En del af Watch Medier

ITWatchonsdag1. februar 2023

  • Søg
  • Log ind
  • Strategi
  • Resultater
  • Profiler
  • Startup
  • Søg
  • Log ind
  • Seneste
  • Søg
  • Log ind
  • Strategi
  • Resultater
  • Profiler
  • Startup
  • Politik
  • M&A
  • Brancher
08.09.2021kl. 12.01

Coronapas blev lanceret trods advarsler om snyd

Digitaliseringsstyrelsen og Sundhedsdatastyrelsen var advaret om risiko for snyd med coronapasset, men valgte i al hast at lancere appen, viser dokumenter i sagen.
Sådan så coronapasset ud, da det blev sendt på gaden 28. maj. 2021. | Foto: Martin Lehmann/Ritzau Scanpix
af THOMAS FUNCH, MADS ALLINGSTRUP

Det landsdækkende coronapas blev i al hast lanceret, selv om de ansvarlige myndigheder var advaret om risikoen for deling af coronapasset.

Men den advarsel valgte Sundhedsdatastyrelsen og Digitaliseringsstyrelsen at ignorere. Det fremgår af en aktindsigt, som ITWatch har modtaget.

Aktindsigten indeholder en lang korrespondance blandt medlemmerne af det såkaldte advisory board, der har haft til opgave at rådgive Digitaliseringsstyrelsen og Sundhedsdatastyrelsen under udviklingen af coronapas-appen.

Medlemmer i coronapas-advisory boardet

  • Camilla Gregersen, formand for DM - akademisk fagforening, medlem af Dataetisk Råd
  • Claus Thomsen, direktør, Divisionsforeningen
  • Janne Rothmar Herrmann, professor MSO, Københavns Universitet, medlem af Dataetisk Råd
  • Jacob Herbst, CTO, Dubex, medlem af Cybersikkerhedsrådet
  • Thomas Woldbye, adm. direktør, Københavns Lufthavne
  • Susanne Mørch Koch, adm. direktør, Tivoli

Referater fra boardets møder viser, at der på et ekstraordinært møde 14. april 2021 blev fremført flere bekymringer ved coronapassets design.

Bekymringerne gik på, at det ville være for nemt at tage screenshots af appen og dermed dele coronapas med andre, der ikke selv kunne få et.

"Boardet drøftede herpå nødvendigheden ved brug af QR-kode i appen. Det blev blandt andet fremført, at det kan skabe bekymring for overvågning, at passet skal scannes, såvel som forbehold for deling af skærmbilleder," står der i referatet fra mødet 14. april.

Det var Camilla Gregersen, der er medlem af Dataetisk Råd og til dagligt er formand for Dansk Magisterforening, der fremførte bekymringen, som skulle vise sig at være velbegrundet.

Coronapas-appen blev lanceret den 28. maj, og blot få dage efter begyndte der at florere historier om deling af de personlige coronapas.

Sikkerhedsekspert Peter Kruse fra sikkerhedsfirmaet CSIS udtalte sig i den forbindelse til ITWatch.

"Vi har allerede set de første eksempler på danskere, der sælger QR-koder i lukkede grupper på sociale medier. Det bliver misbrugt allerede," sagde han.

Sikkerhedsekspert enig i kritik

Det fik endnu en gang Camilla Gregersen til at råbe vagt i gevær i en mail til rådgiver-gruppen 2. juni 2021.

"Det er desværre gået præcis, som jeg forudså, nemlig at QR-koderne bliver fotograferet og delt. Det er et sikkerhedshul, og det advarede jeg imod, dengang vi talte om design af løsningen," skriver Camilla Gregersen i mailen.

I samme mail foreslog Camilla Gregersen desuden, at QR-koderne helt blev fjernet. Alternativt kunne QR-koderne løbende ændre sig for at besværliggøre kopieringen.

"Det (vandmærket, red) er alt for småt nu, fordi I insisterede på at have plads til QR-koden. Det er stadig mit råd, at vandmærket skal være større, mere detaljeret og bør fylde det meste af side 1, så det bliver næsten umuligt at kopiere," skriver Camilla Gregersen i mailen og fortsætter:

"Jeg foreslår, at man laver en QR-kode, der ændrer sig løbende, f.eks. en gang hvert minut. Det vil gøre det vanskeligt at snyde i en kø, hvor man skal ind."

Jacob Herbst, der er teknisk chef i sikkerhedsfirmaet Dubex, stemte i med Camilla Gregersen og kritiserede ligeledes vandmærke og QR-kode.

"Animationen i det nuværende vandmærke er alt for usynlig til at have nogen effekt i forhold til kontrol. Jeg ser gerne man laver noget meget mere synligt – det kan være en ramme om QR-koden, der skifter mellem blå og rød el. lign. Altså noget, hvor det visuelt er meget, meget tydeligt, at det ikke er et statisk billede," skrev Jacob Herbst.

