Hvorfor er det så svært at sikre vores data på nettet?
Se og Hør 'afslørede' mange kendte gennem sit samarbejde med Nets. Men bladet afslørede også, at vi overhovedet ikke kan stole på, at vores data på er i sikre hænder. Spørg Videnskaben går på jagt i it-sikkerhedens brister.

Der er i den seneste tid for alvor kommet gang i debatten om, hvorvidt vores dataoplysninger egentlig er i sikre hænder. Shutterstock

Der er i den seneste tid for alvor kommet gang i debatten om, hvorvidt vores dataoplysninger egentlig er i sikre hænder. Shutterstock

Et spor af ødelæggelse i dansk presse. Det er nærmest, hvad det ligner, efter det kom frem, at en IBM-medarbejder angiveligt har solgt kreditkort-oplysninger fra Nets til Se og Hør om de kendte og kongelige i fire år. Til den sølle sum af 10.000 kroner om måneden.

Aftalen gav blandt andet ugebladet mulighed for at opsnuse prins Joachims og prinsesse Maries hemmelige bryllupsrejse til Canada i 2008 og Line Baun Danielsens besøg på en privatklinik. Og skandalen har også givet genklang hos helt almindelige danskere – for hvordan kan vi egentlig stole på, at vores data på nettet er i sikre hænder, efter sådan en sag?

»Og nu er det, at jeg pludselig føler mig meget sårbar, når det viser sig, at journalister med et greb i lommen tilsyneladende kan få adgang til vores allesammens private kortoplysninger. Hvorfor er det så svært at sikre data på nettet?« spørger Lars Knud Nielsen i en mail til Spørg Videnskaben.

Vi er gået på jagt efter et svar blandt eksperter og forskere, der til daglig arbejder med it-sikkerhed. 

Mennesket er det svageste led

I sagen om Nets var det en medarbejder hos IBM, der lækkede de fortrolige oplysninger, og her skal første del af forklaringen i, hvorfor vores data er så sårbare, findes. Det mener Ivan Damgård, som er kryptograf (se faktaboks) og professor i datalogi ved Aarhus Universitet

Det er nemlig langt sværere at beskytte en virksomhed indefra end udefra, fortæller han.

Fakta

Nets' monopol kan snart være en saga blot. I hvert fald, hvis det står til Venstre, Konservative og Dansk Folkeparti, som alle stemmer for at bryde Nets’ monopol fra deres kontrakt med Digitaliseringsstyrelsen udløber i 2015.

Kilde: b.dk

»Det, der er det chokerende ved denne sag, er, at man ikke har ført tilstrækkelig kontrol over, hvad han har foretaget sig. Normalt fører man en form for log, så man kan se, hvad medarbejderne laver,« siger Ivan Damgård.

Sikkerhed indefra handler i højere grad om protokoller og procedurer samt tillid og kontrol, end det handler om kryptering af data, som vi vender tilbage til senere.

Deler adgang til data mellem flere

For at sikre data indefra er det mange steder almindelig kendt procedure, at man deler adgangen til et system mellem flere personer, så én medarbejder ikke har adgang til alt. Der skal for eksempel tre mennesker til at betjene en atombombe, så sikkerheden ikke falder med én mand, der har en virkelig dårlig dag.

Det fortæller Poul-Henning Kamp, som er programmør og it-sikkerhedsekspert. Han mener, at Nets-skandalen er et godt eksempel på, hvor vigtigt det er med kontrol og høj tillid i en virksomhed som Nets, der arbejder med følsomme oplysninger.

»Problemet med tekniske løsninger er, at der altid er nogen, der har ansvaret for, at de virker. Der er altid et menneskeligt led. Et eller andet sted sidder der altid en fyr, som har en pris. Og så kan man sørge for, at den pris er meget høj. Folk, der har en god hyre og et fedt job, de gør ikke sådan nogle ting,« siger Poul-Henning Kamp, som især hæfter sig ved den ekstremt lave pris IBM-medarbejderen efter sigende var til salg for.

