Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt
2655717_0001.png
Folketingets Udvalg for Digitalisering
og It
Stormgade 2-6
1470 København K
Telefon 72 28 24 00
Sagsnr.
2023 - 424
Doknr.
4759
Dato
02-02-2023
Svar på spørgsmål stillet af Lisbeth Bech-Nielsen (SF) den 23. januar 2023.
Spørgsmål nr. S 3:
”Hvordan
forholder ministeren sig til den designfejl i MitID, som blandt andre Ver-
sion 2 har beskrevet? Der henvises til artiklen ”Danskernes brugernavne fosser stadig
ud af MitID” den 19. januar 2022
https://www.version2.dk/artikel/danskernes-bru-
gernavne-fosser-sta-dig-ud-af-mitid”
Svar:
Spørgsmålet forstås således, at der spørges til de forsøg på angreb på tilgængeligheden
af MitID, som en journalist hos Version2 har udført og skrevet artikler om i september
2022 og januar 2023.
I januar 2023 skrev Version2, hvordan de med et angreb var lykkedes med at gætte
18.000 bruger-ID, fx ved at gætte på udbredte navne. Derefter kunne Version2 blokere
adgangen for en række konkrete brugere ved konstant at sende anmodninger mod de-
res bruger-ID. Dette forsøg efterligner i lille skala et såkaldt Denial of Service, DoS-an-
greb.
Forsøget i sig selv viser ikke et sikkerhedsbrud i MitID, men viser, hvordan det kan
lade sig gøre at chikanere et mindre antal tilfældige brugere, der typisk har valgt et
simpelt brugernavn, og skabe risici for disse brugere hvis de er uopmærksomme. An-
greb mod tilgængeligheden er et kendt fænomen for digitale løsninger og websites,
som det er svært at beskytte sig 100 pct. imod.
MitID-løsningen har dog en række beskyttelsesmekanismer, som beskytter mod for-
skellige typer af angreb, og som effektivt kan detektere og stoppe større angreb. Men
det er rigtigt, at det i lille skala er muligt at lave chikane mod tilfældige brugere ved at
forsøge at skabe utilgængelighed.
Leverandøren af MitID overvåger løbende systemet og kan blandt andet både blackli-
ste IP-adresser og justere grænseværdierne for de forskellige beskyttelsesmekanismer.
I dag sker blokering af IP-adresser automatisk, baseret på disse beskyttelsesmekanis-
mer. Blokering kan dog også foretages manuelt af leverandøren. Af hensyn til sikker-
heden kan jeg ikke gå ind i de nærmere detaljer om beskyttelsesmekanismerne.
Jeg kan dog informere udvalget om, at der løbende bliver arbejdet med sikkerheden i
MitID, herunder robustheden overfor forskellige typer af DoS-angreb, hvorfor der
også lanceres en større sikkerhedsopdatering senere på året. Opdateringen vil yderli-
gere mindske risici for denne type chikaneangreb.
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 3: Spm. om designfejl i MitID
2655717_0002.png
Der er generelt et stort fokus på sikkerheden i MitID, og der bliver løbende set på,
hvordan løsningen kan optimeres og hvordan sikkerheden kan styrkes, samtidigt med
at vi skal tage hensyn til de borgere, der har svært ved det digitale.
Med venlig hilsen
Marie Bjerre
2