Sikkerhedsfagmand om e-Boks-sag: Uvedkommendes adgang til fortrolige løndata kunne have været undgået

NemID kan anvendes til at sikre følsomme oplysninger mod at blive læst af forkerte modtagere.

Miseren i begyndelsen af denne uge, hvor en række e-Boks-indehavere uretmæssigt fik adgang til andre borgeres skatte- og CPR- oplysninger som følge af 2.046 fejlleverede lønsedler, kunne have været undgået.

Det fastslår Bjarke Alling, der er stifter af it-selskabet Liga, der udvikler software til digital sikkerhed, identitet og mobilitet.

NemID-systemet kan nemlig anvendes til at sikre de følsomme oplysninger mod at blive læst af forkerte modtagere.

»Det er en tragikomisk situation, der er opstået, når vi i Danmark har en national PKI-infrastruktur, nemlig NemID, som snildt kan anvendes til at forhindre, at følsomme data kommer til de forkertes kendskab,« siger han.

Læs også: Softwarefejl hos Nets sender over 2.000 lønsedler i hænderne på de forkerte

Fejlleveringen kan ikke forhindres ad den vej, men den uretmæssige adgang til data kunne forhindres, hvis Bluegarden krypterede løndata på genereringstidspunktet – ikke når de overleveres til Nets.

Derefter ville forkerte modtagere kun kunne se enkelte metadata, nemlig et uskyldigt PID-nummer, som identificerer modtageren. Og kun den rette modtager ville kunne få adgang til indholdet med sin private nøgle, siger han.

Læs også: e-Boks: »Ideen om en log vil vi gerne tage med i vores overvejelser«

Ifølge ham behøver Bluegarden ikke engang at tage CPR i brug for en sådan procedure, der svarer til den validering af brugerne, som Den Blå Avis’ NemID anvender.

»Den forkerte adressat vil kunne se, at der er kommet en lønseddel til f.eks. en Michael Hansen, men det vil ikke være muligt at læse for uvedkommende – og der er ikke sket skade,« forklarer Bjarke Alling.

Kuldegysninger

Hvorfor tror du, at e-Boks ikke har taget NemID i brug til dette formål?

»Det handler om, hvad der opfattes som godt nok – men som bare ikke er det. Hvis det eneste, man pejler efter, er at overholde reglerne og være compliant, så indretter man sig altså efter, hvad der er godt nok og billigst muligt, men ikke efter at give brugerne den bedst mulige sikkerhed. Det er efter min mening ikke godt nok,« siger han.

Læs også: »Helt ekstraordinært« fjerner e-Boks 2.046 fejlleverede lønsedler

Bjarke Alling er samtidig stærkt forundret over, at e-Boks omfatter et API, der tillader, at selskabet kan tilbagekalde eller fjerne et leveret dokument fra en e-Boks-konto.

»Det gør jo, at systemet også kan misbruges, både af kriminelle og i værste fald med et politisk formål. Jeg får kuldegysninger, når jeg hører, at det var muligt at tilbagekalde lønsedlerne,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
Mads Bendixen

ifølge eboks.dk:

Du kan trygt lægge dine vigtige papirer og dokumenter i e-Boks.
Det er faktisk som din egen bankboks på nettet. Du kan gemme alt fra skøder og fødselsattest til fotos af dine værdigenstande til forsikringsbrug. Brug e-Boks app'en og gem de billeder eller dokumenter, som du ønsker at passe særligt godt på.

Peter Lundtofte

At vi nu ved at e-boks er i stand til at slette indhold i din e-boks, hvis bare hensynet til X vejer tungt nok. Det skræmmer mig, for så er der jo åbnet for muligheden.

At e-boks udtaler:

"Der er aldrig nogen, der har fået fjernet dokumenter, uden de har fået klar besked om, hvorfor og hvad der er sket. Men ideen om en log vil vi gerne tage med i vores overvejelser."

Det er jo tom luft. Ingen må kunne få fjernet dokumenter fra hvad der skulle have været en dyb personlig e-boks. E-boks kan hverken dokumentere eller garantere at ovenstående udtalelse er korrekt.

Jeg mener ikke at hensynet til 2046 kompromitterede mennesker opvejer muligheden for at e-boks kan slette indhold i min "personlige" e-boks. Når alt kommer til alt, er det nok også mere at det er NETS fadæse, der vejer tungt i deres beslutning.

