Minister afviser indsats mod Keylogger-svindel: Den ligger hos kommunerne selv

Illustration: Louise Olifent
Version2 kunne sidste år afdække, at mange danske biblioteker er alt for dårligt beskyttede mod de keylogger-angreb, der har plaget bibliotekerne i årevis. Kulturministeren afviser at sætte ind - ansvaret ligger hos kommunerne, lyder det.

Kulturminister Joy Mogensen (S) vil ikke umiddelbart iværksætte en overordnet indsats mod keylogger-angreb på de danske biblioteker.

Kulturminister Joy Mogensen (S) vil ikke umiddelbart gøre noget for at løse keylogger-problemet på de danske biblioteker. Den ligger hos kommunerne og KL, lyder det. Illustration: Kristian Brasen

Det skriver hun i et svar til SFs Karina Lorentzen.

»Bibliotekerne er kommunale institutioner, hvorfor ansvaret for borgernes IT-mæssige sikkerhed i forbindelse med at anvende de offentligt tilgængelige computere påhviler kommunerne,« lyder det fra ministeren.

»Derudover vil jeg selvfølgelig gerne understrege, at jeg regner med, at kommunerne har stort fokus på problematikken, og jeg noterer mig, at KL, i en pressemeddelelse i september måned meldte ud, at KL har igangsat en række målrettede initiativer, så kommunerne kan få lukket de huller, der måtte være i sikkerheden.«

Dårlig sikkerhed på bibliotekerne

Keyloggere har været et problem på de danske biblioteker i årevis, og sidste efterår kunne Version2 afdække, at bibliotekerne stadig er dårligt beskyttede mod det simple it-angreb.

En stikprøveundersøgelse gennemført af Version2 viste, at computerne på 18 ud af 20 undersøgte biblioteker havde tilgængelige USB-porte, og at man på 13 af bibliotekerne kunne trække tastaturstikket ud af maskinerne.

Læs også: Brugernes computere på biblioteket står pivåbne for hackerangreb

Begge dele åbner for, at en kriminel kan anbringe en keylogger på computeren, der registrerer alt input fra tastaturet, og som benyttes til at udspionere og udføre svindel mod computerens bruger.

Ondsindet brug af data hentet med en keylogger kan få store konsekvenser. Version2 fortalte i 2019 om Ronja Larsen, der mistede 270.000 kroner, efter at hun havde brugt sit NemID på en bibliotekscomputer.

Læs også: København afspærrer computere, indtil borgernes sikkerhed er på plads

To it-sikkerhedseksperter vurderede dengang, at it-kriminelle sandsynligvis havde benyttet en keylogger for at få indsigt i hendes oplysninger.

Selvom kulturministeren afviser at sætte ind mod keylogger-angreb fra statens side, så anerkender hun dog vigtigheden af, at danske borgere kan bruge computere på biblioteket uden at frygte for sikkerheden.

»Det er en meget vigtig funktion bibliotekerne har her, men det skal selvfølgelig være trygt at bruge bibliotekernes internet og computere,« skriver hun i sit svar til Karina Lorentzen (SF).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Børge Svingalius

Truslen mod borgernes digitale sikkerhed har vist sig fundamentalt forbundet med NemID og de muligheder og risici platformen medfører. Så kan ministeren selvfølgelig godt sige at bibliotekerne er kommunernes ansvar, men den reelle trussel - NemID - er vel ikke kommunernes ansvar?

  • 5
  • 1
#4 Søren Kjærsgaard

Hvad nu hvis man i udgangspunktet fysisk sikrede porte på PC'en, så tastatur ikke kan udskiftes, isættes MITM dims, osv.

Derefter: lad én USB port være tilgængelig på bordet og sæt boot order i BIOS til USB first. Lås derefter BIOS efter alle kunstens regler, køb evt. hardware efter kravssætning til BIOS sikkerhed. Fjern også SSD/HDD.

Når en borger skal bruge en PC, udleveres der fra en BLÅ kasse, en USB stick med pre-installeret OS. Når borgeren er færdig puttes USB stick'en i en RØD kasse, så den samme ALDRIG genbruges mellem to borgere.

Om aften slettes alle enheder i den røde kasse, der lægges et frisk standard image på, og de lægges over i den blå kasse, klar til næste dag.

Alle USB sticks der udleveres er tydeligt markederede og man hæfter personligt for dem. Boot fra medbragt USB forbydes - der føres opsyn med dette. I det hele taget (kan jeg se fra tidligere artikler) er fysisk opsyn nok nødvendigt.

Bare et lavpraktisk forslag, det kan sikkert pilles fra hinanden, men situationen pt. er åbenbart at der plads til nytænkning :-)

mvh

  • 0
  • 6
#5 Jens Beltofte

Hvorfor ikke bare bruger os2borperpc og os2kabinet, så er man kørende og samtidigt deler man løsningen med andre kommuner og slipper for al vedligeholdelse selv.

