Gögn

Lykilorð í Vodafone lekanum

Hluti af "signup" töflunni í Vodafone lekanum

Hluti af “signup” töflunni í Vodafone lekanum

Þann 30. nóvember 2013 láku gögn af netþjóni Vodafone á netið. Stærstur hluti lekans voru sms-skilaboð sem notendur höfðu sent í gegnum vef fyrirtækisins. Einnig var þar að finna gagnagrunnstöflur með símanúmerum, kennitölum, netföngum og lykilorðum notenda (svo fátt eitt sé nefnt). Lekinn hafði víðtæk áhrif, netöryggissveit Póst- og fjarskiptastofnunar skrifaði skýrslu um málið og nokkrir notendur fengu skaðabætur eftir dómsmál.

Forritarar Vodafone kusu að dulrita öll lykilorð í gagnagrunninum, yfirleitt í dálki nefndum ‘encpasswd’. Alls voru 104.754 lykilorð dulrituð þannig. Af þeim voru 30.140, eða um 29%, einnig ódulrituð í dálki nefndum ‘password’. Það eru þessi lykilorð sem við ætlum að líta aðeins á.

Mismunandi var hvort lykilorðin voru pöruð við netföng. Sumar töflur voru þannig að notendanafn var kennitala eða símanúmer. Það sem hér fer á eftir á við þau lykilorð sem ekki voru dulkóðuð og höfðu viðhengt netfang. Einnig fjarlægðum við tvítekningar. Eftir standa 26.654 lykilorð og netföng.

Byrjum á smá tölfræði.

Ekki er mikið um tvítekningar lykilorða. Hér eru efstu 20:

user@computer:$ cat top_20.txt
123456 = 21 (0.08%)
vodafone = 6 (0.02%)
pjakkur1 = 6 (0.02%)
abc123 = 6 (0.02%)
mamma123 = 6 (0.02%)
asdf1234 = 5 (0.02%)
skuggi = 5 (0.02%)
fokker50 = 5 (0.02%)
mamma1 = 5 (0.02%)
sumar123 = 5 (0.02%)
hekla1 = 5 (0.02%)
1234 = 5 (0.02%)
pjakkur = 5 (0.02%)
alexander1 = 5 (0.02%)
jonas123 = 5 (0.02%)
gaman123 = 5 (0.02%)
perla1 = 4 (0.02%)
voda123 = 4 (0.02%)
sandra = 4 (0.02%)

Ef við skoðum topp 20 þegar búið er að taka tákn og tölur af báðum endum:

user@computer:$ cat top_20_base.txt
mamma = 57 (0.21%)
siggi = 54 (0.2%)
anna = 51 (0.19%)
vodafone = 50 (0.19%)
sumar = 44 (0.17%)
gunnar = 42 (0.16%)
inga = 41 (0.15%)
helga = 37 (0.14%)
hundur = 36 (0.14%)
disa = 36 (0.14%)
nonni = 35 (0.13%)
simi = 33 (0.12%)
hildur = 31 (0.12%)
voda = 31 (0.12%)
sigrun = 31 (0.12%)
gummi = 31 (0.12%)
liverpool = 30 (0.11%)
sigga = 29 (0.11%)
ingi = 28 (0.11%)
vetur = 28 (0.11%)

Dreifing lengdar:

user@computer:$ cat top_length-lenght.txt
1 = 1 (0.0%)
2 = 3 (0.01%)
3 = 10 (0.04%)
4 = 41 (0.15%)
5 = 45 (0.17%)
6 = 3841 (14.41%)
7 = 3691 (13.85%)
8 = 8086 (30.34%)
9 = 4558 (17.1%)
10 = 3081 (11.56%)
11 = 1557 (5.84%)
12 = 927 (3.48%)
13 = 390 (1.46%)
14 = 203 (0.76%)
15 = 103 (0.39%)
16 = 61 (0.23%)
17 = 22 (0.08%)
18 = 11 (0.04%)
19 = 3 (0.01%)
20 = 10 (0.04%)
21 = 4 (0.02%)
23 = 4 (0.02%)
24 = 1 (0.0%)
32 = 1 (0.0%)

