelateret) som er ud over der sædvanlige, i hvert i forhold til, hvad de fleste mennesker betragter som "i rimeligt omfang".
Casen er Hvidovre Hospital, hvor der surfes løs, svarende til 24 stillinger på årsbasis.  

Som skatteborger eller som ledelse er det ofte et chok at opdage hvordan det virkelig forholder sig - helt forståeligt, at Ekstrabladet har fået en fest ud af denne sag - og det nok også første gang at denne type IT-sikkerhedsmæssige forhold kommer på forsiden af EB, på mange måder et "first"; stort til lykke med det, Ekstrabladet!

For naturligvis er en vis "ekstra surfing" i orden, men det må også være op til organisationernes ledelse, at give anvisninger på, hvad man betragter som rimeligt.

Men her er det en klar forudsætning, at der er synkronisering mellem hvad ledelsen TROR er tilfældet, og så til hvad medarbejderne faktisk bruger arbejdstid på. I modsat fald er der virkelig problemer - og det kan man måle, f.eks. ved anvendelse af DNS sikring.  Ved at undlade blokeringer i første omgang, kan man tage en konkret vurdering af, i hvor høj grad der surfes løs på ikke-arbejdsrelaterede sider - derefter kan man beslutte, om:

1. Der skal meldes ud til medarbejderne om reglerne,

2. Ajourføring af Informationssikkerhedspolitikken, hvis den trænger til en opjustering,

3. At der nu indsættes filtreringer, som svarer til de ønskede relger.   

I Hvidovre-sagen er der nok grund til en nærmere snak om regler, rimelighed og evt. en vis kontrol. Højst sandsynligt også en fornyet Awareness-kampagne fulgt op af de nævnte filtreringer.  

Her er mulighed for at lægge rimelige begrænsninger, som ledelsen og medarbejderne er enige om, og som derved hjælper medarbejderne til at overholde reglerne. Og der må ikke være mulighed for at omgå disse filtreringer, det er vigtigt; derfor skal man naturligvis også have konsensus om de indstillinger, som vælges. Ellers kan det give bagslag; dårlig stemning, tidsspildet vil finde andre veje, etc.

MEN der må heller ikke være tvivl om at Internet i sig selv er en distraktion.  Det er dén faktor som skal reguleres, på fornuftig måde, som alle kan være med til - ingen grund til at falde i den anden grøft - opgive en fornuftig regulering, som Computerworld også beskriver.

Kontakt os, og lad os tage et uforpligtende møde om mulighederne for at sikre et godt grundlag for at undgå organisationens tab af produktiv arbejdstid. Det faktisk også til fordel for medarbejderne - og det vil vi gerne uddybe ved et møde.


 
 
Mere Kina nyt

OPDATERING: 760 firmaer hacket fra Kina. Bloomberg rapporterer 14. december 2011 om konstaterede angreb mod i alt 760 firmaer.  Synspunktet er, at den globale Cyber-krig har været i gang i flere år - ikke så meget nyt i det, men dokumentation af målene for dette er naturligvis skræmmende. Svaret er stadig: den relevante og passende informationssikkerhed - hele vejen og med konstant opfølgning. Læs mere her: China-Based Hacking of 760 Companies Shows Global Cyber War

23. august kunne F-Secures Mikko Hyppönen rapportere om en interessant dokumentar på den kinesiske TV-station CCTV (orinteringsvideoer fra militæret) på F-Secures altid interessante blog. Den var blevet sendt den 17. juli 2011 og havde titlen "Military Technology: Internet Storm is Coming"

cntn-hdr-pic-15nov11 

Som Mikko Hyppönen skriver, var det en dokumentar om muligheden for og risici for cyber-krig. Fint nok, men der smuttede lidt for meget information med:
chihackscr.15nov11  

Pop-up vinduet er fra et stykke hacker software udarbejdet af Information Engineering University of China's People's Liberation Army.
I billedet vises teksten "Select Attack Target" Der er indtastet en AMERIKANSK IP-adresse. Flere detaljer vedr. skærmbilledet kan ses hos The Epoch Times.

chihackroute-15nov11
(Routing i USA: Via TELEHOUSE International Corp. of America  ->  University of Alabama at Birmingham - University Computer Center.)

Kineserne sørgede naturligvis for, at klippet hurtigt blev fjernet (en skærpende omstændighed) men, som vi alle ved: "EN gang på Internet, ALTID på Internet". Sådan er det, også for kineserne...

