Tillåter PTS att Telenor tvingar kunder att accepterar dubbel så dyrt abonnemang eller säga upp sitt abonnemang ?

Tillåtet att Telenor ensidigt omvandlar gammal avtal till 200% dyrare inom16 dagar ?

Telenor:  "vi ändrar automatiskt ditt gamla abonnemang till dyrare abonnemang 200%, ...som vi tror  passar dig.."
Telenor: “vi ändrar automatiskt ditt gamla abonnemang till dyrare abonnemang 200%, …som vi tror passar dig..”

Min vän förstod ingenting, fick idag 8:e maj ett brev från Telenor daterad den 4 maj att

”Nu ser vi över våra abonnemang, kommer ditt nuvarande mobilabonnemang att försvinna. Därför vill vi ge dig ett nytt abonnemang som vi tror passar dig bra…… priset för det nya abonnemanget är 199 Kr/månad…..

Vad hände med Telenors abonnent?

Ett abonnemang tjänst har använts sedan lång tid tillbaka, ingen surf, väldigt lite samtal (dyra minutsamtal och öppningsavgifter). Man fick ringa för hela beloppet varje månad så slapp man att fylla på kontantkort varje månad.

Blir det nya Telenor tjänsten dyrare?

Ja, 200%. Telenor ensidigt och med mycket kort varsel under perioden 20 maj-30 juni automatiskt omvandlar den gamla abonnemangsformen till det nya. Eftersom abonnemanget inte används för surfing och enbart för få korta samtal det nya avtalet verkar vara helt oacceptabelt.

Vad är uppsägningstiden för abonnemanget enligt avtalet?

Abonnenten har enligt ingångna avtalet 3 månaders uppsägningstid. I min värld normalt operatören borde inte kunna säga upp avtalet på sådant sätt och inte heller under så kort varsel. Detta är kanske diskuterad och överenskommet med PTS och kanske tom PTS:s jurister godkänt detta förfarande. Om sådant är inte fallet borde PTS borde skyndsamt titta på detta fall (och även liknade fallen). Det känns som rimligt att PTS i förebyggande syfte utfärda något uttalande/beslut för att tillgodose även de svenska mobilabonnenternas rättigheter.

Har inte operatörer rätt att ändra avtalet?

Jo visst, men det borde finnas någon rimlig gräns och större hänsyn till befintliga avtal borde tas. Det är självklart att mobiloperatören skall inte behöva ingå i avtal med de ”gamla” abonnemangsformer som inte är storvinstgivande men befintliga kunder med gamla abonnemangsformer bör hanteras med större respekt.

Affärslogiken verkar inte riktigt korrekt om  i ena sidan ständigt visa Telenor TV reklam för att fånga in intressen från nya kunder  samtidigt som man med automatiska abonnemangsförändringar tvingar befintliga kunder till dyrare (i detta fall 200%) abonnemang och därmed missnöjda kunder. Uppmaningen att ”Du har rätt att säga upp ditt abonnemang utan uppsägningstid” dvs tvinga sina befintliga kunder till annan mobiloperatör.

Kan man inte flytta till någon annan operatör?

Jovisst, MEN om alla operatörer har rätt att ensidigt säga upp avtalet och automatisk under kortare varsel omvandla till dyrare abonnemang då är detta en konsumenträtts fråga om enskilda konsumenter och som normalt borde bevakas av PTS. Om mot förmodan detta är tillåtet då kanske är på sin plats att PTS tar omgående initiativet till nya tillsyn av regelverket för att skydda abonnenternas rättigheter på bättre sätt.

Slutligen, låt oss slippa se framöver där operatörer ständigt och systematiskt uppmanar sina kunder att flytta till någon annan operatör och dyrare abonnemang.

