Artikel top billede

Du kan slette naboens digitale signatur på få minutter

Det tager mindre end tre minutter at slette en digital signatur. Også selvom det ikke er din egen. Et 'gigantproblem' for det digitale samfund, advarer ekspert.

TDC sletter uden videre enhver digital signatur, hvis man ringer ind og oplyser et navn, en fødselsdato, en bopæl og en mailadresse.

Det viser en test, som Computerworld har foretaget, efter kilder har fortalt om problematikken.

Med et telefonopkald til TDCs kunderservice tog det under tre minutter at få slettet en digital signatur blot ved at oplyse navn, fødselsdato, adresse og email.

Oplysninger af denne type er imidlertid i mange tilfælde frit tilgængelige på internettet. Det betyder, at man med ret simple søgninger kan finde oplysninger, som kan bruges til at slette andres digitale signatur.

Dermed ses der stort på vigtige sikkerhedsprocedurer hos TDC, der administrerer de mere end én million danske signaturer.

Stærk kritisabelt

Det er kritisabelt, mener Christian Wernberg-Tougaard fra Unisys, der sidder i regeringens panel, som arbejder med it-sikkerhed.

Han peger på, at det er et spørgsmål om at finde det sikkerhedsniveau, hvor det er nemt og hurtigt at spærre en signatur, hvis der eksempelvis er mistanke om misbrug.

“Omvendt må man sige, at den digitale signatur er og vil blive vores virtuelle identitet. Og hvis enhver, der kan få adgang til informationer, som er findbare nettet, kan få slettet eller spærret adgang til digital signatur, kan man skabe en masse problematiske situationer for folk,” siger han.

For at øge sikkerheden kunne man bede kunden oplyse sit CPR-nummer. Alternativt forestiller han sig en webløsning, hvor selve den digitale signatur skal bruges, inden den kan spærres.

“Når vi nu er på vej ind i det digitale servicesamfund, så må der også være nogle andre mekanisker, til at sikre, at man ikke kan obstruere folks digitale identitet,” siger han.

Sikkerhedsprocedurer droppes

Faktisk er den digitale signatur allerede udstyret med en sikkerhedsforanstaltning, der burde sikre mod, at uvedkommende kan blokere den.

Sammen med signaturen følger en spærrekode, som skal bruges i tilfælde, hvor en person ønsker sin signatur spærret og dermed slettet.

Men det er langt fra nødvendigt at oplyse koden, når man snakker med TDC’s hotline. Computerworld havde således ingen problemer med at slette en digital signatur uden at være i besiddelse af spærrekoden.

Medarbejderen spurgte ganske vist efter den, men godtog Computerworlds manglende kode, da vedkommende med egne ord stolede på journalisten.

Scenariet er langt fra unormalt, påpeger Shehzad Ahmad, direktør i sikkerhedsorganisationen DK-CERT.

“Det er et menneskeligt problem i TDCs procedure. Medarbejderne skal lære, at de ikke bare kan stole blindt på en person, der lyder troværdig,” siger han.

Han finder dog trøst i, at det trods alt ikke er muligt at misbruge andres digitale signatur til at få adgang til følsomme oplysninger.

Et gigantproblem

Endnu er brugen af den digitale signaturen stadig i sin vorden, og de fleste danskere bruger den kun få gange om året.

På sigt er det dog meningen, at signaturen skal spille en større rolle. Men inden da er det vigtigt at rette de problemer, der møder signaturen, hvis ikke det skal undergrave planerne for det digitale servicesamfund.

“I det øjeblik, hvor vi har et samfund, hvor den digitale signatur er rullet ud, vil det være et gigantproblem, at vi har et meget svagt led, som den her mulighed for at slette den digitale signatur,” siger Christian Wernberg-Tougaard.

Computerworld kender til tilfælde, hvor personer har slettet digitale signaturer ved at oplyse basale informationer. Computerworld har også selv med held slettet en digital signatur.

Se udskriften af hele Computerworlds samtale med en TDC-medarbejder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere