NemID-leverandøren DanID har efter at have set Ingeniørens videodemonstration og efter at have været i dialog med blandt andet banksektoren og Digitaliseringsstyrelsen valg at afgive et skriftligt svar. Svaret vedrører dels indholdet af videoen og dels kritik fra de to eksperter, som Ingeniøren har talt med.
DanID har ønsket, at svaret bringes i sin fulde længde, hvilket vi har valgt at efterkomme.
Det kan lade sig gøre
Svaret, der har kommunikationschef i DanID Jette Knudsen som afsender, lyder som følger:
'Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag. Denne type angreb kan godt lade sig gøre, men spørgsmålet er, om det er noget, der vil få en reel udbredelse. Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge.
Hvis vi følger banksporet, så skal den it-kriminelle jo have held til at aflure en person, der er kunde i den bank, de har valgt at logge ind hos, og som har penge på kontoen, og desuden skal han kunne omgå de misbrugsmekanismer, der ligger i selve netbanken. Hvis vi følger sporet om afluring af personfølsomme oplysninger, så skal den it-kriminelle have held til at aflure en person med kompromitterende materiale i de tilgængelige oplysninger, som så igen skal bruges f.eks. til afpresning. Altså kriminalitet, der lettere kunne lade sig gøre i den analoge verden. Lige så snart den it-kriminelles 'look-alike'-hjemmeside bliver opdaget, bliver den desuden lukket, og arbejdet med at bygge den op er spildt.
Når det så er sagt, så bliver de it-kriminelle hele tiden dygtigere og dygtigere, og derfor er overvågning og vurdering af trusselsbilledet en vigtig opgave. Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb. Det gælder også for det scenarie, at den it-kriminelle bygger en egentlig forretning op, som giver sig ud for at være legal modtager af NemID. Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen. Det er samme forhold, der gør sig gældende for ideen om pop-up-vinduer med kontrolindtastninger osv. Det er værktøjer, der kan tages i brug, men det skal afvejes over for hensynet til brugeroplevelsen, og holdes op mod trusselsbilledet. For ikke at lette vejen for de it-kriminelle kan vi ikke uddybe hverken, hvad vi gør nu, eller hvordan vi vil gøre fremover.
En stor udbredelse af NemID er ønskelig både i den private og i den offentlige sektor. At der kommer endnu flere nye web-steder, der tager imod NemID vil næppe gøre nogen forskel på, hvor attraktiv typosquatting/man-in-the-middle-kombinationen er i de it-kriminelles øjne, eftersom der allerede er flere hundrede steder, der tager imod NemID. Hvis de it-kriminelle ville arbejde denne vej, er der muligheder nok allerede.'
Denne historie er fra Version2's søstermedie Ingeniørens trykte avis, der udkommer fredag