Siden den danske statslige app, der skal opspore smittekæder, blev klar i midten af juni, har sundhedsmyndighederne gang på gang forsikret befolkningen om, at de trygt kan installere den – uden frygt for, hvad der sker med deres data.
»Det har været afgørende, at appen lever op til det højeste niveau af privatlivsbeskyttelse og datasikkerhed,« har sundheds- og ældreminister Magnus Heunicke (S) blandt andet sagt. Ved udgangen af måneden havde over 600.000 danskere downloadet appen.
Alligevel viser det sig nu, at Udenrigsministeriet har forbudt samtlige medarbejdere at installere appen på telefoner og tablets, der er udleveret af ministeriet – »af sikkerhedsmæssige årsager«.
Direktør for organisation og borgerservice i Udenrigsministeriet, Erik Brøgger Rasmussen, bekræfter over for Information, at man blandt andet har skrevet ud på ministeriets intranet, at medarbejdere ikke må downloade appen på ministeriets telefoner. Det skyldes, at den kun fungerer, hvis Bluetooth er konstant slået til.
»Bluetooth er en åben kanal, og derfor er den relativt nem at penetrere for dem, der nu har lyst til at følge med i, hvad der foregår. Derfor tillader vi generelt ikke brug af Bluetooth på vores telefoner.«
Det er altså ikke selve appen, men den funktion, den kræver for at virke, der er problemet. Alligevel står Udenrigsministeriets udmelding i kontrast til, hvad vi ellers har hørt fra myndighederne om appens datasikkerhed. Det mener formand for IT-Politisk Forening, Jesper Lund.
Ifølge ham, er det »uden for diskussion«, at Bluetooth gør ens telefon mindre sikker.
»Så det er i en eller anden forstand dobbeltmoralsk, at nogle dele af staten tigger og beder borgerne om at installere appen, og samtidig er der andre dele af staten, hvor man ikke vil gøre det,« siger han.
Spørger man Henrik Kramselund, der til daglig rådgiver virksomheder i cybersikkerhed og underviser i emnet på Københavns Erhvervsakademi, KEA, er det »problematisk«, at så mange danskere render rundt med Bluetooth permanent tændt på deres telefoner. Og det gælder ikke kun ansatte i ministerier eller andre institutioner, der arbejder med klassificeret indhold, men også helt almindelige danskere, mener han.
»Man kan spore og tracke folk, og man kan risikere at få delt data, man ikke ønsker at få delt. Og når først man kan identificere folk, kan man kortlægge, hvem der mødes og hvor ofte,« siger han.
»Så jeg vil forvente, at nogen prøver at udnytte det.«
Magnus Heunicke er på ferie, og det har derfor ikke været muligt at få en kommentar til sagen. Ministeriet henviser dog til det advisory board, der har rådgivet myndighederne under udviklingen af appen.
Formand for Dansk Magisterforening og medlem af Dataetisk Råd, Camilla Gregersen, sad med i den rådgivende gruppe, og hun mener ikke, at der er sikkerhedsproblemer med hverken appen eller brugen af Bluetooth. Hun frygter derimod, at Udenrigsministeriets beslutning kan skabe ubegrundet mistillid til appen.
»Det kan blive nogle blandede signaler, man kommer til at sende, og det ville være rigtig ærgerligt, hvis det medfører, at befolkningen bliver usikre på sikkerheden,« siger hun og understreger, at hun ikke udtaler sig på vegne af Dataetisk Råd.
En skidt situation
Den danske smittesporingsapp lå klar til brug den 18. juni. Men allerede først på foråret, da lignende apps kom på tale rundt omkring i verden, besluttede Udenrigsministeriet, at alle smittesporingsapps, der anvender Bluetooth, skulle forbydes på enheder, der er sikkerhedsgodkendt af ministeriet.
Så i juni, da den danske app kom på markedet, lavede man en specifik udmelding på ministeriets intranet om brugen af den.
