KMD's håndtering af sikkerhedshul: »Det skriger til himlen«

I stedet for at blive politianmeldt bør dem, der finder sikkerhedshuller, få ros, mener sikkerhedsekspert Peter Kruse. KMD har gjort det helt forkert.

»Det skriger til himlen. Det skulle være tacklet på en hel anden måde. I stedet for ris skulle man have givet ros.«

Sådan lyder vurderingen fra Peter Kruse, som er partner i it-sikkerhedsvirksomheden CSIS, af KMD's håndtering af et sikkerhedshul i Frederiksberg Kommunes Pladsanvisningssystem, som skildret af Version2 og andre medier i går.

»Når vi laver ansvarlig rapportering af sårbarheder, kontakter vi virksomheden med detaljer om, hvad vi har fundet, og giver dem 90 dage til at udbedre fejlen. Det er den praksis, der anvendes af mine kolleger i branchen. Nogle gange kan det tage en time, og nogle gange kan det tage længere tid. I den periode går man ikke ud med sårbarheden. Når de 90 dage er gået, må man gå ud og offentliggøre sårbarheden.«

Læs også: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«

Men hvad KMD-systemet angår, er det lidt en anden sag, mener Peter Kruse.

»Her er der tale om et system, der har været i drift i 12 år, hvor der åbenlyst har været nogle system- og designfejl. KMD skulle være glade for, at hullet er fundet, og have klappet ham på skulderen i stedet for at klappe ham i numsen. Havde vi skruet tiden et år frem, havde vi haft dataforordningen. Det havde betydet, at systemet skulle offline, og der ville falde en bøde.«

»Rigtig dårlig stil«

»Så vidt jeg kan læse mig til, har KMD har haft rigelig tid til at få rettet fejlen og har i øvrigt også rettet det uden efterfølgende at anerkende, at hullet har været der, hvilket er enormt dårlig praksis,« siger Peter Kruse og fortsætter:

»Når almindelige mennesker, der arbejder med it, finder huller af denne type, så nytter det ikke noget, at man fratager dem anerkendelse. Det, man skal gøre som leverandør, er at klappe dem på skulderen og sige ‘tak for hjælpen’ og anerkende, at hullet har været der, i stedet for at gå ud at sige, at der aldrig har været noget hul og så rette det i stilhed. KMD skulle have håndteret sagen på en anden måde. Det er rigtig dårlig stil.«

Læs også: KMD forklarer hacker-anmeldelse: »Det var naturligt for os at kontakte vedkommendes arbejdsplads«

»Hvis man ser på denne her sag, så kunne den nok ikke være håndteret ringere at lave en politianmeldelse. Og en anden del, som også er meget utraditionel, er at tage kontakt til denne persons arbejdsgiver, helt op på ledelsesniveau, og fra en person, som ikke synes at have en interessekonflikt, fordi han arbejder for en konkurrent, men falder over det, da han skal tilmelde sin søn til institution,« siger Peter Kruse.

Tag problemet alvorligt

Morten Klitgaard Friis, der medlem af Dansk IT’s fagråd for informationssikkerhed, råder virksomheder, der håndterer offentlige systemer, til at tage problemet alvorligt:

»Det vigtigste er at tage henvendelser om sikkerhedshuller seriøst. Som leverandør af den type systemer til det offentlige er det vigtigt, at man har nogle processer, der tager hånd om de indrapporteringer, der kommer. Hvis dem, der modtager henvendelser, ikke er opmærksom på de konsekvenser for de borgere, der er berørt, så havner den slags ofte lidt langt nede på listen, for systemet kører jo. Det kræver, at man har en organisation bag, som kan lave en seriøs behandling af de henvendelser, der kommer. Det vigtigste er at have nogle medarbejdere, der kender applikationerne grundigt og har sikkerhedsbrillerne på.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (31)

Kommentarer (31)
Brian Hansen

Han finder et hul så poster han det vel bare anonymt på pastebin eller reddit, så kan virksomheder som KMD selv overveje om de har handlet smart?

