DanID og staten takker nej til dialog med Version2-læsere

Det mislykkedes at sætte Q&A-sessioner op med både DanID og Digitaliseringsstyrelsen om sikkerheden i NemID.

Både det bankejede DanID og Digitaliseringsstyrelsen har sagt nej til at svare på spørgsmål om sikkerheden i NemID fra Version2's læsere.

Redaktionen har indbudt begge parter til Q&A-sessioner, hvor de kunne få lov til at svare på de kritiske spørgsmål og pointer, som Version2's læsere lufter i debatten.

Hos Nets DanID, der driver NemID for staten, er kommunikationschef Jette Lise Knudsen stærkt kritiske over for Version2's og Ingeniørens artikler og video.

»Jeg synes ikke, at det er en god idé at føje flere elementer til jeres dækning,« skriver hun i en mail til Ingeniøren.

Hos Digitaliseringsstyrelsen takker centerleder Palle H. Sørensen pænt nej til tilbuddet om at gå i dialog med læserne.

»Som jeg tidligere har fortalt, har jeg ikke meget at tilføje i forhold til den tekst, som DanID har tilsendt jer,« skriver han.

Læs hele teksten i artiklen: DanID afviser kritikken: »Et teoretisk scenarie«

Version 2 har i stedet indbudt Ulf Munkedal, direktør i it-sikkerhedsvirksomheden FortConsult, til at diskutere sikkerheden i NemID med læserne.

Læs også: Q&A: Spørg sikkerhedseksperten om NemID

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (36)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Hvis det her drejede sig om en virksomhed i skarp konkurrence med andre authentication-leverandører på markedspladsen, kunne man ikke bare slukke for kritikken ved at nægte at bidrage med "flere elementer til jeres dækning".

Men Nets er altså et statssanktioneret monopol.

We were screwed from the very beginning.

Det er forstemmende.

  • 25
  • 0
Thue Kristensen

DanID bruger igen strudse-forsvaret, ved nægte at svare på al kompetent kritik.

Den eneste grund til at NemID er mulig er, at både politikerne, ITST, Datatilsynet, og de store medier er både inkompetente og uinteresserede MHT IT.

  • 18
  • 0
Michael Lykke

Det er direkte useriøst og inkompetent at ligge den opførsel for dagen når der er tale om en monopol service som NemID er, især i lyset af hvor vital den service er og bliver for vores samfund.
DanID må simpelthen til at tage sig allerhelvedes sammen og prøve at udvise bare den mindste form for professionalisme og rent faktisk vise sig at være opgaven voksen ved at svare på kritikken. Det kunne gøre folk mere rolige hvis de kunne vise de havde lidt styr på tingene.
Problemet er nok bare at de ER latterligt inkompetente og kun har deres berettigelse i endnu en politisk fadæse på niveau med IC4 togene, Amanda skandalen og lign. episoder.

Sådan en flok lallende amatører!

(Beklager udbrudet men der er grænser for hvor mange gange man kan blive pisset på af DanID før det er nok. Vi er trods alt en del på V2 der har mere end bare et almindeligt kendskab til IT og sikkerhed!)

  • 20
  • 1
Peter Nilsson

Jeg kan godt forstå at de siger fra her.

En dialog herinde med de mange selvudråbte eksperter som bruger ekstremt megen tid på at kritisere alt og alle, det ville da være meningsløst og ikke fair overfor DanID.

Sikkerhed kan altid diskuteres og altid forbedres, men det er vigtigt at man også er realistiske med hensyn til hvordan det skal håndteres rent praktisk uden at det skal gå ud over brugerne eller blive for dyrt.

Det vigtigste er at man selv er bekendt med de risici man løber.

  • 6
  • 21
Jesper Lund

En dialog herinde med de mange selvudråbte eksperter som bruger ekstremt megen tid på at kritisere alt og alle, det ville da være meningsløst og ikke fair overfor DanID.

Thomas Kristensen (CEO, Secunia) skrev et indlæg i Børsen 4. august 2011 med kritik af NemID (desværre ikke online). Man kan være enig eller uenig i hans kritik (som især gik på afhængigheden af Java og risikoen for sikkerhedshuller i Java), men der var flere relevante pointer som fortjener en overvejelse eller et svar.

