Forældet Apple-certifikat skyld i aflyste DSB-tog

27. november 2014 kl. 15:3217
Forældet Apple-certifikat skyld i aflyste DSB-tog
Illustration: Morten K. Thomsen.
Et udløbet sikkerhedscertifikat sendte torsdag morgen en række københavnske S-tog til tælling. DSB havde ikke været opmærksomme på udløbsdatoen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De københavnske togpendlere måtte torsdag morgen tage til takke med stopfyldte S-tog og en reduceret køreplan.

Flere S-tog var tvunget til at stå stille på skinnerne, fordi certifikatet til den iPad-app, som indeholder lokomotivførernes sikkerhedsinformation, var udløbet.

»Når certifikatet ikke er fornyet og opdateret, kan appen ikke bruges,« siger DSB’s it-chef, Martin Börjesson

Allerede onsdag aften oplevede DSB problemer med iPad-appen, og it-afdelingen fandt frem til, at Apple-certifikatet var udløbet samme dag. Det er ifølge Martin Börjesson første gang, at it-afdelingen arbejder med Apple-apps, og derfor overså man, at certifikatet var blevet forældet.

Artiklen fortsætter efter annoncen

»Vi var ikke opmærksomme på, at det skulle fornyes,« forklarer han og tilføjer:

»Det har været en hård lektie, at vi ikke havde styr på lige præcis dette certifikat.«

App’en, der bærer navnet Den digitale rygsæk, indeholder dokumenter, som er nødvendige, før lokomotivførerne må tage S-toget ud på skinnerne. Og da langt de flest lokomotivførere ikke havde app'en, måtte en række af DSB’s S-tog-linjer i morges køre med halv drift.

Nødskiftede app til morgentrafikken

Enkelte iPads, der har været tændt hele natten, kunne stadig åbne Den digitale rygsæk. Men da medarbejderne som regel slukker enheden om natten, var det kun muligt for et fåtal af lokomotivførerne.

For at undgå total stilstand i den københavnske togtrafik brugte lokomotivførerne en lignende app fra Banedanmark. Men da ikke alle iPads havde erstatnings-app’en installeret, slap togpendlerne ikke uden forsinkede og aflyste tog.

Martin Börjesson arbejder nu sammen med DSB's it-afdeling om at få sendt instrukser ud til medarbejderne og få opdateret certifikatet, så app’en kan køre igen.

»Den skal selvfølgelig blive godkendt af Apple for at kunne blive distribueret. Men det er vores forventning, at det sker inden for de nærmeste timer,« fortæller han.

Et sikkerhedscertifikat fra Apple giver app-skaberen mulighed for at signere programmet og på den måde garantere, at app’en er lavet af for eksempel DSB.

Dropper decentral lagring af certifikater

I fremtiden er det planen at centralisere lagringer af certifikater, så situationen ikke gentager sig.

»Det er desværre sådan, at med denne løsning ligger certifikatet på iPad’en og ikke på en central enhed, som det måske burde være. Og det laver vi faktisk om i februar,« fortæller Martin Börjesson.

Centraliseringsplanerne har dog været undervejs, før Apple-certifikatet sendte it-chefen på overarbejde.

Det er ifølge Martin Börjesson ikke en mulighed at køre togene uden adgang til app’en. Sikkerhedsdokumenterne kan sammenlignes med et kørekort til toget.

»Vi vil ikke gå på kompromis med sikkerheden langs skinnerne,« understreger it-chefen.

Forsinkelserne, der fulgte med det forældede certifikat, ramte S-toglinjerne A, H, B og E, der alle i perioden kørte med halv drift. S-togene har siden i formiddag igen kørt normalt, oplyser DSB.

17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
2. december 2014 kl. 21:30

Apropos distribution af sikkerheds-kritisk information, hvor autenciteten skal kontrolleres . . .

Kan det kommende signalsystem ETCS level 2, hvor kørselstilladelser overføres til togene trådløst via GSM-R, blive ramt af en lignende certifikat-fejl?

Jeg antager at systemet i togene skal verificere om tilladelsen til at køre på en given skinnestrækning kommer fra den forventede afsender/system.

15
28. november 2014 kl. 11:51

Noget sådant kunne have været forhindret hvis de ansvarlige havde haft det lagt ind i deres task manager på deres iPhone / iPad.

Hvis de da bruger så avanceret en app ...

13
28. november 2014 kl. 10:44

Et hurtigt søg på "app bane danmark" viser at ihvertfald bane danmarks ansatte har materialet tilrådighed på forskellige platforme.

Fra bane.dk: "Banedanmarks apps til sikkerhedsdokumenter henter udvalgte reglementer fra Banedanmarks websted bane.dk, og indholdet i den opdaterede app vil derfor være identisk med de tilsvarende dokumenter på webstedet. Appsene sikrer, at der kun er adgang til gældende dokumenter samt eventuelle kommende rettelser, som allerede ligger på webstedet. Uaktuelle reglementer bliver automatisk slettet i appen, samtidig med at nye versioner aktiveres. Appsene er udviklet og testet til iOS, Android og Windows Phone. Spørgsmål til appens funktion kan sendes til jernbanesikkerhed At bane.dk."

Så fallback planen har bare ikke været informeret korrekt ud til alle deres lokomotivfører eller også har ipad'en gjort dem "handlingslammet"?

