Nets: Vi begyndte først på DDoS-beskyttelse for NemID i januar

Det var først i januar 2013, Nets DanID begyndte arbejdet på en løsning, der kunne beskytte NemID mod DDoS-angreb. Samme måned ramte et angreb og skabte nedetid. Nets afviser at kommentere, om DDoS-beskyttelsen er kommet for sent.

I 2012 påbegyndte Nets DanID en dialog med en underleverandør om en mulig løsning til at forebygge DDoS-angreb. Og først siden januar har der konkret været arbejdet på en løsning, der skal forhindre angreb.

Sådan lyder det fra Nets, da Version2 spørger, hvad man har gjort for at beskytte NemID mod de distribuerede denial-of-service-angreb, DDoS, der nu adskillige gange har spærret for brugen af NemID. Et af angrebene kostede ifølge bagmændene kun ti dollars at sætte op. Dermed har NemID, som bliver brugt både til netbank, af alle offentlige hjemmesider og en række private firmaer, været uden reel DDoS-beskyttelse i to et halvt år, fra lanceringen i juli 2010.

Hvorfor har I ikke fra begyndelsen tænkt på et værn mod DDoS-angreb?

»Det har jeg ingen kommentarer til,« siger Søren Winge, kommunikationschef i Nets DanID, til Version2.

Faktisk var DDoS-angreb slet ikke på dagsordenen før et stykke hen i 2012.

»Vi begyndte optrapningen mod DDoS i foråret 2013 og har haft projektet i gang i hele 2013. Angrebene 24.-25. marts fik os til at fremskynde det,« siger Søren Winge, kommunikationschef i Nets DanID, til Version2.

Læs også: Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur

Søren Winge fortæller, at angrebene den seneste måned blev blokeret af DanID, inden de ophørte af sig selv. Det er altså, ifølge DanID, lykkedes at bremse angrebene.

»Vi fik bremset effekten af angrebene, selv om de ikke stoppede. 11. april havde vi en løsning klar, som bremsede angrebene, men som gik ud over tilgængeligheden af NemID for én til to procent af brugerne,« siger Søren Winge og fortsætter:

»Det betyder, at vi havde et tradeoff mellem at være ramt af angrebet eller have et aktivt filter, der har den konsekvens, at vi får grovsorteret for meget i trafikken. Ugen efter (16. april, red.) havde vi fået trimmet filteret, og det lykkedes op til weekenden at få det til at køre stabilt.«

Ifølge Søren Winge var der i dagene efter 16. april løbende mindre angreb, der tester NemID-systemet.

»Det har gennemgående været lidt forskellig fremgangsmåde for de DDoS-angreb, vi har set,« siger Søren Winge og afviser at kommentere mere konkret på angrebene.

Fejl at DDoS-angreb ikke tæller med i statistik

Version2 skrev mandag ud fra aktindsigt i Nets DanID's rapporter til Digitaliseringsstyrelsen, at også NemID-nedbruddene i januar og februar skyldtes DDoS. Det ville Nets dengang ikke bekræfte udadtil.

Læs også: Intern rapport afslører hemmeligholdte DDoS-angreb mod NemID

Hvorfor fortæller I ikke om DDoS-angreb?

»Vi holder vores kunder (bankerne og det offentlige, red.) orienteret om hændelser hos DanID, der påvirker driftsstabiliteten på NemID (…). Derudover rapporterer vi løbende på vores oppetider på NemID-systemet, hvilket man kan følge med i på nemid.nu,« skriver Søren Winge i en mail til Version2 og fortsætter:

»Vi har således orienteret de interessenter, vi mener, disse oplysninger er relevante for, og alle andre kan følge med i vores oppetider på nettet.«

Hvis vi kigger på de to hændelser fra januar og februar, er det kun angrebet fra februar, der er nævnt under driftsstatussen. Hvordan kan det være?

»Vi giver i det hele taget ikke detaljerede forklaringer, og det er derfor, der ikke står noget om DDoS.«

Det er jeg helt med på, men jeg spørger også til konsekvensen, ikke årsagen. Hvordan kan det være, at det kun er februar-nedetiden, der bliver nævnt, og ikke januar?