It-sikkerhed har utallige ’lommer’

En anden del af sårbarheden i at sikre vores data ligger i, it-sikkerhed generelt har utallige lommer og indgange. Det fortæller Carsten Schürmann, som er lektor ved ITU og forsker i valgteknologi og it-sikkerhed ved E-valg.

At Prins Joachim handlede for 48 Euro på en Shell-tank i St. Priest, Frankrig, ved vi kun fordi en mand i Nets kunne fodre Se & Hør med de oplysninger. Men hvordan kan et system, der burde være sikkert være så hullet - selv for Kongehuset? (Foto: Colourbox)

»Kryptografi – altså det at gemme data – kan ikke stå alene, for når den pågældende data er gemt, skal du sikre dig, at der er en, der har nøglen til at finde den igen. Og så er det, at du har brug for nogle sikkerhedsmæssige protokoller og procedurer,« fortæller Carsten Schürmann.

Når du gemmer eller krypterer data, så koder du den, så den kun kan læses af den retsmæssige modtager. Når en tredje part hacker din data, får personen i korte træk fat i den nøgle, der kan dekryptere din data, så den kan læses af hackeren. Det kan for eksempel være adgangskoden til din mail eller koden til din NemID.

Hackeren kan narre nøglen fra dig på flere forskellige måder. De mest almindelige er ved brug af en virus eller et hacking-program, som kan afprøve mange forskellige nøglekombinationer med stor hastighed.

Politikerne bærer en stor del af ansvaret

Som det tredje punkt på listen skal vi runde politikernes betydning for netsikkerheden. Ifølge Poul-Henning Kamp har magthaverne nemlig stor betydning for it-sikkerheden i Danmark, og særligt i denne sag om Nets kunne de have gjort en forskel:

Da Nets har monopol på alle vores dankorttransaktioner og NemID, har kunderne ikke mulighed for at skifte virksomhed. Det fjerner Nets’ incitament til at bruge penge på deres sikkerhed, fortæller Pul-Henning Kamp.

»Grundprincippet i al sikkerhedsdesign er, at dem, der bestemmer, hvor meget sikkerhed der skal være, også skal bære konsekvenserne af deres valg. Det er netop det modsatte af, hvad vi har set med Nets og Dankort: Nets har sparet penge ved at outsource driften til IBM, men det er ofrene, der bærer byrden, fordi sikkerheden ikke var god nok,« siger Poul-Henning Kamp.

Fakta

Kryptografi er kort sagt ’læren om at gemme data’, og på græsk betyder det også ’hemmelig skrift’. Det anvendes, når man vil kode beskeder, der kun kan afkodes af retmæssige modtagere og ikke en tredje part. Der skelnes mellem kryptografi og kryptologi, som er ’læren om kryptografiske metoder og systemer’ og vurderingen af, hvor sikre de er.

Hvad angår monopolet, så er der udsigt til, at det muligvis hører op. Læs mere om det i faktaboksen til højre for artiklen.

It-sikkerhed er en fæstning uden lige høje mure

Som du måske nu har fået en fornemmelse af, kan et system aldrig gøres hundrede procent sikkert. Det er med Carsten Schürmanns ord »et spørgsmål om at minimere faren«.

It-sikkerhed handler derfor om fordeling af penge og ressourcer; man kan vælge at fordele dem ligeligt, så man bygger sin sikkerhedsfæstning i samme højde til alle sider. Eller man kan beregne, hvor truslen er størst, og så lægge flest sandsække der.

I dag formes sikkerheden efter sidstnævnte metode, eller det man kalder en ’trusselsmodel’. Den kan identificere og sandsynliggøre en trussel, så man ved, hvem man skal beskytte sig mest imod, og hvor man skal placere det højeste bjerg af sandsække.

»Sikkerhed kommer med en pris, og hvis man som virksomhed har begrænsede midler til rådighed, så handler det om at fordele dem, så det giver mest mening. I organisationer, hvor der er højt tillidsniveau, giver det ikke mening at beskytte virksomheden lige så meget indefra som udefra,« forklarer Carsten Schürmann, der mener, at it-sikkerhed i fremtiden vil blive mere skræddersyet efter den pågældende virksomheds trusselsmodel.