Og lengd röðuð eftir fjölda:

user@computer:$ cat top_20_length-count.txt
8 = 8086 (30.34%)
9 = 4558 (17.1%)
6 = 3841 (14.41%)
7 = 3691 (13.85%)
10 = 3081 (11.56%)
11 = 1557 (5.84%)
12 = 927 (3.48%)
13 = 390 (1.46%)
14 = 203 (0.76%)
15 = 103 (0.39%)
16 = 61 (0.23%)
5 = 45 (0.17%)
4 = 41 (0.15%)
17 = 22 (0.08%)
18 = 11 (0.04%)
20 = 10 (0.04%)
3 = 10 (0.04%)
23 = 4 (0.02%)
21 = 4 (0.02%)
2 = 3 (0.01%)
19 = 3 (0.01%)
32 = 1 (0.0%)
1 = 1 (0.0%)
24 = 1 (0.0%)

One to six characters = 3941 (14.79%)
One to eight characters = 15718 (58.97'%)
More than eight characters = 10936 (41.03%)

Samsetning lykilorðanna:

user@computer:$ cat characters.txt
Character sets
loweralphanum: 20084 (75.35%)
mixedalphanum: 3774 (14.16%)
loweralpha: 1498 (5.62%)
numeric: 529 (1.98%)
loweralphaspecialnum: 312 (1.17%)
mixedalphaspecialnum: 226 (0.85%)
mixedalpha: 110 (0.41%)
upperalphanum: 66 (0.25%)
loweralphaspecial: 26 (0.1%)
upperalpha: 15 (0.06%)
mixedalphaspecial: 9 (0.03%)
specialnum: 2 (0.01%)
upperalphaspecial: 1 (0.0%)

Character set ordering
stringdigit: 18207 (68.31%)
stringdigitstring: 2808 (10.54%)
allstring: 1623 (6.09%)
othermask: 1536 (5.76%)
digitstring: 1299 (4.87%)
alldigit: 529 (1.98%)
digitstringdigit: 349 (1.31%)
stringspecialdigit: 268 (1.01%)
stringspecialstring: 28 (0.11%)
stringspecial: 6 (0.02%)
specialstringspecial: 1 (0.0%)

Ok. Hvað vitum við nú?

  • Það er lítið um tvítekningar. Það er: fáir notendur eru að nota sama lykilorðið.
  • Eitthvað er um að notendur noti sömu orðin til að útbúa lykilorð (með viðbótum).
  • Flest lykilorð eru 6-10 stafir að lengd
  • Langflest lykilorð (75%) eru lágstafir+tölustafir
  • Mikill meirihluti (68%) eru strengur+tala/tölur

Skoðum núna hvort einhverjir notendur notuðu hluta af netföngum sínum sem lykilorð:

user@computer:$ cat emails.txt
Exact Matches
-------------
Whole Email Address
No Exact Matches

Just Name
Total: 175

Semsagt: 175 notendur voru með sama lykilorð og fyrri hluti netfangs. Dæmi (tilbúið):

Netfang: helgibest@tolvupostur.is
Lykilorð: helgibest

Ef við notumst við Levenshtein algrímið til að sjá hvort notendur eru að gera (smávægilegar) breytingar á fyrri hluta netfangs og nota það sem lykilorð:

user@computer:$ cat emails-levenshtein_3.txt
Levenshtein Results (max 3)
-------------------
Average distance (email) 16.59
Average distance (name) 8.47

Close Matches
-------------
Whole Email Address
Total: 1

Just Name
Total: 902

902 lykilorð eru þremur breytingum eða færra frá fyrri hluta netfangs notandans. Dæmi (tilbúið)

Netfang: helgibest@tolvupostur.is
Lykilorð: helgi6best

Eins og áður sagði voru öll lykilorð hjá Vodafone geymd dulkóðuð (þó stór hluti þeirra hafi einnig verið geymd ódulkóðuð). Dulkóðunin sem Vodafone valdi er bcrypt með 8 lotum. Ímyndum okkur nú að einhver hafi komist yfir gagnagrunninn og ekkert lykilorð hafi verið ódulkóðað, heldur einungis dulkóðaða útgáfan. Hverjir væru möguleikar hins illa hakkara til að komast í lykilorðin?