Simon Mikkelsen

"Der er aldrig nogen, der har fået fjernet dokumenter, uden de har fået klar besked om, hvorfor og hvad der er sket. Men ideen om en log vil vi gerne tage med i vores overvejelser."

Det er jo tom luft. Ingen må kunne få fjernet dokumenter fra hvad der skulle have været en dyb personlig e-boks.

Jeg ser flere problemer. Først at man overhovedet kan slette noget fra E-Boks. E-Boks forsvarer sig så jævnfør citatet.

Men løsningen i sig selv garanterer ikke at folk får besked når noget slettes. Det er bare noget de har gjort, men der er ingen garanti for at de gør det en anden gang.

Dernæst er sletningen af data, i vores påtvungne og juridisk gyldige postkasse, sket ved at snakke med nogle jurister og Datatilsynet. Det er igen bare noget de har gjort, men det svarer på ingen måde til en afgørelse fra Fogedretten eller domstolene. Det svare måske til at ringe til Politiet og få lov til at bryde ind i et hus for at hente noget som husets ejer har stjålet fra mig.

Hvis jeg misser et brev i E-Boks kan jeg tabe rigtig mange penge eller komme i fængsel. Samtidig har Nordea lige sendt mig en reklame for et lige gyldigt foredrag, og E-Boks kan åbenbart slette efter forgodtbefindende i boksen uden at jeg aner det. Min tillid ligger på et meget lavt niveau.

Henrik Biering Blogger

At dømme ud fra denne ældre nyhed er det slet ikke noget enestående tilfælde og skyldes jf. det oplyste åbenbart at man får sammenblandet data for forskellige personer ét eller andet sted undervejs i processen.

Hvis sammenblandingen sker allerede hos den myndighed, der skal udsende skrivelsen hjælper Bjarke Allings forslag ikke.

Det gør derimod mit daværende forslag om "digital rudekuvert". Det eliminerer helt muligheden for fejlfletninger. Det tillader også at man vil kunne sende digital post til folk helt uden at afsender behøver kende hverken CPR eller PID-nummer. Hvilket formentligt kunne føre til en langt større brug af E-boks fra private virksomheder.

At indholdet af skrivelserne iøvrigt bør være krypteret under sin passage af E-boks, er jeg dog ikke uenig i.

Ditlev Petersen

Skal man:
a) Lade fejlleveret post ligge? Denne gang var det bare en lønseddel, en anden gang var det måske noget om en medicinsk undersøgelse. Eller en tilsigelse. Nej, man kan ikke forsvare, at lade det ligge.
b) Er det i orden, at gud og hvermand og kommunen, kan slette og redigere i allerede afleveret post? Nej, det er heller ikke i orden.
Men man kan ikke helt sammenligne, at e-boks sletter en række fejlafleverede lønsedler med, at arbejdsgiveren/e-boks/kommunen/postvæsenet bryder ind i ens hjem. At e-boks kan gøre noget, er heller ikke (nødvendigvis) det samme som, at alle andre kan.

Men altså nu er det demonstreret, at e-boks er problematisk. Så forslaget om at kryptere filer, er nok det hidtil bedste. Altså bliver posten leveret i min postkasse, kan det fiskes op med forskellige redskaber, eller postbrevkassen kan åbnes med en stor skruetrækker. Og mit hjem kan åbnes på 20 sekunder (ikke lydløst, men det kan man). Jeg håber bare, at implementeringen ikke bliver noget med at skulle bruge koder for hvert eneste dokument, jeg skal se. For så er det for besværligt, og e-boks bliver boykottet.

Og man kan selvfølgelig også bare kræve, at firmaer/institutioner, der leverer post til e-boks, ikke MÅ begå fejl. Okay, hvem af os har aldrig lavet en fejl? En rigtig STYG fejl? Hvem har INTET lavet og hvem taler usandt? Kun Gud Herren er fejlfri, og han arbejder mig bekendt ikke med it.

Flemming Seerup

a) Lade fejlleveret post ligge? Denne gang var det bare en lønseddel, en anden gang var det måske noget om en medicinsk undersøgelse. Eller en tilsigelse. Nej, man kan ikke forsvare, at lade det ligge.


Ok, men hvor langt vil "man" så forsvare at gå for at hente det igen, hvis det var et fysisk brev?

  1. fiske det op af postkassen
  2. hente det fra køkkenbordet, hvis man havde tømt postkassen

Og hvorfor skulle man ikke kunne sammenligne eboks med postkassen, når der nu dels afleveres private breve i den, som iflg. eBoks er opbevaret som i en personlig bankboks (må kommunen/postdanmark åbne bankbokse?), og dels er der stadig issuet med brevhemmeligheden.