»Vi registrerer det, der har betydning for systemet.«

Hvis vi kigger på DDoS-angrebet i februar, omtales nedetiden på siden - det angreb forårsagede nedetid på 20 minutter. Angrebet i januar er ikke nævnt, men det forårsagede nedetid i 40 minutter.

»Jeg kan ikke svare på, hvorfor det ikke er med i historikken, men generelt er det vores politik, at det bliver registreret, så det må være en fejl. 25. januar burde fremgå af driftsstatistikken.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

»Vi holder vores kunder (bankerne og det offentlige, red.)

Så NemID har kontrol over min digitale identitet, og jeg er tvunget til at bruge NemID-monopolet. Men NemID betragter mig ikke som deres kunde, og føler sig ikke engang forpligtet til at holde mig informeret.

Så kan det vist ikke siges tydeligere hvorfor politikerne har valgt en forkert løsning.

NemID er ligeglade med dig og mig. Hvilket jo også kan ses på prioriteten og implementation af opbevaringen af egne nøgler, som jo stadig ikke kan bruges i banken. NemID burde arbejde for mig, ikke for bankerne.

Hvis jeg skulle lave en løsning, så skulle det være staten som udstedte min signatur direkte til mig, med mulighed for at jeg deponerede signaturen hos en valgfri udbyder som NemID. Login-bokse som hos skat.dk skulle så virke lige som OpenID, hvor jeg blev sendt videre min login-udbyder (eller signeret direkte af min privat opbevarede signatur). Lige nu er NemID jo et kunstigt monopol.

Thue Kristensen

Selv med NemID's dårlige track-record havde jeg troet at de havde tænkt DOS-beskyttelse ind i designet fra starten, og testet for det. Det er jo en fuldstændigt elementær sikkerheds-foranstaltning for sådan et oppetids-kritiskt og dyrt system, og åbenlyst mål.

Men måske burde jeg ikke være overrasket. De havde jo heller ikke tænkt over at brugeren skulle have en måde at vide om han sendte sit password til den rigtige. Jeg troede ikke mine egne øjne første gang jeg så en NemID-login-boks, hvor den manglende placering på en kendt adresse så åbenlyst manglede basalt sikkerheds-design.

Få så fyret Nets, politikere!

Finn Christensen

»Vi holder vores kunder (bankerne og det offentlige, red.)

Så NemID har kontrol over min digitale identitet, og jeg er tvunget til at bruge NemID-monopolet. Men NemID betragter mig ikke som deres kunde..

Nej da Thue, bankerne og det offentlige bestilte, samt du får hele regningen og alt bøvlet - du er "malkekoen".

Desuden er vi i privat regi her og ikke hos det offentlige - heldigvis - og ministeren er lykkelige for at Nets samt bankerne få tæskene hver dag :)

Jon Linde

...Det vil kræve en fordobling eller tredobling af celler incl. et gigantisk nybyggeri.

og det er et problem?
Vi kan tage pengene fra det beløb som NETs bliver betalt.
Både byggeriet og efterfølgende faste stillinger vil skabe rigtige arbejdspladser.
Alle vinder - undtaget NETS - hvilket jeg ikke kan se et problem med.
[advarsel] Humor kan være anvendt [/advarsel]

Christian Nobel

og det er et problem?
Vi kan tage pengene fra det beløb som NETs bliver betalt.
Både byggeriet og efterfølgende faste stillinger vil skabe rigtige arbejdspladser.
Alle vinder - undtaget NETS - hvilket jeg ikke kan se et problem med.
[advarsel] Humor kan være anvendt [/advarsel]

Nu vi er i gang, hvorfor ikke inkludere rejsekortet, samt sælge IC4 som gammelt jern (jernpriserne er vist endda rimeligt høje for tiden).

Og der er jo ingen der siger at disse fængsler skulle være specielt behagelige.

Log ind eller Opret konto for at kommentere