Datatilsynet kritiserer Rigspolitiet: Brugte forældet kryptering til persondata

1 kommentar.  Hop til debatten
Datatilsynet kritiserer Rigspolitiet: Brugte forældet kryptering til persondata
Illustration: Kinsta.
Et våbenansøgningssystem hos Rigspolitiet krypterede personoplysninger med den gamle TLS version 1.0 på trods af kendte sårbarheder.
15. april 2021 kl. 10:34
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Rigspolitiets selvbetjeningsløsning til ansøgning om våbentilladelser krypterede ansøgernes personoplysninger med TLS 1.0 - en gammel version af krypteringsprotokollen under transport af data.

Men version 1.0 har kendte sårbarheder, og derfor havde Rigspolitiet ikke en passende sikkerhed, mener Datatilsynet, som derfor udtaler kritik af Rigspolitiet.

»Afgørelsen skal ses som en generel påmindelse om, at det ikke er udtryk for passende sikkerhed, såfremt de teknologier, der benyttes til at sikre fortrolighed og integritet (i dette tilfælde TLS), indeholder kendte svagheder, og hvor der på markedet findes let tilgængelige sikre standarder,« skriver Datatilsynet i en ny afgørelse.

Det er et krav i GDPR, at virksomheder og myndigheder, som håndterer personoplysninger, sørger for, at oplysningerne bliver beskyttet under et passende sikkerhedsniveau.

Artiklen fortsætter efter annoncen

Krypteringsprotokollen TLS findes også i en version 1.2 og 1.3, og ifølge Datatilsynet indeholder version 1.0 og 1.1 kendte sårbarheder, »der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.«

»Datatilsynet finder på baggrund heraf, at Rigspolitiet – ved at anvende TLS version 1.0 kryptering i webansøgningsformularen på hjemmesiden for ansøgning om våbentilladelse – ikke har haft passende tekniske foranstaltninger for at sikre et passende sikkerhedsniveau,« lyder det i afgørelsen.

Våbenansøgningssystemet bestod både af en webansøgningsformular og en mailafsendelsesfunktion, og det var i ansøgningsformularen, at data blev krypteret med TLS 1.0, mens ansøgeren indtastede sine oplysninger, har Rigspolitiet oplyst til Datatilsynet.

Årsagen var ifølge Rigspolitiet, at våbenansøgningssystemet ikke understøttede en nyere version af TLS-kryptering. Rigspolitiet har nu udviklet og implementeret et nyt ansøgningssystem, som bruger TLS 1.3.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
15. april 2021 kl. 12:34

Årsagen var ifølge Rigspolitiet, at våbenansøgningssystemet ikke understøttede en nyere version af TLS-kryptering.

Så der er tale om teknisk gæld, er der ikke en product lifecycle process der fungere, hvis der havde været en product lifecycle process, så havde politiet fanget dette tidligere og fået det fikset.