Der ud over er manuelle processer som udlevering af USB-sticks, aflevering i den korrekte kasse, nulstilling af dem m.m. dømt til at gå alt. Løsningen er en automatiseret nulstilling af PC'en efter X minutter eller når borgeren logger af.

  • 6
  • 1
#8 Søren Kjærsgaard

Til tider er manuelt bedre end uigennemskuelige processer, styret af 3depart, man er afhængig af. Men der er pro's/con's ved alt og i dette tilfælde er jeg enig i det fordelagtige i en fælles, evt. central, løsning.

Så længe at der sikres en fysisk adskillelse/sletning (ikke bare logisk) mellem to brugere. Og at det er tydeligt, verificerbart, at dette er sket.

mvh/god weekend

  • 0
  • 0
#9 Ditlev Petersen

Alle USB sticks der udleveres er tydeligt markederede og man hæfter personligt for dem. Boot fra medbragt USB forbydes - der føres opsyn med dette. I det hele taget (kan jeg se fra tidligere artikler) er fysisk opsyn nok nødvendigt.

Resultatet bliver lukninmg af biblioteker, da den fysiske overvågning bliver for dyr. Reelt skal man have en mand til at vandre op og ned langs rækken af maskiner, maskinerne skal stå samlet, og alligevel er det svært at overskue. Vagtfolk bliver også trætte og distraherede.

Måske kan man træne hunde til at genkende hackere? ;-)

  • 0
  • 0
#11 Gert Madsen

Så kan ministeren selvfølgelig godt sige at bibliotekerne er kommunernes ansvar, men den reelle trussel - NemID - er vel ikke kommunernes ansvar?

Nej, men det passer præcis ind i dansk digitalisering.

Det viser tydeligt den enorme risiko man lægger på borgerne, med NemID. Det gør det givetvis nemmere for myndighederne, som samtidigt har gjort sig fri af ansvar. Men der er ingen basis for den tykke selvros, som kommer fra myndighederne.

Det er så ironisk at det lige rammer kommunerne. De har om nogen benyttet digitaliseringen til at smide standardformularer i hovedet på borgerne med trusler om diverse sanktioner, hvis man kommer til at skrive noget forkert - feks. i de 80% af felterne, som overhovedet ikke har nogen relevans for sagen.

  • 2
  • 1
#12 Søren Kjærsgaard

Reelt skal man have en mand til at vandre op og ned langs rækken af maskiner, maskinerne skal stå samlet

Ja.... Jeg læste en anden artikel (V2, måske) hvor det havde været let at kravl 'uopdaget' rundt på gulvet og indstallere en en keylogger..

Lidt sat på kandten kan man vel sige at det koster at digitalisere samfundet, så hvis en vagtordning er nødvendig på biblioteket, så må det være sådan.

I mellemtiden fandt jeg lige denne artikel - det lader til at mange er hoppet med på os2borger-vognen. Lad os håbe det virker og at udstyret er sikret mod fysiske hacks :-) https://www.version2.dk/artikel/kommuner-fravaelger-open-source-sikkerhe...

mvh

  • 2
  • 0
#13 Christian Nobel

Lidt sat på kandten kan man vel sige at det koster at digitalisere samfundet, så hvis en vagtordning er nødvendig på biblioteket, så må det være sådan.

Nej, nej, og atter nej.

Man skal digitalisere der hvor det giver mening, ud fra den betragtning at staten er til for borgerne, ikke omvendt!

Og hvis ting så endelig skal koste ekstra, så skal det være at der laves løsninger som er attraktive, og dermed tiltrækker brugen af systemerne, ikke at man tvinger folk til at bruge dem.

Endvidere så kunne man jo sørge for at vi fik en ægte digital signatur, som også kunne bruges mellem private aktører, i stedet for en broken-by-design SSO løsning.

  • 5
  • 0
#16 Henning Wangerin

Når en borger skal bruge en PC, udleveres der fra en BLÅ kasse, en USB stick med pre-installeret OS. Når borgeren er færdig puttes USB stick'en i en RØD kasse, så den samme ALDRIG genbruges mellem to borgere.

Som andre har skrevet, så tror jeg ikke at det vil være fejlfrit.

Hvad med alternativet at boot fra en cd/dvd, som er låst inde med maskinen. Og selvfølgelig bios sat op så der kun kan bootes på cd, og ingen harddisk.

Jeg har ikke prøvet at rewrite en RW cd/dvd, men den er mountet.

At rewite en USB-pind eller disk som er mountet som systemdisk er muligt. Jeg har prøvet det. Det giver nogle sjove resultater ;-)

/Henning

  • 0
  • 1
#17 Steen Bundgaard

Man kan også vælge atlægge Deep Freeze på så genskabes pcen ved hver genstart, kræver admin at lægge noget ind der gemmes. Vi brugte det meget til de pc vi leverede til den lokale skole i starten af 00erne mener programmet er freeware nu men ikke sikker

  • 1
  • 1
#18 Maciej Szeliga
  • 0
  • 0
Log ind eller Opret konto for at kommentere