»Det har ikke noget med den danske app og dens indhold at gøre, men fordi den kræver permanent Bluetooth, vil vi ikke have den af sikkerhedsmæssige årsager,« siger Erik Brøgger Rasmussen og forklarer, at beslutningen blev taget af ministeriets informationssikkerhedsteam i dialog med de danske sikkerhedsmyndigheder.
Jesper Lund kan godt se fornuften i ministeriets beslutning.
»Ud fra en rent sikkerhedsmæssig synsvinkel kan jeg sagtens forstå det, for der er ikke nogen tvivl om, at din telefon er mere sikker, hvis Bluetooth er slukket,« siger han.
»Omvendt er der andre dele af staten, der mener, at appen er et vigtigt led i at styre den pandemi, vi står i. Og så er der jo ikke rigtig noget alternativ – på godt og ondt. Men der kommer nogle sikkerhedsrisici med.«
Henrik Kramselund kalder det en »helt generel sikkerhedsanbefaling, at man lukker Bluetooth, når man ikke bruger det«.
Men alligevel kan de hundredtusindvis af danskere, der har hentet appen, nu gå rundt med Bluetooth tændt permanent.
»Det er en skidt situation,« siger han. Og det kan ifølge hans vurdering både udnyttes til kriminelle og kommercielle formål.
Appen bygger på en teknisk løsning, der er udviklet af Google og Apple, men er herhjemme blevet udviklet af Sundheds- og Ældreministeriet og Digitaliseringsstyrelsen, mens Styrelsen for Patiensikkerhed har foretaget en konsekvensanalyse af databeskyttelsen.
Her konkluderes det, at den væsentligste risiko i forbindelse med befolkningens databeskyttelse er, at »borgerne ikke kan overskue konsekvenserne af deres accept af frivilligt at dele information om smittestatus med andre«.
Birthes iPhone og Henriks telefon
Ligesom internet er Bluetooth helt grundlæggende en måde at transportere data på. Det rækker bare kun omkring ti meter og bliver ofte brugt til små enheder, som en trådløs mus eller høretelefoner, forklarer Henrik Kramselund.
»Hvis man har Bluetooth åbent, kan telefonen modtage data ude fra luften, og de data kan potentielt være skadelig trafik fra nogen, der prøver at angribe os. Så det er almen kendt, at man skal slukke det, når man ikke bruger det,« siger han.
Der kan være forskellige typer sikkerhedsfejl i teknologien, som gør, at det er lettere at trænge ind i telefonen, og der er generelt en række risici forbundet med brugen af Bluetooth, mener Kramselund.
Først og fremmest er det hans vurdering, at man vil kunne identificere folk og kortlægge, hvem de mødes med. Blandt andet fordi mange danskere ikke er opmærksomme på, at de har funktionen ’synlig’ slået til i deres Bluetooth-indstillinger, hvilket betyder, at deres navn fremgår, når de tænder for Bluetooth.
»Så alene ved at slå Bluetooth til, vil mange fortælle, hvem de er, og hvor de er, fordi der står ’Henriks telefon’ eller ’Birthes Iphone’. Og nogle gange vil det være et fuldt navn,« forklarer han.
Samtidig er der mange apps, der bruger Bluetooth, når først funktionen tændes i forbindelse med smittesporingsappen. Når du bruger appen, tillader du altså derigennem formentlig også en lang række andre apps at anvende bluetoothforbindelsen.
Og så bliver sikkerheden et spørgsmål om, hvilke apps du ellers har installeret, hvilke tilladelser du har givet dem, hvad de bruger af data, og hvordan de bruger den data, siger Henrik Kramselund.
»Og der er desværre masser af eksempler på apps, der henter for meget data, og vi ved, at forbrugerne i mange tilfælde bliver snydt.«
Et andet scenarie kunne være, at kriminelle bruger bluetoothforbindelsen til at sende brugerne beskeder. Man kunne forestille sig, siger han, at nogen vil udgive sig for at være sundhedsmyndighederne og sende beskeder med links, man bliver bedt om at klikke på, som lokker folk i uføre.