Advertisements

Nätskummisar skickar SMS/MMS genom att använda kryphål

För ett tag sedan skrev jag om nätskummisar som skickade ett SMS från ett USA/Canada mobilnummer ( 001 252 627 94 95 ) för att informera mig att jag vann 10.000 svenska Kronor i check på COOP och jag hade bara tid till 23:59 samma kväll för att kunna nyttja erbjudandet. Fantastiskt men det var som väntat FALSKT med syfte att samla in information och dessutom skicka besökaren till “test musik/video site”. Nätskummisarna försökte på nytt, fast denna gång har man hittat något kryphål. Jag fick ett nytt SMS den 26 november från en okänd nummer men med samma tillvägagångssätt, innehåll och dessutom mot samma slutliga webb-sidan. Det som förvånade mig mest var att SMS:et saknade mobilnummer för avsändareen. En snabb granskning av meddelandet visar att sändare informationen är ersatt med “NytMedelan“.Hur är detta möjligt? mobiloperatören vet ju vem som skickar meddelandet oavsett detta sker via en mobil eller SMS-server. REtt samtal till min mobil-operatör Telenor kändes ganska nödvändigt. Jag fick prata med en ganska duktig Telenor support personal och han informerade att Telenor har sedan flera år infört stopp för att kunna skicka SMS/MMS anonymt. Tydligen det finns operatörer som struntar i detta och har ännu inte stoppat anonyma SMS/MMS:er. En enkel lösning borde bli att seriösa mobiloperatörer stoppa både sändning och mottagning SMS/MMS:er med anonyma avsändare eller mottagare. Tydligen min mobiloperatör var inte lika mycket angeläget att stoppa även mottagning av anonymt SMS/MMS. Det känns som en omgående PTS rekommendation/styrning kring anonyma SMS/MMS känns ganska nödvändig. Kanske även medverka för samma rekommendation inom Europa inom förslagsvis inom BEREC (EU organisation bestående av nationella organisationer motsvarande PTS)?

Nätskummisar-2 natskummis3 NatSkummis2-2

Telefonitjänster i Sverige och den äldre damen

Drygt tre år sedan deltog jag i seminarium om EuroDigit under Internetdagarna som var anordnat av Stiftelsen för Internet Infrastruktur (.SE). Med många äldre deltagare från hela Sverige. Majoritet av presentationerna berörde de äldres delaktig i nya digitala tekniken och hur man skulle förbättra de äldres digitala delaktighet. En äldre dam fick tillfälle att berätta sin historia, en mycket intressant och skrämmande historia och om hennes vilja att berätta om hennes upplevelse. Jag försöker att delge vad som satt fast i mitt minne något som automatiskt jag tänker på varje gång någon pratar om telefoni/bredband/mobiltelefoni tjänster.  

”……. Jag bor i en ö utanför Södertälje, vi har ingen fast telefoni eftersom den nya digitala mobiltekniken ersattes den gamla telefonin. Sedan en vecka min telefonilösning är ur funktion och jag är inte nåbar via telefonen. Fick låna en mobiltelefon med en annan operatör av en anhörig som gör det möjligt att kunna ringa eller ta emot samtal. Batteriet till mobiltelefonen laddar ur snabbt pga dålig täckning (säger de som kan det). Dessvärre kunde jag inte ladda mobiltelefonen inatt eftersom vi hade strömavbrott sedan igår kväll. Jag hade beställt taxi för att kunna åka till Stockholm imorse så varken jag eller taxin kunde ringa mig om när taxin skulle kunna vara framme. Då det fanns ingen ström tände jag stearin ljuset i köket vid fönstret och väntade på taxin med en kopp kaffe i handen. Hör och häpna att taxin kom fram och kunde köra mig till tåget. Jag frågade taxichauffören hur han kunde hitta mitt hus och svaret efter en kort tystnad var han såg en levande ljus endast i ett fönster så tidigt på morgonen ……”

Den äldre damen fick stora applåder av hela publiken i den stora salen i Stockholms Waterfront, jag misstänker att det var många upplevde samma teknikbrister och brister inom telefoni tjänster. Jag förmodade att problemet var tillräckligt adresserat till de berörda och kanske de berörda myndigheterna och operatören har hunnit att förbättra sina nät och täckning under dessa dryga tre åren. Gårdagens program P1 visar tyvärr att problemet dessvärre har utökat i både kvantitet och komplexitet. Den äldre damen bodde ganska nära Södertälje och nära Sveriges huvudstad, hon bodde inte i något samhället långt i mörka skogar eller bakom någon berg, hon försökte ringa från en telefon fäst i väggen i sitt hus och inte använde sig av en smart telefon heller.

Jag har arbetat inom mobiltelefoni sedan 1995 både hos svensk mobil operatör och hos den välkända telekom leverantören Ericsson, därför känner naturligt att bidra till fakta och även hur kunderna upplever tjänsterna. Därför under kommande dagarna/veckorna ett flertal inlägg i min blogg kommer att beröra mobiltelefoni, bredband.

Lämna gärna kommentar och dina uppleveser, förslag. Nya inlägg på gång

Tele2, PTS och Nummerportering, del 2

Misslyckade nummerportering till Tele2

I mitt tidigare inlägg har jag försökt att beskriva händelseförloppet kring byte av mobilnummer från en svensk mobiloperatör till Tele2. Som det framgick övergången till Tele2 tog 17 dagar (vilket jag inte har haft någon åsikt om). Under 101 timmar efter det utlovade tiden (2012-10-04 Klockan 03:00 tom 2012-10-08 klockan 08:09) mobilabonnemanget var helt obrukbar. T.ex. man fick man meddelandet att ”numret har ingen abonnent” då man ringde till numret under denna tid. Samtal och diskussionerna med Tele2:s kundtjänst var för arbetsamma och tidskrävande vilket kändes som onödigt för en nyblivande kund till Tele2.

Missnöjd nybliven kund?

Tele2 har efteråt och flera gånger beklagat hanteringen men skadan hade redan skett. Beslutet blev enkelt, att visa missnöjet med Tele2 genom att flytta till en annan mobiloperatör. Även Tele2.s kundtjänst gick med på nummerflytten till en annan operatör. Återigen det var dags att leta efter en lämplig mobiloperatör med tillräcklig bra abonnemang som passar behovet. Under en kortare tid fanns det naturligtvis även tvekan om hur länge kommer mobiltelefonnumret kommer att vara obrukbar i samband med den nya flytten av mobilnumret. Bästa sättet var att nästan intervjua kundtjänsten hos mobiloperatören och fick ett KLART och TYDLIGT besked att ”vid utlovade tiden och klockslaget skall abonnemanget fungera och utan avbrott i abonnemanget”. Övergången till den nya mobiloperatören skulle ske 2012-10-12 klockan 03:00. Sanningen är att vid den utlovade tiden och två timmar efter att telefonen startats med det nya SIM-kortet var abonnemanget aktiv utan något problem hel enligt vad utlovades och därmed är saken avklarad.

Kort summering

  • Från operatör 1 till Tele2:
    17 dagar + under 101 timmar“mobilnumret är inte i bruk” samt en del samtal med kundtjänst
  • Från Tele2 till en tredje mobiloperatör:
    3 dagar och utan någon som helst kontakt med operatören

Vad säger Post och Telestyrelsen (PTS) om nummerporteringen?

PTS hr olika föreskrifter som beskriver skyldigheterna om hur nummerportering mellan operatörer i Sverige skall ske. Den 23 april 2010 beslutade PTS i föreskriften Flytt av telefonnummer ska gå snabbare och att nummerportering mellan mobiloperatörer skall ta maximalt 3 dagar. Dvs tre dagar dessutom utan avbrott i abonnemanget. I praktiken en kortare avbrott kommer att ske eftersom flytten sker vid så kallade ”service fönster” dvs klockan 03:00 på natten. Ett avbrott sker normalt när man ersätter den gamla SIM-kortet.

Dessutom i föreskriften PTSFS 2010:4 framgår att den blivande operatören skall senast den överenskomna tiden leverera mobiltjänsterna, dvs den 4 okt klockan 03:00 i vårt fall.

Vad var det som hände och vad har gått fel vid övergången till Tele2 är svårt att veta, det är ännu svårare att kunna förstå varför Tele2:s kundtjänst gav dessutom så många olika och felaktiga information.

Kundhanteringssystem (känd även som CRM) och välfungerande processer är otrolig viktiga för företagets framtid. Det är även välkänt att kundtjänsten, dvs ansiktet utåt mot kunderna spelar stor roll för företagets framgång. ”Billiga” kundtjänst, dåliga tekniska kunskap, dålig kundhantering och bemötande, oviljan att ”äga problemet” tills problemet är löst eller åtminstone tills någon annan blir utnämnd som problem ägare. Tyvärr, under de senare åren har flera företagsledning fått mindre fokus på denna viktiga funktion. Dessvärre verkar det vara nödvändigt att ännu flera missnöjda kunder behöva ”använda fötter” dvs byta sin leverantör om/när missnöjet växer och det kan ske snabbast när abonnemanget är tidsobunden.

Vad säger andra Tele2-kunder?

Nedan finns några av missnöjesyttring från både privat och företagskunder till Tele2:

Tele2 och nummerportering

Nummer probabilitet är välkänd begrepp inom mobil och fast telefoni sedan över ett decennium. Det innebär att abonnenten kan flytta sitt telefonnummer till en annan operatör efter den eventuella bindning och uppsägningstiden.

