Digitaliseringsstyrelsen: Heartbleed-sårbarhed kan have alvorlige og omfattende konsekvenser

10. april 2014 kl. 17:158
Det er for tidligt at konkludere noget, lyder det fra Digitaliseringsstyrelsen, i forhold til et alvorligt sikkerhedshul, der kan have blotlagt borgeres oplysninger på nettet i forbindelse med deres brug af digitale tjenester.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

Det alvorlige it-sikkerhedshul kendt som Heartbleed, kan have bevirket, at uvedkommende har haft adgang til borgeres fortrolige data i forbindelse med digital kommunikation med myndigheder. Sikkerhedshullet går kort fortalt ud på, at en sårbar server kan lokkes til at lække data fra serverens hukommelsen til en hacker. Data kan i princippet være fortrolige oplysninger som brugernavn og password.

Kontorchef i Digitaliseringsstyrelsen, Cecile Christensen oplyser i en mail via styrelsens kommunikationsafdeling:

»Digitaliseringsstyrelsen tager naturligvis sagen alvorligt, da sårbarheden kan have alvorlige og omfattende konsekvenser,« står der i mailen, som fortsætter:

»Vi beder derfor alle leverandører af vores løsninger om at undersøge systemerne for at se, om de er påvirket af sårbarheden, og i givet fald igangsætte implementering af de nødvendige tiltag. Dette er helt almindelig praksis i forbindelse med, at nye sårbarheder opdages eller trusselsbilledet ændres.«

Artiklen fortsætter efter annoncen

En af leverandørerne er Nets, der står bag den digitale login-løsning NemID, som eksempelvis giver adgang til borger.dk og et hav af andre offentlige selvbetjeningsløsninger på nettet. Nets har tidligere til Version2 oplyst, at virksomheden er ved at undersøge i hvor høj grad, Nets' systemer er påvirkede af sårbarheden. Det gælder ikke bare NemID, men også Dankortinfrastrukturen.

Cecile Christensen fortsætter:

»Undersøgelserne er endnu ikke afsluttet, hvorfor vi på nuværende tidspunkt ikke kan konkludere noget. Vi kan på nuværende tidspunkt heller ikke sige, hvornår en egentlig konklusion vil foreligge, da der skal analyseres mange løsninger.«

Heartbleed relaterer sig til en fejl i det såkaldte OpenSSL-bibliotek, der skal sikre forbindelsen til en server. Fejlen er blevet rettet i april i år, men har været der siden 2012.

Emner
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
John Vedsegaard
11. april 2014 kl. 22:06

Det er helt sikkert, det siger politikerne selv. Så alt skal digitaliseres. uanset hvilke konsekvenser det så får.

Vi vil se flere af samme slags i fremtiden, man skal ikke tro dette er en enlig svale.

Digitale løsninger kan ofte være rigtigt gode, man at lade dem stå alene er på ingen måde smart.

  • more_vert
    • insert_linkKopier link
7
Allan Astrup Jensen
11. april 2014 kl. 14:53

Dette sikkerhedshul er endnu et argument for udelukkende at satse på IT løsninger. Vi bliver afhængige ligesom af den russiske gas.

  • more_vert
    • insert_linkKopier link
6
Rune Larsen
11. april 2014 kl. 11:41

Vi snakker om adgang til ALT inkl. atomkraftværker, det finansielle system, våbenaffyring - you name it, der er et sted, hvor en server med OpenSSL styrer det. Huller som disse har WW3 potentiale. Vågn nu op! Borgernes data-beskyttelse kommer i anden række ift. borgernes overlevelse.

  • more_vert
    • insert_linkKopier link
5
Maciej Szeliga
11. april 2014 kl. 08:51

...alvorlige og omfattende konsekvenser.

No shit, Sherlock!

  • more_vert
    • insert_linkKopier link
3
Jakob Damkjær
10. april 2014 kl. 21:24

Fra WSJ (caveat emptor):

"Steve Marquess, president of the OpenSSL Software Foundation, a separate entity that solicits funding for the team that manages the code, said its 2013 budget was less than $1 million. "There's no question more effectively applied manpower would be a good thing," said Mr. Marquess, 59 years old. "Formal code audits would be a good thing." Mr. Marquess, a former Defense Department consultant who works in Maryland, is the project's only U.S. resident. The other coders are based in Europe to avoid export laws for advanced encryption."

"OpenSSL is managed by four core European programmers, only one of whom counts it as his full-time job."

Fra Next draft og wsj

Massive OpenSSL Bug 'Heartbleed' Threatens Sensitive Data - WSJ.com http://m.europe.wsj.com/articles/SB10001424052702304819004579489813056799076?mobile=y via Nextdraft.com

Ikke så mange resourcer som man skulle forvente til et så vigtigt stykke software...

  • more_vert
    • insert_linkKopier link
2
Niels Dybdahl
10. april 2014 kl. 19:43

Mon man ikke skulle være på den sikre side og skifte alle personnumre her i landet. Man kunne ved samme lejlighed skifte til længere numre som ikke er så nemme at gætte og det ville give mulighed for at man kunne få flere personnumre, så man kan oplyse forskellige personnumre til hver instans man er i kontakt med. Alternativt kan man vedtage at personnumre ikke længere er hemmelige og offentliggøre dem alle.

  • more_vert
    • insert_linkKopier link
1
Ebbe Hansen
10. april 2014 kl. 18:02

et spørgsmål, hvordan man håndterer det, når man får kendskab til sådanne huller. Men at vente til en undersøgelse er færdig? Der burde vel være en standardhandling, hvor man tvinger brugerne ud i at forny adgangskoder på kompromitterede sider? Når først hullet er lukket er der vel ingen grund til at vente på undersøgelser, så besværligt er skift af koder heller ikke.

  • more_vert
    • insert_linkKopier link