»For at udnytte den slags sårbarheder skal man bruge meget få dimser. Man skal bare bruge en bluetoothsender, der kan sættes i en bærbar computer, og så kan man hacke,« siger Henrik Kramselund.
Det er hverken dyrt eller særlig kompliceret, vurderer han.
Bluetooth er ikke bare Bluetooth
Det er ikke kun Udenrigsministeriet, der har en bekymring om brugen af Bluetooth.
Forsvarsministeriet har ikke lavet en tilsvarende udmelding om smittesporingsappen til deres medarbejdere, men her henvises til dets genelle retningslinjer for datasikkerhed på ikkeklassificeret materiale fra mobile enheder.
Uden forbindelse til Bluetooth virker den statslige smittestopapp ikke.
Ifølge Camilla Gregersen skal man dog ikke være urolig ved at bruge sundhedsmyndighedernes app.
Digital smittesporing bruger Bluetooth, men hun påpeger, at det er telefonens eget styresystem, der bruger Bluetooth til at registrere kontakten med andre brugere, som potentielt kunne være smittet med COVID-19. Selve appen hverken sender eller modtager Bluetooth-signaler.
»Så man behøver ikke at stole på selve appen – det afgørende er, om man stoler på telefonens underliggende styresystem,« siger hun.
»Bluetooth er den eneste måde, telefonerne kan kommunikere direkte uden at gå via udefrakommende wifi eller 4G, så på den måde er Buetooth godt for sikkerheden. Jeg vurderer ikke, at kontaktsporing er usikkert, når det ligger inde i telefonenes styresystem.«
– Så der er ikke nogen mulighed for, at folk kan hacke sig ind gennem Bluetooth?
»Tidligere versioner af Bluetooth har absolut nogle sikkerhedshuller, men de telefoner, hvor smittesporing er mulig, bruger nyere versioner af Bluetooth, hvor der p.t. ikke er kendte sikkerhedshuller. Et af branchens mest anerkendte sikkerhedsfirmaer har udført omfattende sikkerhedstest af appen, herunder af Bluetooth-funktionen. De fandt ingen sikkerhedsproblemer i Bluetooth-funktionen.«
– Skal det forstås sådan, at du ikke mener, at Udenrigsministeriets it-sikkerheds-team har forstået teknologien ordentligt, siden de har lavet et forbud?
»De har måske bare nogle andre hensyn og interesser. Udenrigsministeriets it-afdeling har ikke til opgave at sikre danskerne i en ny COVID-19-bølge. De bliver ikke belønnet for at vægte befolkningens sundhed højere end deres interne it-systemer,« siger Camilla Gregersen.
»Tværtimod. Hvis der senere måtte vise sig et sikkerhedsproblem, som ingen kan se nu, kan de blive aftvunget en forklaring.«
Kan skade coronakampen
Camilla Gregersen har selv installeret appen på sin telefon, og hun anbefaler andre at gøre det samme.
Spørger man hende, er det heller ikke ukorrekt, når Magnus Heunicke har sagt, at appen lever op til de »højeste standarder for datasikkerhed og privatlivsbeskyttelse«.
På nuværende tidspunkt er hendes største bekymring, hvad udmeldingen fra Udenrigsministeriet kan betyde for danskernes tillid til appen.
»Det sender i hvert fald nogle blandede signaler, og det ville være rigtig ærgerligt, hvis det medførte, at befolkningen bliver i tvivl om sikkerheden ved smittesporing. Hvis flere myndigheder vælger at give denne her melding, så kan det begrænse udbredelsen af smittesporingen, og det, mener jeg, vil være et problem for almenvellet.«
Men beslutningen om at forbyde smittesporingsappen på arbejdstelefoner skal ikke forstås som en generel opfordring til, at folk ikke installerer appen, understreger direktør for organisation og borgerservice i Udenrigsministeriet, Erik Brøgger Rasmussen.