Det gav anledning til dette ikke-svar fra DanID (i Børsen et par dage senere)
https://www.nets-danid.dk/om_nets_danid/presse/05082011_svar_til_debatin...

Det er et stort ansvar at udvikle og drive et sikkerhedssystem, som har national udbredelse. En forudsætning for, at en sikkerhedsløsning som NemID kan opnå en bred anvendelse er, at brugerne har tillid til løsningen. Derfor bør især folk, der rådgiver om it-sikkerhed, overveje en ekstra gang, om de fra deres plads på sidelinjen har tilstrækkelig indsigt i den konkrete løsning til at spille sikkerhedskortet.

Skatteyderne har betalt DanID en mia (eller noget i den stil) for NemID. Jeg synes at Thomas Kristensen og den øvrige danske befolkning fortjener "lidt" mere fra DanIDs presseafdeling.

Og hvornår har security through obscurity i øvrigt virket? Bliver NemID mere sikkert hvis vi holder op med at tale om det?

  • 21
  • 0
Jesper Lund

Det vigtigste er at man selv er bekendt med de risici man løber.

Kan du vurdere hvilke risici du løber ved at bruge NemID?

<NemID-ros>
Til netbank formål er det IMHO fint nok fordi 100% af risikoen bæres af banken medmindre du bærer dig meget tåbeligt ad. Jeg har heller ikke nogen problemer med at bruge mine kreditkort til køb på internettet, herunder indtastning af kortnumre på indlejrede sider (https-to-who-knows) eller bruge 3D Secure. Risikoen bæres af banken, og så synes jeg at det er fair nok at de bestemmer sikkerhedsniveauet. Min forpligtelse er at checke mine kontoudtog, og det gør jeg gerne.
</NemID-ros>

Desværre er NemID mere (meget mere) end et banklogin med OTP koder. Ja, jeg kan vælge NemID kun til netbank, men DanID giver mig ikke mulighed for permanent at spærre/blokere OCES certifikatet (gad vide hvorfor?).

  • 15
  • 0
Kai Birger Nielsen

Argumentet for papkortet var at min computer er usikker og bliver aflyttet af fjenden. Hvorfor f..... kan man så se en masse af mine bankoplysninger bare ved at opgive mit cpr-nr og et kodeord? (Hint, jeg vil gerne have mulighed for at angive at 1. jeg vil ikke gerne kunne logge ind med cpr-nr 2. jeg vil gerne bruge en nøgle fra papkortet bare på at kunne logge ind og desuden en nøgle pr transaktion i netbanken.)

At de så promoverer nemid login til alle mulige andre steder gør bare katastrofen tydeligere, så det skal de vel egentlig have tak for? Nej tak.

Og ja, det er patetisk at de ikke vil svare på kritik udover at sende en fortrykt pressemeddelelse ud om at der ikke er et problem og at de har helt styr på os^h^hdet.

  • 8
  • 0
Thue Kristensen

Argumentet for papkortet var at min computer er usikker og bliver aflyttet af fjenden. Hvorfor f..... kan man så se en masse af mine bankoplysninger bare ved at opgive mit cpr-nr og et kodeord?

Det er det ret åbenlyst. Hvad er konsekvensen for DanID's kunde (banken) hvis en angriber ser dine private oplysninger? Hvad er konsekvensen for banken hvis en angriber overfører penge fra din bankkonto? Så hvorfor tror du at de kun har insisteret på at kræve tofaktor-kode for pengeoverførsler?

Og det kan godt være, at kravet om at have Java installeret gør at masser af danskeres computere bliver overtaget af virus, da 35% af alle browser-baserede angreb bruger Java. Men hvis bare DanID tror NemID-appletten's Java-baserede antivirus er effektiv mod sådanne virus, og forhindrer flere angreb på bankerne end de ekstra infektioner medfører, så er DanID's kunder (igen, bankerne) jo tilfredse.

Jeg synes det er vigtigt at huske på hvem DanID's kunder er. Jeg er sikker på, at DanID's kunder også har bedre position til at kræve svar fra DanID. Vi er ikke DanID's kunder; vi er produktet, som DanID sælger.

