It-chef i DSB: Kun én medarbejder har adgang til omstridt billeddatabase fra grænsekontrol

DSBs it-chef svarer i dette interview igen på en del af spekulationerne omkring tvivlsom it-sikkerhed ved den database, som gemmer på tusindvis af billeder af passagerers pas og andet billed-ID.

De seneste par dage med grænsekontrol i Københavns Lufthavn Kastrup for togpassagerer til Sverige har affødt en del bekymringer omkring it-sikkerheden.

Læs også: DSB ID kontrol, cloud og iPhone

Hver gang en passager skal med igennem ID-kontrollen for at tage toget til Sverige fra stationen i Københavns Lufthavn, skal vedkommende fremvise gyldigt billed-ID, som herefter bliver fotograferet med en smartphone, hvorefter billedet bliver lagret i en central database i op til 30 dage.

DSB’s it-chef, Martin Börjesson er tryg ved it-sikkerheden omkring den nye ID-kontrol i Københavns Lufthavn

Bekymringen drejer sig således om, hvorvidt disse billeder bliver både afsendt og opbevaret sikkert. Det drejer sig også om en specialudviklet udgave af appen MP Tjek fra it-firmaet MobilePeople, som DSB har bekræftet bliver anvendt af sikkerhedspersonalet til at foretage scanningerne. Og så drejer det sig om adgangen til den server, hvor databasen med følsomme persondata på tusindvis af passagerer bliver opbevaret.

Hidtil har hverken DSB eller it-leverandøren MobilePeople villet give konkrete svar på flere af bekymringerne, men nu tager DSB til genmæle.

Der er ikke tale om, at hundredvis af medarbejdere har adgang til den omstridte database. Tværtimod:

»Der er kun én person, der har adgang til databasen, og du skal sidde fysisk ved tastaturet og skærmen ved siden af serveren for at få adgang,« siger DSB’s it-chef, Martin Börjesson.

Serveren med de mange ID-billeder er desuden placeret i Danmark og der er nøje restriktioner på adgangen hertil:

»Hvis vores mand skal have fat i data, skal han tage ud til MobilePeople i Herlev og logge på for at få adgang til data,« siger Martin Börjesson.

Desuden er hele systemet underlagt ekstern it-revision:

»Der foregår uvildig auditering fra tredje part af it-sikkerheden hos både DSB og MobilePeople«

Læs også: DSB: Vi sletter billeder fra grænsekontrol i smartphones og gemmer kun på sikre servere

Bruger Samsung-telefoner i kioskmode

De telefoner, som sikkerhedspersonalet i lufthavnen anvender til scanning af ID, fungerer alene i såkaldt kiosk-mode, hvilket betyder, at der ikke er adgang til noget andet end MobilePeople-appen på telefonen.

»Der er ingen wifi, bluetooth eller anden forbindelse end den til mobilnetværket,« siger Martin Börjesson.

Kommunikationen er ifølge ham altså 100 pct. lukket mellem appen og serveren, og billederne bliver overført via en krypteret forbindelse og gemt i krypteret form på serveren.

Han oplyser, at hvis de svenske myndigheder sender en mail til DSB og beder om data, så sender statsbanerne ikke uden videre noget til dem. DSBs juridiske afdeling skal først afgøre, hvordan det håndteres.

Hvis der ikke er internetforbindelse

DSB og MobilePeople har også forberedt sig på, at internetforbindelsen på stationen evt. skulle falde ud.

»Billedet bliver slettet fra telefonen, hvis internetforbindelsen forsvinde - og man må tage billedet igen. Appen bekræfter afsendelsen, når der er forbindelse, og intet bliver lagret lokalt på telefonen,« siger it-chefen.

Telefonen har ikke hukommelseskort, og den tillader heller ikke, at man putter et kort i den, lyder det fra DSB.

»Og hvis nogen skulle miste telefonen, så kan vi slette dens hukommelse via fjernstyring.«

En Version2-læser har downloaded MobilePeople's MP Tjek applikation og konstateret, at appen kommunikerer ukrypteret mellem server og app, når der logges ind.

Læseren har i sagens natur alene kunnet tjekke den version af MP Tjek-appen, som kan downloades på Android app store. Spørgsmålet er, om det er den samme app, der benyttes af DSB i forbindelse med ID checks i lufthavnen, eller om DSB har fået en modificeret og krypto-sikret udgave.

»Jeg har naturligvis ikke login mv. til deres applikation - men jeg kan med en simpel proxy opsætning konstatere, at deres login formular laver en simpel ukrypteret http kommunikation med deres mptjek.dk server,« skriver læseren til Version2s redaktion og tilføjer, at han havde mindst forventet en SSL-sikring.

