8 millioner kroner til NemID på mobilen var ikke nok

Der var afsat 8 millioner kroner til at få NemID til at fungere med mobile enheder, men det rakte ikke til en løsning med høj sikkerhed. Sænkes sikkerhedsniveauet, kan det lade sig gøre inden for budgettet.

Planen var, at danskerne skulle kunne bruge NemID til offentlige websider inden jul 2012. Men de løsninger, som kunne lade sig gøre, og som gav en sikkerhed på NemID-niveau, var for dyre.

Sådan skrev Version2 forleden, og indsigt i analysen af NemID på mobilen viser nu, at ’for dyr’ dækker over en pris på over 8 millioner kroner.

Læs også: NemID til mobilen bliver udskudt: Sværere end forventet

Det var nemlig Digitaliseringsstyrelsens budget for ’initiativ 9.1’, som kampen for at få NemID på mobile enheder bliver kaldt internt.

I en ekstern analyse, som Rambøll står bag, bliver en række forskellige løsninger vurderet på de tre parametre sikkerhed, brugervenlighed og økonomi. Og alle dumper på for høje omkostninger.

Rambøll har ikke givet et overslag på, hvad de ville koste, men konstaterer blot, at de er over budget. Til gengæld bliver der sat tal på de øvrige omkostninger i den offentlige sektor ved de forskellige løsninger, nemlig udgifterne hos for eksempel kommunerne eller Skat, som vil give borgerne adgang til selvbetjening via mobilen.

Det vil koste mellem 15 og 30 millioner kroner at få de forskellige NemID-tjenester i det offentlige tilpasset, så man kan logge ind med mobiludgaven af NemID, lyder overslaget for de løsninger, hvor borgerne skal downloade en NemID-applikation til mobilen.

Andre muligheder er at lave et web-interface til den eksisterende NemID-infrastruktur, som Nets DanID driver, hvilket i sagens natur ikke vil koste tjenesteudbyderne noget. En hybridløsning, der kombinerer de to tilgange, vil koste tjenesteudbyderne 5-10 millioner kroner, lyder vurderingen.

Prøver med lavere sikkerhedsniveau

Da det stod klart, at otte millioner kroner til at udvikle en mobil NemID-løsning ikke var nok, bestilte Digitaliseringsstyrelsen en ny analyse af løsninger, hvor sikkerheden var lavere end med NemID på desktoppen i dag.

I stedet for 2-faktor-sikkerhed, med engangskoden fra papkortet, overvejer Digitaliseringsstyrelsen at satse på en mobilløsning, hvor man kun skal bruge brugernavn og password. Sådan et login ville så kun give adgang til udvalgte tjenester.

Her ville to af løsningerne kunne klares for under 8 millioner kroner - men stadig med omkostninger hos tjenesteudbyderne, altså i resten af den offentlige sektor, på op til 30 millioner kroner ekstra.

Vælger Digitaliseringsstyrelsen i stedet at stå for en centralt udviklet mobil-applikation, der kører over DanID’s infrastruktur, ville det samlet koste mellem 20 og 29 millioner kroner.

Digitaliseringsstyrelsen har nu sat gang i en behovsanalyse for at få et billede af, om de billigere løsninger med lavere sikkerhed vil være nok til at dække behovet for NemID på mobilen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Henrik Stig Jørgensen

Selvfølgelig er 8 mio. til en helt ny sikkerhedsinfrastruktur ikke nok - og 15-30 mio. til tilretning af samtlige eksisterende integrationer virker også urealistisk. Tilretningen bliver meget, meget dyr - alene fordi den eksisterende løsning er centralistisk og ikke er baseret på PKI. Det er vendor-lockin, som staten nu - allerede få år efter lanceringen begynder at mærke.

En løsning med username/password kombineret med OTP ville være ca. lige så sikker som den eksisterende løsning. Den sikrer ikke data privacy, men det har vi givet afkald på.

  • 8
  • 0
#4 Deleted User

I stedet for at tilføre yderligere kritik til det her stjernekrigsprojekt. Er mit bekymring med oplægget til en mobil udgave, at sikkerhedsniveauet vil blive mødt med skepsis blandt de potientielle kunder der vil integrere mobil udgaven.

