Digitaliseringsstyrelsen: Heartbleed-sårbarhed kan have alvorlige og omfattende konsekvenser

Det er for tidligt at konkludere noget, lyder det fra Digitaliseringsstyrelsen, i forhold til et alvorligt sikkerhedshul, der kan have blotlagt borgeres oplysninger på nettet i forbindelse med deres brug af digitale tjenester.

Det alvorlige it-sikkerhedshul kendt som Heartbleed, kan have bevirket, at uvedkommende har haft adgang til borgeres fortrolige data i forbindelse med digital kommunikation med myndigheder. Sikkerhedshullet går kort fortalt ud på, at en sårbar server kan lokkes til at lække data fra serverens hukommelsen til en hacker. Data kan i princippet være fortrolige oplysninger som brugernavn og password.

Kontorchef i Digitaliseringsstyrelsen, Cecile Christensen oplyser i en mail via styrelsens kommunikationsafdeling:

»Digitaliseringsstyrelsen tager naturligvis sagen alvorligt, da sårbarheden kan have alvorlige og omfattende konsekvenser,« står der i mailen, som fortsætter:

»Vi beder derfor alle leverandører af vores løsninger om at undersøge systemerne for at se, om de er påvirket af sårbarheden, og i givet fald igangsætte implementering af de nødvendige tiltag. Dette er helt almindelig praksis i forbindelse med, at nye sårbarheder opdages eller trusselsbilledet ændres.«

En af leverandørerne er Nets, der står bag den digitale login-løsning NemID, som eksempelvis giver adgang til borger.dk og et hav af andre offentlige selvbetjeningsløsninger på nettet. Nets har tidligere til Version2 oplyst, at virksomheden er ved at undersøge i hvor høj grad, Nets' systemer er påvirkede af sårbarheden. Det gælder ikke bare NemID, men også Dankortinfrastrukturen.

Læs også: Både NemID og dankort-systemer kan være ramt af alvorligt sikkerhedshul

Cecile Christensen fortsætter:

»Undersøgelserne er endnu ikke afsluttet, hvorfor vi på nuværende tidspunkt ikke kan konkludere noget. Vi kan på nuværende tidspunkt heller ikke sige, hvornår en egentlig konklusion vil foreligge, da der skal analyseres mange løsninger.«

Heartbleed relaterer sig til en fejl i det såkaldte OpenSSL-bibliotek, der skal sikre forbindelsen til en server. Fejlen er blevet rettet i april i år, men har været der siden 2012.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ebbe Hansen

et spørgsmål, hvordan man håndterer det, når man får kendskab til sådanne huller.
Men at vente til en undersøgelse er færdig? Der burde vel være en standardhandling, hvor man tvinger brugerne ud i at forny adgangskoder på kompromitterede sider? Når først hullet er lukket er der vel ingen grund til at vente på undersøgelser, så besværligt er skift af koder heller ikke.

  • 7
  • 1
Niels Dybdahl

Mon man ikke skulle være på den sikre side og skifte alle personnumre her i landet. Man kunne ved samme lejlighed skifte til længere numre som ikke er så nemme at gætte og det ville give mulighed for at man kunne få flere personnumre, så man kan oplyse forskellige personnumre til hver instans man er i kontakt med.
Alternativt kan man vedtage at personnumre ikke længere er hemmelige og offentliggøre dem alle.

  • 4
  • 5
Jakob Damkjær

Fra WSJ (caveat emptor):

"Steve Marquess, president of the OpenSSL Software Foundation, a separate entity that solicits funding for the team that manages the code, said its 2013 budget was less than $1 million.
"There's no question more effectively applied manpower would be a good thing," said Mr. Marquess, 59 years old. "Formal code audits would be a good thing."
Mr. Marquess, a former Defense Department consultant who works in Maryland, is the project's only U.S. resident. The other coders are based in Europe to avoid export laws for advanced encryption."

"OpenSSL is managed by four core European programmers, only one of whom counts it as his full-time job."

Fra Next draft og wsj

Massive OpenSSL Bug 'Heartbleed' Threatens Sensitive Data - WSJ.com http://m.europe.wsj.com/articles/SB1000142405270230481900457948981305679... via Nextdraft.com

Ikke så mange resourcer som man skulle forvente til et så vigtigt stykke software...

  • 5
  • 0
Rune Larsen

Vi snakker om adgang til ALT inkl. atomkraftværker, det finansielle system, våbenaffyring - you name it, der er et sted, hvor en server med OpenSSL styrer det. Huller som disse har WW3 potentiale. Vågn nu op! Borgernes data-beskyttelse kommer i anden række ift. borgernes overlevelse.

  • 1
  • 1
John Vedsegaard

Det er helt sikkert, det siger politikerne selv. Så alt skal digitaliseres. uanset hvilke konsekvenser det så får.

Vi vil se flere af samme slags i fremtiden, man skal ikke tro dette er en enlig svale.

Digitale løsninger kan ofte være rigtigt gode, man at lade dem stå alene er på ingen måde smart.

  • 0
  • 1
Log ind eller Opret konto for at kommentere