Hún gæti prófað allar samsetningar allra stafa, en það tæki óratíma. Til að stytta sér leið væri hægt að notast við orðalista. Einn sá helsti sem auðveldlega er hægt að nálgast er listi með lykilorðum frá bandaríska fyrirtækinu rockyou.

Skoðum hversu mörg lykilorð í rockyou listanum eru í listanum okkar:

user@computer:$ cat rockyou.txt | wc -l
4225

Lykilorð 4224 reikninga í Vodafone lekanum eru stafrétt eins og í rockyou lekanum. Það eru 16% af þeim sem við erum að vinna með.

Eitt helsta tól til að brjóta dulkóðuð lykilorð á þennan hátt (brute-force) er hashcat. Ef við keyrum hashcat á þau lykilorð sem eftir eru og bætum við einum tölustaf aftast í öll lykilorðin í rockyou listanum:

user@computer:$ cat rockyou?d.txt | wc -l
1467

Example:

grettir3:grettir3
gormur13:gormur13

Hér erum við semsagt búin að prófa öll lykilorðin í rockyou listanum og bæta við einni tölu aftast við hvert. Dæmi:

lykilorð: siggi1
prófað: siggi10, siggi11, siggi12, siggi13, siggi14, siggi15, siggi16, siggi17, siggi18, siggi19

En afhverju einn tölustafur? Jú við vitum að 68% lykilorða er strengur + tala/tölustafur.

Prófum að bæta við einni tölu enn (sú aðgerð er mun tímafrekari, en samt sem áður vel framkvæmanleg):

user@computer:$ cat rockyou?d?d.txt | wc -l
2855

Example:

G-striker79:G-striker79
Freyja28:Freyja28

Og þeirri þriðju:

user@computer:$ cat rockyou?d?d?d.txt | wc -l
920

Example:

Element2006:Element2006
Centrino123:Centrino123

Hér erum við semsagt komin með lykilorð 9467 reikninga, eða 36%.

Ímyndum okkur nú að hakkarinn okkar sé nokkuð kunnugur íslensku samfélagi og viti að grunnurinn sem hún er með í höndunum sé frá íslensku fyrirtæki. Mætti kannski hugsa sér að prófa sérsniðinn orðalista?

Notum orðalista Beygingarlýsingar íslensks nútímamáls (BÍN), en síum út orð með íslenskum sértáknum. Það gera um 730.000 orð:

user@computer:$ cat bin.txt | wc -l
106

Example:

stundum:stundum
surtur:surtur

Prófum að bæta við einum tölustaf:

user@computer:$ cat bin?d.txt | wc -l
223

Example:

brussa1:brussa1
Dadda1:Dadda1

Tveimur bætt við:

user@computer:$ cat bin?d?d.txt | wc -l
644

Example:

skepna79:skepna79
skemmtileg64:skemmtileg64

Þrír:

user@computer:$ cat bin?d?d?d.txt | wc -l
171

Example:

folda234:folda234
austur104:austur104

Hér bættust við 500 reikningar.

Prófum einn orðalista enn: Öll samþykkt mannanöfn, fengið héðan.

user@computer:$ cat mannanofn.txt | wc -l
1

Example:

hersir:hersir

Ekki gaf það mikið. Bætum við einum tölustaf:

user@computer:$ cat mannanofn?d.txt | wc -l
35

Example:

Sigurjon2:Sigurjon2
Kristall3:Kristall3

Tveir:

user@computer:$ cat mannanofn?d?d.txt | wc -l
87

Example:

Frosti06:Frosti06
Hafrun28:Hafrun28

Látum staðar numið hér. Með tiltölulega litlum tilkostnaði höfum við fundið lykilorð 10.774 reikninga, eða 40%.

Athugaðu að þegar við segjum “með litlum tilkostnaði”, þá er það ekki allskostar rétt. Það veltur allt á því hverskonar dulkóðun verið er að reyna að brjóta. Í tilfelli Vodafone var sjálf dulkóðunin nokkuð sterk, fyrir utan náttúrulega það ótrúlega verklag að geyma lykilorð ódulkóðuð. Það sem hinsvegar minnkar kostnaðinn er hvernig notendur samsetja lykilorðin sín. Það er mjög fyrirsjáanlegt, eins og við höfum sýnt fram á.

