S: Offentligt link-forbud i e-mails er en god løsning

Der er socialdemokratisk ros til Digitaliseringsstyrelsens udmelding om, at det skal være helt slut med links til selvbetjeningsløsninger i mails sendt fra det offentlige.

Et fuldstændigt stop for links til selvbetjeningsløsninger i mails sendt fra offentlige instanser er en god her og nu-løsning på den type phishing-angreb, som Ingeniøren og Version2 i en video har demonstreret, NemID-brugere er sårbare overfor. Det mener den socialdemokratiske tele- og it-ordfører Trine Bramsen

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Udmeldingen kommer efter, at Digitaliseringsstyrelsen på Version2 har slået fast, at det er definitivt slut for det offentlige med at sende uopfordrede e-mail med links til NemID-login-sider, da denne fremgangsmåde også kunne anvendes af it-kriminelle til at franarre folk deres login-oplysninger i såkaldte phishing-angreb. Skat har ellers ind til Version2 satte fokus på problemet praktiseret denne fremgangsmåde i millioner af e-mails til skatteyderne, hvor de opfordres til at tjekke deres forskudsopgørelse, selvangivelse og årsopgørelse på skat.dk.

Læs også: E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Læs også: Skat dropper links i e-mails: Sikkerhed kommer før brugervenlighed

»Det er en løsning, vi kan anvende nu og her for at afhjælpe problemet. Dermed sætter vi ikke punktum i den sag. Det sidste ord er ikke sagt i forhold til at udvikle sikkerhed, det skal vi selvfølgeligt blive ved med, men vi kan ikke gå og vente flere år på at finde en løsning,« siger Trine Bramsen til Version2.

Men du kan godt forestille dig en fremtid, hvor det igen bliver muligt at sende links i mails til borgerne?

»Det kan jeg sagtens, når vi har noget forbedret sikkerhed. Men lige nu kan vi bare se, der er nogle problemer med det her,« siger Trine Bramsen.

Hun er godt tilfreds med Digitaliseringsstyrelsens udmelding om stop for links i offentlige mails.

»Det er rigtigt flot, og det viser jo, at vi har en hurtigt reagerende offentlig sektor, når der bliver reageret sådan her på det. Det er værd at bemærke, at der bliver taget et initiativ, der kan afhjælpe problemet nu og her.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thue Kristensen

»Det er rigtigt flot, og det viser jo, at vi har en hurtigt reagerende offentlig sektor, når der bliver reageret sådan her på det. Det er værd at bemærke, at der bliver taget et initiativ, der kan afhjælpe problemet nu og her.«

Som sagt før: problemet er ikke at det offentlige sender emails med links ud. Problemet er, om borgerne ved at det offentlige ikke sender emails med links ud. Hvis borgerne ikke ved det, så vil borgerne stadig falde for den næste fishing-email med et link.

Og jeg har ikke set nogen forsøg på at informere den enkelte borger om, at han ikke må klikke på et link i en email som ser ud til at komme fra det offentlige. Indtil jeg ser det, så er Digitaliseringsstyrelsens udmelding rent sikkerhedsteater for politikerne.

  • 14
  • 1
#2 Martin Andersen

Emnet siger vist sig selv.

Yderligere ser jeg ikke at dette afhjælper problem. Problemet er jo netop andre en skat sender phising mails, selvfølgelig hjælper det ikke når folk er vant til at skat også gør det, men det afhjælper ikke problemet medmindre folk faktisk blev oplyst om at skat ALDRIG gør det og at man ikke skal stole på mails fra "skat" som gør. Jeg ser dog ikke at dette tiltag bliver oplyst overfor den almene dansker.

Længe leve IT-ordførere med indsigt....

  • 7
  • 1
#3 Martin Kofoed

Et øjeblik troede jeg lige, at hele NemID var truet. Men så indførte Det Offentlige link-forbud i mails fra Det Offentlige. Pyh. Således reddet på målstregen kan den behagelige følelse af sikkerhed atter indfinde sig.

  • 9
  • 0
#4 Jakob Peterhänsel

Eneste som får noget ud af dette, er borgerne som ikke har en nem adgang til det de bliver bedt om fra det offentlige! De andre phishing-mails kommer jo alligevel!

