Spændende, tror jeg vil læse hele rapporten når jeg får tid.
Jeg er interesseret i hvor I synes grænsen skal være for open-source i det offentlige? Jeg er ikke sikker selv. Noget som helt sikkert (efter min mening) ikke burde være open-source er millitære styresystemer. Noget som helt sikkert burde er offentlige services og ikke kritiske offentligt købte systemer som fx. Aula. Jeg ved ikke helt hvor grænsen skal gå. Fx. skal et system som administrerer jernbane infrastruktur være open source?
Jeg sidder selv i en offentlig myndighed, og mener at de almindelige kontor-pc’er burde køre en Linux-variant med Libre Office.
Der er nok nogle sagsbehandlingssystemer og lignende der ville kræve lidt tilpasning for at håndtere integrationer, men mange af den slags systemer er allerede flyttet i browseren og burde ikke være et større problem.
Og så er vi helt sikkert en ordentlig flok, der skulle vende os til ikke at bruge Excel… Men hvis man var bare en lille bitte smule nytænkende kunne vi måske få lov at køre nogle begrænsede Python-miljøer til almindeligt data-roderi - det har nok virkelig lange udsigter, men man har jo lov at drømme.
Helt ærligt, så er de af os der er nogenlunde tech-savvy fuldt og helt i stand til at lære at bruge Linux - og resten kan sgu ikke se forskel, og er for manges vedkommende i forvejen utrygge i Windows. Især efter vi er skiftet til W11.
Alt hvad der minder om almindelige kontor PC’er og servere bør benytte open source, efter min mening. Altså ikke specialiserede enheder som radarer etc.
Jeg mener også alle offentlige IT systemer bør være open source. Det er borgerne der har betalt, så skal de også have lov at inspicere værket. Det gælder Aula, borger.dk, hvad end skat bruger inde bagved, alt. Nej, det vil ikke gøre livet lettere for hackere, det vil derimod øge sikkerheden, specielt hvis man kombinerer med en fornuftig bug bounty ordning. Hvis det bliver mere usikkert af at blive gjort open source så er det dårligt lavet, dårligt opsat og dårligt vedligeholdt, efter min mening.
Noget som helt sikkert (efter min mening) ikke burde være open-source er millitære styresystemer.
Hvorfor? Security through obscurity virker ikke og kan faktisk gøre et system mere usikkert, fordi det giver en følelse af sikkerhed uden faktisk at være det. Og det er jo kun et spørgsmål om tid før implementationsdetaljer bliver lækket til fjenden, så dit system skal være sikkert uden at implementationen skal være hemmelig uanset hvad.
Jeg kan ikke rigtig se hvorfor der skulle være nogen grænse.
Nu læste jeg lige ordet “styresystemer” og det læste jeg som operativsystemer, men du mente måske systemer der bogstavelig talt bruges til at styre fx et missil? Der kan jeg måske godt se at du ikke vil have at fjenden kender rækkevidden eller manøvreevnen på dit missil. På den anden side, er den slags ikke ret offentligt allerede? Men jeg kan måske godt se det i den sammenhæng.
Jeg mente det hele :) Jeg skulle bare have brugt ‘software’. Jeg må indrømme at det ikke er noget jeg ved noget om så jeg gisner bare men jeg kan forestille mig at hvis du ved præcis hvilken sensorer og drivere der bruges i fx. et misil eller en drone er det nemmere at skræddersy elektroniske countermeasures / interferens mod det. Eller lave supply chain attacks mod det, altså prøve at stoppe dem i at få fat i det hardware som de har speccet med. Og hvis du ved præcis ned til PATCH feltet hvilke versioner af biblioteker der bruges i din fjendes software til angrebskoordinering eller noget så kan du være klar med et angreb så snart der bliver fundet en zero day i et af bibliotekerne (som log4j2 exploit for nylig). Det ville jeg ihvertfald vedligeholde hvis det var mit job at nedbryde en modstanders IT systemer, både på kamppladsen og af den.
Tja, alt det du nævner der vil jeg stadig kalde security through obscurity. Et militært system må simpelthen ikke have et problem med fx en dependency. De skal alle sammen godkendes ned til mindste detalje og kun specifikke versioner, tænker jeg, ellers kan de ikke bruges. Du kan ikke regne med at bare fordi de præcise versioner ikke kendes af fjenden, så kan sårbarhederne ikke bruges af fjenden.