Sådan et login ville så kun give adgang til udvalgte tjenester.

Med det svar er løsningen allerede skudt ned.

Jeg er i bund og grund ked af udfaldet, da jeg så NemID som værende det sikkerhedslag Dankortet manglede for at kunne tilbyde "sikre" betalinger til de danske webshop ejere.

  • 2
  • 0
#5 Morten W. Jørgensen

Andre muligheder er at lave et web-interface til den eksisterende NemID-infrastruktur, som Nets DanID driver,

Med fare for at blive til grin blandt de it sikekrheds kyndige her, er det så ikke sådan et... MITM angreb der, jvf DanID, ikke kunne lade sig gøre? Og skulle de endelig gøre det, undergraver det så ikke deres behov for en Javaapplet alle andre steder?

Er jeg helt galt på den eller forekommer det ikke en smule forfjamsket?

  • 3
  • 0
#6 Jesper Lund

Med fare for at blive til grin blandt de it sikekrheds kyndige her, er det så ikke sådan et... MITM angreb der, jvf DanID, ikke kunne lade sig gøre? Og skulle de endelig gøre det, undergraver det så ikke deres behov for en Javaapplet alle andre steder?

DanID er vist holdt op med at tale om at MiTM ikke kan lade sig gøre?

Så vidt jeg har forstået det handler Java vs Javascript om hastighed, og at der kan laves noget ekstra kryptering i en tunnel mellem dig og DanID når der bruges Java. Det sidste er dog kun af værdi hvis du taler med DanID's servere, og ikke er blevet MiTM'let. You never know..

Endelig er en signeret Java applet nødvendig for at downloade binær kode fra eksterne servere, gemme denne kode i GIF filer på din computer, og bruge denne kode til at indsamle oplysninger om din computer.

Der er nok også et element af vanens magt her. NemID er lavet af bankerne, og de kastede sig over Java da de startede med netbanker for en 13-15 år siden. Well, nogle kastede sig over ActiveX men det er de trods alt gået væk fra. I mellemtiden har browserverdenen bevæget sig i en anden retning væk fra plugins.

  • 2
  • 0
#7 Jesper Lund

En løsning med username/password kombineret med OTP ville være ca. lige så sikker som den eksisterende løsning. Den sikrer ikke data privacy, men det har vi givet afkald på.

Ja, hvis man bare gjorde det. Så ville det i det mindste ikke blive værre.

Men formentlig vil man [gerne] gå en anden vej ala det som e-Boks har lavet til deres mobile løsning, og som en enkelt kommune har gjort med deres mobile løsning (jeg kan ikke huske hvilken kommune, men somewhere i Nordsjælland). Username og password, og så binder du anvendelsen af denne kombination til en specifik mobil device via den sikkerhed som app'en kan håndhæve på uklar proprietær vis (det kaldes vist den "tredje faktor").

I længden bliver det sikkert også for dyrt i porto at udsende OTP papkort når nu NemID skal bruges overalt, og man kan jo ikke så godt sende kortene til folks e-Boks og bede dem printe..

  • 1
  • 0
#9 Anonym

DanID / Nets / Tdc og hvem der ellers har været inde over, for at finde frem til loginløsningen NemID, har fået omkring en milliard, for det klamp. De skulle have leveret en identifikationsløsning, men det har de ikke, de har kun leveret et bøvlet login. At man i Digitaliseringsstyrelsen kan komme på, at man kan komme med en langt mere omfattende løsning, for kun 8 millioner kroner, er helt og aldeles ude i hampen, om må kun kunne betragtes som om at de er direkte useriøse.

Jeg vil her indskyde, at man INTET IT laver for hverken 8 eller 30 millioner, som bare afspejler sikkerhed, i forbindelse med noget så omfattende som sikker identifikation. Det koste meget meget mere.