Nú höfum við ekkert til að bera saman við þennan lykilorðalista sem var í Vodafone lekanum, en það hefur sýnt sig erlendis að notendur nota sömu lykilorð á mismunandi stöðum (eins og við reyndar sýndum fram á með samanburðinum við rockyou listann). Það má því leiða líkur að því að í öðrum kerfum, velji íslenskir netnotendur sér lykilorð sem eru af svipuðum (eða jafnvel bara nákvæmlega eins) toga.

En hvað er þá til ráða? Hvernig á að velja lykilorð?

1. Besta lykilorðið er lykilorð sem þú kannt ekki.
Notaðu forrit til að halda utanum lykilorðin þín, og láttu það forrit útbúa þau sjálfkrafa. Hér eru nokkur góð: 1Password, LastPass, KeePass.

2. Ekki nota sama lykilorðið neinstaðar. Ég endurtek: ekki nota sama lykilorðið neinstaðar.
Ef hakkari finnur lykilorðið þitt á einni vefsíðu, og þú hefur notað það víðar, þá ertu búinn að tapa. Þá er allt búið.

3. Ef þú af einhverjum furðulegum ástæðum getur ekki notað eitt af þeim forritum hér að ofan til að halda utanum lykilorð, reyndu þá að útbúa lykilorðin þín þannig að þau séu ekki í líkingu við þau sem meirihluti notenda Vodafone útbjó. Landsbankinn birti nýlega ágætis grein um hvernig gott er að velja lykilorð.

Dæmi:
Skref 1: Búum til lykilorðasetningu:
Hví í ósköpunum þarf ég að muna svona mörg lykilorð?

Skref 2: Fjarlægjum orðabilin:
Hvííósköpunumþarfégaðmunasvonamörglykilorð?

Skref 3: Veljum stuttan bút úr setningunni:
íósköpun

Skref 4: Bætum tölustöfum og a.m.k. einum hástaf einhversstaðar inn:
íósKöpun73 (10 stafir með blöndu af bók- og tölustöfum, há- og lágstöfum).

Við þetta má bæta að ef þessi aðferð er notuð er gott að venja sig á að velja ekki bút úr setningunni sem hefst á orði. Dæmi um það væri t.d.:

unas3voNamö

Sá sem þetta ritar er með 826 lykilorð vistuð í því forriti sem heldur utanum lykilorð. Mögulega er það í hærri kantinum, en það er ljóst að meðal notandi þarf að halda utanum tugi lykilorða. Það er erfitt að muna flókin lykilorð, jafnvel þó hjálparsetningar séu notaðar. Lang, lang best er að nota forrit til að hjálpa sér við það.

“Truth is a human right” – ljost.is

Sunnudaginn 29. desember síðastliðinn, um kl 15, birti vefsíðan ljost.is gagnapakka með skjölum frá Glitni. Ljost.is er rekin af The Associated Whistleblowing Press sem er svona lýst á heimasíðu þeirra, www.awp.is:

The Associated Whistleblowing Press (AWP) is a nonprofit organization dedicated to the defense of the human rights by promoting transparency, freedom of information, freedom of speech, whistle-blowing and investigative journalism on a local and international level.

AWP virðist ætla að reka staðbundnar lekasíður í ýmsum löndum, og er sú íslenska þeirra fyrsta og byggir á GlobaLeaks verkefninu.

Gagnapakkinn sem birtur var samanstendur af 4 .zip skrám (Shareholders.zip, Loans.zip, Bok1000.zip og BjarniArmanssonExpensesPaid.zip) sem hver inniheldur .pdf skjöl með gögnum og svo skjali nefnt description.pdf. Þau skjöl innihalda stutta lýsingu frá útgefanda (ljost.is) á efni skjalanna.  Það sem vakti einna helst athygli í gær voru annarsvegar skjöl sem virðast sýna að Glitnir hafi greitt húsaleigu fyrir Bjarna Ármannsson í Osló, eftir að hann lét af störfum, og að aðstandendur ljost.is héldu því fram að Bjarni Benediktsson, núverandi fjármálaráðhérra hafi skuldað Glitni rúmlega 5 milljarða íslenskra króna. Það var svo orðað á síðunni:

Glitnir 2007-2008 loans list, featuring very low risk loans to enterprises owned by staff and a 5bi ISK loan to the current Icelandic minister of finance.

