Peter Kruse fra CSIS Security Group er en af Danmarks førende it-sikkerhedseksperter og rådgiver blandt andre Europol og Interpol. Han er meget skeptisk over for overvågningsprogrammet Den Digitale Prøvevagt, der skal være installeret på danske gymnasieelevers computere, når de skal til eksamen til sommer.

Kan du lige forklare, hvad meningen er med Den Digitale Prøvevagt?

- Idéen er opstået, fordi man gerne vil undgå, at eleverne snyder i forbindelse med eksamen. Programmet overvåger, hvad eleverne laver på computeren ved blandt andet at tage skærmdumps undervejs. Det er sådan en slags digital sladrehank.

Kan du se nogle udfordringer ved programmet?

- I den grad. Selve idéen er selvfølgelig ok, fordi man gerne vil undgå, at de unge mennesker snyder. Problemet er, at man har meget svært ved at sikre, at det kun er "snyd", den samler ind. Den vil i princippet samle alt det ind, der ligger på den pågældende computer. Så den har en meget omsiggribende indsamling af oplysninger, som gør, at jeg ville være meget betænkelig ved at bruge programmet. Samtidig bliver alt data lagret lokalt i en statisk mappe, som man ikke ved, hvor er, og derfor vil have svært ved at slette. Så der mangler også noget transparens.

Ministeriet siger, at det ikke har adgang til elevernes private oplysninger. Kan man så ikke stole på det?

- Nej, det kan ikke undgås med den måde, programmet fungerer på. Det er ikke en mulighed at lave den afskærmning. Man risikerer at trække en masse irrelevant data ud. Det kunne være følsomme oplysninger fra en udklipsholder, som er noget af det, man ved, den samler ind.

En del elever har kritiseret, at serveren, som de her skærmdumps ligger på, er ejet af Amazon. Men Undervisningsministeriet har forsikret, at billederne er krypteret, og at tredjepart derfor ikke kan få fat på dem. Er den del så god nok?

- Nej, krypteringen er ikke forsvarlig. Man kan i princippet sætte en server op og få de samme rettigheder som dem, der skal overvåge snyd. Det vil være et kæmpe problem, hvis et helt gymnasium bliver udsat for en såkaldt DNS-kapring. Hvis man for eksempel ikke afinstallerer programmet igen, har man åbnet en ladeport for, at ondsindede kan misbruge programmet.

Så der er altså en risiko for, at programmet kan blive hacket?

- Ja, blandt andet hvis programmet ikke bliver slettet igen bagefter. Et scenarie er for eksempel, at nogen kobler sig på wifi-netværk og flytter trafikken fra moderskibet - altså der, hvor dataen skulle afleveres - og så til en hvilken som helst server, der vil kunne udnytte muligheden for at lave tastetryksaflæsning og skærmdumps. Det er ikke særlig godt tænkt for at sige det lige ud.

Eleverne har blandt andet kritiseret, at programmet har en såkaldt keylogger installeret, som registrerer, hvad man taster. Men ministeriet siger, at den ikke bliver brugt. Kan man så ikke stole på det?

- Problemet er, at funktionaliteten er i programmet, og at muligheden for at lave tastetryksaflæsning derfor er til stede. Spørgsmålet er så bare, under hvilke omstændigheder den bliver aktiveret.

Er det overhovedet lovligt med det her program?

- Nu er jeg ikke jurist, men jeg har svært ved at se, hvordan det er foreneligt med persondataforordningen. Ikke mindst fordi der er tale om frivillig tvang - hvis eleverne ikke installerer programmet, kan de jo ikke bestå deres eksamen. Så der er en del overvejelser, ministeriet bør gøre sig for at sikre, at de ikke samler oplysninger ind, som de ikke har fået lov til.

Hvad bør man gøre i stedet?

- Man kunne for eksempel have kontrollanter i eksamenslokalet. Det vil også have en afskrækkende effekt. Det er vigtigt at huske, at det er en meget lille procentdel, der snyder i forhold til den massive overvågning, man har gang i. Jeg ville også være paranoid, hvis jeg var elev.