26. august tog Government Computer News (GCN) tråden op og kaldte de 6 sekunders cyber-angrebs video en "rygende pistol", med henvisning til en tidligere GCN rapport. John Breeden fra GCN begrunder dette i artiklen "The smoking gun on China's US cyberattacks" (sidste afsnit, side 1).
Og lige en ekstra update fra GCN, 28. oktober 2011: Der er ikke længere tale om at tage forbehold, når man diskuterer Kinas rolle i Cyberspace: “The government of China is involved in hacking into American companies and taking that information and giving it to Chinese companies,” sagde Richard Clarke, tidligere sikkerhedsrådgiver i Det Hvide Hus. Læs mere i William Jacksons artikel på GCN.

Hvor relevant er dette egentlig?  Det afhænger meget af, hvem man er. Ingen tvivl om at dette tages alvorligt i regeringskredse, specielt i USA og i England.  Husk også, at i 2008 udsendte MI5 advarselsbreve til 300 virksomheder vedr. kinesisk hacking.  Det ofrede DR-2 Udland en hel del tid på i udsendelsen 7. januar 2008 - en del tid siden, men skal huskes også i dag.

                                                            chiofficernoway

Samlet set er der særdeles gode grunde til at tage forholdsregler mod enhver form for angreb fra, og kommunikation med kinesiske myndigheder, virksomheder, m.v.  For danske virksomheder og institutioner er dette relevant, når der er tale om større eksportvirksomheder, offentlige institutioner som har internationale forbindelser. Og det gælder jo for alle gode risikovurderinger. ALLE RELEVANTE FORHOLD SKAL TAGES MED.

 
 
No way, Huawei
* Denne slogan- titel er der allerede flere andre som har fundet nærliggende, f.eks. DLG Group, Lightreading Mobile og Canada Free Press, men den ligger jo også lige til højrebenet...

Opdatering - 29. Marts 2012:  Den australske regering afviser Huawei som leverandør til National Broadband Network.

Denne sag har kørt i australien siden 24. marts i år, og har nu også nået de danske medier. I denne opdatering holder vi os til de australske medier, som er tættest på sagen. 

Det hele drejer sig om, at i slutningen af 2011 blev Huawei's australske selskab orienteret om, at selskabet ikke burde bruge tid på at byde ind på en kommende udbudsforretning som leverandør til National Broadband Network (NBN). Her i marts 2012 er leverandørerne nu blevet annonceret.  Huawei's udelukkelse blev hermed kendt og til en mediebegivenhed den 24. marts 2012, først i Australien:

Den 23. marts udtalte Attorney General's Department sig til Connecting the Australian Channel (CRN.COM.AU), som publicerede artiklen 'Huawei banned from NBN' den 24. marts 2012:
"The National Broadband Network (NBN) is the largest nation-building project in Australian history, and it will become the backbone of Australia’s information infrastructure".
"As such, and as a strategic and significant Government investment, we have a responsibility to do our utmost to protect its integrity and that of the information carried on it."
"This is consistent with the government’s practice for ensuring the security and resilience of Australia’s critical infrastructure more broadly."

Det viser, at der fra starten har været foretaget en grundig evaluering af potentielle risici ved at inddrage en kinesisk leverandør i et så nationalkritisk projekt.
(Kilde: Connecting the Australian Channel)

Siden denne artikel, og mange efterfølgende, har der været en intens debat, se følgende korte uddrag med links:

26. marts skrev Sydney Morning Herald en god baggrundsartikel "Gillard defends Huawei NBN bar as 'prudent'"
Her siger premierministeren: "You would expect, as a government, we would make all of the prudent decisions to make sure that that infrastructure project does what we want it to do, and we've taken one of those decisions," Så hermed er det helt officielt - det bliver ikke mere klart, end når en statsminister melder ud.

Også 26. marts, skrev Financial Review i artiklen "ASIO forced NBN to dump Huawei" at beslutningen blev truffet på baggrund af rådgivning fra ASIO (Australian Security Intelligence Organisation). Der har altså været tale om en risikovurdering og sikkerhedsmæssig konklusion - lige efter bogen.

Og, som noget næsten helt andet: Symantec har nu annonceret at man bryder samarbejdet med Huawei og dermed at det fælles datterselskab i Californien opløses. - ellers vil Symantec tabe kontrakter med forbundsregeringen - et ømt punkt.
Kilde: The New York Times: Symantec Dissolves a Chinese Alliance (26. marts 2012)

Så hvis man overvejer Huawei udstyr i infrastruktur-projekter, nationalt, institutionelt og på koncern-niveau, bør man nok lige genoverveje denne leverandør.

