Efter massive angreb: IT-folk kræver skudsikkert NemID

19. april 2013 07:15 | Af: Berlingske Nyhedsbureau
 
Efter massive angreb: IT-folk kræver skudsikkert NemID
Arkivfoto.

Teknologien bag danskernes fælles login-løsning, NemID, er alt for sårbar, mener flere IT-forskere og fagfolk ifølge fagbladet Ingeniøren.

 

NemID har siden marts været plaget af såkaldte Distributed Denial of Service-angreb (DDoS), der har sendt tjenesten i knæ flere gange.

Professor Joseph Kiniry, sektionsleder ved Institut for Matematik og Computer Science på DTU, ser grundlæggende problemer i designet af både NemID og NemLogin.

»Begge systemer bør udskiftes og baseres på et helt nyt grundlag,« siger professoren, der er midt i et forskningsprojekt om emnet, til Ingeniøren.

Resultatet af angrebene har været, at den login-løsning, der spiller en stadigt mere central rolle i samfundet med den stigende brug af digital selvbetjening i det offentlige, har været utilgængelig i timevis.

Et af de grundlæggende problemer ved NemID-strukturen er, at den beror på en enkelt leverandør, nemlig DanID, der er ejet af Nets.

»Det gør man ikke andre steder. Man betror ikke en enkelt virksomhed alle sine æg,« siger Joseph Kiniry til fagbladet.

Angrebene, som NemID er blevet udsat for, går kort fortalt ud på at oversvømme systemet med et hav af forespørgsler, hvorefter systemet får for travlt til at håndtere legitim trafik. Det gør det svært eller umuligt at logge ind med NemID i en periode – og dermed at komme ind på en bred vifte af både offentlige og private tjenester.

»Blandt IT-sikkerhedsprofessionelle betragter vi ikke den form for angreb som særlig sofistikerede. De kan udføres af uvaskede teenagere i forældrenes kælder,« tilføjer Joseph Kiniry.

IT-sikkerhedsekspert og direktør i Solido Networks Henrik Kramshøj mener heller ikke, at en login-løsning som NemID bør ligge hos en enkelt leverandør, da det gør løsningen mere sårbar over for angreb og nedbrud:

»Det er kritisabelt, at en kritisk del af vores infrastruktur kan lægges ned af borgere med få midler,« siger han til Ingeniøren.

Pressechef i Nets, Søren Winge, ønsker ikke at kommentere kritikken fra eksperterne direkte.

»Vi ønsker ikke at kommentere arkitekturen eller sikkerhedsforanstaltninger, da vi ellers risikerer at give hackerne oplysninger, de kan misbruge,« siger Søren Winge. Han fortæller dog, at DanID har iværksat flere tiltag siden de første angreb.

Del:
Del din kommentar
Forsiden lige nu