Michael Christensen

Den har jeg selv brugt tidligere. Når man er så venlig at gøre opmærksom på en uhensigtsmæssighed, så går man ikke public med det samme, med mindre, at man kommer ud for en total afvisning af problemet. KMD's reaktion er ikke speciel prof.

Hans Schou

Det havde betydet at systemet skulle offline, og der ville falde en bøde.

Det besvarer så også, hvem man skal henvende sig til som første instans: Politiet.

Politiet siger så: Det har vi ikke ressourcer til.

Så bliver det pastebin, og fejlen bliver så først opdaget når serveren er tvunget i knæ af alle dem der trækker data ud.

Undskyld pessimismen, men er dataforordningen ikke bare ord?

Alexander Alsing

Hvilken ulovlighed snakker du om her ?
Der er intet ulovligt ved at bruge et system som det er tiltænkt. At han har lavet et script til at automatisere processen at udfylde et tekstfelt og trykke på en knap er der intet hacking ved - det er hverken noget som bliver gemt på serveren, lægger den i knæ eller noget som helst.
Denne sag er langt ude, som artiklen også siger, da vi lige har haft to ligenende sager som netop siger at hvis man ikke har haft til hensigt at bruge data, er der intet ulovligt ved det.

Stephan Sølby

Så du mener i fuld alvor at det er i orden at begå en ulovlighed - og offentliggøre den - for at bevise at fejlen er der?

Det er da en skærpende omstændighed, at han scripter I stedet for blot at taste. Det gør da ikke fejlrapporten mere troværdig. Tværtimod så giver det Esben mulighed for at se om han kan finde Statsministeren. Det er ikke som systemet er tænkt.

Han venter ikke engang til de 90 dage som Peter Kruse nævner, er gået før han blander pressen ind i det. Det sker dagen efter.

Poul-Henning Kamp Blogger

Så du mener i fuld alvor at det er i orden at begå en ulovlighed - og offentliggøre den - for at bevise at fejlen er der?

Hvis man har forsøgt at rapportere igennem de officielle kanaler og bliver mødt med ligegyldighed og afvisning, så ja.

Straffelovens §13 handler om hvornår man må gå ud over lovens bogstav, for at få den overholdt.

Bemærk sæligt "skaffe lovlige påbud adlydt" i stk 3:

§ 13. Handlinger foretagne i nødværge er straffri, for så vidt de har været nødvendige for at modstå eller afværge et påbegyndt eller overhængende uretmæssigt angreb og ikke åbenbart går ud over, hvad der under hensyn til angrebets farlighed, angriberens person og det angrebne retsgodes betydning er forsvarligt.

Stk. 2. Overskrider nogen grænserne for lovligt nødværge, bliver han dog straffri, hvis overskridelsen er rimeligt begrundet i den ved angrebet fremkaldte skræk eller ophidselse.

Stk. 3. Tilsvarende regler finder anvendelse på handlinger, som er nødvendige for på retmæssig måde at skaffe lovlige påbud adlydt, iværksætte en lovlig pågribelse eller hindre en fanges eller tvangsanbragt persons rømning.

Michael Cederberg

Det bør være en rettighed for borgere at de har lov til at tjekke basale sikkerhedsfeatures på de IT systemer de har adgang til. På samme måde som hvis jeg lejer en bil så tjekker jeg bremserne og dørlåsene. Hvis jeg bor på hotel og der er en dør til et andet værelse, så tager jeg i døren og sikrer at den er låst.

I tilfældet KMD så handler det om at det er borgerens information som de håndterer. Borgeren er tvangsindlagt til at bruge systemet. Derfor bør borgeren havde ret til at tjekke ting som URL modification, indtastning af invalide data, gale CPR numre, forkert password, etc. - både af hensyn til ham selv, andre borgere og samfundet som helhed.

Brian Jensen

KMD burde i skammekrogen et års tid med hensyn til offentlige indkøb.

Det er en amatøragtig håndtering af denne sag, som handler om personlige oplysninger og borgernes integritet.