Í skjalinu description.pdf með þessu meinta lánalista segir svo:

This is a 2007 list of Glitnir loan grants, both in general but as well specified by employees. Employees had also companies, which turned out to be a strategy since when the shares became worthless and these assets were wiped out the loans still stood. When economic collapse arrived, companies which acquired loans went bankrupt and there were no more debt, whereas those who had personal loans were then hit by huge debt. Glitnir allowed their employees to put loans into companies. Values are in ISK thousands. Line nr 11 refers to Bjarni Benediktsson, the present minister of finance, 5bi ISK loan, although quotes from the SIC report point he owed ISK174m.

Jónas Kristjánsson stökk á þetta og birti færslu þar sem fullyrt var að Bjarni Ben hefði fengið 6 milljarða lán frá bankanum. Jónas virðist reyndar hafa skoðað gögnin, því hann tiltekur nákvæma tölu (5,967,126 ) sem fengin er úr skjalinu. Í kjölfarið birti DV svo frétt á vef sínum undir fyrirsögninni “Sex milljarða króna lán til Bjarna Ben“.

Ef gögnin eru hinsvegar skoðuð er ljóst að ekki er um að ræða upphæðir í íslenskum krónum heldur lista yfir handveðsett hlutabréf í bankanum (eða eins og segir í haus dálksins “Hand mortgages factors Objects”) á genginu 26.60. Það gerir skuld Bjarna um 159 milljónir á þeim tíma sem listinn er tekinn saman, sem er ekki svo fjarri þeirri tölu sem birt er í skýrslu Rannsóknarnefndar Alþingis og ljost.is vísar í í kynningu.

Síðar um daginn, eftir að ýmsir bentu á að lesskilningur ljost.is væri rangur, leiðrétti Jónas færsluna (með nýrri færslu: “Lekinn var villandi) og DV tók fréttina af forsíðu sinni og birti aðra (með undirfyrisögninni “Misskilningur varðandi meint lán Glitnis til Bjarna Ben”).

Ljost.is sendi svo frá sér fréttatilkynningu í morgun og breytti texta á síðunni um hluthafalistann í:

Glitnir 2007-2008 stockholders in objects. Featuring the current minister of finance as a major holder in 13th position.

Vandræðalegt? Frekar.

Lekasíður og samtök sem gera almenningi kleyft að koma nafnlausum upplýsingum á framfæri geta verið mikilvægar. Með nokkurri einföldun má segja að þegar komi að lekum séu tvennskonar hugmyndir uppi. Annarsvegar að allt eigi að birta, óritskoðað (WikiLeaks starfa að miklu leyti eftir þeirri hugmyndafræði) og hinsvegar að leka eigi að birta eftir einhverskonar staðfestingarferli (ekki ósvipað því sem fjölmiðlar hafa unnið eftir, eins og að upplýsingar verði að vera staðfest af tveimur heimildarmönnum).

Ljost.is virðist starfa eftir síðarnefndu hugmyndafræðinni. Á síðunni segir:

First of all staff members will perform a thorough cross-check to verify if the files correspond to true information. This will be done to the furthest extent possible, analyzing factors such possible motives for forgery, cost or difficulty of forgery. Should the case demand it, second opinions will be sought for.

Jafnframt segir:

Sometimes, files sent by whistle-blowers can be a threat to their own anonymity. In these cases, where content or meta-content can lead to the disclosure of a source’s identity, it is necessary to redact the information for safety reasons. This also applies to third parties who can have their privacy violated or are in situations when they might be endangered due to the nature of the information.

