Artikel top billede

Du kan slette naboens digitale signatur på få minutter

Det tager mindre end tre minutter at slette en digital signatur. Også selvom det ikke er din egen. Et 'gigantproblem' for det digitale samfund, advarer ekspert.

TDC sletter uden videre enhver digital signatur, hvis man ringer ind og oplyser et navn, en fødselsdato, en bopæl og en mailadresse.

Det viser en test, som Computerworld har foretaget, efter kilder har fortalt om problematikken.

Med et telefonopkald til TDCs kunderservice tog det under tre minutter at få slettet en digital signatur blot ved at oplyse navn, fødselsdato, adresse og email.

Oplysninger af denne type er imidlertid i mange tilfælde frit tilgængelige på internettet. Det betyder, at man med ret simple søgninger kan finde oplysninger, som kan bruges til at slette andres digitale signatur.

Dermed ses der stort på vigtige sikkerhedsprocedurer hos TDC, der administrerer de mere end én million danske signaturer.

Stærk kritisabelt

Det er kritisabelt, mener Christian Wernberg-Tougaard fra Unisys, der sidder i regeringens panel, som arbejder med it-sikkerhed.

Han peger på, at det er et spørgsmål om at finde det sikkerhedsniveau, hvor det er nemt og hurtigt at spærre en signatur, hvis der eksempelvis er mistanke om misbrug.

“Omvendt må man sige, at den digitale signatur er og vil blive vores virtuelle identitet. Og hvis enhver, der kan få adgang til informationer, som er findbare nettet, kan få slettet eller spærret adgang til digital signatur, kan man skabe en masse problematiske situationer for folk,” siger han.

For at øge sikkerheden kunne man bede kunden oplyse sit CPR-nummer. Alternativt forestiller han sig en webløsning, hvor selve den digitale signatur skal bruges, inden den kan spærres.

“Når vi nu er på vej ind i det digitale servicesamfund, så må der også være nogle andre mekanisker, til at sikre, at man ikke kan obstruere folks digitale identitet,” siger han.

Sikkerhedsprocedurer droppes

Faktisk er den digitale signatur allerede udstyret med en sikkerhedsforanstaltning, der burde sikre mod, at uvedkommende kan blokere den.

Sammen med signaturen følger en spærrekode, som skal bruges i tilfælde, hvor en person ønsker sin signatur spærret og dermed slettet.

Men det er langt fra nødvendigt at oplyse koden, når man snakker med TDC’s hotline. Computerworld havde således ingen problemer med at slette en digital signatur uden at være i besiddelse af spærrekoden.

Medarbejderen spurgte ganske vist efter den, men godtog Computerworlds manglende kode, da vedkommende med egne ord stolede på journalisten.

Scenariet er langt fra unormalt, påpeger Shehzad Ahmad, direktør i sikkerhedsorganisationen DK-CERT.

“Det er et menneskeligt problem i TDCs procedure. Medarbejderne skal lære, at de ikke bare kan stole blindt på en person, der lyder troværdig,” siger han.

Han finder dog trøst i, at det trods alt ikke er muligt at misbruge andres digitale signatur til at få adgang til følsomme oplysninger.

Et gigantproblem

Endnu er brugen af den digitale signaturen stadig i sin vorden, og de fleste danskere bruger den kun få gange om året.

På sigt er det dog meningen, at signaturen skal spille en større rolle. Men inden da er det vigtigt at rette de problemer, der møder signaturen, hvis ikke det skal undergrave planerne for det digitale servicesamfund.

“I det øjeblik, hvor vi har et samfund, hvor den digitale signatur er rullet ud, vil det være et gigantproblem, at vi har et meget svagt led, som den her mulighed for at slette den digitale signatur,” siger Christian Wernberg-Tougaard.

Computerworld kender til tilfælde, hvor personer har slettet digitale signaturer ved at oplyse basale informationer. Computerworld har også selv med held slettet en digital signatur.

Se udskriften af hele Computerworlds samtale med en TDC-medarbejder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere