Artikel top billede

IT- og Telestyrelsen afviser sikkerhedsbrist i NemID

NemID er ikke usikker fastslår IT- og Telestyrelsen og tilbageviser gårsdagens sikkerhedskritik af den nye digitale signatur med seks argumenter.

IT- og Telestyrelsen stiller sig som ansvarshavende myndighed af den nye digitale signatur, NemID, bag leverandøren, DanID, og afviser kategorisk, at der skulle være tale om en sikkerhedsbrist i den Java-applet, som NemID anvender.

I går kunne dagbladet Børsen ellers berette om, at banker og offentlige myndigheder blandt andet via Java-appletten kan snage i borgerens transaktioner på tværs af borgerens brugsmønster.

Men det afviser IT- og Telestyrelsen, ligesom styrelsen på sin hjemmeside har fremhævet fem andre klagepunkter fra Børsen-artiklen, som styrelsen skyder ned - et efter et.

"Tjenesteudbyderen sørger for, at NemID-appletten bliver startet hos brugeren, men kommer ikke direkte i kontakt med appletten. Tjenesteudbyderen modtager efterfølgende et simpelt svar fra appletten, der er signeret med brugerens digitale signatur. Det er derfor på ingen måde muligt for en tjenesteudbyder at anvende NemID-appletten til at tilgå personlige data på brugerens computer," skriver styrelsen blandt andet omkring det mulige snageri på borgernes computere.

Historikken kan ikke ses

Styrelsen understreger, at diverse banker og offentlige myndigheder (kaldet tjenesteudbydere) ikke har adgang til hele borgerens historik via Java-appletten.

"Tjenesteudbyderen modtager kun den signerede login-besked og har ikke nogen transmission at gå tilbage i," lyder det på IT- og Telestyrelsens hjemmeside.

I går kunne professor i it-sikkerhed ved Aarhus Universitet, Ivan Bjerre Damgård, over for Computerworld fastslå, at de påståede problemer i NemID-løsningen fremført af IT Politisk Forening, ikke har noget på sig.

Kilder trækker i land

Og nu ser det da også ud til, at den ene kilde i Børsen-historien, redaktør Michael Hertig fra sikkerheds-software og -rådgivningsvirksomheden Nensome Note, ønsker at præcisere de udtalelser, som han har givet til Børsen, som værende andenhåndsudtalelser uden at have konstateret sikkerhedsbristen ved selvsyn.

"Jeg har talt med journalisten fra Børsen, som må have anset mig for teknisk ekspert på området, hvad jeg ikke er. Jeg er uddannet som cand.scient.pol. og som it-revisor," lyder det fra Michael Hertig på Nensome Note-hjemmesiden.

IT-Politisk Forening fastholder på Computerworlds debatforum fortsat sin kritik af, at der kan være knas med sikkerheden i NemID.

"Det er ganske korrekt, at dette ikke er et sikkerhedshul bundet specielt til NemID, men et generelt problem med Java-appletter. Men det rokker ikke ved, at NemID potentielt giver uhindret adgang til brugernes computer," skriver Jørgen Elgaard Larsen fra foreningen og henviser til dens hjemmeside for yderligere forklaring om det potentielle problem i NemID's Java-applet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere