Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Klokken 15.41. IT- og Telestyrelsen har sammen med Vagn Rydeng konstateret, at det er en fejl fra hans side. Jeg skriver nyt blog-indlæg.
OBS kl. 14.12: Jeg har på opfordring af SKAT kontaktet IT- og Telestyrelsen, der jo har ansvaret for digitale signatur, for at få regler om digital signatur/password.
Lidt over 7 i morges fik Vagn Ryding – en af denne blogs læsere – sig noget af en forskrækkelse, da han loggede ind for sin hustru på Skat. Efter at have angivet hendes digitale signatur-fil fik han adgang til hendes skattemappe UDEN at blive afkrævet hendes password.
At Vagn Ryding og hundredetusinder andre går ind på Skat i dag, skyldes at årsopgørelsen for 2009 ligger klar i deres skattemapper. Andre medier, og heriblandt Version2, fortæller, at systemet har været lammet ikke blot på grund af belastning, men også et problem med en firewall.
At systemet lammes er beklageligt, men en forsinkelse er dog til at leve med, selv om der fra politisk side allerede er fuld gang i teatertordenen.
Opdateret. Tjek nyt blogindlæg. Fejlen lå hos brugeren.Helt anderledes er alvoren af den fejl, som Vagn Rydeng har oplevet. At man tilsyneladende på et tidspunkt kan få adgang til data i det offentlige system UDEN at aflevere et password. Det tyder på konstruktionsfejl – at der ikke er taget højde for alle de sammenfald af omstændigheder, der kan indtræffe.
I Vagn Rydings mail til mig, uddyber han, hvorfor situationen er så alvorlig:
“Ved to indbrud de seneste år har vi fået stjålet to bærbare med installeret digital signatur, det er mildt sagt fuldstændig uacceptabelt, hvis man kan få adgang til nemlogin, og dermed en række offentlige sider, uden password.”
Selvfølgelig er der tale om en “hvad-nu-hvis-situation”, altså hvis tyve, der har nuppet nogle bærbare, slår til lige netop i det tidsrum, hvor et samspil af uforudsete hændelser sker hos CSC. Men noget må korrigeres øjeblikkeligt hos CSC.
Vagn Ryding har tidligt i morges beskrevet hændelsen i en mail til skattevæsenet, men har endnu ikke fået svar. Han forsøgte ved 8-tiden at gentage “succesen” med egen digitale signatur, men da var systemet lammet.
Via Twitter (@spiri) læser jeg, at der er problemer hos CSC, der kører skatteopgaven for staten. Problemer med serverne, der står for tjek af de digitale signaturer. Der er imidlertid intet at finde på hverken skat.dk eller CSC.com/dk
Jeg kontaktede “spiri”, den informatikstuderende Søren Hugger Møller, som forklarer sin observation således:
“Da jeg trykkede på Adgang med Digital Signatur på tastselv.skat.dk, fik jeg en HTTP 503 fejl på den CSC-side, jeg blev sendt. Den CSC-side, der crasher, er en underside til https://login.service.csc.dk.”
Om der er en sammenhæng mellem den fejl og den, som Vagn Rydeng har oplevet, ved jeg dog ikke, men Skat har efterhånden haft mange problemer med de helt nye systemer, der erstattede de gamle. Der har været tale om omfattende forsinkelser og konkrete fejl i de nye, mere brugervenlige systemer.
Jeg håber, at vi bliver lidt klogere på den alvorlige fejl i løbet af dagen. Vagn Rydeng har lovet at melde tilbage, når han får svar fra Skat.
Tilføjet Kl. 13.40. Jeg har orienteret Skat om dette indlæg og videregivet telefonnummer til Rydeng. Jeg kontaktede efterfølgende IT- og Telestyrelsen.
5. marts 2010 kl. 14:46
Hvad er det lige for en adgangskode?
Når man går i skattemappen med digital signatur bliver man da ikke spurgt om password.
5. marts 2010 kl. 14:46
Det virker meget besynderligt at hverken SKAT eller CSC informerer om problemerne med Digital Signatur. Det virker især sært set i lyset af, af at su.dk, hvor man også kan logge ind via Digital Signatur, i øjeblikket viser et infobanner der fortæller at der er problemer pga. den store trafik til SKAT.
Kan det virkelig passe at man må ty til tredjepart, der “tilfældigvis” anvender samme loginsystem for at få informationerne??
5. marts 2010 kl. 15:05
Da jeg, som Dorte skriver, gik ind i morges var det eneste jeg gjorde at klikke på den relevante digital signaturfil på min pc, derefter fik jeg efter noget tid fuld adgang til skattemappen, uden at blive præsenteret for boksen hvor man indtaster sit login til digital signatur.
5. marts 2010 kl. 15:13
@ Flemming Bøg. Jeg har på opfordring af SKAT nu kontaktet IT- og Telestyrelsen, der jo har ansvaret for digitale signatur, for at få regler om digital signatur/password. Afventer opringning.
Her er kommentarer via Twitter vedr. at Rydeng kunne komme ind UDEN password.
Fra http://twitter.com/hvirring @dortetoft Det kunne man oprindeligt. Blev senere ændret, så man bliver tvunget til at oprette password ved installation.
Fra hvirring @dortetoft Dvis han havde password på signaturen, så skulle passwordet tastes _inden_ det sendes til Skat. Se fx http://bit.ly/bc9KQu
fra http://twitter.com.greew @dortetoft I FF kunne pass tidligere gemmes i Software Security Device. Hvis man ikke gav SSD et pass, var der ingen beskyttelse af signatur
5. marts 2010 kl. 16:02
Jeg er netop blevet kontaktet tlf. af såvel Skat som IT- og Telestyrelsen. Det ser ud som om problemet skyldes, at vi bruger Firefox-browser og ikke har fået sat en ekstra adgangskode på den digitale signatur, jf denne vejledning https://danid.dk/export/sites/dk.danid.oc/da/support/vejledninger/windows/sikkerhedskopiering/opret_avanceret_sikkerhedskopi/
Det må vi så få gjort, og satser på det klarer problemet. I modsat fald vender jeg tilbage.
Det er da alt i alt positivt, at det er en brugerfejl og ikke et generelt problem :-)
5. marts 2010 kl. 17:17
[...] Alvorlig fejl hos SKAT. Adgang uden password. CSC-problem. [...]
5. marts 2010 kl. 17:32
@Flemming Bøg. Det ser ud til, at du har begået samme fejl som Vagn Rydeng, hvis du – som du skriver i kommentaren – ikke afkræves et password.
5. marts 2010 kl. 17:46
Jeg synes ovenstående kalder på en uddybning når støvet har lagt sig. Kan det være rigtigt at man kan affærdige en sikkerhedsbrist (hvis det er det ) med at brugeren har begået en fejl fordi han bruger firefox. Lidt firkantet stillet op, det indrømmer jeg, men i svaret til brugeren ligger en forventning om at alle der ikke er på explorervognen er superbrugere.
6. marts 2010 kl. 22:15
Vagn Rydeng. Du skal osse sætte password ved logon på din computer. Jeg ved godt det kan omdgås, men det gi’r dig tid til at annulere det certifikat der ligger på den stjålne computer.