Datatilsynet kritiserer Rigspolitiet: Brugte forældet kryptering til persondata

Rigspolitiet får kritik for at have brugt kryptering med kendte sårbarheder i et ældre ansøgningssystem. Illustration: Kinsta
Et våbenansøgningssystem hos Rigspolitiet krypterede personoplysninger med den gamle TLS version 1.0 på trods af kendte sårbarheder.

Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelser krypterede ansøgernes personoplysninger med TLS 1.0 - en gammel version af krypteringsprotokollen under transport af data.

Men version 1.0 har kendte sårbarheder, og derfor havde Rigspolitiet ikke en passende sikkerhed, mener Datatilsynet, som derfor udtaler kritik af Rigspolitiet.

»Afgørelsen skal ses som en generel påmindelse om, at det ikke er udtryk for passende sikkerhed, såfremt de teknologier, der benyttes til at sikre fortrolighed og integritet (i dette tilfælde TLS), indeholder kendte svagheder, og hvor der på markedet findes let tilgængelige sikre standarder,« skriver Datatilsynet i en ny afgørelse.

Det er et krav i GDPR, at virksomheder og myndigheder, som håndterer personoplysninger, sørger for, at oplysningerne bliver beskyttet under et passende sikkerhedsniveau.

Krypteringsprotokollen TLS findes også i en version 1.2 og 1.3, og ifølge Datatilsynet indeholder version 1.0 og 1.1 kendte sårbarheder, »der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.«

»Datatilsynet finder på baggrund heraf, at Rigspolitiet – ved at anvende TLS version 1.0 kryptering i webansøgningsformularen på hjemmesiden for ansøgning om våbentilladelse – ikke har haft passende tekniske foranstaltninger for at sikre et passende sikkerhedsniveau,« lyder det i afgørelsen.

Våbenansøgningssystemet bestod både af en webansøgningsformular og en mailafsendelsesfunktion, og det var i ansøgningsformularen, at data blev krypteret med TLS 1.0, mens ansøgeren indtastede sine oplysninger, har Rigspolitiet oplyst til Datatilsynet.

Årsagen var ifølge Rigspolitiet, at våbenansøgningssystemet ikke understøttede en nyere version af TLS-kryptering. Rigspolitiet har nu udviklet og implementeret et nyt ansøgningssystem, som bruger TLS 1.3.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Årsagen var ifølge Rigspolitiet, at våbenansøgningssystemet ikke understøttede en nyere version af TLS-kryptering.

Så der er tale om teknisk gæld, er der ikke en product lifecycle process der fungere, hvis der havde været en product lifecycle process, så havde politiet fanget dette tidligere og fået det fikset.

  • 6
  • 0
Log ind eller Opret konto for at kommentere