En beställning via webben hos Tele2 resulterade ett SMS med välkommande till Tele2 och information om att nummerflyttet till Tele2 sker om 17 dagar dvs. den 4:e oktober klockan 03:00.

Tele2 Välkomst SMS 1

Ytterligare ett SMS bekräftade att flyttet av mobilnumret till Tele2 sker den 4 oktober klockan 03:00, denna gång med uppmaningen att ”glöm inte att byta SIM-kortet”.

Tele2 Välkomst SMS

Att flytta nummer mellan operatörer borde ha skett 100.000-tals gånger (kanske miljontals gånger) tidigare så det borde finnas en klar process för säkerställa hantering av ärendet. Den 4/10 vid klockan 07:00 har det visat sig att Mobil operatören Tele2 har inte lyckats med nummer flytet.

Vilka är konsekvenserna av Tele2:s misslyckandet för den nyblivna kunden ?

  1. inkommande samtal: ”telefonnumret har ingen abonnent eller tillfällig avstängt”, Men vänta nu haft telefonnumret i över 10 år
  2. Utgående samtal: Inget samtal, SMS, MMS, inte heller mobilt Internet via telefon

Efter ett samtal den 4/10 till Tele2:s kundtjänst fick rådet att vilken minut som helst under förmiddagen idag”,
Men vänta nu kan ni ange någon närmare tid?
närsom helst under förmiddagen idag” blev svaret från Tele2:s kundtjänst men glöm inte att starta om telefonen”.

Några timmar till borde man väl ändå kunna acceptera, det är ju ”bara” idag på förmiddagen.

Ett besök hos Tele2 butik, ringde butikpersonalen till ”den interna kundtjänsten på Tele2”, svaret blev likadant, ”när som helst idag under förmiddag, glöm inte att starta om telefonen”.

Fredagen den 5 oktober klockan 07:00 dvs 28 timmar efter det utlovade nummerflytet har inget hänt och numret fortfarande kan inte bli nådd, det går inte ringa ut, surfa mm.

Efter lång väntetid och telefonsvarare som med jämna mellanrum upprepade samma meddelande “du vet väl att …..” då  svarade Mimmi P på Tele2:s kundtjänst vänligt att  “det tar 3 dagar innan numret går att använda hos Tele2”. Kuntjänsten kunde inte förklara varför dagen innan Tele2:s kundtjänst och Telebutiken i Kista gav felaktig (annan) information och inte heller varför ingen berättade om nummerflytet till Tele2 kan resultera att numret inte kunde användbar i tre dagar.

Situationen är helt förivrande att det finns olika sanningar hos Tele2 varje dag om detta fallet. Men borde man inte informera kunden att ”kära kund Tele2:s system klarar inte snabb nummer portering och att ditt nummer inte kan användas under tre dagar efter nummerflytt till Tele2″ ?

Hur informerar Tele2 sina nyblivna kunder om detta?

Så som jag kan avläsa i texten nedan som är saxad från Tele2 där framgår inget om dessa tre dagar, dvs  avstängd telefonnummer under tre dagar efter “nummerflyt till Tele2”. 

Tele2 informerar om nummerflyt

Under dessa tre dagar (om det nu är bara tre dagar gäller) då ditt nummer är obrukbar och alla som ringer dig får meddelandet att ”telefonnumret har ingen abonnent”. Rimligen detta är något för Post och Telestyrelsen (PTS) som reglerar nummerportabiltet i Sverige. Det känns som det svarta fåren i Tele2:s reklam symboliserar kanske också den nyblivne Tele2 kund som accepterar att bli behandlad på ett oprofessionellt sätt med bristande information, osanningar och ….

Hur skall man försöka att ta till sig SMS:et med texten ”välkommen till Tele2”?

Läs om hur nummerflytt till två andra svenska mobiloperatörer gick till

Lösenord till 400 000 svenska konton är hackade och spridda på Internet

Under de senaste dagarna har vi kunnat läsa, höra och titta på en lång rad information om hackade konton i Sverige. Till och med webb/e-post konto till flera riksdagsman och offentliga personer lär ha kommit ut på avvägar. Experterna uttalade sig i TV, Radio, Tidningar och på olika ställen inom Internet.