Martin Börjesson, gælder problemet med manglende kryptering også jeres version af appen?

»Jeg kender ikke den version, der er i Android app store. Det væsentlige for mig er, at DSB's løsning er vurderet sikker af såvel vores it-sikkerhedsafdeling som vores uvildige auditering fra tredjepart.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (30)

Morten Pedersen

Hvis mine pasoplysninger er blevet læst at uvedkommende, er logningen nok ikke så vigtig for mig.

De rigtigt spørgsmål kunne være:

"Er læseadgang begrænset på data, så de kun kan læses internt fra DSB?".

"Hvordan?"

"Er alt data trafik krypteret hele vejen til databasen?"

"Er data krypteret i databasen?"

Mads Bendixen

De første 2 spørgsmål er besvaret i artiklen:

»Der er kun én person, der har adgang til databasen, og du skal sidde fysisk ved tastaturet og skærmen ved siden af serveren for at få adgang,« siger DSB’s it-chef, Martin Börjesson.

Serveren med de mange ID-billeder er desuden placeret i Danmark og der er nøje restriktioner på adgangen hertil:

»Hvis vores mand skal have fat i data, skal han tage ud til MobilePeople i Herlev og logge på for at få adgang til data,« siger Martin Börjesson.

Allan Ebdrup Blogger

Hvis mine pasoplysninger er blevet læst at uvedkommende, er logningen nok ikke så vigtig for mig.


Vi så med dankort missæren at den manglende logning var et problem. Hvis du ved at din adgang til data bliver logget altid, og overvåget, kan det potientielt afholde dig fra lige at slå "naboens" cpr-nummer op.

Egentlig ville det bedste her være, at alle der får slået sit data op får besked (ligesom det ville være det bedste alle andre steder hvor dit persondata kan slås op).

Det er også vigtigt at misbrug opdages, selv efter at det er forekommet.

Til spørgsmålet "Har der været uautorisered adgang til data?" gør svaret: "Det ved vi ikke" ikke mig særligt tryg.

Lars Wive Marcussen

Bed hele direktionen og bestyrelsen for både DSB og MobilePeople og evt trafikministeren om at få scannet deres pas og kørekort ind i systemet. Det skulle motivere dem til at sikre sig at systemet holdes sikkert.
De kunne gøre et marketings stunt ud af det og gøre det foran pressen

Mikael Ibsen

har adgang til disse data, men hvis svenskerne spørger ind til en person, der har mistet sin ID på turen til Sverige - og bliver opdaget - må DSB jo dokumentere sin uskyld, og dermed sende fortroelige data om en dansk borger til en udenlandsk statsmagt. Det lyder ikke særlig data-lovligt, med mindre DSB er i besiddelse af en samtykkeerklæring fra den skødesløse borger, som dermed, ved at sige "Nej", kan påføre DSB en klækkelig bøde.
En temmelig pillen situation med sjove juridiske detailler.

Klaus Seistrup

Er det kun mig der sidder og undrer mig over hvordan de nogensinde vil finde data igen? Lad os sige at de svenske myndigheder påstår at en given person ikke er blevet kontrolleret ved grænseovergangen. Hvordan vil de danske myndigheder så finde ud af korrektheden af påstanden? Bliver billederne udsat for OCR, eller skal man sidde og bladre alle billederne igennem for at finde et der passer?

Og så en anden ting jeg har undret mig over: med hvilken hjemmel i loven har transportørerne lov til at registrere og opbevare folks billedlegitimation?

Peter Jensen

Alene det forhold at de overhovedet kan finde på noget så dybt amatøragtigt som at lægge en App ud til folk der udveksler login ukrypteret bør får ALLE alarmklokker til at ringe omgående! Dette viser jo at de er totalt blanke og uansvarlige i forhold til elementær sikkerhed for brugerne.

Henrik Kramshøj Blogger

Dejligt med flere detaljer, selvom det straks giver anledning til nye spørgsmål.

