Den digitale postkassen inneholder mange dokumenter fra skattemyndighetene, kommunen og arbeidsgiveren, og det meste angår ikke andre – og absolutt ikke helt fremmede.
Likevel var resultatet av en kodefeil i den prestisjetunge Mit.dk-løsningen fra Netcompany nettopp det. Ved lanseringen 21. mars fikk et fortsatt ukjent antall innbyggere adgang til andres postkasse, og de har dermed kanskje kunnet lese dypt fortrolig korrespondanse mellom innbygger, bedrifter og det offentlige.
Det danske IT-nettstedet Version 2 har akkurat fått dokumentinnsyn i Netcompanys anmeldelse av datainnbruddet til datatilsynet, og dokumentene gir et detaljert bilde av et svært kritisk forløp i timene rundt lanseringen av Mit.dk etter at en frysperiode var overstått og «Neste Generation Digital Post» endelig gikk på luften etter flere forsinkelser.
Netcompany lanserte løsningen en time før den offisielle oppstarten, men til tross for forspranget gikk det bare litt over en time før de måtte ta ned løsningen igjen.
En av Netcompanys egne ansatte påpekte nemlig at vedkommende hadde fått adgang til en annen brukers e-post og telefonnummer, og bare noen få minutter senere gikk det galt igjen. Denne gangen i form av en orientering fra en medarbeider hos Digitaliseringsstyrelsen som hadde fått adgang til en annen innbyggers digitale post. Det framgår av dokumentene fra Datatilsynet.
Selv om Netcompany ikke åpner de digitale konvoluttene, er leverandøren klar over at innholdet kan inneholde «alle de ulike typene personopplysninger som inngår i offentlig digitalpost, blant annet følsomme personopplysninger og opplysninger om straffedommer og lovovertredelser», som det står i anmeldelsen.
Teknisk knockout
Etter disse meldingene stengte Netcompany all adgang klokken 09.15. De neste to døgnene kunne ikke offentligheten se annet enn en kunngjøring av at løsningen var rammet av problemer. IT-folk gjettet på hva som kunne være galt, mens man hos leverandøren slet for livet for å relansere løsningen på en trygg måte.
Netcompany kom ifølge anmeldelsen fram til at feilen var en «kodefeil i komponenten som brukes til identifikasjon/autentiseringen av brukerne».
Feilen oppsto når flere brukere logget på løsningen samtidig.
– I de tilfellene kunne autentiseringsnøkkelen fra en bruker («A») kanskje overskrive autentiseringsnøkkelen fra en annen bruker («B») slik at bruker B kunne få adgang til bruker As digitale post. Fordi de fleste brukere logget på for første gang, var konsekvensen i første omgang at de berørte brukerne kunne få vist kontaktopplysninger (telefonnummer og e-post) for en annen bruker hvis dette var registrert i Digital Post hos Digitaliseringsstyrelsen. Brukeren kunne derfor aktivt velge enten å endre kontaktopplysninger og/eller fortsette inn i den digitale postkassen, står det i anmeldelsen.
– I de tilfellene der innloggingen ikke ble avbrutt, har de angitte innbyggerne både hatt adgang til å se avsendere av og emnefeltene på en annen innbyggers digitale post. Potensielt har innbyggeren også kunne åpne den digitale posten, står det videre.
Feilen oppsto ifølge Netcompanys anmeldelse som et resultat av at flere brukere logget på løsningen på nøyaktig samme tidspunkt. Det hullet ble ikke oppdaget under diverse foregående tester, og det er ifølge leverandøren et resultat av at «hundrevis av brukere er logget inn samtidig i nettopp samme øyeblikk, samt en ekstraordinært lang svartid fra NgDP (Next Generation Digital Post).»
I forsøket på å gjenskape feilen viste tester at det ville kreve «hundrevis av innloggingforsøk innen samme sekund/millisekund for at feilen kunne gjenskapes». I de mer enn to døgnene da visningsklienten Mit.dk var nede for telling, fant Netcompany feilen og rettet den. Det skjedde via en «en kodeendring som gjør at det ikke kan skje en blanding av de brukte ID-ene» samt «en endring til transaksjonen mellom Mit.dk og NgDP».
Testet før start
Et nærliggende spørsmål er naturligvis om man ikke burde ha fanget opp slike problemer i tester?
I anmeldelsen til Datatilsynet forsikrer Netcompany at de i jobben med visningsklienten har underkastet Mit.dk omfattende tester.
«For å validere sikkerheten til mit.dk, ble det før go-live først gjennomført en intern penetrasjonstest av Netcompanys sikkerhetsteam. Senere ble det gjennomført en sikkerhetstest av en tredjepart, F-Secure, der konklusjonen var at løsningen var klar til bruk fra et sikkerhetsmessig perspektiv», skriver bedriften og utdyper: «Det er gjennomført omfattende performance-tester av løsningen før go-live, blant annet av den komponenten som var involvert i hendelsen. Det er imidlertid ikke mulig å gjennomføre store, automatiserte performancetester som også involverer realistiske NemID-innlogginger (på grunn av kravet om tofaktorautentisering). Derfor ble testen gjennomført med en simulert innlogging som omgikk den vanlige innloggingsflowen via NgDP og Nemlog-in. Denne simulerte innloggingen kjørte raskere enn den vanlige innloggings-flowen fordi NgDP kjørte ekstra sakte under den store peak-loaden som skjedde ved go-live av både borger.dk, virk.dk, e-Boks og mit.dk. Performance-tester av mit.dk fant ikke problemet ved programmeringsfeilen og ville heller ikke kunnet finne den», konstaterer Netcompany i sin anmeldelse.
Ukjent antall innbyggere berørt
Ifølge anmeldelsen til Datatilsynet er det ikke mulig å fastslå nøyaktig hvor mange innbyggere som har hatt mulighet for å snoke i andres digitale postkasse via feilen på Mit.dk.
Netcompany er, ifølge dokumentene som er stemplet 31. mars, fortsatt i ferd med å analysere hvor mange innbyggere det dreier seg om. På anmeldelsestidspunktet viser analysen at 2182 innbyggere rakk å logge på Mit.dk før man fra sentralt hold stengte ned løsningen.
Av dem rakk 1356 innbyggere å åpne minst ett dokument. Men så begynner klarheten å erstattes av spekulasjon. For det er vanskelig å klarlegge hvor mange av de innbyggerne som faktisk ble presentert for andre innbyggeres post.
«Netcompany vurderer derfor at det reelle antallet innbyggere som faktisk har blitt berørt av hendelsen, er mye lavere enn det antallet innbyggere som er angitt ovenfor. Vi anslår at det reelle antallet berørte innbyggere ligger mellom 10 og 50 når det gjelder de situasjonene der digital post er gjort tilgjengelig for en eller flere andre brukere», står det i papirene.
Denne artikkelen ble først publisert på Version 2
Slik får du tilbake motivasjonen etter ferien