Med hensyn til NemID løsningen, så er DanID fortsat ikke kommet med en identifikationsløsning, som overholder selv de enkleste regler for identifikation i et frit retssamfund. Ikke engang Datatilsynet er tilfreds, og har i årevis efterlyst, noget så simpelt som et svar på hvad man agter at gøre. Denne mangel i den oprindelige løsning, er årsagen til, at man ikke umiddelbart kan benytte NemID i forbindelse med mobile løsninger.

Det "samarbejde" der foregår mellem Digitaliseringsstyrelsen og f.eks. DanID, er helt ud over hvad der er acceptabelt. Digitaliseringsstyrelsen må ikke indgå den slags samarbejder, med udvalgte leverandører, uden at dette foregår offentligt og udbydes i licitation. Hvad det koster, og hvem der kan byde ind, er ikke noget Digitaliseringsstyrelsen kan dikterer. De er kunde, og må betale den forlangte pris.

Foreløbig så lyder det som om de er ude, og lokke nogen i en fælde, hvor Digitaliseringsstyrelsen opstiller et ønske om en vare, som de udmærket er vidende om, at sælger ikke ejer eller kan leverer til den af Digitaliseringsstyrelsen dikterede pris.

Nu må de tage sig samme i Digitaliseringsstyrelsen. De ved udmærket hvad det koster, og at opstille den slags latterlige økonomiske vurderinger, over for beslutningstagerne, er direkte misinformation. Det er helt ulideligt at høre på det useriøse vrøvl der kommer der inde fra. Det er jo næsten hver dag, man skal forholde sig til deres amatørvrøvl, som efterfølgende viser sig ikke at holde vand.

  • 3
  • 1
#11 Michael Rasmussen

Foreløbig så lyder det som om de er ude, og lokke nogen i en fælde, hvor Digitaliseringsstyrelsen opstiller et ønske om en vare, som de udmærket er vidende om, at sælger ikke ejer eller kan leverer til den af Digitaliseringsstyrelsen dikterede pris. 1+ mia. skattekroner spildt på en SSO løsning, der, såfremt den var lavet med eksisterende løsninger, kunne have været lavet for en brøkdel af den nuværende omkostning!

Har du overvejet den mulighed, at digitaliseringsstyrelsen og Nets har konstrueret dette udbud med henblik på, at det skulle fejle? Begge parter kan så vaske hænder og rede ansigt, mens de kan informere politikkerne om, at de skam har forsøgt, men at det ikke var muligt indenfor de givne rammer. Sagen henligges så, og status quo bevares hermed.

1+ mia. spildte skattekroner, der, såfremt en løsning havde taget udgangspunkt i eksisterende løsninger, kun ville have kostet en brøkdel!

  • 2
  • 0
#12 Deleted User

Jeg fik ikke følgende bid fra rapporten med i artiklen:

"Der er tale om store omkostninger til de fælles komponenter i forhold til almindelige tjenester. Det skyldes, at kravene til sikkerhed er meget høje, og at det kræver en stor indsats at afdække hele viften af sårbarheder, finde mitigeringer samt at gennemføre udtømmende tests for at sikre, at løsningen lever op til de stillede krav. Hertil kommer at med højere sikkerhed stiger udgifterne til ekstern kontrol (f. eks. revisorkontrol) af softwareudvikling, installation og drift. Da apps desuden skal distribueres og kun vanskeligt kan opdateres, er der store omkostninger til kvalitetskontrol inden distribution."

vh.

Jesper, Version2

  • 2
  • 0
#13 Hans Schou

peter hvidsten

det er sku da for armartøre artige at lave en login på den måde! med et cpr nummer?!

Du får thumbs op for det gode forslag. CPR-nr er et unikt ID der entydigt identificere en person.

Og hemmeligt er CPR ikke. Gang på gang beder tvivlsomme personer om mit CPR, fx brillemanden Louis Nielsen. Skal jeg fortælle ham det?

Jeg kan godt identificere mig entydigt på anden måde, fx med navn og adresse, men det er flere tegn end CPR. Men når jeg flytter, er CPR stadig det samme. Ret smart. Det er bare ikke smart at nogen tror at det skal være hemmeligt.

