Artikel top billede

IT- og Telestyrelsen afviser sikkerhedsbrist i NemID

NemID er ikke usikker fastslår IT- og Telestyrelsen og tilbageviser gårsdagens sikkerhedskritik af den nye digitale signatur med seks argumenter.

IT- og Telestyrelsen stiller sig som ansvarshavende myndighed af den nye digitale signatur, NemID, bag leverandøren, DanID, og afviser kategorisk, at der skulle være tale om en sikkerhedsbrist i den Java-applet, som NemID anvender.

I går kunne dagbladet Børsen ellers berette om, at banker og offentlige myndigheder blandt andet via Java-appletten kan snage i borgerens transaktioner på tværs af borgerens brugsmønster.

Men det afviser IT- og Telestyrelsen, ligesom styrelsen på sin hjemmeside har fremhævet fem andre klagepunkter fra Børsen-artiklen, som styrelsen skyder ned - et efter et.

"Tjenesteudbyderen sørger for, at NemID-appletten bliver startet hos brugeren, men kommer ikke direkte i kontakt med appletten. Tjenesteudbyderen modtager efterfølgende et simpelt svar fra appletten, der er signeret med brugerens digitale signatur. Det er derfor på ingen måde muligt for en tjenesteudbyder at anvende NemID-appletten til at tilgå personlige data på brugerens computer," skriver styrelsen blandt andet omkring det mulige snageri på borgernes computere.

Historikken kan ikke ses

Styrelsen understreger, at diverse banker og offentlige myndigheder (kaldet tjenesteudbydere) ikke har adgang til hele borgerens historik via Java-appletten.

"Tjenesteudbyderen modtager kun den signerede login-besked og har ikke nogen transmission at gå tilbage i," lyder det på IT- og Telestyrelsens hjemmeside.

I går kunne professor i it-sikkerhed ved Aarhus Universitet, Ivan Bjerre Damgård, over for Computerworld fastslå, at de påståede problemer i NemID-løsningen fremført af IT Politisk Forening, ikke har noget på sig.

Kilder trækker i land

Og nu ser det da også ud til, at den ene kilde i Børsen-historien, redaktør Michael Hertig fra sikkerheds-software og -rådgivningsvirksomheden Nensome Note, ønsker at præcisere de udtalelser, som han har givet til Børsen, som værende andenhåndsudtalelser uden at have konstateret sikkerhedsbristen ved selvsyn.

"Jeg har talt med journalisten fra Børsen, som må have anset mig for teknisk ekspert på området, hvad jeg ikke er. Jeg er uddannet som cand.scient.pol. og som it-revisor," lyder det fra Michael Hertig på Nensome Note-hjemmesiden.

IT-Politisk Forening fastholder på Computerworlds debatforum fortsat sin kritik af, at der kan være knas med sikkerheden i NemID.

"Det er ganske korrekt, at dette ikke er et sikkerhedshul bundet specielt til NemID, men et generelt problem med Java-appletter. Men det rokker ikke ved, at NemID potentielt giver uhindret adgang til brugernes computer," skriver Jørgen Elgaard Larsen fra foreningen og henviser til dens hjemmeside for yderligere forklaring om det potentielle problem i NemID's Java-applet.




IT-JOB

Frode Laursen A/S

IT Supporter

Cognizant Technology Solutions Denmark ApS

Data Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere