Datatilsynet til DanID: Spær 27.611 NemID-certifikater NU!

Jf. http://www.computerworld.dk/art/100984/danid-spaerrer-27-000-nemid-konti har Danid indvilget i at spærre dem.

At det overhoved er til diskussion.. Hvad blev der af den private brugers sikkerhed?

Jesus..

Er ikke løsningen, uanset hvor tåbelig den er.

Det værste er DanIds holdning der er gennemsyret af at de føler sig hævet over kritik, og at folk bare er nogle hystader, hvis de råber vagt i gevær.

Systemer kan tilrettes og dør ud med tiden - grundholdninger i organisationer er mere varige og gør LANGT større skade, når de er så arrogante og verdensfjerne som her.

Det problematiske er faktisk, at man ikke engang kan sige "Spær lortet og så er det det". Hvad nu hvis folk har brugt deres privatnøgle og certifikat til noget? Aktuelt kan løsningen reelt kun bruges til sign on så der er skaden nok ikke så stor - den ene nøgle er jo så god som den anden. Men hvis løsningen til krypteret mail havde været frigjort, så ville det være en alvorlig sag at spærre brugernes nøgler.

ses mest tydelig gennem deres handlinger (eller mangel på samme)

Ja, dette her er endnu et eksempel på at man ikke kan stole på at DanID ved hvad de gør, eller mere skræmmende så ved de lige præcis hvad de gør.

Det giver mig tihvertifald ikke mere anledning til at at stole på de forsikringer de har givet om, at de vil opretholde privatlivets fred, i forbindelse med deres signed applet.

"DanID mener ifølge Datatilsynet dog ikke, at uregelmæssighederne er alvorlige nok til at spærre de berørte brugerer certifikater"

Føj siger jeg bare.

Den medarbejder der har udtalt ovenstående står til en fyreseddel. Og repræsentere holdningen på nogen måde DanID's officielle hodning, står hele firmaet for at blive sat fra opgaven.

"Vi skal efterkomme Datatilsynets krav, og vi skal nok spærre de berørte certifikater," siger Jette Knudsen. "Men vi bliver nødt til at gør det på en skånsom måde, så vi ikke udelukker folk fra deres netbanker med mere," siger hun. "Så det bliver ikke fra den ene dag til den anden. Vi er ved at finde en egnet løsningsmodel," forklarer DanID's pressechef.

Waaaahahaha jeg brækker mig snart af grin.
27k certifikater er muligvis kompromiterede meeeen vi kan jo ikke bare spærre dem for så kan ham der stjal certifikatet jo ikke tømme folks bankkonto mere... Waaahahaha

Jeg synes faktisk Datatilsynet burde kunne udstyres med magten til at fjerne personer fra et ansvarsområde under deres resort.

Sådan lidt a'al:

Kære XYZ, Vi har korresponderet med N.N om _________. Vi har ikke tillid til at N.N er sit ansvar voksent og skal anmode om at en ny ansvarlig for området udpeges, indsættes og kontakter os med status på den konkrete sag, indenfor 24 timer. På forhånd tak, Datatilsynet.

Poul-Henning

Tror det forsvandt ca. samtidig med valget af NemID, eller måske ved valget af den foregående signatur -_-

Jeg forstår ikke hvorfor man ikke blokere de 27.611 brugere ASAP.

Jeg arbejder i en unavngivet sikkerheds virksomhed som har kunder både i det store erhverv og i det offentlige og jeg ville ikke på nogen måde kunnen forsvare at sende både kode og brugernavn til en og samme adresse med samme brev, at finde en bedre løsning end at "komme til at sende kode og brugernavn med samme post levering" er jo ikke så svær ville jeg mene, det her grænser til det tåbelige og jeg er faktisk ret skuffet over den sløsen der ses i det offentlige den dag i dag, dette er jo ikke første gang de laver en fejl 40!

Mvh
Martin

Tak til alle jer som tager chancen og lader jer være prøvekaniner for DanIDs 'nu skal vi i luften' løsning. Vi, som venter, nyder godt af dette.

Og nej, har ikke har travlt med at aktivere nemID.

Kan tidligst finde på det, når jeg forhåbentligt begynder at få advarsler om, at min nuværende nøgle udløber. Og håber man til den tid har indset, at et endnu ukendt millionbeløb, på adskillige cifre IGEN er spildt på et 'offentligt' it-projekt.

Imponerende, at danID ikke mener at nemID skal behandles på samme sikkerhedsniveau( eller bedre), som dankort !?!
Selv vores egen nabo-'banan-republik' sverige har bedre fat i sikkerheden, hvad angår adgang til banker m.m.( selvom de også har haft deres vanskeligheder).

Kan være man bare bliver nødt til at gå old-school, og vende tilbage til bank-bog, kontanter, og snail-mails via post.dk.
Men så bliver man vel bare beskyldt for at være terrorist, da USA ikke kan følge med i mine indkøbsvaner, og hvor jeg har været( swift-aftalen).

/me removes tinfoil hat...

Ja, jeg er sku efterhånden ved at være ret træt af det 'moderne' offentlige danmark.

Med den tankevirksomhed det offentlige danmark ligger for dagen, og her kigger jeg især på jer på christiansborg, så bliver nødt til at lufte mit seneste motto:

"Danmark kan klare sig fint uden Christiansborg, men kan Christiansborg klare sig uden Danmark ? ... not so much! "

Skuffet er vel nærmest årtusindets absolut vagest beskrivende følelse for de fleste IT-folk i Danmark, når talen falder på DanID/NemID.

Århundredets absolutte joke rent sikkerhedsmæssigt og en usigelig arrogant holdning overfor de mennesker, som gøres afhængige af NemID. End ikke Statens Datatilsyn agter man hos DanID at rette sig efter. Lov og orden er, tilsyneladende, af mindre betydning, når Løkke & kumpanerne samles ved mjød-gryderne.

Topmålet af DanID's arrogance må siges at være, at de ikke regner med at DanID/NemID godt KAN vælges helt fra. Jeg vil i hvert fald ikke røre deres "produkt" med en glødende ildrager.

Hvornår vågner DanID op og indser, at danske borgere ikke er dumme får, men mennesker med en meget høj intelligens?

Nå, gad vide hvornår min adgang så bliver lukket for jeg er også en af dem der har modtaget brevene samtidig (kodebrevet var endda lettere medtaget / revet lidt op). Kæft et gedemarked!

Jeg er også en af de "heldige". Jeg studsede dog over, at begge dele lå i postkassen samme dag, så jeg er endnu ikke gået videre end at åbne brevene.

Nu venter jeg så i spænding på en melding om, hvilke forholdsregler jeg skal tage mig, mens min netbank sikkert snart spærres, fordi jeg ikke bruger NemID...

Jeg synes faktisk Datatilsynet burde kunne udstyres med magten til at fjerne personer fra et ansvarsområde under deres resort.

Eller måske bare viljen til at lægge magt bag deres udtalelser... Hvis de altså har nogen magt. Det er jeg faktisk lidt usikker på om de har.

Hvis man ser på de udtalelser de er kommet med, så lyder overskrifterne

"Vedrørende krav om spærring af 27.611 certifikater"
"DanID skal spærre certifikater"

men når man dykker ned i udtalelserne, så er det vendinger som "Datatilsynet mener" der præger billeder. Ingen steder bliver der stillet krav om noget.

Og hvis man ser på de udtalelser DanID er kommet med, så er der heller ikke noget der tyder på, at de opfatter Datatilsynet som andet end nogen med en mening, man kan tage til efterretning efter behag.

Som det fremgår af artiklen, så mener DanID "ikke, at uregelmæssighederne er alvorlige nok til at spærre de berørte brugeres certifikater" - men hvorfor mener DanID at spørgsmålet overhovedet er til diskussion?

På trods af at Datatilsynet bruger ord som "krav" og "skal" i deres overskrifter, så er det tilsyneladende ikke noget DanID har respekt for, og mener de skal rette sig efter.

Spørgsmålet er, om Datatilsynet overhovedet har nogen magt, eller om de bare har en mening om tingene. Hvis de [b]har[/b] magt, så undrer det mig at de ikke bruger den - [i]kræver[/i] at certifikaterne spærres - og det undrer mig, at DanID ikke tager Datatilsynet mere alvorligt.

Derfor hælder jeg mest til at tro, at Datatilsynet slet ikke [i]kan[/i] kræve noget som helst. Spørgsmålet er så hvorfor de prøver at få det til at se sådan ud.

At de [i]har[/i] held med at få det til at se sådan ud, kan man se på de artikler der har været omkring denne sag. Medierne skriver ukritisk at "Datatilsynet kræver", men som sagt, når man dykker ned i de udtalelser de er kommet med, så står der "Datatilsynet mener". Og det er jo lidt svært at få øje på kravet i det...

Jeg skulle tro, at svaret står i persondatalovens §59, og mere generelt i hele det kapitel. Men hvis Datatilsynet ikke faktisk udsteder et påbud om, at disse certifikater skal spærres, så står det jo DanID frit for at ignorere dem, som jeg forstår loven.

Når det nu er fremkommet i debatten om nemID, at det IKKE er en digital signatur ?

Man 'underskriver' jo hver eneste gang man laver en bankoverførsel...

Hvis der vitterligt er et problem, hvad DanID sammen med IT-styrelsen afviser, https://www.nemid.nu/om_nemid/aktuelt/20100810_afvisning_af_paastande_om..., hvordan kan man så begrænse det, indtil (hvis) det løses centralt?

Er det ikke bare at lave en ekstra bruger, der ikke er admin, på sin computer, og så logge ind dér, når man skal i banken? Ja, det er mega-bøvlet, men sådan er jo work arounds nogle gange, og livet skal gå videre.

Jo, det løser applet-problemet, men ikke nogen af de andre problemer. (Fx at nogen kan have kigget i kuverten før dig.)