Der er efterfølgende kommet flere animationer i coronapasset, men QR-koden fylder stadig det meste af skærmen. Den bliver fornyet en gang i timen.

Undersøgte ikke mulighederne

To måneder før lanceringen af coronapasset skriver Finans, at der på det mørke internet foregår salg af falske vaccinepas og testsvar.

Men hverken advarslen fra Camilla Gregersen og Jacob Herbst eller historier om et marked for salg af falske coronapas får resten af sikkerhedsrådgiverne til at kigge på mulige løsninger.

Af en præsentation fra appudvikleren Netcompany fremgår det, at der 21. april, tre dage efter det ekstraordinære møde i sikkerhedsgruppen, ikke var blevet fremsat krav om registrering af screenshots i appen.

Netcompany skriver ellers i samme præsentation, at en blokering for screenshots er anbefalet. Muligheden for at blokere for screenshots var en kendt løsning, eftersom den allerede var implementeret i Android-versionen af det Visma-udviklede digitale kørekort.

Den plan blev imidlertid fremrykket, så Netcompany allerede samme dag, som appen udkom, gik i gang med at søge efter metoder til at blokere for screenshots i coronapasset.

Det fremgår af en mail, som Netcompany har sendt til Lene Ærbo Pedersen fra konsulentvirksomheden Letsgodigital, der fungerede som projektleder på coronapasset.

"Kan du bekræfte at vi skal igangsætte screenshot detection, med henblik på levering ultimo uge 22? (og hurtigst muligt)," lyder det i mailen.

Lancering hurtigst muligt

Det var imidlertid først efter kritikken fra Camilla Gregersen og Jacob Herbst, at der blev rykket på problematikken med vandmærket. I en lang dialog på e-mail 2. juni lagde Digitaliseringsstyrelsen op til, at sikkerhedsgruppen skulle mødes for at finde en løsning.

"Vi er i gang med at kigge på mulige tilpasninger i appen, som vil styrke kontrolmulighederne og begrænse mulighederne for misbrug af appen. Den vil vi gerne drøfte med jer på et møde i advisory boardet, gerne i starten af den kommende uge," skriver Adam Lebech kl 21:39 den 2. juni til Gregersen, Herbst og resten af gruppen.

Han skrev yderligere tidligere på dagen at, der hurtigt skal forberedes svar på spørgsmål fra pressen vedrørende snyd med coronapasset.

Det har ikke været muligt at få et interview med den ansvarlige i Digitaliseringsstyrelsen, Adam Lebech, men styrelsen er vendt tilbage med et svar på mail.

"Der har i advisory boardet været bred opbakning til den løsning, som blev lanceret, og som advisory boardet, herunder repræsentanterne fra Cybersikkerhedsrådet og Dataetisk Råd, vurderede havde den rigtige balance i forhold til privacy-hensyn, anvendelighed og muligheden for at kontrollere og begrænse risikoen for snyd," skriver styrelsen og uddyber:

"Da løsningen skulle lanceres så hurtigt som muligt, var man ved lanceringen fuldt ud bevidste om, at der løbende ville blive foretaget justeringer på løsningen, og at den først lancerede version ikke nødvendigvis var den endelige version. Således blev der allerede i dagene og ugerne umiddelbart efter lanceringen foretaget ændringer eksempelvis med tydeligere visninger af vandmærke og animationer"

Ændringerne, som Digitaliseringsstyrelsen beskriver blev implementeret i en version, der udkom den 21. juni.

"Jeg vidste ingenting om at bygge en app da jeg gik ind ad døren – det er det ærlige svar"

Opdatering gør det nemmere at bruge coronapas-appen

Sikkerhedsselskab: Der snydes nu med coronapasset 

Relaterede artikler:

  • Foto: Digitaliseringsstyrelsen/PR

    "Jeg vidste ingenting om at bygge en app da jeg gik ind ad døren – det er det ærlige svar"

  • Foto: SSI

    Opdatering gør det nemmere at bruge coronapas-appen

    For abonnenter

  • Foto: PR

    Sikkerhedsselskab: Der snydes nu med coronapasset

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

!
Nyhedsbrevsvilkår

Forsiden lige nu

Foto: Pr/lunar Bank
Fintech

Lunar lancerer app der skal erstatte Weshare

Lunar vil med appen Shareit tage over efter Danske Banks app Weshare lukkede ned tirsdag.
  • Bankekspert: Lunar må lære at tjene penge
  • Lunar skal rette regnskab: Underskud vokser med trecifret millionbeløb

For abonnenter

Foto: Pr
Software

Systematic sætter nyt shipping-joint-venture i søen

For abonnenter

Foto: Universal Robots / PR
Robotter

Bombe under dansk erhvervseventyr afmonteret

For abonnenter

Foto: Gregers Tycho/ERH
Software

Her er Nana Bules nye job

Foto: Pr/podimo
Software

Podimo ansætter produktdirektør og vækstchef fra techtop

For abonnenter

Foto: Mandel Ngan/AFP/Ritzau Scanpix
Tele

Amerikansk teleudbyder tredobler resultat - men skuffer med prognose

Læs også

Foto: Kluge / PR
Konsulenter

Kræftsyg it-headhunter er død

Den kendte headhunter Jannie Kluge er død efter længere tids sygdom

For abonnenter

Foto: Magnus Møller
Tele

Lippert: "I Finland er man på 5G fordi man ikke har et fibernet"

Fiberselskabet Globalconnect vil med en trecifret millioninvestering forsøge at overbevise de finske husstande om, at fiber er fremtiden, selv i Nokia-land.

