Danske cyberspioner vil hjælpe med ny NemID-løsning - men afviser bagdør

Vi kan hjælpe med sikkerheden i kommende NemID-løsninger, siger Center for Cybersikkerhed. Samtidig peger centeret på infiltrering af hardware og infrastruktur som en væsentlig trussel i cyberspace.

Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, vil gerne blande sig i, hvordan kommende NemID-løsninger kommer til at se ud.

Det var et af budskaberne fra centerets leder, Thomas Lund-Sørensen, i hans oplæg ved Dansk IT's konference Offentlig Digitalisering 2013 i Aarhus.

»Vi har et ønske om at deltage i større, digitale projekter. Vi vil for eksempel gerne være med i videreudviklingen af NemID ud fra en sikkerhedsmæssig betragtning. Det vil vi gerne, fordi vi mener, vi har noget at byde på. Det vi kalder 'security by design',« sagde Thomas Lund-Sørensen på scenen.

Herefter fortalte han om, hvordan Danmarks nationale it-sikkerhedsmyndighed inddeler de trusler, landet udsættes for i cyberspace, i fire kategorier.

Den alvorligste er ifølge Thomas Lund-Sørensen decideret spionage fra statslige og statsstøttede aktører. Udviklingen her går i retning af, at stater i stigende grad spionerer mod private, danske virksomheder for at understøtte konkurrenter i hjemlandet.

Herefter følger hacktivisme, der karakteriseres ved at være en politisk protest udmøntet i cyberspace. Typiske eksempler er DDoS-angrebene mod NemID og KL.dk.

Truslen fra det, Thomas Lund-Sørensen kalder cyberterrorisme, vurderer han ikke til at være høj. Primært fordi cyberangreb ikke er nær så spektakulære som en velplaceret bombe, men også fordi terrororganisationer har svært ved at kunne tage ansvaret for den slags aktioner uden at afsløre sig selv.

Endelig er der de såkaldte supply chain-trusler. Der findes talløse komponenter i den kritiske, danske it-infrastruktur, hvor leverandøren og dennes underleverandører har haft mulighed at lægge såkaldte bagdøre ind.

»Det fokuserer vi meget på. Produkterne i for eksempel telesektoren har en lang kæde af leverandører. Og vi ved, at efterretningstjenester historisk gør den slags. Og det er svært at gøre noget ved,« sagde Thomas Lund-Sørensen under sit oplæg.

Her henviser han implicit til de anklager, der blandt andet er fremkommet mod den kinesiske hardwareproducent Huawei, om, at visse routere og switches skulle kunne fungere som bagdør for den kinesiske efterretningstjeneste.

Læs også: Den amerikanske kongres vil forbyde Huawei-telefoner: 'De er en sikkerhedstrussel'

Læs også: Kinesiske Huawei tilbyder Australien at gennemse al kildekode i teleudstyr

Da Version2 efter oplægget spørger Thomas Lund-Sørensen, om man kunne forestille sig, at Center for Cybersikkerheds interesse for at blande sig i designet af kommende NemID-løsninger kunne bunde i muligheden for at få adgang til stort set alle danskeres computere, er svaret klart nej.

»Centerets fokus er cybersikkerhed. Det er heller ikke lovligt for os i Danmark at lave den slags,« siger Thomas Lund-Sørensen til Version2.

Men ikke i udlandet?

»For en udenrigsefterretningstjeneste som FE er det et grundvilkår at visse aktiviteter i udlandet kan blive opfattet som værende i strid med lovgvningen den pågældende sted.«

Opdateret 13.07: Præcisering af Thomas Lund-Sørensens to sidste citater.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

Det er da fantastisk at den her diskussion overhovedet kan foregå.
Hvis systemet var lavet mhp. borgernes sikkerhed, så var der en åben specifikation så alle kunne lave en (bagdørs-fri) klient og i øvrigt så ville borgerne selv have kontrol over deres egne nøgler og en garanti for at det forholdt sig sådan uafhængig af DanIDs software. (man kan selvfølgelig ikke garantere at FET ikke infiltrere evt. dongle-producenters hardware - ud over kompleksisteten af den operation).

Hvordan kan digitaliseringsstyrelsen/Nets/FET og folketinget overhovedet forvente at nogen kunne finde på at anvende dette til signering/kryptering af deres private kommunikation? Absurd.
Så længe de tænker sådan, så vil NemID vedblive kun at være en single-signon løsning til PBS's systemer.

  • 14
  • 1
Jesper Lund

Da Version2 efter oplægget spørger Thomas Lund-Sørensen, om man kunne forestille sig, at Center for Cybersikkerheds interesse for at blande sig i designet af kommende NemID-løsninger kunne bunde i muligheden for at få adgang til stort set alle danskeres computere, er svaret klart nej.