Þetta er mikilvægur punktur. Skjöl er hægt að rekja, t.d. ef efni þeirra inniheldur persónugreinanlegar upplýsingar eða ef ráða má uppruna þeirra af samhengi. Það er því pínlegt að nokkur þeirra pdf skjala sem ljost.is dreifði í gær innihalda “metadata” sem virðist vera persónugreinanlegt. Þannig er höfundur skjalsins sem rætt er um hér að ofan (Loans.pdf) tilgreindur sem “jonthh”.

Screenshot 2013-12-30 11.17.53

Annars virðist ljost.is og awp.is vera umhugað um nafnleysi þeirra sem vilja senda til þeirra upplýsingar. Kerfið sem notast er við til að senda skjöl fer í gegnum Tor, sem tryggir að sumu leyti nafnleysi. Að vísu virðist kerfið ekki vera álínis eins og er, en það stendur væntanlega til bóta. Einnig hvetja aðstandendur síðunnar uppljóstrara til að dulrita póst sem sendur er til síðunnar. Það er þó ómögulegt eins og er, þar sem tengill á public PGP lykil síðunnar er óvirkur (sjá hér þar sem slóðin á lykilinn er gefin upp sem þessi).

Það er grundvallaratriði að vel sé staðið að lekum sem þessum. Trúverðugleika er erfitt að vinna aftur, ef efasemdir um hæfni vakna. Ljost.is (og þeir fjölmiðlar sem hlupu á eftir þeim) féllu á því prófi. Það eyðileggur fyrir þeim, sem og öðrum sem vilja gera almenning kleyft að koma gögnum til birtingar nafnlaust. Það er ömurlegt.

 

Notendur einkamal.is

Í dag birtist í nettímaritinu Kjarnanum stutt umfjöllun um rannsókn sem við höfum unnið að undanfarið. Við söfnuðum upplýsingum um rétt rúmlega 12.000 notendanöfn stefnumótasíðunnar einkamal.is. Eins og eðlilegt er þá gefa notendur stefnumótasíðna upp ýmsar upplýsingar um sig. Þegar búið er að safna þeim saman á einn stað – og setja upp eins og skráning hvers notenda sé svar við könnun – kemur ýmislegt merkilegt í ljós.

En fyrst: Hérna geturðu nálgast hrágögn og hérna geturðu skoðað gögnin á frábærum vef DataMarket.

Áfram með stuðið!

Gögnunum var safnað með því að notast við leitarvél einkamal.is. Samkvæmt vefnum eru nú 30.936 skráð notendanöfn, en víðasta leit í hvert sinn skilar aðeins um 10.000 notendanöfnum. Daglega var safnað nýjum nöfnum og því er þýðið okkar 12.003 notendanöfn. Töluverðar daglegar nýskráningar virðast vera; þannig voru skráð 55 ný notendanöfn laugardaginn 13. október.

Hver notandi verður að gefa upp kyn (og hefur úr að velja „Karlmaður“ eða „Kvenmaður“ – hér er góð grein um ástæður þess að tvíhyggja í skráningu á kyni er ekki sérlega sniðug). Svona er kynjaskiptingin:

Hér má sjá að karlar eru í töluverðum meirihhluta.

Auk þess að skrá kyn verður hver skráning að innihalda aldur og staðsetningu. Hér má sjá aldursskiptingu kynjanna:

Tvennt vekur athygli hér: Hátt hlutfall 33 ára karla og sömuleiðis hátt hlutfall 19 ára kvenna. Hlutfall 33 ára karla má skýra með því að við nýskráningu er sjálfgefið val: Gagnkynhneigður karl á höfuðborgarsvæðinu, fæddur 1980. Hér er því um augljósan galla í hönnun vefsins að ræða. Enda kemur það vel fram þegar lýsing þessara notenda á sjálfum sér er lesin að nokkur hluti þeirra er alls ekki karlkyns og alls ekki 33 ára. Erfiðara er að segja til um hvers vegna 19 ára konur eru áberandi. Your guess is as good as mine.

Ef við skoðum aldursbil þá sést vel að meirihluti notendanafna eru skráð á aldrinum 20–34 ára.

Þriðja áskilda breytan er búseta:

Yfirgnæfandi meirihluti á höfuðborgarsvæðinu. Einungis 67 notendanöfn segjast búa á Vestfjörðum.