  • 6
  • 1
Peter Nilsson

utroligt så mange kommentarer der stadig kommer til denne artikel. nu har jeg lige læst nogle af dem og de bekræfter bare min antagelse af at der er alt for mange som kun går op i at komme med kritik og med det ordvalg nogle af jer bruger, så tror jeg også at nogle af jer tilhører den gruppe af brugere her på version2 som har udråbt sig selv som "eksperter". Jeg syntes det kunne være godt med noget mere saglighed i kommentarene. Nu får jeg garanteret pustet endnu mere til ilden herinde...he he, utroligt at folk sidder og kommer med kritik kl. 1:55 om natten

  • 6
  • 29
Henrik Madsen

Skal vi gætte på at Peter Nilsson er sendt i byen af Nets med de indlæg han kommer med.

Det virker tydeligt at konteksten i hans indlæg er at med mindre man ER ekspert så må man ikke påpege de kraftige svagheder som selv ikke-eksperter kan se at det er med NemID. (Lidt ala, med mindre du er flymekaniker så skal du bare lukke bøtten og undlade at gøre opmærksom på at der er en stor 20 cm revne i vingen på flyveren du er ved at gå ombord i for du har slet ikke forstand på om det er et problem).

Gad vide hvad Peter Nilsson er for en fætter, mon han er ekspert i menneskers handlemåder og opførsel.

Hvis ikke så kunne man jo passende gøre opmærksom på at Hr Peter Nilsson udtaler sig om et emne som han ikke besidder kompetencerne til at udtale sig om og så efter Hr Peter Nilsson's egen definition blot er en "selvudnævnt negativ ekspert"..

  • 18
  • 3
Niels Didriksen

Peter. I stedet for bare at komme dumpende ind fra højre i 11. time og begynde at leget gættelege, spille kloge-åge og lege selvudråbt linievogter, burde du læse mere end denne ene artikel. Det er der nemlig andre herinde, der har gjort. Dine lektier for idag inkluderer derfor minimum alle nem-id relaterede artikler på version2 & computerworld, samt hvad du kan finde i dagspressen for minimum de sidste 18 måneder.

Der er faktisk en grund til det meste af kritikken af NemID-systemet og ikke mindst deres representation bestående af komiker-duoen Jette og Palle, hvis udtalelser i pressen i ovennævnte artikler generelt er fuldstændigt løsrevet fra virkelighed og fornuft.

  • 17
  • 0
Torben Rahbek Koch

Der vil jo komme så megen berettiget kritik frem - offentligt - at de ikke vil kunne forsvare at fortsætte med NemId. Og politikeres svar på dårlige løsninger, der er hældt mange penge i, er enten at forsøge tie dem ihjel, eller hælde endnu flere penge i - begge er strategier for at holde den kørende, til den næste regering overtager og det så er nogle andres problem.

  • 6
  • 1
Peter Hansen

Det er ret underholdende at læse alle de forargede og kritiske indlæg.

Selvfølgelig kan man hacke NemId, men det er pænt besværligt.

For IT-kriminelle er naturligvis ikke dummere end at de forsøger at optimere deres indtjening. Det vil de gøre ved at hacke de mål som giver størst gevinst i forhold til indsatsen.

Så NemId behøver ikke være specielt sikkert, så længe genvinst/besværligheds forholdet for NemId-beskyttede mål er lavere end for andre (udenlandske?) mål. I så fald er NemId tilstrækkeligt sikkert.

Det svarer til at have tyverialarm derhjemme. En tyverialarm gør det ikke umuligt at lave indbrud, men det gør det så meget mindre attraktivt at tyven højest sandsynligt vælger lave indbrud hos naboen i stedet for.

Derudover så er den samfundsmæssige omkostning ved et par årlige indbrud i netbanker være til at overse. De færreste har anselige beløb stående på konti, og beløbene er jo i vid udstrækning forsikret.

Hvis du så sidder tilbage og prøver at argumentere for at nogen måske vil hacke NemId for at få adgang til personfølsomme oplysninger, så kan jeg afsløre at dine "personfølsomme" oplysninger kun er interessante for dig, din familie og dine venner. En udenlandsk hacker får ikke ret meget ud af at kende farven på dine beskidte underbukser.

I øvrigt kan en hacker nok tjene flere $$$ på at tage en tur forbi strandvejen juleaften med et koben, end ved at lave avancerede angreb på NemId.

