Digitaliseringsstyrelsen kræver, at it-leverandøren Nets strammer op på sikkerheden omkring danskernes fælles login-løsning NemID. Det sker på baggrund af en redegørelse fra Nets, hvoraf det fremgår, at den kilde, som i flere år forsynede ugebladet Se og Hør med oplysninger, også havde adgang til NemID’s database.
Ifølge Nets havde den pågældende medarbejder, som arbejdede som systemadministrator hos IBM, der står for driften af flere af Nets’ systemer, adgang til NemID-systemet med administrator-rettigheder.
Medarbejderen har dog blot én gang i 2010 været logget på, men uden at tilgå systemet, fremgår det af redegørelsen.
»Jeg er naturligvis tilfreds med, at Nets’ redegørelse viser, at der ikke har været læk eller anden misbrug af data. Men uanset, at der ikke er sket misbrug af NemID-data, skal vi alle tage ved lære af de brud på sikkerheden, der øjensynligt har været i forhold til kreditkortoplysninger. Derfor kræver Digitaliseringsstyrelsen nu, at Nets’ strammer op på den i forvejen høje sikkerhed og forstærker deres sikkerhedsprocedurer og interne kotroller,« udtaler direktør Lars Frelle-Petersen fra Digitaliseringsstyrelsen ifølge en pressemeddelelse.
Udover, at Nets skal stramme op på den interne kontrol, så vil Digitaliseringsstyrelsen også skærpe kravene til uafhængig kontrol af sikkerheden i NemID.
Det system, medarbejderen havde adgang til, indeholder ifølge Digitaliseringsstyrelsen kun oplysninger til brug for udstedelse og administration af NemID. Oplysningerne i databasen omfatter navn, adresse, CPR-nummer, men ikke den private nøgle til digital signatur eller password.
Signering foregår ifølge Nets i særskilte hardwaremoduler til kryptering og kan kun ske ved hjælp af brugerens selvvalgte kodeord og engangsnøgle.
Det fremgår ikke af redegørelsen, hvilke administrative funktioner en systemadministrator på NemID-systemet kan foretage med de data, der ligger i systemet.
Ifølge Nets var brugeren blot logget på én gang og havde ikke rettigheder til at oprette nye brugere, han eventuelt kunne dække sig ind under senere. Da hans brugerkonto ikke blev brugt, blev den først suspenderet i 2011 og siden slettet, da han stoppede med at arbejde for IBM i 2012.
Leave a Reply