Ja, folk kan begå fejl. men de kan også sende forkerte lønsedler eller personlige oplysninger fra lægen til din fysiske postkasse.

Ditlev Petersen

Og hvorfor skulle man ikke kunne sammenligne eboks med postkassen, når der nu dels afleveres private breve i den, som iflg. eBoks er opbevaret som i en personlig bankboks (må kommunen/postdanmark åbne bankbokse?), og dels er der stadig issuet med brevhemmeligheden.


Så man skal lade lønsedlerne, den positive HIV-test, sigtelsen for pædofili etc. ligge? Der er faktisk forskel på den fysiske postbrevkasse (eller hvad kassen u hedder), at man ikke behøver rode rundt for at finde fejlafleveret post. Det ville også være meget svært.

Uanset hvad man gør, er det noget rod.

Flemming Seerup
Bjarne Nielsen

a) Lade fejlleveret post ligge?

Nu snakkes der meget om den fysiske postkasse som analogi, og der er fejlaflevering bestemt også et kendt fænomen. Jeg har adskillige gange læsset naboens post over i naboens postkasse, og det er sket at jeg har ringet på, hvis det så vigtigt nok ud.

Til gengæld savner den elektroniske udgave noget, som svarer til konvolutten. Og det vil være nemt at indføre, for som Bjarke peger på, så har vi allerede infrastrukturen og teknikken på plads.

b) Er det i orden, at gud og hvermand og kommunen, kan slette og redigere i allerede afleveret post? Nej, det er heller ikke i orden.

Og her har vi også allerede mange af stumperne på plads. I en central løsning vil efterfølgende manipulation (eller forsøg på tilbagedatering) løses nemt ved at have en "digital notar" til at sætte tidsstempel. Det kan endda laves anonymt.

Men ellers burde det være oplagt at kunne replikere breve over på servere, som borgerne stoler mere på, hvis der - som Bjarke foreslår - er tale om at posten er krypteret med modtagerens nøgle. Og det er sørme svært at ændre eller slette i noget, som man ikke kan nå!

Ønsker man ikke dette, så kan man i det mindste ledsage notifikationer til borgerne med en hash af beskeden og af loggen indtil nu (behørigt gjort uafviseligt) - så har borgerne i det mindste muligheden for at se, hvis der efterfølgende er sket noget.

Kenn Nielsen

..noget som helst...men;

Så vidt jeg forstår, så kan afsender betragte sit brev som læst af modtagerne i selvsamme øjeblik som der trykkes på "send".

  • Dette er et problem, for vi ser nu , at der kan være store - næsten 'postnord-agtine' - udsving i leveringstiderne.

Og har man en trang til at bagatellisere ovenstående, så kan vi jo vende den om:

  • Betyder dette at samtlige modtagere af fejlleveret e-box-post nu bliver sigtet for at have læst andres post ?

K

Michael Nielsen

Sjovt nok er dette ældgammel (over 20 år) teknologi, som (igen igen) Danmark har valgt at bruge mange penge på at genopfinde ved at lave E-Boks. (det er jo bare skatte penge, så dem kan vi jo bruge løs af - mener politikere og embedsmænd åbenbart).

Jeg så hellere man brugte noget som gængs, og kendt som feks gpg, hvor man fra afsenderens side krypterede emailen med den krypterings nøgle som tilhører borgeren, derved kan kun den rette borger læse brevet.

DVS en fejlleverance, betyder man modtager et brev man ikke kan læse, noget ala en konvelut i en postkasse. Det betyder også de eneste der kan læse post er modtageren..

Det stopper dig så ikke for at adressere et brev forkert, men det er lige så med fysisk post.

Det betyder selvfølgeligt at borgerne skal installere et plugin i deres postprogram til at håndtere kryptering, men jeg ville personligt foretrække dette, og derfter, reduere eboks til et arkiv, der gemme informationer om hvilken mails (konverlutter) du skulle havde modtaget - mangler du en kan du så bede afsender om et nyt kopi.

Men i det mindste skal EBoks tvinges til at kunne videresende mails krypteret til en borgers egen postkasse, for arkiv grunde, hvis borgeren ønsker dette - det har de nægtet at gøre, jeg har flere gange bedt om at få mails leveret til min post kasse, så jeg ikke skal ind og rode i det lorte eboks system.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017