Martin Hoffmann

Allerførst, bare så I ikke misforstår hvem jeg holder med i denne sag, så synes jeg at KMD virkelig har reageret barnligt i denne sag.
Jeg tænker at Trump ikke havde klaret det meget værre, hvis det var hans firma (altså, land) det var gået ud over.

Men derfor kan man jo godt synes at det er lidt unødvendigt at fremstille et script til at demonstrere hullet.
Det burde jo have været nok at vise at en enkelt anden persons oplysninger kom frem ved søgning i feltet.
Scriptet gør det naturligvis mere medie-venligt, men er han paparazzi eller bekymret borger?

Jeg bider i denne forbindelse mest mærke i denne del af lovteksten som blev citeret ovenfor:

og ikke åbenbart går ud over, hvad der under hensyn til angrebets farlighed, angriberens person og det angrebne retsgodes betydning er forsvarligt.

Niels-Arne Nørgaard Knudsen

jeg læste at scriptet trak 5 cpr# ud i sekundet. det er 300 i minuttet! 3-fuckin'-hundrede! det kan umuligt være normalt at folk taster forkert 300 gange i minuttet.

KMD burde have haft et ids/ips der opdagede at der blev trukket store mængder data fra samme logon på meget kort tid. det burde være historien.

Stephan Sølby

I denne artikel

https://www.version2.dk/artikel/interview-hacker-tiltalt-jeg-totalt-usky...

beskrives at Esben d. 17 Maj rapporterer fejlen til KMD og den 18 maj er pressen (DR) blandet ind i sagen. Den 24. Maj er fejlen rettet.

Den karensperiode på 90 dage der tilsyneladende er branchens standard er på ingen måde overholdt. I en sag af denne karakter, hvor der ikke er akut risiko for skade er der ingen grund til at gå i pressen og der er heller ingen grund til at lave et script.

Men der er al mulig grund for Esben til at rapportere fejlen, der al mulig grund for KMD til at sige "Tak Esben, vi sender en flaske vin"

Poul-Henning Kamp Blogger

Den karensperiode på 90 dage der tilsyneladende er branchens standard er på ingen måde overholdt.

  1. Det er overhovedet ikke en standard. Det var Google der ensidigt besluttede at gøre sådan, for at tvinge sløve foretagener til at tage rapporterne alvorligt.

  2. Karensperioden er en "courtesy" og der er ingen der har krav på at få den.

  3. Modtager man f.eks en politanmeldelse eller anden "roughing up", (som i denne sag), bør karensperiode under ingen omstændigheder komme på tale.

Poul-Henning Kamp Blogger

Paragraf 13 i straffeloven handler om umiddelbart forestående eller igangværende fysiske personangreb, hvor man ikke kan få hjælp af myndighederne.

Den paragraf absolut irellevant i denne sammenhæng.

Jeg synes du skulle gøre dig den umage at lave et minimum af research inden du udtaler dig om ting du tydeligvis ikke aner en disse om.

Hint: Prøv at google "straffelovens paragraf 13" ?

Anne-Marie Krogsbøll

Kan vi ikke få en opdateret tidslinje, da den, man kan stykke sammen via diverse artikler, er ret uklar. Gav Esben video o.l. videre til DR før eller efter, at KMD var kommet med et afvisende svar?

Og gik DR videre med sagen i medierne, inden man havde fået svar fra KMD?

Og (et andet spørgsmål): Er 3 måneder virkelig en rimelig frist til at få lukket et sikkerhedshul, som har eksisteret i 12 år, som er velbeskrevet af anmelderen, og som har potentiale til at være til stor gene for rigtigt mange mennesker?

Det synes jeg faktisk ikke. 3 måneder er alt for lang tid. Men jeg synes, at man her bør tage hensyn til, om man faktisk får indtryk af ægte bestræbelser fra firmaet på at løse problemet. Jo mere man fornemmer ægte bestræbelser, jo længere frist bør man nok give. Med det svar KMD gav i denne sag, bør fristen ikke være ret lang. Faktisk meget kort, synes jeg. Øjeblikkelig handling i form af trussel om anmeldelse til Datatilsynet og medierne efter afvisningen. Så kan man jo lige afvente, om det hjælper.