It-kriminalitet er lettere at identificere i dag

Trusselmodellen giver mere mening i dag end for år tilbage, da it-kriminalitet bliver mere og mere organiseret.

Fakta

Mobile Pay: Danske Bank-tjenesten Mobile Pay har rundet en million brugere, og flere banker følger så småt efter. Men hvad betyder det egentlig for sikkerheden, når transaktionerne bliver mobile og kan gennemføres med et telefonnummer og et fire-cifret kodeord?

»Når du udfører transaktioner på mobile løsninger, så skal du pludselig også stole på dem, der har leveret din mobiltelefon, og dem der styrer dit netværk. Jo flere led du fører ind i din transaktion, jo flere led skal du have tillid til,« siger Poul-Henning Kamp.

I dag handler kriminalitet i cyperspace i højere grad end tidligere om penge, og truslen er derfor mere forudsigelig og nemmere at identificere.

»Før i tiden havde hacker-angreb karakter af ’digital graffiti’. Her handlede det bare om at vise, hvad man kunne. Folk brød måske ind for at poste et eller andet. Sådan er det ikke mere. Nu går folk derind, hvor pengene er. Hacking er blevet organiseret og kriminaliseret i langt højere grad. Der er et marked for kortoplysningerne,« fortæller Ivan Damgård.

Der forskes hele tiden i nye løsninger

Men hvordan ser fremtiden for vores it-sikkerhed så ud? Ifølge Ivan Damgård forskes der konstant i nye sikkerhedsopgraderinger og løsninger.

NemID er faktisk, mener han, et godt eksempel på en opgradering af den forhenværende sikkerhedsløsning. Han forestiller sig, at næste opgradering kan blive en løsning, der indebærer flere separate hardware-enheder og flere forskellige nøgle-enheder.

Ifølge Ivan Damgård kunne NemID eksempelvis gøres mere sikkert, hvis vores koder ikke kom fra et plastikkort, men var designet, så de passede til ét bestemt formål.

»Det engangs-password, vi bruger, har intet at gøre med det, du gerne vil foretage dig. Koden fortæller intet om din handling, men det burde den. Så kan hackere, der måske kigger med, kun bruge koden til den specifikke handling. I dag kan en hacker stjæle din kode og bruge den til sit eget formål, fordi engangs-passwordet ikke indeholder informationer om konteksten,« forklarer Ivan Damgård.

Edward Snowden og konspirationer om supercomputere

Edward Snowden lækkede i marts en rapport, hvori han påstod, at NSA (National Security Agency) er i gang med at bygge en kvantecomputer, der i teorien kan bryde gennem de sværeste og mest tidskrævende krypteringer på ingen tid. Den første kvantecomputer blev bygget i 2001, men var meget lille, og det er endnu ikke lykkedes at bygge en, der rent faktisk er stor nok. Det ligger ifølge vores eksperter langt ude i fremtiden.

»Selvfølgelig er der folk, som forsker i sikkerhedsløsninger mod et potentielt angreb fra en kvantecomputer. Men hvis vi forestiller os et scenarium, hvor det pludselig er muligt at bygge store kvantecomputere, så ville det meste af den kryptering, vi bruger i dag være brudt. Til gengæld har vi løsninger parat, der vil kunne bruges i stedet,« siger Ivan Damgård.

Videnskab.dk Podcast

Lyt til vores seneste podcast herunder eller via en podcast-app på din smartphone.

Danske corona-tal

Videnskab.dk går i dybden med den seneste corona-forskning. Læs vores artikler i temaet her.

Hver dag opdaterer vi også de seneste tal.

Dyk ned i grafer om udviklingen i antal smittede, indlagte og døde i Danmark og alle andre lande.

Ny video fra Tjek

Tjek er en YouTube-kanal om videnskab, klima og sundhed henvendt til unge.

Indholdet på kanalen bliver produceret af Videnskab.dk's Center for Faglig Formidling med samme journalistiske arbejdsgange, som bliver anvendt på Videnskab.dk.


Ugens videnskabsbillede

Se flere forskningsfotos på Instagram, og læs her om påfugleedderkoppen, der er opkaldt efter fisken Nemo.