Tusindvis af DSB-passagerers personfølsomme oplysninger bliver i disse dage fotograferet og sendt til en database af sikkerhedsvagter, når rejsende passerer id-kontrollen på stationen i Københavns Lufthavn for at rejse til Sverige.
Men løsningen bekymrer flere it-eksperter, der savner svar på, hvordan DSB har sikret, at oplysningerne ikke falder i forkerte hænder.
Konkret er der tale om et program udviklet af det danske it-firma MobilePeople, der står for at fotografere, sende og gemme en kopi af de rejsendes id. Det pågældende program er en videreudvikling af et system, som firmaet har lavet til at kontrollere blandt andet rengøring, containere og lastbilers sikkerhed.
Mange brugere på samme system?
En af de bekymrede eksperter er Jens Monrad, der er it-konsulent og ansat i den amerikanske it-sikkerhedsvirksomhed FireEye. Han er særligt opmærksom på, at programmet - kaldet MP Tjek - også bruges af andre brugere til andre formål end id-kontrol.
- Det betyder, at der er andre, der bruger den her applikation til andre formål. Det betyder også, at den infrastruktur, man måtte benytte sig af, er delt med andre, der bruger samme system. Det udgør i sig selv en sikkerhedsrisiko, siger han.
Sender mobiler kodede beskeder?
En anden bekymring går på, hvorvidt billederne af pas og kørekort bliver sendt krypteret - altså kodet - så ingen udefra umiddelbart kan åbne dem. DSB har oplyst, at billederne bliver gemt krypteret, men trods gentagne henvendelser fra DR Nyheder, har det danske togselskab endnu ikke svaret på, hvorvidt data sendes krypteret – og i givet fald hvordan.
DR Nyheder har også været i kontakt med MobilePeople, der har udviklet softwaren til DSB. Her vil direktør Jens Hammering ikke udtale sig om applikationen og henviser til DSB. Han understreger, at virksomheden generelt overholder lovgivningen.
På billeder af applikationen, der florerer på internettet, kan man se, at den kører på en Samsung-telefon med styresystemet Android. Her kan man også konstatere, at det umiddelbart lader til, at oplysningerne sendes igennem telefonnettet, siger Jens Monrad.
- Det ser ud til, at telefonen er forbundet ved hjælp af mobilnettet og ikke i form af en krypteret tunnel. Det udgør også en sikkerhedsrisiko, for den data, der kommunikeres fra mobiltelefonen, kan godt være krypteret, men enheden kommunikerer også med andre ting ved hjælp af mobilnettet. Kan man forestille sig, at mobiltelefonen bliver kompromitteret, så har man også adgang til de data, der bliver kommunikeret.
Samme bekymring har Henrik Kramshøj, der er ekspert i netværkssikkerhed. Han anfører i sin blog på Version2.dk, at det tidligere er set, at data kan blive opsnappet. Og selv hvis indholdet skulle være krypteret, så kan det være problematisk, vurderer han og henviser til sikkerheds-fejlen Heartbleed, der viste et hul i den udbredte krypteringsmetode OpenSSL.
Id-tyve kan misbruge pas og kørekort
Jens Monrads vurdering er, at oplysningerne bliver sendt krypteret. Alligevel advarer han om, at der er meget på spil, når det omhandler id, hvor der er både navn, billede og et fuldt CPR-nummer på. Det kan nemlig misbruges til at optage lån og købe varer.
- Når vi snakker om personfølsomme oplysninger, så skal de bare mistes en gang. Hvis jeg mister mit kreditkort, så kan jeg ringe ind til min bank og få det spærret, men jeg kan ikke få spærret mine oplysninger, hvis de bliver stjålet.
DSB har flere gange sagt, at de vil opbevare kopier af de rejsendes pas eller kørekort i 30 dage. Selskabet har også sagt, at oplysningerne opbevares i Danmark, hvor DSB har ansvaret for dem.
Sagen kort:
- •
DSB har besluttet at tage billeder af alle rejsendes id, hvis de vil med Øresundstoget til Sverige.
- •
Det sker for at kunne dokumentere for de svenske myndigheder, at man har kontrolleret id.
- •
Sverige har indført transportøransvar. Tjekker DSB og andre selskaber ikke legimitation, kan de få en bøde på op til 50.000 per tilfælde.