Teknisk gæld får skylden for krypterings-mangler hos Rigspolitiet

7 kommentarer.  Hop til debatten
Teknisk gæld får skylden for krypterings-mangler hos Rigspolitiet
Illustration: Rigspolitiet.
Efter kritik fra Datatilsynet svarer Rigspolitiet nu tilbage. Årsagen til, at man i flere år har brugt en forældet krypteringsprotokol er, at man har været i færd med en større it-omlægning.
20. april 2021 kl. 10:39
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Teknisk gæld får skylden for, at Rigspolitiet i flere år ikke har levet op til de anbefalinger, der kom fra Datatilsynet med hensyn til brugen af en TLS-sikkerhedsprotokol.

Det skriver Computerworld.

Når borgere digitalt søgte om våbentilladelse har der således i flere år ikke været godt nok styr på it-sikkerheden, når det kom til behandlingen af CPR-numre. Det konstaterede Datatilsynet, der kritiserede Rigspolitiet for at benytte den usikre TLS-sikkerhedsprotokol version 1.0.

Men det er en række it-omlægninger og teknisk gæld, der er skyld i, at man på trods af, at Datatilsynet har anbefalet version 1.2 eller nyere siden 2018, først fik en tidsvarende løsning implementeret i februar i år.

Artiklen fortsætter efter annoncen

»Det tager tid at implementere disse løsninger og indfri teknisk gæld. Og vi skal også huske, at TLS version 1.0 stadig er kryptering. Den vurderes blot ikke tidssvarende nu, og naturligvis skal vi op på de nyere versioner. Det har ligget i planerne hele tiden, men det tager tid både at få opgraderet den grundlæggende platform og selvbetjening med blanketterne,« forklarer Rigspolitiets CIO, Lars Ole Dybdal, til Computerworld.

Selvom brugen af TLS-sikkerhedsprotokollen i version 1.0 giver en række sårbarheder idet krypteringsnøglen er svagere, så er Rigspolitiets CIO ikke bekymret for, at der har været læk af data på grund af den svagere kryptering.

7 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
21. april 2021 kl. 08:50

Det tager tid at implementere disse løsninger og indfri teknisk gæld. Og vi skal også huske, at TLS version 1.0 stadig er kryptering.

Svarer det argument ikke til at sige "Det er besværligt at skulle overholde loven?"?

Gad vide vide hvad samme betjent vill sige, hvis han stoppede mig på motorvejen og jeg forsvarede med, at sige "i gamle dage var der fri hastighed på motorvejen og at det er for besværligt, at skulle følge med i alle de vejskilte"?

6
20. april 2021 kl. 22:47

De har nok større problemet end TLS1.0

Mon ikke de kører på en 2003 hvis de er så langt ned i TLS support blandet med ASP

Prøv at høre dem om det , så kan de jo sikkert sige , det kan godt være serveren er patchet men der er ikke jo ikke flere opdateringer , eller hvad deres udgave af det er jo kryptering nu ender med at blive

Det er ærgeligt de skal bruge deres tid på at vedligeholde gamle systemer som sikker kostere flere penge og timer end at flytte til nyt , som de formodentelig har fået nej til de sidste 7 år de har bedt om penge da det er en anden kasse end drift.

5
20. april 2021 kl. 15:51

Når noget så banalt som at få opgraderet en webserver til at understøtte TLS 1.2 ikke er sket, så kan man have en begrundet mistanke om at der gemmer sig masser af anden teknisk gæld nede i Politiets IT maskinrum.

Det kan fortsat løses med pound eller nginx - det er bare en kasse man sætter foran og lader den stå for https, det tager ca 10 min. at sætte op.

...og man kan fortsætte med at køre TLS 1.0 på bagsiden (i hvert fald på pound) så der er kryptering hele vejen.

4
20. april 2021 kl. 15:27

Når noget så banalt som at få opgraderet en webserver til at understøtte TLS 1.2 ikke er sket, så kan man have en begrundet mistanke om at der gemmer sig masser af anden teknisk gæld nede i Politiets IT maskinrum.

Det gør mig ikke tryg når der er tale om en statslig myndighed med uhindret (og i vid udstrækning ukontrolleret) adgang til mine personlige data.

3
20. april 2021 kl. 13:51

Baseret på hvad? Gut feeling?

De deler sikkert data med NSA i forvejen, så hvorfor spilde tid på det.

Web kryptypering er faktisk ikke så kritisk i forhold til cyberkriminelle, det er mere stater, som kan tiltvinge sig adgang til at lytte med på din kommunikation.

2
20. april 2021 kl. 13:22

Selvom brugen af TLS-sikkerhedsprotokollen i version 1.0 giver en række sårbarheder idet krypteringsnøglen er svagere, så er Rigspolitiets CIO ikke bekymret for, at der har været læk af data på grund af den svagere kryptering.

Baseret på hvad? Gut feeling?

1
20. april 2021 kl. 12:40

En webserver nu om dage skal ikke håndtere kryptering, der har man en nginx foran til at klare.

Så applikationen skal bare demotes til kun at køre http.