Spændende, tror jeg vil læse hele rapporten når jeg får tid.
Jeg er interesseret i hvor I synes grænsen skal være for open-source i det offentlige? Jeg er ikke sikker selv. Noget som helt sikkert (efter min mening) ikke burde være open-source er millitære styresystemer. Noget som helt sikkert burde er offentlige services og ikke kritiske offentligt købte systemer som fx. Aula. Jeg ved ikke helt hvor grænsen skal gå. Fx. skal et system som administrerer jernbane infrastruktur være open source?
Jeg sidder selv i en offentlig myndighed, og mener at de almindelige kontor-pc’er burde køre en Linux-variant med Libre Office.
Der er nok nogle sagsbehandlingssystemer og lignende der ville kræve lidt tilpasning for at håndtere integrationer, men mange af den slags systemer er allerede flyttet i browseren og burde ikke være et større problem.
Og så er vi helt sikkert en ordentlig flok, der skulle vende os til ikke at bruge Excel… Men hvis man var bare en lille bitte smule nytænkende kunne vi måske få lov at køre nogle begrænsede Python-miljøer til almindeligt data-roderi - det har nok virkelig lange udsigter, men man har jo lov at drømme.
Helt ærligt, så er de af os der er nogenlunde tech-savvy fuldt og helt i stand til at lære at bruge Linux - og resten kan sgu ikke se forskel, og er for manges vedkommende i forvejen utrygge i Windows. Især efter vi er skiftet til W11.
Alt hvad der minder om almindelige kontor PC’er og servere bør benytte open source, efter min mening. Altså ikke specialiserede enheder som radarer etc.
Jeg mener også alle offentlige IT systemer bør være open source. Det er borgerne der har betalt, så skal de også have lov at inspicere værket. Det gælder Aula, borger.dk, hvad end skat bruger inde bagved, alt. Nej, det vil ikke gøre livet lettere for hackere, det vil derimod øge sikkerheden, specielt hvis man kombinerer med en fornuftig bug bounty ordning. Hvis det bliver mere usikkert af at blive gjort open source så er det dårligt lavet, dårligt opsat og dårligt vedligeholdt, efter min mening.
Kunne ikke være mere enig :)
Hvorfor? Security through obscurity virker ikke og kan faktisk gøre et system mere usikkert, fordi det giver en følelse af sikkerhed uden faktisk at være det. Og det er jo kun et spørgsmål om tid før implementationsdetaljer bliver lækket til fjenden, så dit system skal være sikkert uden at implementationen skal være hemmelig uanset hvad.
Jeg kan ikke rigtig se hvorfor der skulle være nogen grænse.
Nu læste jeg lige ordet “styresystemer” og det læste jeg som operativsystemer, men du mente måske systemer der bogstavelig talt bruges til at styre fx et missil? Der kan jeg måske godt se at du ikke vil have at fjenden kender rækkevidden eller manøvreevnen på dit missil. På den anden side, er den slags ikke ret offentligt allerede? Men jeg kan måske godt se det i den sammenhæng.
Jeg mente det hele :) Jeg skulle bare have brugt ‘software’. Jeg må indrømme at det ikke er noget jeg ved noget om så jeg gisner bare men jeg kan forestille mig at hvis du ved præcis hvilken sensorer og drivere der bruges i fx. et misil eller en drone er det nemmere at skræddersy elektroniske countermeasures / interferens mod det. Eller lave supply chain attacks mod det, altså prøve at stoppe dem i at få fat i det hardware som de har speccet med. Og hvis du ved præcis ned til PATCH feltet hvilke versioner af biblioteker der bruges i din fjendes software til angrebskoordinering eller noget så kan du være klar med et angreb så snart der bliver fundet en zero day i et af bibliotekerne (som log4j2 exploit for nylig). Det ville jeg ihvertfald vedligeholde hvis det var mit job at nedbryde en modstanders IT systemer, både på kamppladsen og af den.
Tja, alt det du nævner der vil jeg stadig kalde security through obscurity. Et militært system må simpelthen ikke have et problem med fx en dependency. De skal alle sammen godkendes ned til mindste detalje og kun specifikke versioner, tænker jeg, ellers kan de ikke bruges. Du kan ikke regne med at bare fordi de præcise versioner ikke kendes af fjenden, så kan sårbarhederne ikke bruges af fjenden.