Auk þess að skrá þessar skylduupplýsingar þá getur notandi skráð svör við spurningunni „Hef áhuga á“. Þar eru þessir valmöguleikar: Stefnumót, vinátta/spjall, skyndikynni, BDSM, pör.  Svona er kynjaskipting þeirra sem merktu við þá flokka:

Hjá körlum eru tæplega 27% sem vilja skyndikynni – á móti 12% kvenna. Tæplega 45% kvenna vilja vináttu/spjall á móti tæplega 33% karla.

Auk þessara breyta geta skráðir notendur sett inn upplýsingar um sig, svo sem hæð, þyngd, augnlit, hárlit og hvort notandinn sækist eftir kynnum við karl eða konu.

Allt þetta má skoða hérna. Góða skemmtun!

Ársskýrslur Útlendingastofnunar

Tölfræði ársins 2009 á vef Útlendingastofnunar

Tölfræði ársins 2009 á vef Útlendingastofnunar

Í 7. grein reglugerðar um um framkvæmd fjárlaga og ábyrgð á fjárreiðum ríkisstofnana í A-hluta segir:

Í samræmi við áherslur og markmiðssetningu um árangursstjórnun, bera forstöðumenn ábyrgð á gerð langtímaáætlunar stofnunar, ársáætlunar og ársskýrslu. Langtímaáætlunin skal endurspegla stefnumörkun og megináherslur starfseminnar. Ráðuneyti ber skylda til að taka afstöðu til langtímaáætlunar stofnana. Ársáætlunin skal rúmast innan fjárheimilda auk þess að tilgreina einstök markmið og mælikvarða á árangur í starfi stofnunar.Í ársskýrslu skal koma fram samanburður á útgjöldum og fjárheimildum, auk talnalegs samanburðar á markmiðum ársins og útkomu.

Útlendingastofnun er ríkisstofnun sem fellur undir þessa reglugerð, enda í A-hluta fjárlaga. Í seinustu fjárlögum var stofnuninni úthlutað 175 milljónum í almennan rekstur. Á heimasíðu stofnunarinnar má lesa þær ársskýrslur sem gefnar hafa verið út. Þær eru fáanlegar fyrir árin 2001-2004 og 2008-2010. Engin skýrsla er semsagt til fyrir árin 2005, 2006, 2007, 2011 og 2012.

Þann 1. júlí síðastliðinn sendi ég stofnuninni eftirfarandi bréf:

Heil og sæl.
Hvað líður útgáfu ársskýrslu Útlendingastofnunar?
Kveðjur,
Páll Hilmarsson

Degi síðar barst mér þetta svar:

Sæll Páll

Ársskýrslan okkar er enn í vinnslu en vinnan hefur því miður gengið hægt sökum mikils verkefnaálags hjá stofnuninni í ár. Ég geri ekki ráð fyrir að hún komi út fyrr en með haustinu þar sem nú eru sumarfrí í fullum gangi. Ársskýrslan verður hins vegar birt á heimasíðunni okkar um leið og hún er tilbúin.

kv.
Þorsteinn Gunnarsson Lögfræðingur / Lawyer Sviðsstjóri leyfasviðs / Head of department

Það má því búast við því að stofnunin gefi bráðlega út ársskýrslu seinasta árs þar sem sumarfríum er væntanlega að mestu lokið. Vonandi mun þá einnig gefast tími hjá stofnuninni til að ljúka (eða hefja) vinnu við ársskýrslu ársins 2011.

Í inngangi skýrslunnar fyrir árið 2004 segir Hildur Dungal, þá settur forstjóri stofnunarinnar:

Miklu skiptir að umræða í samfélaginu einkennist af þekkingu á viðfangsefninu og virðingu fyrir þeim einstaklingum sem því tengjast. Meðvitað, gagnrýnið og vel upplýst samfélag er líkegra til að þróast til jákvæðra verka og taka framförum sem eru öllum íbúum til hagsbóta.

Ég hvet fólk eindregið til að kynna sér efni skýrslunnar en þar er ýmsan fróðleik að finna ásamt áhugaverðum viðtölum við valda einstaklinga.

