Søg
Bliv kunde

Store huller i sikkerhed omkring ny digital signatur
Foto: Scanpix
IT  
IT-eksperter advarer nu om alvorlige huller i sikkerheden for de tre millioner danskere, der inden årets udgang forventes at bruge det offentliges og bankernes nye digitale signatur, NemID, skriver dagbladet Børsen.

120.000 mennesker bruger systemet i dag, og 4500 nye brugere kommer til hver dag. Sikkerhedsbristen gør det ifølge eksperterne muligt for virksomheder og myndigheder, der er koblet til systemet, at snage i den enkelte NemID-brugers personlige forhold.

I den bagvedliggende teknologi er der nemlig et alvorligt sikkerhedshul i systemet. Årsagen er, at én af de underliggende teknologier bag den tekniske opbygning af NemID ikke blot giver mulighed for at identificere den enkelte bruger, men også gør det muligt for myndigheder, banker og andre virksomheder, der bliver koblet på systemet, så at sige at gå baglæns i transmissionen og dermed aflure brugeren.

"Når en bruger kobler sig op til en offentlig myndighed, sin bank, forsikringsselskab eller en anden virksomhed, der er tilsluttet NemID-systemet, har ikke blot den pågældende myndighed eller virksomhed adgang baglæns i systemet til brugerens computer, men det samme har alle de øvrige myndigheder, banker og andre virksomheder, der er koblet til systemet," siger ph.d. i datalogi Niels El-gaard Larsen, der ved siden af sit job hos IT-virksomheden Magenta er formand for IT-politisk Forening.

Kritikken bakkes op af cand. scient. pol. Mikael Hertig, som er indehaver af rådgivningsvirksomheden Nensome. Han siger, at NemID er udformet, så alle de tilsluttede myndigheder og virksomheder får fuld adgang til alle oplysninger om brugerne.

Niels Elgaard forklarer, at der som udgangspunkt ikke er tale om en fejl i den såkaldte java-applet, som er nødvendig at acceptere for overhovedet at kunne bruge NemID. Men forbindelsen står åben begge veje, når brugeren accepterer den automatiske installation på computeren, uanset om det er Nem-ID, den enkelte bank eller en helt tredje type virksomhed, der benytter den.

"Det betyder først og fremmest, at brugeren har adgang til de funktioner, den enkelte applet giver adgang til, men også, at udstederen og dem, der er koblet sammen med udstederen, kan kigge baglæns i systemet," siger Niels Elgaard og forklarer, at en bank vil kunne følge med i, hvilke konti og engagementer en kunde evt. måtte have med andre banker, ligesom banken vil kunne følge med i, hvilket udestående en kunde måtte have med det offentlige, eller en offentlig myndighed kan følge med i en borgers bankforhold.

På Christiansborg er hullet i NemID-systemet overraskende nyt for de IT-ordførere, Børsen har talt med, mens leverandøren, PBS-datterselskabet DanID, blandt afviser, at der skulle være sikkerhedsbrister.

Læs hele artiklen i Den Elektroniske Avis

Hvad mener du - deltag i debatten

Børsen vil rigtig gerne vide, hvad du mener om denne historie. Bidrag gerne med holdninger, gode ideer og konstruktive indspark. Vi ønsker en god og saglig debat. Du kan læse om vores debatregler her.

Med venlig hilsen
Thomas Bernt Henriksen, debatredaktør