Vi har även tidigare sett att hemsidor för flera partier hackats, flera polisanmälde och tom det finns domar som berör intrång hos politiska partier. Huruvida den senaste intrången och attacken hade politiska avsikter eller inte bör kunna diskueras av de som har bättre insyn och sakkunsaper.

Vad var det egentligen som har hänt?

  • Någon påstod att flera hemsidor har hackats, under augusti/september iår
  • Hos ett konto på Twitter dyker upp en del information om hackade konto, hashkoder, mm.
    Individen som äger twitter kontot bedyrar sin oskuld i detta härvan.
  • Först bloggtoppen.se och sedan rad andra hemsidor som gratisbio.se mfl medger att deras servrarna är hackade. Sedan visar det sig att 57 ytterligare hemsidor är också hackade.
  • Alla uppmanas till att byta lösenord, speciellt användarna som har konto på någon av de berörda servrarna vilket är jätte bra
  • Flera webb-platser erbjuder tjäsnter att “testa ditt lösenord” bl. a. IDG, PTS, mm.

Efter en vecka denna intensiva storm verkar alla diskussioner kring datasäkerhet somnat helt för denna gång

Vad har vi lärt oss?

Det har varit en kaotisk nyhetsrapportering, oftast ytliga reportage och dessutom experter som förklarade användarna som “lata” och “dumma”.

Varje expert har analyserat små delar av enskilda händelser och get råd och dåd till vanliga användaren. En kritisk granskning visar att genom att strukturera upp tillgänglig information skulle kunna ge en bättre helhetsbild. Därefter kunna  analysera vad som hänt (de kända fakta), vilka är risker och försöka dra lärdom av vad som hänt. Huvudsyftet bör vara att försöka att undvika samma misstag framöver i möjligaste mån.

Professionell hantering av servrar

Det är självklart att servrar måste uppdateras och patchas med de senaste uppdateringar snarst möjligt, panering av patchar och uppdateringar bör stndigt ske av IT-personal som borde bevakas av någon som har ytterst ansvar för datasäkerheten. Vissa menar att hackers använde sig denna gång av s.k. SQL-injection. Oavsett vilken typ av sårbarhet har använts , då ligger stort ansvar på ägarna att se till att dess IT-personal hanterar ständit servrarna på ett adekvat sätt. Misstag kan naturligtvis förekomma men misstag samma skall inte upprepas. SQL-injection har tidigare använts under senaste 6-åren. Bl.a. Dataföreningen drabbats över 4-5 år sedan och lösenord till användarna spridits över nätet. Då användes e-post som användarnamn och samma lösenord på flera servrar både privat och i tjänst. Även då drabbades flera offenliga personer och andra som arbetade inom det publika sektorn.

Användarna och lösenorden

Idag har varje användare tiotal (egentligen mer) olika konton på olika servrar både på jobbet och privat.  Förmodligen den vanliga användaren upplever att  lösenordshantering som besvärlig och krånglig. Användarna  upplever svårigheter att skapa lämpliga (säkrare) lösenord till  flera olika system.  Naturligtvis att kunna komma ihåg var och en av dessa lösenord upplevs ännu svårare. Det kan nämnas att statistiken visar att en av de högsta andel av samtal till företags  IT-avdelning sker efter sommar semester varje år ,  då lär många glömt sina lösenord under sommar semestrar. Därför menar jag att IT/säkerhetsproffsen inte borde klandra användarna för “lathet” utan snarare ge de råd och tips. Under veckan fick vi fick några tips om hur en bättre  lösenord skulle kunna bestå av, och att man skall inte använda samma lösenord på flera servrar MEN nästan ingen gav tips om hur man skall kunna komma ihåg alla dessa utan att anteckna på lappar. Min tips för  att kunna komma ihåg lösenord är att tex använda sig av lösenord  funktionalitet hos de välsorterade antivirus programvara. Det finns även enskilda program för dessa ändamål men det måste vara säkert att programmet avsiktligt eller oavsiktligt inte läcker  information över nätet. Med tanke på att användarna har tillgång till flera olika datorer (företag PC, hemma PC, smarta telefoner, publika datorer, mm) en enhetlig lösning verkar vara svårt att hitta. Jag kan tänka mig att en mobiltelefon app skulle kunna vara en bra lösning, lösenordet skall vara krypterade och dessutom ingen lösenord skall kunna  laddas till någon server på nätet. Naturligtvis lappar är en gammal beprövad metod under förutsättningen att den förvaras på ett säkert sätt.