  • Fysisk sikkerhed, indbrudsikring, kontorlokaler i industrikvarter i Herlev ...
  • Fysiske parametre som fiberføring - er der redundant internet, er der redundant strøms, UPS, Generator osv.
  • Netværksmæssige parametre er der mere end 100Mbit fiber til huset? 1Gbit? DDoS trussel - specielt fordi app KUN virker med internet iflg. ovenstående
  • Netværk een leverandør Telia som leverer internet, og 4G data fra en lukket gruppe hos TDC? - som stadig skal over noget peering - hvor, hvordan

NB: Det er ikke en opfordring til at blokere for ID kontrollen med et $10 DDoS booter! ... men er det en trussel der er overvejet, og løsning på vej, eller noget som kommer som en overraskelse pludselig når det sker? (De fleste danske virksomheder gør først noget ved DDoS når de oplever det)

Torben Jensen

Jeg tror så alligevel ikke at DSB bygger hele grænsekontrollen på EN mand. Der er garanteret flere som har / meget let kan få adgang. Tænk hvis denne ene mand bliver pludseligt uarbejdsdygtig eller dør ?

Og som en anden har overvejet vil jeg også gerne vide hvordan man, sådan rent praktisk, genfinder de data. En mand kan snildt læse 50,100 eller 500 pas/ID igennem. Men 5000 ? 100.000 ? Der er jo alligevel en del pendlere på en måned.

Hvis det ER OCR, hvor dårligt skal billedet så være for at det alligevel ikke kan findes, kan man f.eks. sætte noget for kameraer forstyrrende på sit ID. Eller checker Securitas faktisk om billedet bliver brugbart ? Det var jo noget helt andet hvis DSB læste et elektronisk tag / OCR-læste pasnummeret direkte på stedet. Så kunne data findes på ingen tid. Lidt som de gør ved gates i lufthavne.

Keld Nygaard

"med hvilken hjemmel i loven har transportørerne lov til at registrere og opbevare folks billedlegitimation".

Frivillig tilsagn fra den rejsende. Hvis man ikke vil acceptere at DSB gemmer data, så kan man jo bare lade være med at rejse med DSB, og finde en anden måde at komme til Sverige. (Dette vil måske stille nogle praktiske udfordringer for den rejsende, men det er jo sagen uvedkommende når man taler jura).
Jeg kan ikke se, at der er noget i dette der er på kant af persondataloven.

Elías Christian Lundström Journalist

Og så en anden ting jeg har undret mig over: med hvilken hjemmel i loven har transportørerne lov til at registrere og opbevare folks billedlegitimation?

Opbevaringen er i overensstemmelse med den danske persondatalov ifølge en vurdering, som advokatfirmaet Bech-Bruun har lavet for DSB: https://web.panton.org/aktindsigt/dsb/datatilsynet/notat.pdf

Om Datatilsynet vurderer det samme er et andet spørgsmål...

Peter D Hansen

DSB kunne - som en start - i det mindste undlade at tage billede af danske pas.

Det er vel temmeligt usandsynligt at personer med dansk pas vil smide deres danske pas væk under rejsen og derefter søge asyl i Sverige? ;-)

Og det kan vel ikke kræve det helt store kursus at lære DSB/underleverandørens "vagter" hvordan et dansk pas ser ud?

Peter Valdemar Mørch

Hvor mange har så fysisk adgang til det serverrum hvor serveren står? Inkl. MobilePeople, rengøring mv.?

Og hele databasen er uigenkaldeligt tabt hvis denne ene DSB ansatte pludseligt forlader DSB? Virkelig?

Der er altså heller ingen backups, f.eks.? Det kan der vel ikke være hvis den ENESTE måde at få adgang til data er at sidde ved serveren.

Janus Christensen

Hvordan kan man være sikker på at den telefon som personen der udfører id-kontrollen med, rent faktisk er den som vedkommende har fået udleveret af DSB? Det kunne vel lige så vel være personens egen telefon eller en helt anden som der bliver brugt til at tage billeder med?

Cristian Ambæk

Der er kun én person, der har adgang til databasen, og du skal sidde fysisk ved tastaturet og skærmen ved siden af serveren for at få adgang

Hvad gør DSB så i perioder med ferie, sygdom, medarbejdere der skifter firma mm.
Opretter vi bare nye bruger kontoer på livet løs?

Hvis vores mand skal have fat i data, skal han tage ud til MobilePeople i Herlev og logge på for at få adgang til data

Så hver gang DSB skal lave data udtræk skal de have fat i denne ene medarbejder som der tager fra DSB (some where) til Herlev. Lave et data udtræk, tag tilbage og gentag?

Hvordan kommer datene fra punkt a til b eller de er blevet trukket ud af systemet? Og i hvilken form?

hvorefter billedet bliver lagret i en central database i op til 30 dage

Hvad er proceduren for at DSB kan sikre sig af efter 30 dage så bliver data fysisk slettet fra diskene?

