Rørte ikke en finger: Udenrigsministeriet har kendt sikkerhedsbrist i 3 år
Udenrigsministeriet har i tre år vidst, at den såkaldte danskerliste, hvor udlandsdanskere kan indrapportere en lang række personlige oplysninger til brug i krisesituationer, var lige så usikker som det spæde lag is på søen efter den første nattefrost.
Allerede i 2008 gjorde en bruger af løsningen nemlig opmærksom på, at formularen, hvor man som udlandsdansker skal indtaste navn, adresse i Danmark, adresse i udlandet, telefonnummer, e-mailadresse og pasnummer, var implementeret som en helt igennem ukrypteret løsning på ambassadens hjemmeside.
»Da jeg registrerede mig på den danske ambassade i New York i 2008, sendte jeg en e-mail til dem, da jeg opdagede, at de ville have alle mine oplysninger over en ikke-krypteret side. Det første svar jeg fik retur, var, at siden skam var krypteret, selv om det overhovedet ikke passede,« fortæller Søren Dreijer til Version2, fra sit nye hjem i Minnesota.
Søren Dreijer er grundlægger og CTO i firmaet Echobit, der udvikler netværkssoftware ud fra hovedkontoret, så han var ikke et øjeblik i tvivl om, at siden ikke var krypteret.
»De sendte så et link tilbage, som var https og fortalte, at de bare ikke havde fået udskiftet linket på selve ambassadens hjemmeside endnu men at de selvfølgelig ville gøre det straks,« fortæller han videre.
Dette er dog her, tre år senere, endnu ikke sket. Men Søren Dreijers profesionelle forargelse stopper ikke ved den ukrypterede løsning:
»Da jeg så endelig fik indtastet mine oplysninger over det https-link, jeg fik tilsendt, fik jeg en bekræftelsesmail retur med alle de, oplysninger, jeg lige havde givet. Ukrypteret. Og så var det, at jeg som professionel it-mand ikke syntes, det var sjovt længere. For hvad er pointen så?« lyder det fra Søren Dreijer.
Version2 har i flere omgange forgæves forsøgt at få Udenrigsministeriet til at svare på en række spørgsmål om, hvornår de blev bekendt med sikkerhedsbristen, hvilke konsekvenser ministeriet har draget ? og hvornår - samt om ministeriet har overvejet at give besked til de implicerede udlandsdanskere om, at deres data kan være misbrugt.
I stedet har Version2 modtaget en e-mail, hvori det blandt andet hedder:
»Som Version2 er bekendt med, er Udenrigsministeriet i gang med at anskaffe en ny it-løsning for danskerlisterne. Her vil der blive stillet høje krav til datasikkerhedsniveauet. Ifølge den nuværende plan vil der blive indgået kontrakt med leverandør af et ny danskerlisteløsning i løbet af sommeren 2011 og det nye system forventes at være operativt i løbet af 2. halvår 2011,« skriver Udenrigsministeriet og fortsætter:
»Indtil da vil Udenrigsministeriet benytte det nuværende it-system, også selv om det har et lavere sikkerhedssystem end det fremtidige it-system, idet der som Version2 korrekt har påpeget, opereres med en ukrypteret forbindelse. Det kan dog oplyses, at i forbindelse med forberedelsen af indførsel af en ny teknisk løsning for Udenrigsministeriets hjemmeside i 2011, vil repræsentationernes danskerlister allerede i næste uge blive overført til et andet website, som vil operere med en krypteret forbindelse på afsendelse af alle danskerlisteregistreringer.«
Det er Globe Team og Netcompany, som har det tekniske ansvar for den nuværende danskerliste-løsning.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