Nu ved jeg ikke hvor meget S-tog og Bane danmark hænger sammen, så kan være jeg har misforstået noget her og at det er pære og bananer.

16
28. november 2014 kl. 11:58

BaneDanmarks app er omtalt i artiklen, og den blev brugt som nødløsning de steder hvor den var installeret. Problemet var DSBs app.

11
28. november 2014 kl. 10:18

Jeg kan forstå at det er "smartere" ikke at anvende papir for det kræver noget mere at fordele opdateringer. Det virker dog forkert at en fejl i en enkelt app kan lægge en stor del af S-togsnettet ned.

7
27. november 2014 kl. 21:48

Stentavler eller lignende.

Måske en kompromisløsning: Et meget udbredt dokumentformat der efterligner ikke-digitale kopier, med sidetal og sådan. Adobe har måske et bud.

6
27. november 2014 kl. 20:48

Ingen fallback. Fjolser. Ringe risikohåndtering.

5
27. november 2014 kl. 20:12

Det sker desværre ret tit.. Microsoft hev hele Azure i sænk da deres cert til al storage udløb.. ret nedern.. Jeg er også (næsten) selv skyldig.. Det var kun pga. god service hos CA at vi undgik det.. de udstedte et nyt på 20 mins.. samme døgn det gamle udløb.. Og ja.. man får en email med at det skal fornyes og den kommer også i god tid.. men det er mennesker som skal respondere og nogle gange får man fejlet.. Vi har efter vores sag sat det ind i kalenderen.. det er meget lavteknisk, men det virker.. og tænker DSB gør det samme med deres nu :)

4
27. november 2014 kl. 18:09

Uendelige rækker af projektledere, mellemledere, konsulenter, kloge Åger, TaskForce grupper, flowcharts der beskriver processer i uendelige kombinationer ... alle har tiltusket sig indflydelse, men ikke en eneste der har ansvar eller overblik :-)

Nu kommer der selvransagelse, møder om det hændte, rapportering, hurtigt arbejdende specialgruppe der skal undersøge status på andre licenser ... så der kommer ro på,- indtil de glemmer det igen :-)

1
27. november 2014 kl. 16:12

Hold da kæft mand....

sådan en app skal da være 100% uafhængig af en App-store. om det så er apple eller google er underordnet.

Det er jo lige så stupidt som at lave en vigtig login løsning baseret på java-applet.

3
27. november 2014 kl. 17:50

sådan en app skal da være 100% uafhængig af en App-store. om det så er apple eller google er underordnet.

Eeh hvordan vil du så ha den køre med begrænset mulighed for at blive kompromiteret i et certificat auth. Miljø ?

Skal DSB udvikle deres egen padde platform ?

Og hvordan kan DSB's udvikler være så dum ? Det er ikke første gang et udløbet certifikat har givet problemer... Og det er jo ikke fordi udløbsdatoen er voldsomt skjult i et certifikat, den står som regel lige ved siden af oprettelses datoen... Men hvad kan man sige... Inkompetance gør nas...

8
28. november 2014 kl. 08:13

Eeh hvordan vil du så ha den køre med begrænset mulighed for at blive kompromiteret i et certificat auth. Miljø ?</p>
<p>Skal DSB udvikle deres egen padde platform ?

Hvis man er 100% afhængig af om en app virker før man kan køre et tog, så må man sørge for at man har fuld kontrol over den app, Længere er den ikke.

Hvis man derimod har "fallback" løsninger så er det helt fint, men det har de ikke haft i dette tilfælde. deres eneste held var at der var nogen der ikke havde slukket ipad'en.

I en android har man mulighed for at installere en app uden om en app-store, er enig i at det kan have et sikkerheds issue, men på den anden side så er du heller ikke afhængig af om en appstore finder på at "bremse" din opdatering af en app.

Men i min verden bør sådan noget slet ikke "kun" ligge som en app. Fint som en mulighed men absolut ikke som en nødvendighed.

Man kunne vel lige så "let" have lavet en sikker html5 intranet side for tablets med samme indhold, og give muligheden for at hente indholdet som offline. Så har man samme "app" fornemmelse men et mere alsidigt webmiljø bag.

Og så fatter jeg stadigvæk ikke hvorfor staten/regioner/kommuner ikke har deres egen "app-store" til skolerne og alle de andre institutioner der bruger tablets i dagligdagen. På den måde kan man styre hvad eleverne har tilrådighed på deres tablets. Nå men det er en helt anden diskussion.

9
28. november 2014 kl. 08:38

I en android har man mulighed for at installere en app uden om en app-store, er enig i at det kan have et sikkerheds issue, men på den anden side så er du heller ikke afhængig af om en appstore finder på at "bremse" din opdatering af en app.

Du kan da sagtens installere apps på iOS uden om App Store. Hvad tror du at hele Apple's Enterprise Program er til for? Du kan distribuere og opdatere apps over the air til alle enheder som er koblet på. https://developer.apple.com/programs/ios/enterprise/

Udløb på enterprise certifikater hos Apple er faktisk 3 år, men det undskylder ikke, at der er nogen i udviklingsafdelingen der har dummet sig gevaldigt. Man får op til flere mails med advarsler om at ens certifikat udløber.