Apropå råd och tips om lösenordet

Flera hemsidor erbjöd tjänster att testa om det valda lösenordet kan hålla måttet för säkerhet. IDG använt sig av flera kända källor som Microsoft mm.
Generellt borde sådana tester ha större potential för säkerhetsrisker, det är av flera skäl

  • lösenordet kan plockas upp under en HTML-trafik

  • lösenordet kan sparas i tillfälliga minnesplatser (cash) eller i databaser för forskning eller andra icke seriösa ändamål.

  • Programmen som testar ett angiven lösenord utför oftast ett “mekaniskt test” av lösenordet utan någon större hänsyn till diverse aktualiteter, nyheter, populära fraser mm. T.ex. Post och Telestyrelsen, PTS erbjuder test av lösenord (https://www.testalosenord.pts.se/), naturligtvis uppmanas användaren att inte ange sitt riktiga  lösenord. Vad jag förstår är att användaren skall ange något  liknande sin egen lösenord och kanske användaren endast avslöjar hur lösenordet valts för programet.
    Jag testade P#t#sPTS som klassades som ett svagt lösenord. Däremot samma program bedömde ett annat lösenord som var byggd på föregående text och en etta lagt till i slutet dvs P#t#sPTS1, vilket klassades som ett STARKT lösenord (se bild 2 nedan).
    Jag kan tyvärr inte se att lösenordet ens är ett bra lösenord och användarna bör inte knna få en falsk säkerhet.
  • Under förra veckan fanns även en site som frågade är ditt lösenord med i bloggtoppen-dumpen? och då uppmanas man att ange både e-post adress och även lösenordet (se bild 2). Huruvida avsikten är att assistera eller kunna fiska mer information är det oklart. Jag skulle i varje fall aldrig tänka mig att lämna mitt e-post adress och lösenord till någon hemsida http://odmd.direktoratet.se/bloggtoppen/.
  • Det som har hänt och vad  som konsekvensen är för den drabbade individen är mycket svårt att spekulera om idag. Däremot är det dags att ta detta problematik på större allvar.

Journalisters e-post konto

jag fick den uppfattningen att flera journalisters e-post konto blev hackade pga att journalisten använde samma lösenord på flera konton. Det diskuterades lämpligheten att ha kontot på Googles e-post tjänst. Det framgick inte om det rörde sig om Googles gratis e-post tjänst eller betaltjänst avsedda för företag.

Allmänheten som diskuterar känsliga ämnen med journalister och vill förbli anonyma borde naturligtvis vara medvetna om att samtliga elektroniska kanaler kan “avlyssnas” och använda sig av andra lämpliga kanaler. Detta gäller såväl krypterade dokument som okrypterat.

Var och en av oss  ansvarar naturligtvis att känslig material inte riskerar att läcka ut från företag eller organisationen vi arbetar för. Det diskuterades att det finns risk att  även källskyddat material kan ha läckt ut pga att några journalister också använde samma lösenord på flera ställen. Jag har mycket svårt att förstå att “källskyddat” material , känslig och intern material skulle överhuvudtaget  lagras på någon dator ansluten till nätet. En analogi är att ha anteckningsblock om känslig information på obevakat bord på en café eller i en parkerad bil.

Googles gratis e-post tjänst hos journalisten

Som privat person bör man vara medveten om att all data hos flera gratistjänstföretag regelbundet och automatisk genomsöks. Tjänsteföretaget hittar konsumentprofil och därmed kan tex Google, MSN kunna erbjuda tjänster som användarprofilen pekar på som intressanta marknadsföringsområden. Man bör vara uppmärksam att  även andra gratistjänster har möjlighet  att på samma sätt lägga upp  “konsumentprofiler”. Det innebär att dessa tjänster bör undvikas då personlig integritet får en större prioritet än prislappen för tjänsten.

Säkerhetsexperten informerar hur man kan få tag på lösenordet

Svenska dagbladet tipsar om en säkerhetsexpert som med all välvillighet informerar hur det går till från att hitta hash-kodade filen och sedan hur kunna omvandla filen till klartext. Tipsen är att   tex använda sig av ”avkodningstjänster” på Internet. Detta innebär tyvärr ett betydligt större spridningseffekter. Dessa tjänster oftast samlar in ”data” för att kunna användas vid senare tillfällen antingen för forskning eller kommersiell syfte.  http://blogg.tkj.se/byta-losenord-bloggtoppen-hacket/

Lärde vi oss något?

