Minister afviser indsats mod Keylogger-svindel: Den ligger hos kommunerne selv

14. januar 2021 kl. 13:4218
Mennesker på bibliotekscomputere
Illustration: Louise Olifent.
Version2 kunne sidste år afdække, at mange danske biblioteker er alt for dårligt beskyttede mod de keylogger-angreb, der har plaget bibliotekerne i årevis. Kulturministeren afviser at sætte ind - ansvaret ligger hos kommunerne, lyder det.
Adam Fribo
Adam Fribo
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Adam Fribo
Adam Fribo
Redaktionschef

Kulturminister Joy Mogensen (S) vil ikke umiddelbart iværksætte en overordnet indsats mod keylogger-angreb på de danske biblioteker.

Kulturminister Joy Mogensen (S) vil ikke umiddelbart gøre noget for at løse keylogger-problemet på de danske biblioteker. Den ligger hos kommunerne og KL, lyder det.

Det skriver hun i et svar til SFs Karina Lorentzen.

»Bibliotekerne er kommunale institutioner, hvorfor ansvaret for borgernes IT-mæssige sikkerhed i forbindelse med at anvende de offentligt tilgængelige computere påhviler kommunerne,« lyder det fra ministeren.

Artiklen fortsætter efter annoncen

»Derudover vil jeg selvfølgelig gerne understrege, at jeg regner med, at kommunerne har stort fokus på problematikken, og jeg noterer mig, at KL, i en pressemeddelelse i september måned meldte ud, at KL har igangsat en række målrettede initiativer, så kommunerne kan få lukket de huller, der måtte være i sikkerheden.«

Dårlig sikkerhed på bibliotekerne

Keyloggere har været et problem på de danske biblioteker i årevis, og sidste efterår kunne Version2 afdække, at bibliotekerne stadig er dårligt beskyttede mod det simple it-angreb.

En stikprøveundersøgelse gennemført af Version2 viste, at computerne på 18 ud af 20 undersøgte biblioteker havde tilgængelige USB-porte, og at man på 13 af bibliotekerne kunne trække tastaturstikket ud af maskinerne.

Begge dele åbner for, at en kriminel kan anbringe en keylogger på computeren, der registrerer alt input fra tastaturet, og som benyttes til at udspionere og udføre svindel mod computerens bruger.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Ondsindet brug af data hentet med en keylogger kan få store konsekvenser. Version2 fortalte i 2019 om Ronja Larsen, der mistede 270.000 kroner, efter at hun havde brugt sit NemID på en bibliotekscomputer.

To it-sikkerhedseksperter vurderede dengang, at it-kriminelle sandsynligvis havde benyttet en keylogger for at få indsigt i hendes oplysninger.

Selvom kulturministeren afviser at sætte ind mod keylogger-angreb fra statens side, så anerkender hun dog vigtigheden af, at danske borgere kan bruge computere på biblioteket uden at frygte for sikkerheden.

»Det er en meget vigtig funktion bibliotekerne har her, men det skal selvfølgelig være trygt at bruge bibliotekernes internet og computere,« skriver hun i sit svar til Karina Lorentzen (SF).

Fokus
Emner
18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
Steen Bundgaard
15. januar 2021 kl. 15:45

Man kan også vælge atlægge Deep Freeze på så genskabes pcen ved hver genstart, kræver admin at lægge noget ind der gemmes. Vi brugte det meget til de pc vi leverede til den lokale skole i starten af 00erne mener programmet er freeware nu men ikke sikker

  • more_vert
    • insert_linkKopier link
16
Henning Wangerin
15. januar 2021 kl. 15:19

Når en borger skal bruge en PC, udleveres der fra en BLÅ kasse, en USB stick med pre-installeret OS. Når borgeren er færdig puttes USB stick'en i en RØD kasse, så den samme ALDRIG genbruges mellem to borgere.

Som andre har skrevet, så tror jeg ikke at det vil være fejlfrit.

Hvad med alternativet at boot fra en cd/dvd, som er låst inde med maskinen. Og selvfølgelig bios sat op så der kun kan bootes på cd, og ingen harddisk.

Jeg har ikke prøvet at rewrite en RW cd/dvd, men den er mountet.

At rewite en USB-pind eller disk som er mountet som systemdisk er muligt. Jeg har prøvet det. Det giver nogle sjove resultater ;-)

/Henning

  • more_vert
    • insert_linkKopier link
13
Christian Nobel
15. januar 2021 kl. 14:01

Lidt sat på kandten kan man vel sige at det koster at digitalisere samfundet, så hvis en vagtordning er nødvendig på biblioteket, så må det være sådan.

Nej, nej, og atter nej.

Man skal digitalisere der hvor det giver mening, ud fra den betragtning at staten er til for borgerne, ikke omvendt!

Og hvis ting så endelig skal koste ekstra, så skal det være at der laves løsninger som er attraktive, og dermed tiltrækker brugen af systemerne, ikke at man tvinger folk til at bruge dem.

Endvidere så kunne man jo sørge for at vi fik en ægte digital signatur, som også kunne bruges mellem private aktører, i stedet for en broken-by-design SSO løsning.

  • more_vert
    • insert_linkKopier link
12
Søren Kjærsgaard
15. januar 2021 kl. 13:37

Reelt skal man have en mand til at vandre op og ned langs rækken af maskiner, maskinerne skal stå samlet

Ja.... Jeg læste en anden artikel (V2, måske) hvor det havde været let at kravl 'uopdaget' rundt på gulvet og indstallere en en keylogger..

Lidt sat på kandten kan man vel sige at det koster at digitalisere samfundet, så hvis en vagtordning er nødvendig på biblioteket, så må det være sådan.

