Borgeren får snart én og samme nøgle til det offentlige og netbanken, DanID, men der findes intet centralt beredskab til, når nøglesystemet angribes.
9. februar 2009, 05:00 – opdateret 17. maj 2012, 12:28
8.000 mennesker fik for nylig brat smækket døren i til deres netbank, men informationsniveauet var ganske nødtørftigt.
»Vi kan ikke informere yderligere af sikkerhedsgrunde,« lød beskeden til de ramte og til alle os andre.
Jamen, så lad mig informere banker og hele det offentlige system om, at den kommende DanID, der både skal være digital signatur og nøglen til netbanken, begynder at stinke.
Hvad sker der, hvis noget går galt? »Vi kan ikke informere yderligere af sikkerhedsgrunde!« Lukket for adgang til netbank. Lukket for al adgang til det offentlige på nettet. På nettet er du død.
Kommunikationsniveauet ligner skæg og blå briller fra Finansrådets side. En snoldet besked med overskriften »8.000 danske PCer inficeret med spionprogram« udgør den offentlige informationsindsats.
Bedre står det ikke til fra Danske Banks og Nykredits side. De breve, bankerne sendte ud til den »inficerede« kunde, fortæller at dennes PC er inficeret, så den skal »reinstalleres« (tag den bedstefar Olsen!).
Indsatsen lugter af finansbranchens frygt for at gøre folk urolige. Der informeres konsekvent helt i underkanten, hvad enten det gælder angreb mod netbanker, eller danske kreditkortdata stjålet fra udenlandske betalingscentre.
Siver ukontrolleret
Resultatet i denne alvorlige sag var, at informationer siver helt ukontrolleret. Der blev talt om orm, virus eller trojaner. Nogle troede, at smitten var orm, der aktuelt hærger hele verden, mens andre sagde, at koden var skræddersyet til danske netbanker, og andre igen, at koden var kendt allerede i efteråret 2008.
En internetudbyder blev så irriteret over ikke at kunne give sine kunder et advis om et symptom på infektion, at denne alligevel gjorde det. Boligforeninger protesterede over, at der blev lukket for en IP-adresse (adresse på nettet), bag hvilken der var flere PCer, måske med kun en enkelt inficeret. Oveni kom, at Finansrådets rådgiver, det danske sikkerhedsfirma CSIS, blev sur over at noget sivede, for man var lige i hælene på forbryderne, lød det.
Men var det kun den ældgamle version af Windows, der blev ramt? Var der antivirus-produkter, der havde holdt skidtet fra døren? Var der websteder, man skulle holde sig fra?
Beskeden fra finansside var således: Vi nægter at fortælle jer, om Rigspolitiets IT-enhed (der ligger underdrejet i sager om børnepornografi) er involveret, om TDC og andre netudbydere er det, om antivirusfirmaernes topforskere er det, om bankernes egne sikkerhedsfolk er det, etc. Kære venner. I kan vel forstå, at tavsheden er nødvendig for at fange forbryderne.
Situationen bliver helt Kafkask, den dag det ikke »blot« er netbanken, der rammes, men også signaturen – borgerens juridisk gyldige underskrift på nettet.
Det officielle Danmark har ikke et eneste sted, hvor trådene i en sådan farefuld situation samles – hvor kommunikationsberedskabet er på plads. Det har lande som USA, Sverige, Frankrig, Tyskland, Norge og Finland.
Danmark har Beredskabsstyrelsen, der træder til for eksempel ved udslip af ammoniak og når atombomber eksploderer, men intet nationalt beredskab den dag terrorister, fremmede magter eller »russiske« kriminelle vælger at bruge IT-infrastrukturen som gidsel eller pengemaskine.
Verdens mest sårbare?
De danske ministre praler ellers hyppigt med, at vi er verdens førende i digital forvaltning og anden IT-brug. Danmark kan altså også ses som verdens mest fristende mål for alle de »cyberangreb«, som i stigende grad erstatter fysiske angreb, men det problem fejes under gulvtæppet. Efter års debat om behovet for et centralt beredskab er man blot nået frem til, at prisen for et sådant er 15 millioner kroner.
I USA var det et angreb for 20 år siden, der straks førte til oprettelsen af organisationen CERT (Computer Emergency Response Team) tilknyttet Carnegie Mellon University for regeringsmidler. En »orm« havde da lammet ti procent af internettet. I Danmark har vi blot en svag skygge, DK-Cert, alene knyttet til universiteternes datacenter, Uni-C, uden magt over andet.
Din og min nye nøgle til offentlige registre og netbanker, DanID, ejes af bankernes PBS. Løsningen bliver heldigvis langt mere sikker og brugervenlig end de gamle, men det er ikke nok, for ved sin dobbeltfunktion øger den sårbarheden. Den vil blive forsøgt angrebet, da den udgør nøglen til penge og til kaos.
DanID bliver, hvad der kaldes »Single Point of Failure«. Men vi har ikke et »Single Point of« beredskab. Kræv det!
Der bør også tænkes videre. Næsten hver anden af de såkaldte »trojanere«, som plager nettet, har til formål at stjæle penge via PCen. Er der perspektiver i en speciel bankdims på størrelse med en iPhone, med indbygget chipkortlæser? En, der alene duer til at tale i koder med netbanken? PCen er jo en rodekommode, ikke en bankboks, men giv lyd på min blog!
