Ekspert er dybt bekymret efter stort nedbrud

‘De har simpelthen ikke tænkt sig ordentligt om.
Jeg forstår det ganske enkelt ikke.’

Mandag var MitID-hjemmeiden, som skal sikre alle danskere en sikker adgang til netbank, sundhed.dk, skatteoplysninger og nyt pas, nede i adskillige timer.

Men problemerne stopper ikke her for MitID, som fra sommer helt skal overtage den rolle, som NemID har spillet i en årrække.

Hele tjenesten er nemlig bygget på en måde, der gør, at den er sårbar, når det handler om at sikre danskernes personlige data.

Det fortæller en af landets førende online sikkerhedseksperter i form af Peter Kruse fra CSIS Security Group.

»Der er tale om kritisk infrastruktur, og derfor burde man have løftet niveauet en hel del. Man burde have kørt de højeste sikkerhedsforanstaltninger, men det har man ikke gjort,« siger Peter Kruse.

For mange er MitID endnu noget, de har udskudt at forholde sig til.

Men fra den kommende sommer tager MitID helt over for NemID, når det handler om at logge ind på offentlige tjenester som borger.dk, sundhed.dk og hvis man vil tjekke sin forskudsopgørelse hos Skat.

Og allerede fra januar måned har landets største bank, Danske Bank, krævet, at deres kunder skal skifte til MitID, hvis man fortsat vil benytte sig af deres mobile netbank-app.

Dermed er hundredtusindvis af danskere allerede i gang med at benytte tjenesten.

Men det er ikke kun mandagens nedbrud, som ser ud til at være et problem for den nye tjeneste, der kostede 939 millioner kroner at udvikle og skal køre i ti år.

MitID er nemlig opbygget på en måde, der får Peter Kruse til at rynke brynene.

Og nu bliver det en smule teknisk, men meget vigtigt.

»MitID er opbygget på en måde, så man sender en del af data – hvis der er stort tryk, som det kunne ske, når alle skal ind og tjekke forskudsopgørelse – eller ved et digitalt angreb – ud af landet og til USA til tjenesten Akamai. Og derigennem bliver det muligt, at amerikanerne potentielt kan læse med i dele af danskernes private data,« siger Peter Kruse.

Det kunne man have sikret sig mod, hvis man havde brugt HSTS, der er en sikkerhedsforanstaltning, som sikrer mod en række potentielle angreb, når data skal behandles herunder ‘Man in the Middle’, som muliggør aflytning af data.

»Det havde været en ekstra sikring mod, at data drypper ud. Og jeg ser det som et problem, at man på den måde risikerer de data, danskerne afleverer ved login på MitId, kan falde i hænderne på f.eks. USA,« siger Peter Kruse.

Men det er ikke eneste sted, han ser en potentiel sikkerhedsbrist ved MitID.

I opbygningen af den nye tjeneste har man også anvendt en gratis certifikat fra udstederen ‘Let’s Encrypt’. Det er en gratis løsning, som ifølge Peter Kruse ikke er nær så sikker som andre, dyrere og kommercielle udstedere af certifikater.

»Den er god nok for helt almindelige menneskers hjemmesider, men her snakker vi om kritisk infrastruktur, og man burde have brugt en bedre og dyrere løsning,« siger Peter Kruse.

Han er i det hele taget stærkt kritisk over for opbygningen af MitID.

»Designet kunne have været langt bedre og bedre gennemtænkt. De har simpelthen ikke tænkt sig ordentligt om. Jeg forstår det ganske enkelt ikke. Men man har altså åbnet en lille kattelem for, at andre personer kigger med,« siger Peter Kruse.

Efter mandagens nedbrud har Digitaliseringsstyrelsen, som står bag MitID, forklaret til B.T., at tjenesten er sikker.

»Sikkerheden på sitet er ikke kompromitteret, og selve MitID-løsningen virker helt, som den skal,« lød det blandt andet.

Læs artiklen på bt.dk