»Det står helt klart, at det må vi ikke. Det ville være ulovligt. Og vi overholder loven i Danmark,« siger Thomas Lund-Sørensen til Version2.

Svaret er muligvis korrekt i en snævre forstand at FE ikke må plante trojanere på borgernes computere (det afhænger dog af fortolkningen af forsvarsloven § 17, og om Danmark er "i krig").

Men politiet har mulighed for at plante trojanere på borgernes computere. Det hedder dataaflæsning i retsplejeloven § 791 b.

I følge en tidligere artikel i version2 bruger PET denne mulighed i stor stil
http://www.version2.dk/artikel/pet-vi-bruger-trojanere-mod-mistaenkte-da...

Om det sker via NemID kan vi ikke vide. Der er stillet spørgsmål til Justitsministeren om dette, men svaret var af "..neither confirm nor deny" typen.

  • 11
  • 0
Jon Linde

Hvordan kan digitaliseringsstyrelsen/Nets/FET og folketinget overhovedet forvente at nogen kunne finde på at anvende dette til signering/kryptering af deres private kommunikation? Absurd.

Jeg møder jævnligt personer som stadig opfatter NemID som en meget sikker løsning. Det lyder utroligt at nogle kan have tilbragt så lang tid i en digital hule at NemID debatten er gået helt over hovedet på dem - men de findes - desværre - stadig.
Måske skyldes det en mangel på debat i "almindelige" nyhedskanaler som JP/Politiken/EB/Anders And/Se og Hør og andre... øh, mere brede... udgivelser.

Man kan også tolke det på en anden måde: Det er rent faktisk lykkedes for digitaliseringsstyrelsen, bankerne og NemID at afskærme kritikken fra den almindelige borger.
På samme vis kan man vende den 180 grader og sige at "vi" som er kritiske overfor NemID, har fejlet i at udbrede debatten og kritikken til den almindelige borger.

  • 11
  • 1
Henrik Madsen

Forsvarets Efterretningstjeneste vil gerne hjælpe med at lave næste version af NemID og de lover at de ikke vil putte en bagdør i så de kan få adgang til folks computere.

Ja ja og hvis bare ræven bliver lukket ind i hønsehuset så lover den, ikke at spise nogen af hønsene.

Det er så åbenlyst latterligt at manden siger "trust us" til den slags.

  • 4
  • 0
Niels Didriksen

Jeg synes faktisk ALLE må hjælpe. Det vigtigste er relativt få krav synes jeg.
-Bruger-genereret nøgle på åben og gængs standard. Under brugerens egen kontrol
-Åbne specs. (se PM's indlæg)
-Fri konkurrence

ALLE der ønsker at deltage men modsiger disse krav, må antages at have intentioner der går brat imod borgernes, og bør derfor diskvalificeres.

  • 9
  • 0
Tom Arleth

Man kunne jo også anlægge den synsvinkel at hvis man nu slipper ræven ind så kan den hjælpe med at holde ulven ude.

Sagt på en anden måde har vi vel alle en fælles interesse med FE i at holde alle andre uvedkommende ude. Tilbage står så om vi i processen taber for meget til FE?

  • 0
  • 0
Jon Linde

man kan selvfølgelig ikke garantere at FET ikke infiltrere evt. dongle-producenters hardware - ud over kompleksisteten af den operation

Enig, Men til gengæld vil det (generelt) være meget usundt for "dongle-producenternes" forretning hvis deres løsninger bliver kompromitteret.
Det kan/vil skade deres forretning kraftigt (Var det ikke RSA som kom i vridemaskinen?) og de er derfor i de færreste tilfælde interesseret i at ignorere/tolerere en sådan trussel mod deres forretning.

Naturligvis vil sådan en virksomhed gerne have et godt forhold til myndighederne, men; "Hvad nu hvis det bliver opdaget?"

NemID's situation er lidt anderledes.
Dels er der tale om et stats udviklet monopol og dels er de eget af den ene af deres 2 primære kunder (bankerne) mens at den anden primære kunde (Digitaliseringstyrelsen/Staten) er så dybt nede i lommen at de ikke kan komme op igen uden omfattende konsekvenser.
NemID ER blevet kompromitteret - og det har reelt ikke påvirket deres forretning.

Noget helt andet er at
hvis FET eller PET IKKE allerede har forsøgt at udnytte NemID til at implementere en form for overvågning af individuelle borgere, har de i mine øjne begået en dødssynd. Det er simpelthen en FOR oplagt mulighed og taktisk fordel...

Der er heller ingen tvivl om at FET/PET kan hjælpe med at øge sikkerheden i NemID - spørgsmålet er jo blot "Sikkert - for hvem?"