Till sist men inte minst,

  • Till vanliga användare:
    Användarna bör se till att skapa bättre lösenord och hitta mest lämpliga metoder att komma ihåg lösenorden. En enkel jämförelse använd inte billig nyckel, använd inte samma nyckel till kassaskåpet, garagedörren, dörren till bostaden och till jobbet.
  • Till kollegor inom IT-säkerhet:
    även om användarna använde sig av mera komplex lösenord hos bloggtoppen.se då skulle lösenordet kunna hackas eftersom det är inte något större problem för avkodaren för att generera lösenord i klartext, kanske avkodningen hade tagit något längre tid. Huvudproblemet var att bloggtoppen.se hanterades inte på ett adekat sätt och drabbats tusentals konto, däremot att använda en och samma lösenord på flera servrar har drabbats enskilda användaren.

Jag är säker på att jag har förbisett flera vilktiga punkter. Vad tror du? Kommentera gärna här eller skicka in dina kommentarer via e-post om du så föredrar det.

PTS Seminarium kring införandet av IPv6

Den 16:e juni anordnade PTS (och .SE) en heldags seminarium om IPv6. En bra initiativ för att belysa vikten av att skyndsamt påbörja arbetet kring införandet av IPv6 i Sverige. Myndigheter och statliga förrvaltningar och andra inom publika sektorn var målgruppen för denna seminarium. Samtliga presentationer filmades och sändes över Internet och jag tror och hoppas att det kommer att finnas kvar under en längre tid för den intresserade, en värdefull informationskälla som start punkt (länken leder till filmen och presentationerna) . Bra initiativ, nödvändigt aktivitet för att medvetandegöra behovet att påbörja IPv6 analysen för sin organisation, förvaltning, företag NU. Faktum är att IPv6-införande projekt som allt annat projekt kräver uppmärksamhet, utbildning, resurser, men framförallt en god planering.

Nya seminarium kring IPv6 och med fokuserade budskap skulle definitivt kunna vara en katalysator och tankeställare för våra kollegor inom såväl publika organisationer som privata företag. Jag gjorde några observationer från presentationerna som kan vara av värde att diskutera

