Journalnummer: 2022-432-0079
Resumé
I januar 2022 kom flere borgere ud for, at de ved login i deres netbank via MitID fik adgang til andre borgeres konti. Dette blev anmeldt til Datatilsynet som brud på persondatasikkerheden af tre pengeinstitutter. Det fik Datatilsynet til at tage en sag op af egen drift for at undersøge det bagvedliggende problem.
Fejlen viste sig at skyldes, at login-anmodninger til samme netbank inden for millisekunder i særlige tilfælde kunne medføre, at MitID udstedte et såkaldt token til en anden session. Denne fejl kunne være undgået, hvis brokeren (den virksomhed, der formidler autentifikationssvaret - i dette tilfælde Signaturgruppen) havde valideret borgernes login med en teknologi, som kaldes Broker Security Context. Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet dette, men ikke stillet det som et krav.
Men det burde have været et krav, vurderer Datatilsynet i afgørelsen - og konkluderer, at Digitaliseringsstyrelsen ikke har haft tilstrækkelige foranstaltninger for at opnå et sikkerhedsniveau, der passer til de risici, der er for borgerne. Samtidig er det Datatilsynets opfattelse, at Signaturgruppen som dataansvarlig for brokerløsningen heller ikke har haft passende sikkerhedsforanstaltninger, fordi de benyttede Broker Security Context på en anden måde end beskrevet i anbefalingen.
På den baggrund udtaler Datatilsynet alvorlig kritik af både Digitaliseringsstyrelsen (nedenfor) og Signaturgruppen.
Afgørelse
Datatilsynet har den 6. januar 2022 modtaget anmeldelser fra tre pengeinstitutter om enslydende brud på persondatasikkerheden.
Af anmeldelserne fremgår det, at pengeinstitutterne af deres databehandler BEC er blevet gjort bekendt med, at en række kunder har fået adgang til andre kunders konti, når kunderne har logget på deres netbank med MitID. Af anmeldelserne fremgår videre, at BEC har oplyst, at der er tale om en samtidighedsfejl vedrørende den token, der udstedes af MitID i forbindelse med kundernes adgang til netbankerne.
Datatilsynet anmodede den 14. januar 2022 Digitaliseringsstyrelsen om yderligere oplysninger om hændelsen, herunder om at besvare en række spørgsmål. Digitaliseringsstyrelsen fremsendte den 10. februar 2022 yderligere oplysninger til Datatilsynet.
Datatilsynet fremsendte den 25. april 2022 en anmodning om yderligere oplysninger til Digitaliseringsstyrelsen. Den 30. maj 2022 fremkom Digitaliseringsstyrelsen med sådanne yderligere oplysninger.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
Det bemærkes, at tilsynet også d.d. har truffet afgørelse over for Signaturgruppen. Datatilsynet fandt grundlag for at udtale alvorlig kritik af, at Signaturgruppens behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, idet Datatilsynet fandt, at Signaturgruppen ikke havde implementeret en af MitID anbefalet sikkerhedsforanstaltning i NeB Broker med en tilstrækkelig høj entropi. Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig og broker til en teknisk logon-løsning, hvor der behandles personoplysninger, her MitID, sikrer korrekt implementering af anbefalede sikkerhedsforanstaltninger med henblik på at undgå utilsigtet adgang til personoplysninger for uvedkommende. Datatilsynet finder, at der er en skærpet risikoprofil når logon-løsningen giver adgang til en netbank-løsning.
2. Sagsfremstilling
Det fremgår af sagen, at MitID er en digital identitetsløsning og afløser for NemID. MitID løsningen ejes i et fælles partnerskab mellem den finansielle sektor (FR1) og den offentlige sektor (Digitaliseringsstyrelsen). FR1 og Digitaliseringsstyrelsen har sammen nedsat en fælles driftsorganisation kaldet MitID DFO bestående af medarbejdere fra både den offentlige sektor (Digitaliseringsstyrelsen) og den finansielle sektor (e-nettet). E-nettet repræsenterer den finansielle sektor som finanssektorens fælles it-udviklings- og driftsselskab, og er ejet af alle penge-og realkreditinstitutter i Danmark. Det fremgår videre, at Digitaliseringsstyrelsen er dataansvarlig for behandlingen af personoplysninger i MitID.
Digitaliseringsstyrelsen har oplyst, at for at en tjenesteudbyder kan modtage autentifikationer fra MitID, skal tjenesteudbyderen have indgået en aftale med en broker. Når MitID-kernen har verificeret, at den bruger, der ønsker at logge ind på en tjeneste, er den, som brugeren udgiver sig for at være, dannes et autentifikationssvar, der indeholder oplysninger om bl.a. navn, fødselsdato samt risikodata. Autentifikationssvaret sendes til brokeren for den tjenesteudbyder, hvis tjeneste, som brugeren ønsker at tilgå. Brokeren bliver selvstændig dataansvarlig for det modtagne svar. Brokeren videregiver det modtagne svar til sin tjenesteudbyder, evt. beriget med data, som brokeren selv er i besiddelse af. Ved modtagelsen af autentifikationssvar bliver tjenesteudbyderen selvstændigt dataansvarlig for de modtagne data. Det er brokeren, som har den tekniske opkobling til MitID-løsningen. Tjenesteudbyderne er i denne sag de tre banker, der således er selvstændigt dataansvarlige, når de modtager autentifikationssvaret fra deres broker, og tillader adgang til deres respektive netbanker. Det er på den baggrund, at de tre banker har foretaget indberetningerne til Datatilsynet.