Hvorfor sender Skat eller andre offentlige myndigheder ikke en info mail ud om hvordan en legitim mail skal se ud, og hvad der skal stå i browseren før det er legitimt?

Men man kan da undres over at det kun er under NemID's HTTPS side der er EV certifikat på. skat.dk har ikke sådan et..

  • 2
  • 0
#5 Peter Favrholdt

Hvis nu alle borgere havde fået en rigtig digital signatur af staten - så kunne mails fra offentlige myndigheder: 1. signeres med den offentlige myndigheds signatur (så vi kan være sikker på hvor den kommer fra) 2. være krypteret med modtagerens offentlige nøgle (det giver sikkerhed for at andre ikke kan læse mailen).

Men ... ovenstående kommer nok først når en eller anden kan få 1E9 kr for at "designe en løsning".

  • 7
  • 0
#7 Claus Nielsen

En del af problemet med NemID bunder i at det er en java-applet der ligger i browsevinduet på mange forskellige hjemmesider der skal bruges til at logge ind med . Dette muliggør alle disse phishing angreb via forfalskede hjemmesider.

Hvis login i stedet foregik via et program eller en app eller hvad I nu vil kalde det, som initieres uafhængigt af en hjemmeside ville dette program kunne have en liste af alle supporterede sites man kan logge ind på, hvor brugeren så kunne vælge det ønskede site fra listen som en del af loginrutinen. Dernæst vil brugeren blive sendt over i browseren til den side på sitet der er sat som indgang efter login. Det ville gøre at man aldrig ville kunne følge et link til en loginside - man ville altid skulle logge ind ved manuelt at vælge loginprogrammet og så vælge fra en liste af godkendte sites.

Men det er måske for komplekst at gennemføre?

  • 2
  • 0
#8 Emil Moe

Eller bare et plugin til IE/Firefox/Chrome/Safari/Opera, hvor man får en eller anden boks frem som indikerer når man er på et NemID autoriseret site, men igen, det kan også forfalskes, ligesom din ide. Jeg synes forbud mod links i mails er fint, det er jo nemt at snyde folk med www.version2.dk og al software kan forfalskes, det bedste man kan gøre er at opdrage folk, samt kræve at man bruger nemid kortet BÅDE når man logger ind OG foretager ændringer

  • 0
  • 0
#9 Martin Andersen

@Claus Så skal alle borgere igen have noget installeret på deres computer + folk vil så på andre måder kunne logges til at installere et fake program.

I sidste ende går det ud på at oplyse brugerne og ellers prøve at gøre det så gennemskueligt som muligt. Specifikt så jeg ideen om at det login, altid skulle se i en popup hentet fra ét bestemt websted alá facebook metoden.

  • 0
  • 0
#11 Thue Kristensen

Hvorfor sender Skat eller andre offentlige myndigheder ikke en info mail ud om hvordan en legitim mail skal se ud, og hvad der skal stå i browseren før det er legitimt?

Så hvis NemID er brugt på 200 sider, så skal info-mailen indeholde en liste på 200 web-adresser, og brugeren skal huske den præcise stavemåde for hver URL (husk gentoftebibliotek.dk vs gentofte-bibliotek.dk)?

  • 0
  • 0
#14 Klaus Slott

Måske mest fordi "IT-folk" ikke formår at tale et sprog som "Maren i kæret forstår!

Det er jeg sådan set enig med dig i, men dette handler ikke om uddannelse.

Når man laver en løsning de fleste danskere skal kunne bruge - og hvor kriminelles misbrug potentielt kan ødelægge offerets liv. Så skal den kunne bruges sikkert af personer med kun basale forkundskaber. Det er vist demonstreret nu at den nuværende løsning er sårbar - selv for folk med IT kendskab. I den aktuelle debat har jeg svært ved at se, at det gør løsningen ret meget mere mere sikker, at der ikke er links i brevene. Banditterne skal bare bruge en anden angrebsvinkel.

Her vil man altså gerne ofre lidt brugervenlighed, for at gøre systemet marginalt mere sikkert..

ChipTAN og lignende er med god grund blevet kritiseret for at være besværlig. Til gengæld kan brugeren være rimeligt sikker på at det der står på displayet, det er hvad brugeren godkender.

  • 0
  • 0
Log ind eller Opret konto for at kommentere