  1. ”..Fördelar med ett tidigt införande av IPv6..”
    Under flera år har vi försökt att lyfta upp IPv6 frågan och hävdade att det är i nödvändigt att starta planera arbetet innan det blir för sent. Rubriken ”…tidigt införande” är tyvärr missvisande och kan ge intrycket att nu dvs i elfte timmen det är fortfarande ”tidigt” och leda till att flera väntar ytterligare en.
  2. ”enkel”,” billigt”, ”det går fort”, ”sätt igång installera nu..”
    Införandet av IPv6 på en/ett par webbservrar i ett företag / organisation kanske är ”enkel , billig, går fort” för ett företag /organisation men generalisering vore ett stort misstag eftersom införandet av IPv6 kräver god förståelsen av tekniken, företagsledningen godkännande, god planering med förarbeten som inventering, teknisk och affärsanalys, riskanalys, rekommendationer, sanktionering hos beslutsfattare, finansiering av projektet att göra. Faktum är att idag flera organisationer eller företag saknar tillräcklig personal för att genomföra de vanligaste och sedan länge planerade aktiviteterna.
  3. “……IPv6 ger inga fördelar, det blir inte snabbare, inte säkrare, inga nya affärsmöjligheter, det måste införas…..”
    Dessa generaliseringar anser jag inte kunna gagna IPv6 införande i Sverige, det leder dessutom till att IPv6 medvetna kollegor får tyvärr ännu svårare att förse beslutfattare med de rätta argumenten som krävs för beslutsunderlagen. Jag undrar hur många VD / GD:ar eller andra beslutsfattare i Sverige skulle vilja besluta införandet av IPv6 basrad på dessa ”argument”? Tvärtom IPv6 fördelar nytta/vinster, stora som små, och framförallt de riktiga anledningar för min organisation/mitt företag bör belysas för beslutsfattarna. Viktigaste argumenten är vilka är fördelarna, nackdelarna, möjligheterna, hoten för just min organisation/mitt företag.
  4. ”…. Tvingande IPv6 införanden …..”
    Naturligtvis kan staten rekommendera hela IT-Sverige och inte minst publika sektorn att skyndsam påbörja införandet av IPv6 men om statliga, kommunala eller privata företag är inte övertygade om denna satsning, inte har tillräckligt med budget, resurser eller expertis att för att hantera frågan.Större satsningar kring medvetandegörandet, expertis råd kan vara till ännu större hjälp för organisationer och företag. Däremot kravet till leverantörerna IPv6-stöd kan vara av större intresse. I så fall skall kraven detaljeras så att både leverantören och kunderna känner till detaljerna. Dessutom kravlistan skall kunna uppdateras vid behov dvs. på samma sätt som görs hos de amerikanska myndigheterna sedan 2008.
  5. ”…IPv6 som skall krav…., kravlista från kommerskollegium”
    Utmärkt men, ta reda på vilka krav som skall ställas till leverantören. Vilka RFC:er skall produkten kunna hantera, vilka är skall kraven, vilka är bör kraven, när dessa är nödvändiga, mm. Det sades att man bör kunna använda IPv6 kunnande från kommerskollegium. Utmärkt att kommerskollegium hanterar krav listan (jag känner inte till vilka är de generella IPv6 skall krav från kommerskollegium eller överhuvudtaget en sådan kravlista existerar idag). Varje upphandling är mer eller mindre unik, lyckade investeringar kräver att både kraven och svaren från leverantörerna nagelförs på ett adekvat sätt. Så frågan är om en IPv6 krav lista för publika sektorn existerar vem skall kunna tolka svaren från leverantörer. Framförallt vem skall bedöma prioriteringsordningen för kraven baserade på fakta från den egna organisationens behov.
  6. ”…..IPv6 som skall krav, bör krav påverkar inte priset…..”
    Många är överens att ISP:er bör inte ta extra betalt för IPv6, vilket jag är helt överens om, naturligtvis även operatörer behöver kunna få tillbaka gjorda investeringar men jag anser dyrare anslutningar skulle kunna hämma IPv6 användningen. Däremot erfarna upphandlare vet att många ”bas funktioner” brukar vara inkluderade i priset medan andra nya och kanske nödvändiga funktioner kan medföra extra kostnader , notera att dual stack kan också innebära extra kostnader med avseende på hårdvara och mjukvara dvs extra engångskostnader, licenskostnader, driftkostnader, underhållskostnader, kostnader för bevakningssystem mm.
  7. ”…..köp inte IPv6 tjänster av företag som inte implementerat IPv6 på sin hemsida….”
    Att döma ut företagen utifrån huruvida företagets externa WEB stöder IPv6 eller inte är att göra lätt för sig. Det kan tex leda till att företag som CISCO, Microsoft, IBM, …. som saknar IPv6 stöd i sin externa WEBB-sidor hamnar i den ”svarta listan” medan dessa företag i flera år bekostat medarbetare som i åratal medverkat eller lett IPv6 standardiseringsarbetet. Denna syn leder endast till ytterligare hämmandet av IPv6 införandet. Mitt råd är bedöm utifrån kvalitén hos hårdvara, mjukvara eller tjänster.
  8. ”…de som kan IPv4, de lär sig IPv6, annars är det kört….”
    En lyckad övergång till IPv6 kräver goda kunskap om IPv4 och IPv6. Däremot Kollegor med ”endast” djupare kunskaper om IPv6 kan vara en stor och extra tillgång i införande projektet.
  9. mm

Jag tror att IPv6 skall hanteras med respekt som all annan nyteknik, varken övervärderas eller undervärderas. För vissa kan vara ”lätt, enkel” medan andra kanske uppfattar det som ”svårare och kompliserad”. Det viktiga är att ta reda på konsekvensenerna och agera utifrån denna analys. Det är en lång väg att gå, det är utmärkt att initierat IPv6 i externa hemsidan men det räcker tyvärr inte som att infört IPv6 i organisationen/företaget. Det finns många aktiviteter att göra vilken är naturligtvis beroende på verksamheten, målet och tillgång till resurser.

Slutligen vill jag tacka PTS för inbjudan till detta seminarium. Jag hoppas att PTS (och andra berörda organisationer) anordnar nya liknande temadagar med mera fokuserade och riktade budskap till de intresserade organisationer /företag.

Mohammad Mahloujian

PS. Jag kommer inom kort i mitt nästa inlägg berätta om hur i enklare steg man bör gå till väga för att på ett strukturerade sätt intiera IPv6 arbetet. DS.