For abonnenter

Foto: Jens Büttner/AP/Ritzau Scanpix/AP
Offentlig it

Sjællandsk digitaliseringsforening sender trecifret millionudbud på gaden

Et it-udbud på en samlet værdi på 360 mio. kr. er netop blevet offentliggjort af Digitaliseringsforening Sjælland, der arbejder på vegne af 11 sjællandske kommuner. Udbuddet omhandler et ERP-system, der skal indeholde et økonomisystem og et løn- og personalesystem.

For abonnenter

Seneste nyt

  • Bombe under dansk erhvervseventyr afmonteret – 17.23
  • Podimo ansætter produktdirektør og vækstchef fra techtop – 16.41
  • Amerikansk teleudbyder tredobler resultat - men skuffer med prognose – 15.57
  • Lunar lancerer app der skal erstatte Weshare – 15.53
  • It-selskab for influencer marketing henter friske millioner fra investorer – 15.02
  • Systematic sætter nyt shipping-joint-venture i søen – 14.00
  • Det danske venturemarked i markant fald – 13.00
  • Lippert: "I Finland er man på 5G fordi man ikke har et fibernet" – 12.00
  • Her er Nana Bules nye job – 11.01
  • Nordea: Sandsynligheden for et salg af GN er meget høj – 10.55
  • Sjællandsk digitaliseringsforening sender trecifret millionudbud på gaden – 10.34
  • Politiker har separat telefon til TikTok: Frygter datahøst – 09.59
  • EA dratter efter nedjustering og udsigt til svagt fjerde kvartal – 09.35
  • Danmark skal lede milliardsats inden for kunstig intelligens – 09.06
  • Globalconnect rykker ind i Finland – 08.28
Flere nyheder

Job

  • Vi søger en IT-udvikler

  • Scrum Master with a practical approach

  • IT-Projektleder

  • Kontorchef til Data og Automatisering i fagområdet Person

  • IT-driftskonsulent med flair for Microsoft 365

  • IT Technician

  • IT-supporter

  • Product Owner – vær med til at forvalte IT-systemer midt i den grønne omstilling

  • Erfaren IT Supporter

Watch Job

  • Centerdirektør til Sønderborg

  • Regnskabs-/økonomichef

  • Head of Business Development

  • Salesforce-udvikler eller -arkitekt

  • Product Owner – vær med til at forvalte IT-systemer midt i den grønne omstilling

Se flere jobs

Job

  • Vi søger en IT-udvikler

  • Scrum Master with a practical approach

  • IT-Projektleder

  • Kontorchef til Data og Automatisering i fagområdet Person

  • IT-driftskonsulent med flair for Microsoft 365

  • IT Technician

  • IT-supporter

  • Product Owner – vær med til at forvalte IT-systemer midt i den grønne omstilling

  • Erfaren IT Supporter

Se flere jobs

Kolofon

ITWatch
Søg

Sektioner

  • Strategi
  • Resultater
  • Profiler
  • Startup
  • Politik
  • M&A
  • Brancher
  • Sitemap
  • RSS feeds

Redaktør

Jakob Skouboe

itwatch@itwatch.dk

Tlf.: +45 3330 8350

Ansv. chefredaktør

Anders Heering

Udgiver

JP/Politikens Hus A/S

Annonceafdeling

annoncering@infowatch.dk

Tlf.: +45 7077 7442

Annoncering

Jobannoncering

job@infowatch.dk

Tlf.: +45 7077 7442

Job

Abonnement

Prøv ITWatch gratis eller få tilbud på et abonnement, der passer til lige netop dig eller din virksomhed.

itwatch@infowatch.dk

Tlf.: +45 7077 7442

Læs mere om abonnement her

Adresse

ITWatch

Rådhuspladsen 37

1785 København V

Tlf.: +45 3330 8350

Retningslinjer

  • Persondatapolitik

Copyright © ITWatch — Alt materiale på denne side er omfattet af gældende lov om ophavsret

Microsoft er i gang med at udfase Internet Explorer – det er vi derfor også.
Vi anbefaler en af følgende browsere for en bedre oplevelse. Klik på et af ikonerne for at downloade en ny browser.

Med venlig hilsen,
ITWatch

Google ChromeMozilla FirefoxMicrosoft Edge