DSB lukker for netadgang til server med passagerers pas og kørekort

Indtil i dag lå billeder af tusindvis af passagerers pas og kørekort på en internetserver, som DSB er ansvarlig for.

Alles ID bliver fotograferet på Københavns Lufthavns Station, inden man får lov at gå ombord på Øresundstoget mod Sverige. (Foto: Nikolai Linares © Scanpix)

Siden DSB i går begyndte at indsamle billeder af Øresundspassagernes id, har oplysningerne ligget på en server, der har haft ”front mod internettet”.

Det vil sige, at der har været mulighed for at få kontakt med serveren, hvor de mange personfølsomme oplysninger er lagret, hvis man har haft det rigtige kodeord.

Noget flere eksperter – herunder it-sikkerhedsekspert i CSIS Peter Kruse - har kritiseret for at være usikkert. For med adgang til internettet åbnede det også op for, at hackere kunne forsøge at tiltvinge sig adgang.

Men DSB har i løbet af i dag valgt at frakoble systemet, så man ikke længere kan få kontakt med serveren fra internettet, siger Martin Börjesson, it-chef i DSB til DR Nyheder.

- Den kan ikke nås fra internettet længere. Den kan kun modtage data fra den app, vi har fået udviklet. Skal man have adgang til data, skal man stå lige ved siden af maskinen, siger han.

Mere sikker uden internetadgang

Hvornår har I valgt at gøre det?

- Det er fra i dag. Det var kun vores operationsmanager, der kunne logge ind på den. Men det er stadig sådan, at hvis man vil have det endnu mere sikkert – og vi har trods alt vurderet, at den første løsning var sikker nok – så kan man lægge endnu et lag ovenpå.

Ligger der en erkendelse af, at sikkerheden ikke har været god nok?

- Nej, det gør der ikke. Det her er bare endnu et lag. Den første løsning vurderede vi at være tilstrækkelig sikker, for ellers var vi aldrig gået live med løsningen.

Telefoner uden hukommelse

Martin Börjesson fortæller også, at DSB sammen med en uvildig tredjepart har sikkerhedstestet og sårbarhedsscannet systemet hele weekenden, inden man gik i luften med det.

Konkret fungerer systemet sådan, at sikkerhedsvagterne i Københavns Lufthavn har fået udleveret en Samsung-telefon med Android på. Telefonen har ingen indbygget hukommelse og gemmer derfor kun billederne i telefonens ram.

Herfra sendes billederne af togpassagernes id til serveren over mobilnettet i krypteret form. Hvilken form for kryptering, der er tale om, kan Martin Börjesson dog ikke sige.

- Vi bruger den kryptering, som er normal for det her. Det er ikke nogen kryptering, som jeg har detaljer på, men det er en kryptering, som vores it-sikkerhedsafdeling og en uvildig tredjepart har vurderet svarer til de krav, vi stiller.

Ekspert positiv over tiltag

Efter at DSB har valgt at fjerne serveren fra nettet, vurderer Peter Kruse, at DSB har forsøgt at imødekomme meget af den kritik, der er blevet rettet mod løsningen fra it-fagfolk.

- Det er et skridt i den rigtige retning. Det tyder på, at man har lyttet til kritikken. Noget tyder på, at DSB har haft travlt med at få lavet den her løsning, men det er godt, at man nu erkender, at den kan være mere sikker, siger han.

Nyhedsbrev Tag dr.dk Nyheder med dig

Vælg mailingliste:

Vis alle nyhedsbreve

  • Kun breaking:
  • Alle nyheder:

DR Nyheder på YouTube