Þetta er vel mælt. Útlendingastofnun er umdeild stofnun, ákvarðanir hennar eru ítrekað til umræðu í samfélaginu. Stofnunin hefur afar lítið traust meðal almennings samkvæmt könnunum. Þessvegna er mikilvægt að gögn og upplýsingar um stofnunina, rekstur hennar og starfsemi liggi fyrir.

Skýrslur áranna 2008, 2009 og 2010 virðast hafa verið unnar á haustmánuðum 2011 og vormánuðum 2012. Þannig er ávarp forstjóra í skýrslu ársins 2008 dagsett 1. október 2011, í skýrslu ársins 2009 17. janúar 2012 og 2010 skýrslunni 20. febrúar 2012. Þetta er fjögurra ára dráttur á ritun og birtingu skýrslunnar fyrir árið 2008. Er þetta ásættanlegt?

Kristín Völundardóttir, núverandi forstjóri stofnunarinnar, ritar skýrslur áranna 2008-2010. Í skýrslu ársins 2008 segir í inngangi:

Engar ársskýrslur hafa verið gerðar hja´Útlendingastofnun frá árinu 2005. Undirrituð ákvað að byrja á ársskýrslu ársins 2008 og klára einnig ársskýrslu vegna 2009 og 2010. Þegar tími gefst til verður farið í að gera stuttar ársskýrslur vegna áranna 2005-2007. Ætla verður að skortur á gerð ársskýrslna vegna áranna 2005-2007 hafi stafað af manneklu og þá verður að benda á að frá árinu 2008 til 1. júní 2010 var stofnuninni stýrt af settum forstjórum sem hver og einn var settur í stuttan tíma í hvert sinn. Vegna anna hjá þeim voru ársskýrslur ekki kláraðar og því skortir á að skýrslur fyrir árið 2010 hafi t.a.m. ávarp forstjóra eða ítarlega umfjöllum um innlent og erlent samstarf. Stofnunin hefur þó ávallt unnið tölfræði fyrir hvert ár sem hægt hefur verið að nálgast rafrænt.

Útskýringar Kristínar á drætti útgáfu skýrslnanna eru ótrúverðugar. Á árinu 2008 störfuðu 28 manns hjá stofnuninni. Þeim fækkaði í 25 á árinu 2009 og 23 árið 2010. Ríkisstofnun sem hefur tæplega 30 manns í vinnu og ræður ekki við að skrifa ársskýrslur vegna tíðra forstjóraskipta, er illa skipulögð og illa rekin stofnun.

Tilvísun forstjórans til tölfræði sem aðgengileg er rafræn, vísar væntanlega til undirsíðu á vef stofnunarinnar. Þar má finna eftirtalin gögn:

Útgefin dvalarleyfi 1990-2009

Mótteknar umsóknir um dvalarleyfi 2006-2009

Frávísanir 2004-2009

Hér er fjögurra ára gömul tölfræði aðgengileg í pdf-skjölum. Það er ekki ásættanlegt.

Á vef stofnunarinnar er að vísu ein undirsíða sem virðist eiga að birta tölfræði. Hún ber titilinn „Tölfræði 2009“. Efni hennar er þetta:

bla

Að lokum er vert að benda á að þær skýrslur sem stofnunin hefur þó lagt í að skrifa og birta eru gefnar út á pdf-sniði, sem gerir alla úrvinnslu tölfræðilegra upplýsinga afar erfiða.

Það er eitthvað ekki í lagi hjá Útlendingastofnun.

 

Kosningaspá gogn.in fyrir alþingiskosningar 27. apríl, 2013

spa

 

Hér má sjá þá spá sem gogn.in setur fram með hliðsjón af þeim könnunum sem gerðar hafa verið á fylgi flokkanna í aðdraganda kosninga.

Svona lítur hún út:

Framboð Spá um fylgi Efri mörk Neðri mörk
Sjálfstæðisflokkur 26.9% 28.0% 25.8%
Framsóknarflokkurinn 23.1% 24.5% 21.7%
Björt framtíð 6.9% 7.9% 5.9%
Píratar 6.2% 6.7% 5.7%
Samfylking 14.3% 15.1% 13.5%
Vinstri græn 11.2% 11.8% 10.6%