Poul-Henning Kamp Blogger

Jeg tror du skal undersøge hvad et lovligt påbud er. Det er ikke "jeg vil have det her rettet, sofort!"

Helt klart ikke.

Men det understreger at §13's meget brede rækkevidde.

Det er f.eks §13 der tillader dig at ringe til en skrothandler og få fjernet den bil der holder i din indkørsel, hvis ikke ejeren reagerer på dit "lovlige påbud" og du pinedød skal have din bil ud her og nu.

Som alt andet er det et rimelighedskrav, hvilket teksten tydeligt understreger, og som altid er det en forudsætning at den "officielle kanal" (oftest, men ikke altid politiet) ikke kan løse sagen i tide.

Hvis du har positiv og sikker viden om at et IT hul aktivt bliver brugt til at høste store mængder af persondata, vil jeg tro at du under §13, efter forgæves at have ringet rundt i en times tid, kan slippe af sted med at huggen en fiberforbindelse over for at stoppe persondatalækken.

I sidste ender afhænger det naturligvis af Højesterets vurdering.

Poul-Henning Kamp Blogger

Det er vel lidt det samme som når butiksindehavere publicerer overvågnings film af butikstyve i aktion - uden at spørge hverken tyv eller myndighed først?

Nej, der render du ind i "uskyldig til det modsatte er bevist" og tyveriet er overstået og kan derfor ikke forhindres/forpurres/forkortes ved at offentliggøre videoen.

Hvis det drejede sig om et tyveri hvor et barn har stjået en dåse med teksten "Slik" som indeholder klumper af rottegift, kan det måske forsvares med henvisning til at kun en meget hurtig reaktion kan forhindre en tragedie.

Niels-Arne Nørgaard Knudsen

KMD har sjusket alvorligt - så alvorligt at det burde være strafbart - med sikkerheden i et statsligt it-system.

hvad debatterer folk? om det er lovligt og i hvilket omfang at offentliggøre hullet!

hvilke tiltag har KMD tænkt sig at tage for at undgå eller bare formindske risikoen for at den slags sker igen? det kan andre statslige it leverandører også lære noget af.

Heino Svendsen

Har selv gentestet en fejl i HJV.dk, som offentliggører brugerinformationer, som kan bruges til at hente våben hos medlemmerne.
Gider jeg at informere dem? Nope.
Gider jeg udbyde inform på Craigslist? Måske... Far trænger til at skifte Ford'en ud...

Heino Svendsen
Morten Hansen

Nej, der render du ind i "uskyldig til det modsatte er bevist" og tyveriet er overstået og kan derfor ikke forhindres/forpurres/forkortes ved at offentliggøre videoen.

Jeg kan godt følge dig PHK, my fall. Ved nærmere eftertanke, ville det svare til tyven selv havde kamera med og filmede at det var muligt at snuppe en jakke eller et par bukser - og dermed reelt har begået en ulovlighed. Butiksindehaveren har heller ikke begået noget ulovligt under tyveriet, da man ikke er forpligtet til at låse sine varer inde - eller udlevere dem personligt til hver kunde.
Espen har "sandsynligvis" ikke begået nogen ulovlighedhed - men blot automatiseret en autoriseret forespørgsel. KMD har måske heller ikke begået noget ulovligt i forbindelse med eksponeringen af CPR-numre. Så rent juridisk er der måske ikke umiddelbart noget at komme efter.
Om man så måske skulle indføre en paragraf i straffeloven, vedr. forespørgsel på uvedkommende personlige oplysninger - eller ditto eksponering, kunne måske være en løsning, så det blev mere klart at en af parterne så har begået noget ulovligt - og misligeholdt sit ansvar. Det er jo principielt ulovligt at køre overfor rødt, en mørk onsdag aften på en mørk øde landevej.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017