Annonce
Annonce
Danmark

DSB: »Vores id-kopier er godt beskyttet«

Kun én DSB-medarbejder har adgang til databasen med tusindvis af pas- og id-kopier. Togselskabet afviser, at personoplysninger er i fare.

Annonce

fakta

Id-tyveri

Politiken kunne søndag (3/1) fortælle, hvordan vi med få klik og lidt teknisk snilde kunne købe to danskeres personoplysninger inklusive betalingskortoplysninger for under 100 kr. stykket på den sorte internetmarkedsplads AlphaBay.

Oplysninger, der formentlig stammer fra en netbutik, der er blevet hacket.

Den første pakke med personoplysninger, vi købte, stammede fra Luis Madsen, som allerede havde spærret sit kort. Vi klagede derfor til sælgeren, fik pengene tilbage og købte en ny identitet - Lisbeth - som bekræftede, at de kortoplysninger, vi havde købt, var korrekte og uspærrede.

Lisbeth kunne samtidig fortælle, at hun kun havde nået at bruge sit dankort i fire forskellige internetbutikker, inden vi købte det, og hun mistænkte derfor særligt én af de fire butikker for at være den butik, hvorfra hendes oplysninger blev stjålet. Butikken afviser dog selv at være bevet hacket.

Et knips med en smartphone og en elektronisk kopi af dit pas er lagret i DSB's database.

Det er virkeligheden for de rejsende, der tager toget fra Danmark til Sverige, efter at de svenske myndigheder i mandags indførte det såkaldte transportøransvar. En lov, der pålægger private transportfirmaer som DSB at kontrollere samtlige indrejsendes id-papirer, og som det giver store bødestraffe at overtræde.

ID-TJEK I ØRESUNDSTOGET»Det er som at være tilbage i Østblokken«

For at leve op til den svenske lov har DSB hyret det private vagtfirma Securitas, der på perronen ved Københavns Lufthavn tager billeder med en smartphone af samtlige passagerers id-kort. Billederne sendes direkte til DSB’s server og slettes fra telefonen umiddelbart bagefter. Billederne kan DSB gemme i helt op til 30 dage.

Men den løsning er risikabel, mener Ulf Munkedal, der er direktør i it-sikkerhedsfirmaet FortConsult. For med sådan et system skal der meget til, før oplysningerne er bare forholdsvist beskyttede, og det er stadig uklart, præcis hvordan DSB vil sikre, at uvedkommende ikke får fingrene i billederne.

Selv hvis dem, der ejer serveren, vil have adgang, skal de gå via vores juridiske afdeling først

Martin Börjesson, it-ansvarlig i DSB

»Jeg kender ikke til en konkret sikkerhedsbrist i DSB’s system, men der er helt sikkert grund til bekymring over sådan et system her. Det er som regel sådan med løsninger, der skal laves hurtigt, at sikkerheden halter. Det system, som de har taget i brug, er en forholdsvis kompleks sikkerhedsmæssig udfordring, og rent teknisk kan man bekymre sig for, hvordan det kan skrues sammen på en sikker måde«, siger han.

Som Politiken kunne berette i søndags, er personoplysninger blevet en eftertragtet handelsvare på det sorte marked, hvor også danske identiteter sælges i stor stil. De fleste af oplysningerne er stjålet fra virksomheder, hvor hackere har været på besøg og lænset kundedatabasen. Derfor er det ifølge Ulf Munkedal vigtigt, at DSB oplyser kunderne om deres sikkerhedsprocedurer.

DET SORTE MARKED Kundeservicen var i top, da Politiken købte to danskeres personlige oplysninger

»Hvert pas, de tager billede af, er direkte penge værd på det mørke internet, hvor identitetstyveri er blevet en kæmpe økonomi. Der er en interesse i at få fingrene i det, og konsekvensen er ubehagelig for de involverede. Og selv om DSB sletter billederne fra telefonen, så snart de er sendt til serveren, så kan man altså gendanne forbløffende mange ting fra en smartphone«, siger Ulf Munkedal.

DSB: »Vi vurderer, at det er sikkert nok«

DSB afviser dog, at systemet skulle være usikkert. De har nemlig fulgt alle love og regler for opbevaring af persondata, fortæller DSB's it-ansvarlige Martin Börjesson:

Fakta

Det skal DSB se

Ifølge DSB er kravet fra Sverige, at passagerer, der krydser grænsen, skal fremvise gyldigt billed-ID, der som minimum skal indeholde:

  • Indehaverens fotografi
  • Oplysning om fuldstændige navn
  • Personnummer eller fødselsdato
  • Serienummer
  • Indehaverens underskrift
  • Oplysning om Billed-ID’ets gyldighedstid
  • Oplysning om den udstedende myndighed

»Vi vil mene, at det er godt beskyttet. Vi har lavet de tiltag og sikkerhedsforanstaltninger, som vi mener er ansvarlige at lave, også i forhold til lovgivningen. Særligt er det vigtigt, at vi har haft en uvildig tredjepart inde til at scanne for sårbarheder i systemet, og det gør, at vi føler os rimeligt trygge ved den løsning, vi har«, siger han.

Vagterne fra Securitas bruger nye Samsung Xcover 3-smartphones med den nyeste Android-version på. Til at tage og sende billederne bruger DSB en app, der hedder MP Tjek, som er udviklet af det danske firma MobilePeople.

»Der er ikke noget memorycard i de telefoner. Der er kun MP Tjek og ikke andet – hverken bluetooth, wifi eller routeradgang. Så der er slet ikke nogen mulighed for at gendanne ting, for der bliver slet ikke lagret noget lokalt på telefonen. Der er ingen hukommelse. Du kan kort sagt ikke bruge den til andet end det, som er formålet her«, siger han.

DATATYVE Netbutikker beskytter ikke dine personoplysninger

Martin Börjesson understreger samtidig, at billederne både er krypteret, idet de sendes fra telefonen, ligesom selve databasen også er krypteret. Og med et system, der logger al trafik fra telefon til database, bør systemet være sikkert, siger han.

»Det er kun DSB-personalet, der har adgang til den database – og det drejer sig kun om én person, nemlig vores Operations Manager. Selv hvis dem, der ejer serveren, vil have adgang, skal de gå via vores juridiske afdeling først. Derudover er der 100 procent logning på alt fra det øjeblik, der trykkes på telefonen. Så vi ved præcis hvem, der har været inde i databasen, og vi ved præcis hvilken telefon, der har sendt billedet. Det er vores garanti, og det vurderer vi er sikkert nok«, siger Martin Börjesson.

Datatilsynet kigger på sagen

DSB's affotografering og lagring af de rejsendes ID-kort er allerede i fuld gang. Med denne slags oplysninger er der nemlig ikke brug for en forhåndsgodkendelse fra myndighederne. Alligevel har DSB gennem deres advokater sendt et notat til Datatilsynet, hvor de redegør for, at kontrollen i deres øjne lever op til Persondataloven.

HACKERE Flere danske firmaer betaler for at blive hacket

Det notat er Datatilsynet nu ved at behandle, men indtil det har været »helt oppe ved direktøren«, har tilsynet ikke yderligere kommentarer til sagen.

I midten af december vedtog Folketinget en lignende lov om transportøransvar ved de danske grænser. Selv om grænsekontrollen trådte i kraft i denne uge, har regeringen dog valgt at vente med at indføre transportøransvaret, der dog kan komme på tale på et senere tidspunkt.

Redaktionen anbefaler

Kundeservicen var i top, da Politiken købte to danskeres personlige oplysninger

Del link
Annonce
Mest læste
Dit politiken
Annonce