Mikkel Jev
Mikkel Jev

har adgang til disse data, men hvis svenskerne spørger ind til en person, der har mistet sin ID på turen til Sverige - og bliver opdaget - må DSB jo dokumentere sin uskyld, og dermed sende fortroelige data om en dansk borger til en udenlandsk statsmagt. Det lyder ikke særlig data-lovligt, med mindre DSB er i besiddelse af en samtykkeerklæring fra den skødesløse borger, som dermed, ved at sige "Nej", kan påføre DSB en klækkelig bøde.
En temmelig pillen situation med sjove juridiske detailler.

Jeg kiggede lidt i persondataloven. Skal nedenstående forstås sådan, at man faktisk kan nægte, at dsb udleverer oplysningerne til Sverige ?

§ 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

§ 36. Fremsætter en forbruger indsigelse herimod, må en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

Mikkel Mikjær

Det er selvfølgelig løgn ... i bedste fald er det måske en hensigts erklæring ... Med mindre selvfølgelig at den ene person er serveren administrator, serveren er en fysisk server hvor data er krypteret med asymetrisk kryptering og personen altid har den private nøgle på sig og aldrig lader denne uden opsyn ...

Henning Wettendorff

Hvordan er egentlig overordnet praksis hos offentlige myndigheder omkring personfølsomme og personhenførbare data? Sikring, anonymisering og sletning (ikke-indsamling) er jo vidt forskellige tilgange. Mon det fx også kun er en enkelt person i undervisningsministeriet, der har adgang til de enkelte - åbenbart personhenførbare - spørgeskemabesvarelser m.v. fra elever i folkeskolen?
http://www.folkeskolen.dk/578404/elevernes-oplevelse-af-skoledagens-laen...

Bjarne Nielsen

Er det helt utænkeligt at DSB har fået en anden version af app'en, end den der er offentlig tilgængelig i App/Play Store?

Nej, jeg vil endda sige, at det er overvejende sandsynligt.

Og det er præcist det, som bekymrer mig, givet det udgangspunkt, som vi kan se i appstore. Sikkerhed er ikke noget, som man lige kommer på en applikation, hvor sikkerhed slet ikke har været tænkt ind til at begynde med... og endnu mindre, hvis det sker under tidspres.

Anne-Marie Krogsbøll

"DSBs juridiske afdeling skal først afgøre, hvordan det håndteres"
Så man er altså ikke færdig med at afklare, hvordan dette skal håndteres juridisk/sikkerhedsmæssigt? Hvordan kan Bech-Trolle så have godkendt det?

"Der er ingen wifi, bluetooth eller anden forbindelse end den til mobilnetværket,«
og
»Billedet bliver slettet fra telefonen, hvis internetforbindelsen forsvinde - og man må tage billedet igen. Appen bekræfter afsendelsen, når der er forbindelse, og intet bliver lagret lokalt på telefonen,« siger it-chefen."

Med fare for at afsløre min grænseløse tekniske uvidenhed: Er der ikke forskel på mobilforbindelser og internet? Har man ikke lige bedyret, at man kun sender via telefonforbindelsen, dvs. ikke via internettet? På hvad måde kan det så blive et problem, hvis internettet går ned?

"Telefonen har ikke hukommelseskort, og den tillader heller ikke, at man putter et kort i den, lyder det fra DSB." og
»Og hvis nogen skulle miste telefonen, så kan vi slette dens hukommelse via fjernstyring.«

Vil det sige, at det gemmes i en intern hukommelse, dvs. ikke forsvinder i samme øjeblik, det er afsendt? (og som nævnt i en tidligere kommentar: Hvilken garanti har man som passager for, at det er den rigtige mobil, der anvendes?)

Lad os sige at de svenske myndigheder påstår at en given person ikke er blevet kontrolleret ved grænseovergangen. Hvordan vil de danske myndigheder så finde ud af korrektheden af påstanden? Bliver billederne udsat for OCR, eller skal man sidde og bladre alle billederne igennem for at finde et der passer?


Ja, jeg fatter det heller ikke.

Om Datatilsynet vurderer det samme er et andet spørgsmål...


I følge Politiken i dag, så oversendte DSB den juridiske vurdering til Datatilsynet d. 1/1, og bad om evt. bemærkninger. Notatet blev udarbejdet d. 31/12, dvs. i løbet af en/ganske få dage. Datatilsynet har ikke svaret endnu - så sagen er vel ikke så clear cut" for Datatilsynet som for DSB?

Det fremgår endvidere af artiklen, at DSB ikke, som loven kræver, har oplyst passagerer om formål og varighed af registreringen.
http://politiken.dk/indland/ECE3004551/dsb-har-registreret-passagerer-i-...

Log ind eller opret en konto for at skrive kommentarer