                                                              

Bør Huawei dermed være helt ude i kulden, generelt
Det bør være op til de enkelte beslutningstagere, lige fra direktør niveau og til den den enkelte privatperson, om man vil støtte et kinesisk firma, hvis ledelse består af tidligere medlemmer af den kinesiske folkehær. Så enkelt er det. 


Tidligere opdateringer:

NYT igen - 15. Nov 2011: The Inquirer har en god historie om race-diskriminination, mod indfødte briter i det englske Basingstoke kontor. Huawei var hurtig med stærkest mulige dementi, så det er følsomme sager. . .

NYT - 11. Okt. 2011: The Daily Beast rapporterer, at HUAWEI nu er udelukket fra at give bud på et nyt landsdækkende trådløst net i USA. Begrundelsen er de sikkerhedsmæssige overvejelser i amerikanske regering. Intet mindre. Så det kører...

På baggrund af Huaweis indtog i Europa og hermed også i Danmark, kan der være grund til at se nærmere på firmaets baggrund og de kontroversielle forhold, som forbindes med Huawei.

Indtil videre har Huaweis produkter været interessante på grund af prissætningen, men det er ved at ændre sig, sammenholdt med vækst og succes på markedet. Der er dog mange andre interessante forhold, som det er relevant at tage i betragtning, herunder de udfordringer, som firmaet fortsat har i forhold til myndighederne i USA, England og Europa.

Anbefalingen er, at man tager alle disse forhold med i vurderingen af, om det er en god ide, at investere i infrastruktur-produkter fra dette firma.

Her er en lille del af alle de artikler om kontroversielle forhold omkring firmaet, dets baggrund og fremfærd:

12. JULI 2010 FierceWireless: Huawei hires U.S. advisers to alleviate security concerns

24. AUG. 2010 Reuters: Senators raise concern about Huawei-Sprint deal

15 SEP. 2010 FierceWireless: Huawei outlines three-pronged plan to address security concerns

08 OKT. 2010 Bloomberg: NSA allegedly warns AT&T with loss of Govt. busn. if Huawei eq. is purchased

19 Nov. 2010: RCRWireless: Huawei ensnared in another U.S. security concern 19. Nov. 2010

Og, som sidste skud i nakken indslag:

01. Mar. 2011: Huawei? No way 1. Marts , 2011, af Frank J. Gaffney, Jr. Center for Security Policy


Der er mange flere eksempler i denne debat, også useriøse, men man bør ikke overhøre de samlede advarsler.
Og så er der jo dagens (3. AUG. 2011) afsløring fra McAfee, men det er jo en helt anden historie, eller hvad?
 
Murdochs The SUN hacked

LulzSec har være i gang igen - The SUN er blevet hacket og trafikken videreført til et andet site (http://www.new-times.co.uk/sun/ -som så var hacket); her er den alternative forside:

sun-hack-small-19jul11

(Link til The Register stort billede)    

Her er LulzSecs Twitter vedr. hacket: sun-hack-lulztwit-19jul11

(Link til The Register stort billede)

Sitet newtimes var egl. et udviklings-site… The Guardian har fundet metodik og den exploit som blev brugt.

Det rykker bare ikke ved den kendsgerning, at et temporært site har kørt med ikke-opdateret operativsystem, ikke opdateret applikation, osv.  Og hvorfor var det temporære site ikke trafikovervåget (bedre)?  Der var måske ikke foretaget en sikkerhedsmæssig vurdering?

Morale: Hvis man bliver genstand for kontroversiel medieopmærksomhed, skal man sørge for at web-applikationer og websites er (i dette tilfælde VAR) absolut stærkt sikrede.  Det kunne man f.eks. sørge for ved at gennemføre en risikovurdering, applikations/site analyse - og en passende sikkerhedsimplementering.  Der er masser af muligheder for at sikre såvel site som applikationer, men det skal gøres ud fra hvad der er nødvendigt. 

I bakspejlet ville The SUN nok have foretrukket at leve op til en passende sikkerhedsopsætning på alle områder; det er lidt sent nu. Sådan kan det gå, når man er på bagkant med sikkerheden.

Men nu er vi jo i Danmark - den slags sker slet ikke her. . .
 
Flere artikler...
<< Første < Forrige 1 2 Næste > Sidste >>

Side 1 ud af 2