Digital signatur brugt til svindel for 90 mio. kr.

En digital signatur var alt, hvad en herboende russer havde brug for til at franare et selskab 90 millioner kroner.

En tilfældig digital signatur var det eneste, en herboende russer havde brug for for at kunne franare et selskab 90 millioner kroner. Det skriver Jyllands-Posten.

Med den digitale signatur kunne russeren ændre i vedtægterne til et selskab og udstyre sig selv med en fuldmagt, som han så tog med ned i Sydbank, hvor han hævede 90 millioner kroner.

For nemt at svindle

Den digitale signatur tilhører en kvinde, der er uden tilknytning til selskabet, skriver avisen.

Den manglende kontrol kritiseres af professor på Aalborg Universitet Lars Bo Langsted.

»Når det er så nemt, var det kun et spørgsmål om tid, før det gik galt. Systemet er simpelt og smidigt, men samtidig åbner det for misbrug, og jeg synes, det er for nemt,« siger han til Jyllands-Posten.

Må ikke blive for knudret

Også Erhvervs- og Selskabsstyrelsen erkender, at det er for nemt at svindle med systemet.

»Der er en lille procentdel, der svindler, men de vil svindle, uanset hvad vi gør. Selvfølgelig skal vi have et sikkert system, men vi skal heller ikke gøre det så besværligt og knudret for alle dem, der gerne vil gøre det ordentligt,« siger kontorchef Lars Bunch til avisen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Christensen

--> men vi skal heller ikke gøre det så besværligt og knudret for alle dem, der gerne vil gøre det ordentligt <--

Dem der vil gøre det ordentlig, altså dem der slipper af sted med 90 millioner kr??? ;-)

Men så lad os da åbne dørene og fjerne sikkerheden fra alle trådløse net og gøre Danmark til et åben land, når det er største delen der vil gøre det ordentlig :-).

Var da virkelig ikke en god side at se på sagen fra....

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg har ikke nogen digital signatur, for jeg kan ikke se hvorledes min retssikkerhed bliver forbedret af den på nogen måde.

Den omtalte sag viser at den vurdering ikke er helt hen i skoven.

Når den digitale signatur engang forbedrer situationen for mig som bruger, og ikke bare for offentlige IT systemer, så vil jeg kigge på den igen, indtil da ? glem det.

Poul-Henning

  • 0
  • 0
Christian Damsgaard

Om vedtægterne var ændret ved at underskrive med sit certifikat (OCES) eller med sin kuglepen er i princippet lige meget. I begge tilfælde er der tale om simpelt dokumentfalskneri.

Heldigvis er det meget nemmere at finde ud af hvilke certifikat der er brugt til underskriften, hvorfor den blev underskrevet samt hvorfor underskriften blev afsendt.

Erhvervs- og Selskabsstyrelsen bygger sin sikkerhed på stikprøvekontrol - dette gør sig gældene for både certifikat underskrifter samt traditionelle kuglepensundskrifter. Hvis sikkerheden omkring et selskabs vedtægter skal være større bør være dette område der skal kikkes på.

Den digital signatur (OCES certifikatet) er en klar forbedring mht. sikkeheder (hvem, hvornår og hvorfra) i forhold til en kuglepensbaseret.

/Christian Damsgaard

  • 0
  • 0
Erik Maaløe

Problemet her er ikke den digitale signatur. Det er Webreg, der er skurken med en yderst mangelfuld sikkerhed. Alle med en digital signatur, i hvert fald en medarbejdersignatur, kan øjensynlig ændre hvad som helst for et vilkårligt firma. Eneste sikkerhed: Kig i loggen bagefter?

  • 0
  • 0
Christian Damsgaard

> Problemet her er ikke den digitale
> signatur. Det er Webreg, der er
> skurken med en yderst mangelfuld
> sikkerhed.

Hmmm - hvis alle brugere af Webreg skulle godkendes inden brug af system, går ideen med OCES certifikatet lidt af og vi er tilbage til "gamle" dage, hvor man skulle have oprettet en konto hos Erhvervs og Selskabsstyrelse for at få dial-up adgang til at kunne rette i selskaber via et 3270 skærmbillede.

> Alle med en digital signatur, i hvert
> fald en medarbejdersignatur, kan
> øjensynlig ændre hvad som helst for
> et vilkårligt firma.

Det er jo hele de der er pointen med OCES certifikatet. Central administration og tillid.

> Eneste sikkerhed: Kig i loggen bagefter

Er det ikke 100% analog til hvad man gør i den fysiske verden?

I den fysiske verden kontrollere man heller ikke underskriften på et dokument, med mindre man har begrundet mistanke om at der er noget galt.

  • 0
  • 0
Erik Maaløe

Hej Christian.

Der kan altid svindles, men derudover er jeg ikke enig med dig.

Der er efter min mening en stor forskel mellem en manuel indberetning, hvor der altid et menneskeligt filter indblandet, og en automatiseret digital løsning uden menneskeligt filter, og som desuden er meget lettere at bruge - og misbruge.