  • 3
  • 1
#14 Hans Schou

Jesper Lund:

Så vidt jeg har forstået det handler Java vs Javascript om hastighed,

Jeg fik ikke målt hastigheden den gang Jyske Bank brugte javascript, men hastigheden var ikke noget man bed mærke i. Det var lidt som at klikke på en hjemmeside hvor serveren i den anden lige skal tænke sig om. Derimod syntes jeg NemID er meget sløv.

og at der kan laves noget ekstra kryptering i en tunnel mellem dig og DanID når der bruges Java.

Jyske Bank brugte både DES og hashing i deres javascript. Så hvis nogen fik knækket SSL-forbindelsen, så skulle de oven i dekryptere DES. Nemmest var det dog nok med MiTM, for lige som Java var det også muligt.

Jyske Bank var den eneste bank der brugte Javascript. Det gav så det udslag at det også var den bank hvor der var flest browsere der virkede. Her er listen: http://sslug.dk/bank/?bkid=13&cn=dk

Jyske Bank efterlod så heller ingen nøglefiler eller noget andet på disken, som man skulle sørge for at slette.

På snedig vis sørgede JB for at at CPR ikke blev husket når man tastede det ind. CPR blev i øvrigt vist i klar tekst, så JB må have haft den idé at CPR ikke er hemmeligt (og det er jeg helt enig i).

Vi burde skrotte det CPR og indføre en anden "personlig identifikations kode", som kan blive udskiftet hvis der skulle opstå et behov for det.

  • 3
  • 0
#15 Hans Schou

Jesper Lund

I længden bliver det sikkert også for dyrt i porto at udsende OTP papkort når nu NemID skal bruges overalt, og man kan jo ikke så godt sende kortene til folks e-Boks og bede dem printe..

Så du mener altså at det er mere sikkert at der både er en elektronisk kommunikation og en ikke-elektronisk kommunikation? Så eBoks er slet ikke sikkert nok, til at man bruge det til alting? "eBoks er ikke sikker kommunikation". Godt spottet....

...vi lader den stå lidt.

  • 0
  • 0
#16 Anonym

Som jeg ser det, er der mindst 2 uafklarede spørgsmål omkring NemID.

Allerede inden DanID's NemID løsning blev anerkendt af det daværende IT- og Telestyrelsen, var man bekendt med, at NemID ikke er en egentlig identifikationsløsning, men kun en login løsning. Tilsvarende var man klar over, at der var andre løsninger, som tilbød identifikation og derfor opfyldte de oprindelige krav. Alligevel valgte man DanID's NemID løsning, herunder at betale den lille milliard. Er der derfor tale om at man i det daværende IT- og Telestyrelsen har handlet i mod bedre viden og brugt sin magt til at forfordele en enkelt aktør ?

I forbindelse med den tvangsdigitalisering der pt. foregår, er der et åbent spørgsmål, som især vedrører dem der ikke vil underkaste sig finanssektorens NemID løsning. Er det sådan, at dem der ikke ønsker at underkaste sig NemID, skal se sig selv afskåret fra resten af samfundet, herunder f.eks. sociale ydelser, sundhedsydelser, ret til arbejde, betale skat osv.. Og er der tale om, at man fra Statens side, fremover ikke længere ønsker at disse borgere skal kunne identificerer sig op mod det resterende Danske samfund ?

Det er de største åbne spørgsmål, som jeg kan se i forbindelse med NemID. Resten, er løsninger, som man kan købe sig ud af.

Omkring pris, så har jeg vanskeligt ved at se, at Staten ikke skulle have tilstrækkelig økonomisk råderum, for der er netop sendt 150 milliarder til en international bank, i samarbejde med Sverige og Norge, hvorfor det må anses, at der er rigeligt med penge i kassen. Penge som tydeligvis skal flyttes ud af landet, for at tilgodese udenlandske borgere. En milliard eller 5, til at sikre relationen mellem borger og Stat i det længe ønskede Digitale Samfund, virker i den forbindelse, som latterligt ubetydeligt. Det er trods alt, denne relation, der udgør selve samfundet.

  • 1
  • 1
#17 Jesper Lund
  • 2
  • 0
Log ind eller Opret konto for at kommentere