I mellemtiden fandt jeg lige denne artikel - det lader til at mange er hoppet med på os2borger-vognen. Lad os håbe det virker og at udstyret er sikret mod fysiske hacks :-)https://www.version2.dk/artikel/kommuner-fravaelger-open-source-sikkerhedsloesning-mod-keylogger-angreb-1091456

mvh

  • more_vert
    • insert_linkKopier link
11
Gert Madsen
15. januar 2021 kl. 13:30

Så kan ministeren selvfølgelig godt sige at bibliotekerne er kommunernes ansvar, men den reelle trussel - NemID - er vel ikke kommunernes ansvar?

Nej, men det passer præcis ind i dansk digitalisering.

Det viser tydeligt den enorme risiko man lægger på borgerne, med NemID. Det gør det givetvis nemmere for myndighederne, som samtidigt har gjort sig fri af ansvar. Men der er ingen basis for den tykke selvros, som kommer fra myndighederne.

Det er så ironisk at det lige rammer kommunerne. De har om nogen benyttet digitaliseringen til at smide standardformularer i hovedet på borgerne med trusler om diverse sanktioner, hvis man kommer til at skrive noget forkert - feks. i de 80% af felterne, som overhovedet ikke har nogen relevans for sagen.

  • more_vert
    • insert_linkKopier link
9
Ditlev Petersen
15. januar 2021 kl. 12:42

Alle USB sticks der udleveres er tydeligt markederede og man hæfter personligt for dem. Boot fra medbragt USB forbydes - der føres opsyn med dette. I det hele taget (kan jeg se fra tidligere artikler) er fysisk opsyn nok nødvendigt.

Resultatet bliver lukninmg af biblioteker, da den fysiske overvågning bliver for dyr. Reelt skal man have en mand til at vandre op og ned langs rækken af maskiner, maskinerne skal stå samlet, og alligevel er det svært at overskue. Vagtfolk bliver også trætte og distraherede.

Måske kan man træne hunde til at genkende hackere? ;-)

  • more_vert
    • insert_linkKopier link
8
Søren Kjærsgaard
15. januar 2021 kl. 11:14

Til tider er manuelt bedre end uigennemskuelige processer, styret af 3depart, man er afhængig af. Men der er pro's/con's ved alt og i dette tilfælde er jeg enig i det fordelagtige i en fælles, evt. central, løsning.

Så længe at der sikres en fysisk adskillelse/sletning (ikke bare logisk) mellem to brugere. Og at det er tydeligt, verificerbart, at dette er sket.

mvh/god weekend

  • more_vert
    • insert_linkKopier link
6
Maciej Szeliga
15. januar 2021 kl. 10:05

...fordi folk uden egen PC opfordres til at bruge bibliotekernes - den diskussion må hun tage med dem som er ansvarlige for NemID.

...og så kan nogen måske forklare hvordan en keylogger kan bruges til at misbruge NemID som er baseret på engangskoder??

  • more_vert
    • insert_linkKopier link
5
Jens Beltofte
15. januar 2021 kl. 09:50

Hvorfor ikke bare bruger os2borperpc og os2kabinet, så er man kørende og samtidigt deler man løsningen med andre kommuner og slipper for al vedligeholdelse selv.

Der ud over er manuelle processer som udlevering af USB-sticks, aflevering i den korrekte kasse, nulstilling af dem m.m. dømt til at gå alt. Løsningen er en automatiseret nulstilling af PC'en efter X minutter eller når borgeren logger af.

  • more_vert
    • insert_linkKopier link
4
Søren Kjærsgaard
15. januar 2021 kl. 08:45

Hvad nu hvis man i udgangspunktet fysisk sikrede porte på PC'en, så tastatur ikke kan udskiftes, isættes MITM dims, osv.

Derefter: lad én USB port være tilgængelig på bordet og sæt boot order i BIOS til USB first. Lås derefter BIOS efter alle kunstens regler, køb evt. hardware efter kravssætning til BIOS sikkerhed. Fjern også SSD/HDD.

Når en borger skal bruge en PC, udleveres der fra en BLÅ kasse, en USB stick med pre-installeret OS. Når borgeren er færdig puttes USB stick'en i en RØD kasse, så den samme ALDRIG genbruges mellem to borgere.

Om aften slettes alle enheder i den røde kasse, der lægges et frisk standard image på, og de lægges over i den blå kasse, klar til næste dag.

Alle USB sticks der udleveres er tydeligt markederede og man hæfter personligt for dem. Boot fra medbragt USB forbydes - der føres opsyn med dette. I det hele taget (kan jeg se fra tidligere artikler) er fysisk opsyn nok nødvendigt.

Bare et lavpraktisk forslag, det kan sikkert pilles fra hinanden, men situationen pt. er åbenbart at der plads til nytænkning :-)

mvh

  • more_vert
    • insert_linkKopier link
2
Børge Svingalius
14. januar 2021 kl. 19:36

Truslen mod borgernes digitale sikkerhed har vist sig fundamentalt forbundet med NemID og de muligheder og risici platformen medfører. Så kan ministeren selvfølgelig godt sige at bibliotekerne er kommunernes ansvar, men den reelle trussel - NemID - er vel ikke kommunernes ansvar?

  • more_vert
    • insert_linkKopier link
1
Ditlev Petersen
14. januar 2021 kl. 15:57

Det hører ikke under den minister. Men måske burde CFCS være mere udfarende (hvis de kan afse et par minutter fra deres ekspeditioner til NSA)?

  • more_vert
    • insert_linkKopier link