Sikkerhed er ikke en absolut størrelse, men en afvejning af forskellige forhold, herunder brugervenlighed. Men jeg mener, at sikkerhedsniveauet er sat alt, alt for lavt på Webreg. En relativt simpel skærpelse af sikkerheden ville bestå i at udnytte det faktum, at et medarbejdercertifikat altid er knyttet til et CVR-nummer. Man kan derfor let begrænse rettelsesmulighederne, så man kun kan rette oplysninger for eget firma.

Det vil ikke kræve forudgående registrering af brugeren i et bruger- og rettighedssystem. Men det vil bl.a. udelukke muligheden for, at revisorer og advokater kan rette oplysninger for andre firmaer, hvilket er en udbredt praksis. Det vil kræve et BRS-system og lidt mere administration, som dog langt hen ad vejen kan uddelegeres til den enkelte virksomhed.

Denne infrastruktur er allerede til stede i Erhvervs- og Selskabsstyrelsen / Virk.dk, hvor den bl.a. benyttes i forbindelse med digital indberetning af syge- og barselsdagpenge. Så der er efter min opfattelse ikke mange undskyldninger for den manglende sikkerhed i Webreg.

Mvh.
Erik

  • 0
  • 0
Christian Damsgaard

Hej Erik,

Jeg er enig med dig i at sikkerheden i Webreg system et kunne gøres bedre ved at begrænse adgangen til at ændre ting som tegningretten for et selskab.

Sikkerhedensmodellen i Webreg (der efterhånden er 8 år gammel) kunne sikkert have glæde af at blive kikkert efter i sømmende. Sikkerhedsmodellen bygger ud over den fysiske sikkerhed, på at der foretages stikprøvekontroller samt at der er en høj strafferamme for overtrædelser. Men med en mulig gevinst på kr. 90.000.000,00 er der altid nogen der villige.

Burde der egentlig ikke også være nogen hos den pågældende bank der skulle have røde øre?

SKAT er i gang med et IT modernisering projekt, hvor man blandt andet har en MEGET kompliceret sikkerhedsmodel opbygget omkring OCES certifikatet. I denne model kan du fx. delegere din "ret" til at lave din selvangivelse til din moster. Din moster kan så delegere denne "ret" til et revisorfirma. En medarbejder hos revisorfirmaet kan så lave din selvangivelsen på vejene af virksomheden.

En sådan sikkerhedsmodel er kompliceret at implementere samt administrere, hvorfor staten burde løse problemet globalt, i stedet for at diverse forskellige stats/styrelses/regions/kommunale IT budgeter skal belastes af dette.

Hilsen
Christian

  • 0
  • 0
Jens Madsen

"Der kan altid svindles, men derudover er jeg ikke enig med dig."

Der kan udvikles meget sikre, og endog sikre systemer, således det umuligt kan svindles.

Hvis vi ikke skal til at have "chips" indopereret i næsen, der har trådløs forbindelse til hjernen, og tjekker vores personlighed og sanser, så er også muligt med en "nogenlunde sikkerhed". Men måske ikke helt så vi kan sige svindel er umulig.

Digital Signatur er under alt kritik. Dels er det muligt, uden hardware nøgle, og den hardware nøgle som findes, giver ikke betrykkende sikkerhed.

Vi har tidligere diskuteret løsninger på ing.dk der kunne give troværdig sikkerhed, og som kan garantere at personen der skriver noget på tastaturet, er den der har "kortet" samt kode - evt. incl. fingeraftryk. En sådan løsning, er ikke dyr, og den vil kunne give global sikkerhed.

Her kan vi vende digital signatur til en fordel: Alle vil kunne bruge samme teknologi, og evt. samme kort - og derved er prisen i bund. Samtidigt hæves sikkerheden betydeligt, både i homebanking, og i forbindelse med det offentlige, samt i andre tilfælde hvor digital signatur er påkrævet.

Det er ikke muligt for enhver at "stjæle" signaturen, og reelt kan man fuldkommen ukritisk give mulighed for, at signaturen bruges. Den eneste mulighed er, at stjæle den fysiske sikkerhed (kort + evt. tastatur), den personlige sikkerhed (personlige kode), samt personens fingeraftryk. Det er muligt, men kræver et fysisk indbrud. Desuden kan det gøres besværligt eller endog umuligt, at kopiere den fysiske sikkerhed (kort), og dermed vil man opdage hurtigt, at den er borte. Dermed kan man lukke brugen af signatur, ved kontakt til det offentlige, og det er så bankens opgave, at sikre signaturen ikke er lukket, og ellers er det bankens ansvar at signaturen er korrekt. Stjæles således ens fysiske kort, bør man kontakte et telefonnummer straks, og få signaturen lukket.

Det vil ikke være mulighed for hacking af PC, bagdøre, eller andet, der muliggør misbrug. Dog skal brugerne af digital signatur forstå hvordan den fungerer, og at den ikke er anden bevis, end bevis for det som er skrevet af brugeren på tastaturet. Banken har dermed ikke bevis, med mindre kunden har skrevet det pågældende. Et OK er ikke noget "bevis" som banken kan bruge.

  • 0
  • 0
Log ind eller Opret konto for at kommentere