Teknisk gæld får skylden for krypterings-mangler hos Rigspolitiet

Politiet har først i februar i år fået implementeret en løsning, der lever op til de anbefalinger, som Datatilsynet kom med i 2018. Illustration: Rigspolitiet
Efter kritik fra Datatilsynet svarer Rigspolitiet nu tilbage. Årsagen til, at man i flere år har brugt en forældet krypteringsprotokol er, at man har været i færd med en større it-omlægning.

Teknisk gæld får skylden for, at Rigspolitiet i flere år ikke har levet op til de anbefalinger, der kom fra Datatilsynet med hensyn til brugen af en TLS-sikkerhedsprotokol.

Det skriver Computerworld.

Når borgere digitalt søgte om våbentilladelse har der således i flere år ikke været godt nok styr på it-sikkerheden, når det kom til behandlingen af CPR-numre. Det konstaterede Datatilsynet, der kritiserede Rigspolitiet for at benytte den usikre TLS-sikkerhedsprotokol version 1.0.

Men det er en række it-omlægninger og teknisk gæld, der er skyld i, at man på trods af, at Datatilsynet har anbefalet version 1.2 eller nyere siden 2018, først fik en tidsvarende løsning implementeret i februar i år.

»Det tager tid at implementere disse løsninger og indfri teknisk gæld. Og vi skal også huske, at TLS version 1.0 stadig er kryptering. Den vurderes blot ikke tidssvarende nu, og naturligvis skal vi op på de nyere versioner. Det har ligget i planerne hele tiden, men det tager tid både at få opgraderet den grundlæggende platform og selvbetjening med blanketterne,« forklarer Rigspolitiets CIO, Lars Ole Dybdal, til Computerworld.

Selvom brugen af TLS-sikkerhedsprotokollen i version 1.0 giver en række sårbarheder idet krypteringsnøglen er svagere, så er Rigspolitiets CIO ikke bekymret for, at der har været læk af data på grund af den svagere kryptering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Vandborg

Selvom brugen af TLS-sikkerhedsprotokollen i version 1.0 giver en række sårbarheder idet krypteringsnøglen er svagere, så er Rigspolitiets CIO ikke bekymret for, at der har været læk af data på grund af den svagere kryptering.

Baseret på hvad? Gut feeling?

  • 17
  • 1
#4 Henrik Juul Størner

Når noget så banalt som at få opgraderet en webserver til at understøtte TLS 1.2 ikke er sket, så kan man have en begrundet mistanke om at der gemmer sig masser af anden teknisk gæld nede i Politiets IT maskinrum.

Det gør mig ikke tryg når der er tale om en statslig myndighed med uhindret (og i vid udstrækning ukontrolleret) adgang til mine personlige data.

  • 10
  • 0
#5 Maciej Szeliga

Når noget så banalt som at få opgraderet en webserver til at understøtte TLS 1.2 ikke er sket, så kan man have en begrundet mistanke om at der gemmer sig masser af anden teknisk gæld nede i Politiets IT maskinrum.

Det kan fortsat løses med pound eller nginx - det er bare en kasse man sætter foran og lader den stå for https, det tager ca 10 min. at sætte op.

...og man kan fortsætte med at køre TLS 1.0 på bagsiden (i hvert fald på pound) så der er kryptering hele vejen.

  • 6
  • 0
#6 Flemming Riis

De har nok større problemet end TLS1.0

Mon ikke de kører på en 2003 hvis de er så langt ned i TLS support blandet med ASP

Prøv at høre dem om det , så kan de jo sikkert sige , det kan godt være serveren er patchet men der er ikke jo ikke flere opdateringer , eller hvad deres udgave af det er jo kryptering nu ender med at blive

Det er ærgeligt de skal bruge deres tid på at vedligeholde gamle systemer som sikker kostere flere penge og timer end at flytte til nyt , som de formodentelig har fået nej til de sidste 7 år de har bedt om penge da det er en anden kasse end drift.

  • 5
  • 1
#7 René Nielsen

Det tager tid at implementere disse løsninger og indfri teknisk gæld. Og vi skal også huske, at TLS version 1.0 stadig er kryptering.

Svarer det argument ikke til at sige "Det er besværligt at skulle overholde loven?"?

Gad vide vide hvad samme betjent vill sige, hvis han stoppede mig på motorvejen og jeg forsvarede med, at sige "i gamle dage var der fri hastighed på motorvejen og at det er for besværligt, at skulle følge med i alle de vejskilte"?

  • 10
  • 0
Log ind eller Opret konto for at kommentere