Sådan rystede simple drengestreger Danmarks digitale infrastruktur

De angreb, der den seneste tid har sendt NemID i sort, lader til at have været skræmmende lette at gennemføre. Og en digital backupløsning eksisterer ikke.

De angreb, der den seneste tid har sendt NemID i sort, lader til at have været skræmmende lette at gennemføre Fold sammen
Læs mere
Foto: Jonas Vandall Ørtvig

NemID gør det ikke kun bekvemt at gå i netbanken eller kommunikere med stat og kommuner. Den offentlige loginløsning kan øjensynligt også lammes med et relativt simpelt angreb, der koster omkring 60 kroner at iværksætte.

Læs mere på Version2

I hvert fald stod det for en uge siden, torsdag 11. april, lysende klart at, NemID er sårbart over for Distribueret Denial of Service-angreb, også kaldet DDoS. Angrebet betød, at NemID var stort set utilgængelig i timevis.

I tirsdags var den så gal igen. Her kunne Version2 fortælle, at NemID tilsyneladende igen var udsat for et DDoS-angreb, der mindede om angrebet 11. april.

NemID var også utilgængeligt flere gange i marts. Efterfølgende har det Nets-ejede DanID, der står bag NemID, erkendt, at der også her var tale om DDoS-angreb.

DDoS vil sige, at et it-system, i dette tilfælde NemID, oversvømmes med et så stort antal falske forespørgsler, at systemet giver op og ikke længere kan håndtere legitim trafik. I tilfældet med NemID er resultatet set fra den almindelige brugers synspunkt, at det er svært eller umuligt at logge ind på tjenester, der bruger NemID.

Lukker hele vejnettet

Også Kommunernes Landsforening (KL) og rejseportalen for kollektiv trafik, rejseplanen.dk, har den seneste tid været ramt af DDoS-angreb.

Men hvor DDoS-angreb mod KL og Rejseplanen lammer adgangen til de enkelte hjemmesider, så bevirker et DDoS-angreb mod NemID-tjenesten, at det er vanskeligt eller umuligt at logge ind med NemID på alle de hjemmesider, der anvender denne login-metode.

Forskellen på de to angrebscenarier svarer altså til forskellen på en vejafspærring, der gør en enkelt strækning ufremkommelig, og en afspærring, der gør hele vejnettet umuligt at bruge.

Selve angrebet mod NemID lader til at have været nærmest uhyggeligt enkelt at gennemføre. I hvert fald kunne Version2 dagen efter angrebet sidste torsdag bringe et chat-baseret interview med en gruppe, der kalder sig DanishLulzTeam, som hævder at stå bag angrebet mod NemID.

Af interviewet fremgår det blandt andet, at angrebet angiveligt kunne gennemføres ved at købe en online tjeneste for 10 dollars – altså omkring 60 kroner.

‘Problemet er, at enhver kan købe adgang for så lidt som 10 dollars og lukke hvilken som helst side, de vil. Ingen grænser ... Det koster ingenting at få den slagkraft, vi brugte i dag’, skrev et medlem af DanishLulzTeam, der kalder sig s0x, til Version2.

Flere medlemmer af Version2’s panel af it-kyndige bloggere er faret i blækhuset efter angrebene mod NemID. Blandt andet skriver systemudvikler Poul-Henning Kamp under overskriften ‘Offentlige IT-slagskibe’ følgende:

‘Skandalen med DOS-angrebet på NemID er ikke, at det kun koster 10 dollars at lægge NemID ned. Skandalen er, at ingen af de mange, der efter sigende har været inde over kvalitetskontrollen af NemID, havde fantasi til at bruge 10 dollars på opgaven’, lyder det fra Poul-Henning Kamp:

‘Hvis det var lavet rigtigt, ville danskerne ikke være tvunget til at køre det tredje mest buggy stykke software på nettet for at melde deres børn i dagpleje’, fortsætter han med henvisning til den Java-platform, som NemID baserer sig på, og som den senere tid har været plaget af flere sikkerhedshuller, der i sig selv kan gøre det muligt for hackere at få adgang til danskernes computere.

Der er ingen plan B

I forbindelse med angrebet mod NemID blev det også klart, at der ikke findes nogen digital fallback-løsning, som borgerne kan anvende som alternativ, såfremt NemID fejler.

I kølvandet på angrebet mod NemID kunne Version2 således bringe en historie under overskriften ‘Her er Danmarks NemID-nødberedskab: Gå ned på rådhuset’.

»I princippet er det sådan, at hvis du ikke kan bruge NemID, så kan du henvende dig til den pågældende myndighed,« forklarer Charlotte Jacoby, souschef i Digitaliseringsstyrelsens kontor med ansvar for digital signatur, til Version2:

»Vi har ikke en alternativ infrastruktur. Det er af økonomiske årsager ikke muligt.«

Men det er der andre, der har. Bag NemID står selskabet DanID, som igen er ejet af bankerne. Og flere banker kan tilbyde deres kunder netop en alternativ login-løsning til deres netbanker. Men for NemID-systemet som sådan findes der altså ikke en backup.

Angrebene mod NemID har fået flere politikere uden for regeringspartierne op på mærkerne. Dansk Folkepartis it-ordfører Dennis Flydtkjær, der er uddannet datamatiker, har således over for Version2 kaldt situationen ‘alarmerende’:

»NemID bliver jo et mere og mere kritisk knudepunkt for Danmark. Ud over bankerne bliver der jo flere og flere offentlige hjemmesider, hvor det er nødvendigt at bruge NemID.«

Han nævner som eksempel det kommende lovforslag, der vil gøre digital selvbetjening til eneste mulighed på 20 nye områder, blandt andet i forbindelse med begravelser.

Også fra den anden side af folketingssalen bliver NemID-løsningen kritiseret for ikke at have været i stand til at modstå den seneste tids angreb.

»Når det er et krav fra det offentliges side, at man skal bruge NemID for eksempel til digital post, må man også som minimum forvente, at finansministeren og Digitaliseringsstyrelsen stiller nogle meget skrappe krav til de løsninger, man tvinger alle til at bruge,« siger Stine Brix, it-ordfører for Enhedslisten, til Version2, der også har kunnet fortælle, at Venstres it-ordfører Michael Aastrup Jensen nu kræver svar fra finansminister Bjarne Corydon (S) omkring NemID-situationen, og hvad der kan gøres for at forbedre sikkerheden. Finansministeren er politisk ansvarlig for Digitaliseringsstyrelsen og NemID.

Måske politikerne får svar på nogle af deres spørgsmål i dag. DanID vil nemlig på et lukket NemID-seminar på Christiansborg orientere politikerne om infrastrukturen bag NemID. Version2 følger op med reaktioner efter mødet.

Deltag i debatten på Version2