Rørte ikke en finger: Udenrigsministeriet har kendt sikkerhedsbrist i 3 år

1. april 2011 kl. 06:596
Udenrigsministeriet blev allerede i 2008 gjort opmærksom på, at indrapportering af op mod 50.000 udlandsdanskeres personlige oplysninger var hamrende utæt. Oplysningerne blev endda sendt retur pr. e-mail ? ukrypteret.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Udenrigsministeriet har i tre år vidst, at den såkaldte danskerliste, hvor udlandsdanskere kan indrapportere en lang række personlige oplysninger til brug i krisesituationer, var lige så usikker som det spæde lag is på søen efter den første nattefrost.

Allerede i 2008 gjorde en bruger af løsningen nemlig opmærksom på, at formularen, hvor man som udlandsdansker skal indtaste navn, adresse i Danmark, adresse i udlandet, telefonnummer, e-mailadresse og pasnummer, var implementeret som en helt igennem ukrypteret løsning på ambassadens hjemmeside.

»Da jeg registrerede mig på den danske ambassade i New York i 2008, sendte jeg en e-mail til dem, da jeg opdagede, at de ville have alle mine oplysninger over en ikke-krypteret side. Det første svar jeg fik retur, var, at siden skam var krypteret, selv om det overhovedet ikke passede,« fortæller Søren Dreijer til Version2, fra sit nye hjem i Minnesota.

Søren Dreijer er grundlægger og CTO i firmaet Echobit, der udvikler netværkssoftware ud fra hovedkontoret, så han var ikke et øjeblik i tvivl om, at siden ikke var krypteret.

Artiklen fortsætter efter annoncen

»De sendte så et link tilbage, som var https og fortalte, at de bare ikke havde fået udskiftet linket på selve ambassadens hjemmeside endnu men at de selvfølgelig ville gøre det straks,« fortæller han videre.

Dette er dog her, tre år senere, endnu ikke sket. Men Søren Dreijers profesionelle forargelse stopper ikke ved den ukrypterede løsning:

»Da jeg så endelig fik indtastet mine oplysninger over det https-link, jeg fik tilsendt, fik jeg en bekræftelsesmail retur med alle de, oplysninger, jeg lige havde givet. Ukrypteret. Og så var det, at jeg som professionel it-mand ikke syntes, det var sjovt længere. For hvad er pointen så?« lyder det fra Søren Dreijer.

Version2 har i flere omgange forgæves forsøgt at få Udenrigsministeriet til at svare på en række spørgsmål om, hvornår de blev bekendt med sikkerhedsbristen, hvilke konsekvenser ministeriet har draget ? og hvornår - samt om ministeriet har overvejet at give besked til de implicerede udlandsdanskere om, at deres data kan være misbrugt.

Artiklen fortsætter efter annoncen

I stedet har Version2 modtaget en e-mail, hvori det blandt andet hedder:

»Som Version2 er bekendt med, er Udenrigsministeriet i gang med at anskaffe en ny it-løsning for danskerlisterne. Her vil der blive stillet høje krav til datasikkerhedsniveauet. Ifølge den nuværende plan vil der blive indgået kontrakt med leverandør af et ny danskerlisteløsning i løbet af sommeren 2011 og det nye system forventes at være operativt i løbet af 2. halvår 2011,« skriver Udenrigsministeriet og fortsætter:

»Indtil da vil Udenrigsministeriet benytte det nuværende it-system, også selv om det har et lavere sikkerhedssystem end det fremtidige it-system, idet der som Version2 korrekt har påpeget, opereres med en ukrypteret forbindelse. Det kan dog oplyses, at i forbindelse med forberedelsen af indførsel af en ny teknisk løsning for Udenrigsministeriets hjemmeside i 2011, vil repræsentationernes danskerlister allerede i næste uge blive overført til et andet website, som vil operere med en krypteret forbindelse på afsendelse af alle danskerlisteregistreringer.«

Det er Globe Team og Netcompany, som har det tekniske ansvar for den nuværende danskerliste-løsning.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
1. april 2011 kl. 10:39

Hvorfor er der et billede fra Japans katastrofe på forsiden af denen her historie?

Smagløst??

4
1. april 2011 kl. 11:07

Danskerlisten er fra Udenrigsministeriet tænkt som et redskab til brug i krisesituationer som eksempelvis jordskælvet/tsunamien/atomulykkerne i Japan.

Jeg havde aldrig gættet, at nogle kunne opfatte brugen af et billede herfra som smagløst, men tager det ad notam og har nu skiftet billedet til et skærmdump af danskerlisten.

Vh Morten, Version2.

5
1. april 2011 kl. 11:13

Morten, man kunne da godt argumentere for at det var relevant.

Men jeg faldt mest over at der i historien ikke bliver nævnt noget om Japan og kunne så ikke se relevansen.

Det er jo et (meget relevant) teknisk indlæg.

Selve historien er jo grotesk, og jeg syntes det er rigtig godt at I fortæller om den.

6
1. april 2011 kl. 16:11

Bliver der fulgt op på ministeriets ikke-svar? Det er jo ikke rimeligt at de fortæller alt muligt andet end det der bliver spurgt om.

Så snart der er fundet en fejl, så bliver der genereret udenomssnak i lange baner. Hvorfor er det så pokkers farligt at indrømme at man har lavet en fejl? Alle fejler, vi skal bare sørge for at vi ikke altid laver den samme fejl.

Man kunne jo bare have været ærlige og sagt: Vi har ikke fulgt systematisk op på de få henvendelser der har været om emnet. Vi har prioriteret vores ressourcer til andre ting. Vi er nu blevet bekendt med at der kan være flere uhensigtsmæssige konsekvenser end først antaget. Vi beklager det skete. Vi vil skrive tilbage til alle de personer hvis emailadresser vi stadig har registreret, og advare mod de mulige men ikke særlig sandsynlige konsekvenser. For de personer vi ikke længere har email adresser vil vi ikke gøre yderligere. Slut-prut.

Det tog lige 2 minutter, og så var den ged helt glat og fin. I stedet bliver det en omgang luskefis med bortforklaring. Det er fandme for tyndt.