Ifølge Digitaliseringsstyrelsen blev MitID DFO den 3. januar 2022 bekendt med hændelsen om, at en bankkunde havde fået adgang til en anden bankkundes netbank den 3. januar 2022, hvilket skyldes, at der blev udstedt to ens JWT tokens. MitID DFO fulgte straks herefter op med leverandøren Nets, og der blev igangsat hotfix, som blev implementeret samme aften, hvilket løste problemet. Dagen efter blev MitID DFO orienteret om, at der var blevet fundet yderligere tre andre hændelser, hvor en bankkunde uberettiget havde fået adgang til en anden bankkundes netbank. MitID DFO fulgte herefter op igen med Nets, og der blev den 10. januar 2022 udsendt en opdatering af den beskrivelse omkring implementering og validering af MitID autentifikation, som brokerne foretager på vegne af tjenesteudbyderne. I opdateringen blev validering af konteksten omkring det returnerede JWT token gjort obligatorisk, hvor denne validering før alene var en anbefaling til brokerne.
Digitaliseringsstyrelsen har om årsag til fejlen oplyst, at en fejl i MitID-kernen, som generer et JWT token som svar på en logon-anmodning, havde en race condition, hvor tokenet i ekstraordinære tilfælde generedes baseret på data relateret til en anden session, hvis login-anmodningerne til samme netbank rammer samme microservice/pod i MitID-infrastrukturen inden for få millisekunder. En JWT token udfyldt med data relateret til en anden session kunne hermed blive returneret til MitID brokeren.
For brokerne har det været en anbefaling, at de skulle udføre validering af de JWT tokens, som brokerne modtog fra MitID-kernen (Broker Security Context). Valideringen har dog ifølge Digitaliseringsstyrelsen været en anbefaling og ikke et decideret krav. BEC og Nets selv havde ikke udført valideringen. BEC anvender Signaturgruppen som eID broker, og Signaturgruppen er ejet af Nets, og er Nets egen eID broker.
Efter hændelsen er der den 10. januar 2022 blevet sendt materiale ud til brokerne med information om, at det gøres til et krav, at brokerne implementerer og udfører validering ud fra Broker Security Context samt vejledning til, hvordan dette udføres. Der indførtes endvidere krav om brug af høj-entropi Broker Security Contexts. Kravet om en tvungen implementering af Broker Security Context med høj entropi blev identificeret og anbefalet af leverandøren som et ekstra tiltag for at sikre, at brokere kan detektere eventuelle fejl i basissoftware fra MitID-løsningen, som leverandøren ikke er ansvarlig for, samt eventuelle fejl i brokernes egne implementeringer. Digitaliseringsstyrelsen har oplyst, at styrelsen valgte at følge leverandørens anbefaling om at gøre kravet om implementering af Broker Security Context (med høj entropi) obligatorisk for alle brokere, hvorefter der blev udsendt et såkaldt security advisory til alle tilsluttede brokere.
MitID kernen har ifølge Digitaliseringsstyrelsen været udsat for omfattende testforløb dækkende bl.a. load/performance/stresstests, men disse testforløb validerede ikke eksplicit på de returnerede JWT tokens i tilstrækkeligt omfang, hvilket nu er rettet.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af sagens oplysninger til grund, at Digitaliseringsstyrelsen som dataansvarlig for MitID anviser brokere retningslinjer for hvordan disse implementerer services op mod MitID. Det lægges yderligere til grund, at Digitaliseringsstyrelsen ikke havde gjort brugen af Broker Security Context obligatorisk, men alene anbefalede dette.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig for en teknisk logon-løsning, her MitID, som leverandører skal integrere med, sikrer, at de nødvendige instrukser for implementering af foranstaltninger med henblik på sikker anvendelse af løsningen, er kommunikeret til de respektive leverandører og afspejler de risikoscenarier, der er ved behandlingerne.
Det er yderligere Datatilsynets opfattelse, at der er en betydelig risiko for de registreredes rettigheder, når løsningen på nationalt niveau benyttes som autentifikationsservice til et stort antal personoplysninger om den registrerede, og giver adgang til at foretage transaktioner med retskraft og til entydig uafviselig identifikation i en flerhed af systemer.
Datatilsynet finder på denne baggrund, at Digitaliseringsstyrelsen – ved ikke før efter den 10. januar 2022 at have gjort valideringen Broker Security Context obligatorisk for brokerne – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Digitaliseringsstyrelsens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at overtrædelsen har medført, at der har været utilsigtet adgang til personoplysninger, i hvert fald om økonomiske forhold, og at denne adgang sandsynligvis har indebåret en ikke ubetydelig risiko for de registreredes rettigheder eller frihedsrettigheder. Tilsynet har videre lagt vægt på, at der er tale om en landsdækkende løsning, hvis primære formål er at validere identifikation af enkeltpersoner med henblik på at give adgang til alene de oplysninger, som vedkommende er berettiget til at få adgang til, herunder personoplysninger, og som anvendes som digitalt ID til en række centrale private og offentlige selvbetjeningsløsninger mv. Herudover har Datatilsynet tillagt det vægt, at Digitaliseringsstyrelsen efter hændelsen har gjort de sikkerhedsforanstaltninger i Broker Security Context, som forhindrer, at identiske tokens kan give uberettiget adgang til tjenester, obligatoriske for alle brokerne.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).