Kontrol. Private sikkerhedsvagter fra Securitas fotograferer id-papirer og pas på perronen i Kastrup Lufthavn. DSB vil gemme en kopi af id-kortene i op til 30 dage.
Foto: Miriam Dalsgaard

Kontrol. Private sikkerhedsvagter fra Securitas fotograferer id-papirer og pas på perronen i Kastrup Lufthavn. DSB vil gemme en kopi af id-kortene i op til 30 dage.

Danmark

DSB: »Vores id-kopier er godt beskyttet«

Kun én DSB-medarbejder har adgang til databasen med tusindvis af pas- og id-kopier. Togselskabet afviser, at personoplysninger er i fare.

Danmark

Et knips med en smartphone og en elektronisk kopi af dit pas er lagret i DSB's database.

Det er virkeligheden for de rejsende, der tager toget fra Danmark til Sverige, efter at de svenske myndigheder i mandags indførte det såkaldte transportøransvar. En lov, der pålægger private transportfirmaer som DSB at kontrollere samtlige indrejsendes id-papirer, og som det giver store bødestraffe at overtræde.

ID-TJEK I ØRESUNDSTOGET

For at leve op til den svenske lov har DSB hyret det private vagtfirma Securitas, der på perronen ved Københavns Lufthavn tager billeder med en smartphone af samtlige passagerers id-kort. Billederne sendes direkte til DSB’s server og slettes fra telefonen umiddelbart bagefter. Billederne kan DSB gemme i helt op til 30 dage.

Men den løsning er risikabel, mener Ulf Munkedal, der er direktør i it-sikkerhedsfirmaet FortConsult. For med sådan et system skal der meget til, før oplysningerne er bare forholdsvist beskyttede, og det er stadig uklart, præcis hvordan DSB vil sikre, at uvedkommende ikke får fingrene i billederne.

Selv hvis dem, der ejer serveren, vil have adgang, skal de gå via vores juridiske afdeling først

»Jeg kender ikke til en konkret sikkerhedsbrist i DSB’s system, men der er helt sikkert grund til bekymring over sådan et system her. Det er som regel sådan med løsninger, der skal laves hurtigt, at sikkerheden halter. Det system, som de har taget i brug, er en forholdsvis kompleks sikkerhedsmæssig udfordring, og rent teknisk kan man bekymre sig for, hvordan det kan skrues sammen på en sikker måde«, siger han.

Som Politiken kunne berette i søndags, er personoplysninger blevet en eftertragtet handelsvare på det sorte marked, hvor også danske identiteter sælges i stor stil. De fleste af oplysningerne er stjålet fra virksomheder, hvor hackere har været på besøg og lænset kundedatabasen. Derfor er det ifølge Ulf Munkedal vigtigt, at DSB oplyser kunderne om deres sikkerhedsprocedurer.

Annonce

DET SORTE MARKED

»Hvert pas, de tager billede af, er direkte penge værd på det mørke internet, hvor identitetstyveri er blevet en kæmpe økonomi. Der er en interesse i at få fingrene i det, og konsekvensen er ubehagelig for de involverede. Og selv om DSB sletter billederne fra telefonen, så snart de er sendt til serveren, så kan man altså gendanne forbløffende mange ting fra en smartphone«, siger Ulf Munkedal.

DSB: »Vi vurderer, at det er sikkert nok«

DSB afviser dog, at systemet skulle være usikkert. De har nemlig fulgt alle love og regler for opbevaring af persondata, fortæller DSB's it-ansvarlige Martin Börjesson:

»Vi vil mene, at det er godt beskyttet. Vi har lavet de tiltag og sikkerhedsforanstaltninger, som vi mener er ansvarlige at lave, også i forhold til lovgivningen. Særligt er det vigtigt, at vi har haft en uvildig tredjepart inde til at scanne for sårbarheder i systemet, og det gør, at vi føler os rimeligt trygge ved den løsning, vi har«, siger han.

Vagterne fra Securitas bruger nye Samsung Xcover 3-smartphones med den nyeste Android-version på. Til at tage og sende billederne bruger DSB en app, der hedder MP Tjek, som er udviklet af det danske firma MobilePeople.

»Der er ikke noget memorycard i de telefoner. Der er kun MP Tjek og ikke andet – hverken bluetooth, wifi eller routeradgang. Så der er slet ikke nogen mulighed for at gendanne ting, for der bliver slet ikke lagret noget lokalt på telefonen. Der er ingen hukommelse. Du kan kort sagt ikke bruge den til andet end det, som er formålet her«, siger han.

Annonce

Annonce

Annonce

DATATYVE

Martin Börjesson understreger samtidig, at billederne både er krypteret, idet de sendes fra telefonen, ligesom selve databasen også er krypteret. Og med et system, der logger al trafik fra telefon til database, bør systemet være sikkert, siger han.

»Det er kun DSB-personalet, der har adgang til den database – og det drejer sig kun om én person, nemlig vores Operations Manager. Selv hvis dem, der ejer serveren, vil have adgang, skal de gå via vores juridiske afdeling først. Derudover er der 100 procent logning på alt fra det øjeblik, der trykkes på telefonen. Så vi ved præcis hvem, der har været inde i databasen, og vi ved præcis hvilken telefon, der har sendt billedet. Det er vores garanti, og det vurderer vi er sikkert nok«, siger Martin Börjesson.

Datatilsynet kigger på sagen

DSB's affotografering og lagring af de rejsendes ID-kort er allerede i fuld gang. Med denne slags oplysninger er der nemlig ikke brug for en forhåndsgodkendelse fra myndighederne. Alligevel har DSB gennem deres advokater sendt et notat til Datatilsynet, hvor de redegør for, at kontrollen i deres øjne lever op til Persondataloven.

HACKERE

Det notat er Datatilsynet nu ved at behandle, men indtil det har været »helt oppe ved direktøren«, har tilsynet ikke yderligere kommentarer til sagen.

I midten af december vedtog Folketinget en lignende lov om transportøransvar ved de danske grænser. Selv om grænsekontrollen trådte i kraft i denne uge, har regeringen dog valgt at vente med at indføre transportøransvaret, der dog kan komme på tale på et senere tidspunkt.

Redaktionen anbefaler:

Læs mere:

Annonce

For abonnenter

Annonce

Mest læste

  • Annonce

Annonce

Forsiden

Annonce