  • 2
  • 0
Kenn Nielsen
  • 3
  • 0
Kenn Nielsen

Man kunne jo også anlægge den synsvinkel at hvis man nu slipper ræven ind så kan den hjælpe med at holde ulven ude.

Sådan så jeg også på det før i tiden.
Men...
Hvor jeg tidligere syntes at det var ligemeget hvad FET/PET/CIA vidste om mig, er jeg nu blevet meget opmærksom på at det er direkte dumt at være så naiv.

Oplysninger siver fra xx-Agency til kommercielle interesser.
Oplysninger siver fra xxTjeneste til andre offentlige instanser
Oplysninger siver fra offentlige instanser til <whatever>

Så på grund af sammenblanding af "fedtede kleptomanfingre i kagedåsen med mine data" tvinges jeg nu til aktivt at vælge et højt sikkerhedsniveau.
Selvom jeg ikke har noget imod at blive kigget i kortene - hvis det blot blev brugt til at 'sikre riget' i den oprindelige betydning.
/tinfoilhat
K

  • 3
  • 0
Jens D Madsen

Oplysninger siver fra xx-Agency til kommercielle interesser.
Oplysninger siver fra xxTjeneste til andre offentlige instanser
Oplysninger siver fra offentlige instanser til <whatever>

Det danske forsvar skal gerne være i danskernes interesse. Forsvarets opgave er at forsvare Danmark og danskerne. At beskytte vores infrastruktur - også den digitale - er en del af forsvarets opgave. Det lyder fornuftigt, at forsvaret vil bidrage med sin kunnen, for derved at forebygge, at vi pludseligt står i en krisesituation, der skyldes dårlig sikkerhed.

Jeg håber ikke, at forsvaret er så "utæt" som du beskriver. Det kan ikke være hensigten med forsvaret.

  • 0
  • 0
Tom Paamand

Skiftende danske regeringer i diverse kulører nægter konsekvent at give et klart svar på spørgsmålet, om Danmark er i krig:
http://www.ft.dk/samling/20111/almdel/fou/spm/200/svar/879464/1112521/in...
- og om dette betyder, at Forsvaret gør brug af undtagelsesreglerne i Forsvarslovens § 17 om overvågning uden retskendelse af "anden kommunikation". Retsgrundlaget er derfor fortsat uafklaret - og det kan den potentielle bagdør i NemID være grunden til.

  • 1
  • 0
Finn Christensen

..."fedtede kleptomanfingre i kagedåsen med mine data"...

Enig Keen, mange såkaldte 'pligtopfyldende' ansatte evner eller gider ikke gennemtænke konsekvenserne af deres siveri af oplysninger. "De får løn for deres tilstedeværelse" som nogle beskriver hverdagen, især om fredagen :) Fyld, vås, pladder og andet uvedkommende information flyder rundt på trods af, at det ikke er formålet.

Nyeste bedste eksempel er i skattesagen for Helle Thorning-Schmidt's ægtefælle, hvor nogen roder rundt med seksuel observans. Totalt uvedkommende, og alligevel ser vi skat, sagen, medierne samt ansatte offentlige personerne nede i møget.

Lærdommen heraf siger sig selv.

@Jens D.
Tænk nu lidt over det en gang til. Virkeligheden og hensigten i offentlige organisationer er nogle gange en del afvigende men godt skjult, mennesker er ikke perfekte.

Store offentlige enheder kan sagtens have deres egen agenda, der triller i baggrunden, og da det til enhver tid foregår med lav cigarføring, ser du intet.

Tilsvarende findes også i det private erhvervsliv, hvor vi nogle gange ser det - bankerne m.fl. (nuværende finanskrise) er et eksempel.

  • 0
  • 0
Lars Christensen

Uanset hvilken bekymring man kan have til FE's motiver, når de offentligt udtaler, at de meget gerne vil deltage i videreudvikling af en sikker version af NemId - så burde alle vi der har været kritiske overfor NemId, da alle klappe i vores små hænder over at et nationalt sikkerheds organ som FE overhovedet føler sig kaldet til at blande sig i debatten om NemId.

Det viser da, at det kan betale sig at blive ved med at kritisere et åbenlyst politisk makværk!

Mvh. Lars plbrake.dk

  • 0
  • 0
Gert Madsen

Totalt uvedkommende, og alligevel ser vi skat, sagen, medierne samt ansatte offentlige personerne nede i møget.

Mon dog denne sag er et spørgsmål om sivning og slendrian.
Det kunne godt tænkes at være endog meget bevidst forsøg på at få fokus væk fra hvorfor man pludselig finder en ny målestok, når det er en politisk kendis, der skal kigges på.

Det kan være en kynisk vurdering af at løse rygter er bedre end mistanke om nepotisme og vennetjenester.

  • 0
  • 0
Log ind eller Opret konto for at kommentere