Forbedret kommunikation, begrænsede søgemuligheder og indførelse af et logon-system er nogle af de ændringer, TDC har på programmet i kølvandet på sidste uges artikel i Computerworld om selskabets offentliggørelse af mailadresser på certifikat.dk.
Her kom det frem, at TDC uden brugernes eksplicitte tilladelse offentliggjorde e-mailadresserne på dem, der havde tilmeldt sig digital signatur med den anbefalede standardinstallation.
Siden med de mange adresser ligger frit og muliggør derfor, at uvedkommende uhindret kan hente adresser til spam-mails.
Logon
På trods af at sikkerhedschef Per B. Hansen fra TDC i sidste uge over for nyhedsbureauet Ritzau afviste, at certifikat.dk kunne misbruges til adressehøst, vil teleselskabet nu forbedre sikkerheden.
- Det har aldrig været intentionen, at denne side skulle bruges til spam. Tværtimod. Det er et initiativ, der skulle sætte gang i brugen af krypterede mails - noget, der på længere sigt forhåbentlig kan mindske brugen af spam. I oprettelsen af certifikat.dk har vi fulgt best practice på området, men er altid lydhøre for, at tingene kan gøres bedre, siger Morten Brøgger, vicedirektør i TDC.
Søgesiden certifikat.dk er ændret, så man i stedet for 20 mailadresser nu maksimalt kan få fem adresser på en enkelt søgning. Et tiltag, der skal gøre det svært at hente store mængder adresser på en gang. For yderligere at gøre det svært at misbruge adresserne arbejder TDC samtidig på at forbedre adgangskontrollen.
- Vi arbejder lige nu på en række logon-tiltag, så sikkerheden bliver forbedret. Folk, der vil søge i listen over mailadresser, skal først logge på med deres egen digitale signatur. Hvis man vil søge uden, kan man kun søge på en specifik adresse, siger han
Kommunikation
Samtidig har TDC ændret i den vilkårstekst, som brugerne skal acceptere, før de tilmelder sig. Modsat sidste uge fremgår det nu, at TDC offentliggør e-mail ved tilmelding. Ifølge Morten Brøgger er man sideløbende i gang med en større gennemgang af teksterne for at se, om de lever op til Datatilsynets krav.
Netop offentliggørelse af mails kombineret med den manglende information til brugerne blev sidste uge erklæret på kant med loven af it-jurist Pernille Borup. Det har også skabt politisk undren blandt andet hos it-ordfører for de Radikale, Morten Helveg Petersen.
- Jeg vil bede ministeren om en udredning af det principielle i at offentliggøre mails på den måde. Om man kan se 20 eller fem adresser, ændrer i princippet ikke noget. At TDC nu går ind og ændrer praksis, tyder jo blot på, at noget er galt, siger han.
Tilfreds
Det er ikke første gang, TDC må kigge på sikkerheden i og omkring den digitale signatur. Sidste måned kom det frem, at hvis man flytter den digitale underskrift, fra en pc til en anden, kan beskyttelsen med kodeord forsvinde. Alligevel melder man hos Videnskabsministeriet om overordnet tilfredshed med valget af leverandør.
? Det er ikke graverende sikkerhedsbrister, vi har set, og vi oplever TDC som en smidig leverandør i arbejdet med en ny infrastruktur og de udfordringer, der er i sådan en proces. Man kunne måske godt have ønsket, at de i de konkrete uheldige sager, vi har set, havde været lidt mere proaktive. Det kræver tre gode historier at opveje en negativ, siger chefkonsulent i Videnskabsministeriet, Palle H. Sørensen.
Denne artikel stammer fra avisen Computerworld.