»I modsætning til de fleste privatpersoner, så har Udenrigsministeriet informationer tilgængelige i vores systemer, som nogle udenforstående har interesse i. Hvis nogen får adgang til vores data, så kompromitterer det potentielt hele Danmarks sikkerhed,« siger han.
Derfor har ministeriet højere sikkerhedsstandarder end de fleste privatpersoner og mange andre offentlige institutioner – og de er lovmæssigt forpligtede til at passe ekstra godt på deres data, forklarer Erik Brøgger Rasmussen.
Henrik Kramselund kalder det en »valid bekymring«, ministeriet har, og han ville anbefale alle myndigheder med fortrolige oplysninger at gøre det samme.
Men han vil også anbefale det samme til folk i den private sektor, der ligger inde med oplysninger, som andre kunne være interesserede i. Kramselund har desuden hørt eksempler på aktivister, som er forsøgt sporet gennem denne teknologi, og han mener, at problemet kan være relevant for en del andre danskere.
»Vi taler ofte om terror og sådan nogle ting, men i Danmark har vi jo langt flere stalkingsager, ekskærester der er sure på hinanden, og ægtefæller, der er hinanden utro. De data kan både bruges til at afpresse folk og smadre familier. Så de data skal beskyttes rigtig, rigtig godt.«
Såvidt jeg har kunne læse mig frem til, fra kilder, der har forstand på den slags, er smittesporings-appen sikker, hvis man alligevel bruger Googles eller Apples operativsystemer, men f.eks. på Android telefoner, kan appen ikke køre uden Google Play Services, som potentielt er en spion på din telefon. Noget lignende er sikkert gældende for Apples produkt.
Ud over det undrer jeg mig over, at det åbenbart er normalt, at have GPS, Bluetooth, NFC og Wifi slået til hele tiden. Det svarer vel til at bruge et stykke sytråd som lås på døren - og så tærer det også på batteriet.
NU er jeg bekymret. Jeg er som lærer koblet op på platformen AULA. I AULA har jeg adgang til personfølsomme og personhenførbare oplysninger,. Jeg logger ind fra min tlf med mit Unilogin og herefter har jeg adgang til alle oplysninger, beskeder fra forældre, ledelse og medarbejdere. Fra AULA kan jeg også komme ind i alle funktioner i Google, da vores offentlige, kommunale mailadresse er koblet op herpå. I Google Drev har vi fx interne oplysninger om vores organisering, planlægning mv. Hvis en afsender vil sende en besked til mig, er der mulighed for at afkrydse et felt: " Markér som følsom", og jeg vil så skulle logge ind med mit personlige NemId. Det er bøvlet i hverdagen, og jeg får meget få beskeder med den afmærkning. Uanset hvordan jeg logger ind, så fremkommer oplysningerne på min tlf. Hvis jeg installerer app-en fungerer den kun, hvis jeg åbner for Bluetooth adgang, men dermed harjeg også, som offentligt ansat, lavet en datalæk?
@Marianne Lassen.
Tal med jeres IT afdeling. Men umiddelbart er svaret; "Nej du har ikke skabt en datalæk ved at tænde for din bluetooth".
Det havde selvfølgelig svækket overskriften at ha’ den vigtige begrundelse og sammenhæng med for udenrigsministeriets forbud...
Som nogenlunde almindelig privatperson er jeg glad for nu at ha’ læst artiklen... tror jeg nok...
Kan man ikke nøjes med at tjekke denne corona-app en gang om dagen, eller når blue toth iøvrigt er tændt? Er app’en ikke konstrueret så det er muligt?
@Ete Forchhammer
App'en og bluetooth skal køre og være tændt, når du er sammen med fremmede.
Ellers kan den ikke registrere og logge hvem du har været tæt på.
Marianne Lassen, jeg malede måske et misvisende billede. Du er ikke i *umiddelbar* risiko for "indbrud", men du kan trackes, hvor end du er, hvis du ikke sørger for at kun at tænde for de forskelle funktioner, når du skal bruge dem. Jeg forstår godt UM, fordi det er bogstavelig talt statshemmeligheder, men som almindelig slutbruger, kan man ikke gøre andet, end at udvise rettidig omhu i hverdagen. Sluk unødvendige funktioner, og lad være med at logge på åbne netværk du ikke har grund til at stole på.
Hvis bare folk kunne holde deres fingre fra de sociale medier, mens de er ude at demonstrere, og så først poster de billeder de måtte have taget, når de kom hjem igen, så ville der ikke være så meget at bekymre sig om.
Problemet er at best practice er at slukke for sin Bluetooth, når man er til sådanne arrangementer, netop fordi folk generelt bruger sociale medie apps, der spionerer på andre telefoner. Paradokset er, at det netop er i de situationer, at det er brug for Smitte|Stop appen.
De der it-sikkerhedsfolk har det med at gå lidt i selvsving. Der er potentielle farer alle vegne, og man kan ikke for grundig med at beskytte sig selv i hoved og røv. Klart, de lever af at se farer alle vegne. Men nej, bluetooth er ikke usikkert. Sandsynligheden for at nogen får adgang til din telefon via bloototh er minimal. Sandsynligheden for at du mister den eller bliver kørt ned er langt større. Ja, det er teoretisk muligt, men ikke noget man bør rende og bekymre sig om. Ja, når man har bluetooth tændt kan andre "se" dig - præcis som man kan, når du har Wi-Fi tændt. And so what? Løsningen på kriminalitet og overvågning er ikke digitalt selvforsvar. Det kamp er tabt på forhånd for os almindelige dødelige. Løsningen er lovgivning.
Selvfølgelig skal ministeriernes ansatte ikke bruge en tjenestetelefon til egne personlige formål. De skal hverken have smitteapp, Facebook, Twitter, TikTok eller noget som helst andet. Ansatte i ministerierne håndterer fortrolige oplysninger og der må ikke være nogen som helst risiko for at de f.eks. kan blive mål for udenlandske efterretningstjenester, som ad forskellige veje kan hacke sig ind i telefonen. Folk kan lægge smitteappen og alt muligt andet på deres personlige telefon.
Jeg antager at UM benytter et specialet udviklet styresystem? Nej, okay...
Jeg antager at UM forbyder de ansatte at gå på nettet, hverken via WiFi eller mobil data. Tvivler, hvordan vil de så få appen.
Problemet med Bluetooth tændt hele tiden er sporing. Det vil være muligt at scanne for enheder nær dig, præcis som du kan med WiFi. Jeg antager derfor at UM heller ikke tillader at brugerne har WiFi tændt hele tiden?
For den almene bruger skal du spørge dig selv følgende:
1. Har du tit WiFi tændt?
2. Har du tit Bluetooth tændt?
3. Bruger du sociale medier?
4. Henter du random crap (apps) fra div. app stores?
5. Tænker du over sikkerhed når du besøger internet sider på mobilen?
Med mindre du bord under en sten, eller har grund til at frygte sporing, så kan du roligt bruge appen. Det er korrekt at Bluetooth skal være tændt, det er måden hvorpå mobilerne kan se om de er tæt på hinanden.
Det betyder selvfølgelig også at folk kan spore din telefon, men det kan kun gøres inden for bluetooth rækkevidden, og vi snakker ikke en masse personlige oplysninger. Alt efter enhed vil det maks være det navn du har givet din telefon, men oftest kun et unikt id for bluetooth modulet i din telefon, da du ikke behøver at have discovery slået til.
Jeg gætter på at UMs forbud er mere, better safe than sorry, end at der er et reel sikkerhedshul.