Trods omfattende NemID-svindel følger kommuner ikke politiets råd

Kun få kommuner har indført Rigspolitiets anbefalinger.

En keylogger kan være placeret i en USB-port i forlængelse af tastatur-kablet. Keyloggere kan også være indbygget i tastaturet.

I går blev ni mænd idømt tilsammen 41 års fængsel for svindel ved at have franarret over 170 biblioteksbrugere deres NemID-oplysninger.

Svindlen er primært sket ved, at gerningsmændene har installeret overvågningsudstyr – såkaldte keyloggere, der gemmer alt, hvad der bliver skrevet på tastaturet – på offentlige computere på 25 biblioteker rundt om i landet.

Nu viser en rundspørge, som DR har lavet blandt landets kommuner, at kun få kommuner har fulgt politiets anbefalinger til at sikre sig mod netop den slags svindel i fremtiden.

- Det her burde man bare have løst for længst også med de anbefalinger, der er kommet. Det forstår jeg ikke, at man ikke har fulgt, siger Jens Myrup Pedersen, der er professor i cybersikkerhed på Aalborg Universitet.

Halvandet år gamle anbefalinger

For halvandet år siden fik alle landets kommuner tilsendt en række anbefalinger fra Rigspolitiets Nationale Cyber Crime Center.

Anbefalingerne kom efter DR i sommeren 2020 afslørede, hvordan keyloggere blev installeret på landets biblioteker for at aflure folks NemID-oplysninger.

Blandt anbefalingerne var tre fysiske tiltag, som handlede om at sikre tastaturer, USB-porte og selve computerne for at gøre det sværere for svindlere at installere keyloggere på dem.

Professor: "Skræmmende lavt tal"

Men kun 15 kommuner ud af de 74, der har svaret på rundspørgen, har indført alle tre tiltag.

Et ”skræmmende lavt tal”, mener professor Jens Myrup Pedersen.

- Lige præcis denne her type angreb er noget, som man relativt let kan gøre noget for at beskytte sig imod. Og det er nogle angreb, som har stor påvirkning for de borgere, det går ud over. Så jeg synes ikke, der er nogen undskyldning for ikke at følge de her anbefalinger, siger Jens Myrup Pedersen fra Aalborg Universitet.

24 kommuner svarer, at de har indført en enkelt af de tre konkrete anbefalinger, mens otte kommuner svarer, at de ikke har indført nogen af de tre anbefalinger.

KL: Vi tager det meget alvorligt

Kommunernes Landsforenings digitaliseringschef kalder det ”fint”, at det kun er 15 kommuner, der har indført de tre tiltag.

- Der er en meget stor opmærksomhed på det, og man har gjort tiltag alle steder. Måske ikke nødvendigvis lige præcis de her tre, siger Pia Færch, der er digitaliseringschef i KL.

Tager I det alvorligt, når rigspolitiet kommer og siger, at det her skal I indføre?

- Vi tager det meget alvorligt.

Men hvorfor har I så ikke indført det?

- Vi tager det meget alvorligt, og alle kommunerne tager det meget alvorligt. Men der er bare indimellem andre tiltag, som er mere effektive eller som passer bedre til det udstyr, som man har lokalt, siger Pia Færch, digitaliseringschef i KL.

Keyloggere på biblioteker siden 2015

Professor Jens Myrup Pedersen er ikke tryg ved it-sikkerheden på bibliotekerne efter at have gennemgået svarene i rundspørgen.

- I det store samlede billede ser det ud som om, at det her har man ikke helt styr på, siger Jens Myrup Pedersen, der er professor i cybersikkerhed på Aalborg Universitet.

DR har afdækket, at hackere har installeret keyloggere på offentlige computere på næsten 50 forskellige biblioteker siden 2015.

Både Rigspolitiet og KL oplyser til DR, at de ikke har overblik over, om kommunerne har fulgt anbefalingerne.

Professor: Utrygt med stor forskel i it-sikkerhed

Professor i cybersikkerhed, Jens Myrup Pedersen, mener, at rundspørgens resultater viser, at der er stor forskel på bibliotekernes it-sikkerhed.

- Jeg kunne godt tænke mig, at man fra centralt hold løbende laver vurderinger af risici og tiltag, og så får det sendt ud til kommuner og biblioteker. Sådan at man får et ensartet sikkerhedsniveau, uanset hvilket bibliotek man kommer ind på, siger Jens Myrup Pedersen fra Aalborg Universitet.

Kommunernes Landsforening fastholder, at de enkelte kommuner med inspiration fra anbefalingerne selv kan vurdere, hvordan de sikrer biblioteksbrugerne mod angreb.

- På baggrund af det har den enkelte kommune taget stilling til, hvordan de passer bedst på deres borger-pc’ere. Det har vi fuld tillid til.

Biblioteksloven siger, at bibliotekerne skal tilbyde internetadgang til borgerne.