  • 4
  • 25
Niels Didriksen

Knægte? Hvad titel ønsker du så selv at besidde? Bebs?
Og med hensyn til at overse pointen; Læg venligst mærke til artiklens faktiske indhold. DanID og staten nægter dalog omkring kritik af deres system. Det handler ikke om hvorvidt det er mere rentabelt at lave bræk i sommerhuse på den sjællandske nordkyst.

Desuden; Hvis man sidder i f.eks. hviderusland er det nok alt andet lige mere rentabelt at gå efter danskeres netbank end at nappe et fly og en taxi til rungsted og retur for at hente et B&O-anlæg.

Og slutteligt; MITM-angrebet er blot et enkelt i en næsten endeløs række af absolut relevante kritikpunkter, som DanID har nægtet at kommentere eller har bortløjet. Jeg vil anbefale dig det samme som jeg anbefalede Peter, Istedet for at komme nyoprettet ind fra højre og trolle, så prøv at sætte dig ind i fagpressens sidste 18 måneders dækning af sagen.

  • 14
  • 1
Michael Lykke

Jeg tror DU har overset pointen i al problematikken omkring NemID.

For det første så er det ikke ret svært - Det er jo blevet demonstreret til fulde via den video.
For det andet så ER NemID allerede blevet brudt i forbindelse med indbrud i netbank.
For det tredje så vælger en kriminel ikke automatisk hvad der giver flest penge ved at kigge i udlandet... Nogen vil gøre det, men andre har lokalt kendskab og udnytter den viden istedet for at skal sætte gang i en masse tiltag for at bryde ind i udlandet. I øvrigt er der vel ret gode penge i indbrud i Danmark - Vi er ikke ligefrem den fattigste nation i verden.
Hvis du er en kriminel og sidder i 10 timer i streg og laver den her type indbrud på en netbank så vil du jo uden videre kunne nå at flytte mange hundrede tusinde kroner - Jeg er sikker på det er besværet værd for de fleste kriminelle uagtet at de i et andet land kunne rykke mere rundt.

så kan jeg afsløre at dine "personfølsomme" oplysninger kun er interessante for dig


Jeg kan så afsløre at du tydeligvis ikke har forstået alvoren - Har du nogensinde hørt om identitetstyveri? En form for kriminalitet der vokser hurtigere end noget andet. En form for kriminalitet der giver adgang til alt hvad der vedrøre en person.... Bankkonti, aktier, optagelse af banklån, kreditkort, indkøb af varer på en andens regning osv. DERFOR er det allerhelvedes vigtigt at vi tager sikkerheden seriøst og ikke sammenligner den med en banal tyveri alarm.

Beklager, men du har vitterligt ikke forstået det fjerneste af problematikken.

  • 22
  • 1
Markus Hens

at man vælger et koncept, som tyske netbanker har brugt (login + engangskode) og nu har afskaffet, fordi det er for sårbart overfor MiM og Phishing.

Derudover er NemID et mål - måske ikke for kriminelle, som vil tjene penge. Men alle nøgler ligger i sammen infrastruktur. Om de mon har testet resilience mod en DDoS-angreb? Forestil dig 3 måneder uden NemID-Login ...

  • 5
  • 2
Henrik Madsen

så kan jeg afsløre at dine "personfølsomme" oplysninger kun er interessante for dig, din familie og dine venner.

Jamen det lyder jo betryggende.

Kan du så ikke lige poste dit fulde CPR nummer, dit fulde navn og adresse samt dit Pas nummer her på siden så skal jeg give det videre til nogen folk som måske kan gøre noget spændende med dem.

  • 8
  • 1
Kai Birger Nielsen

Det lykkedes mig at finde den, da jeg nu fik at vide at muligheden var der, så du får lige en detaljeret vejledning her:

  1. Gå til https://www.nemid.nu/
  2. Log på selvbetjening
    (I mit tilfælde får jeg en tekst om at jeg har valgt kun at bruge nemid til bank, så derfor skal jeg logge ind med "Log på med NemID til netbank").
  3. Log på med NemID til netbank
  4. Vælg punktet "Brugerid og adgangskode"
  5. Vælg punktet "Ændr cpr.login"
  6. Deaktiver cpr-login

Herligt. Tak for hintet til Jesper Poulsen.

  • 1
  • 0
Finn Christensen

Jeg synes det er vigtigt at huske på hvem DanID's kunder er. Jeg er sikker på, at DanID's kunder også har bedre position til at kræve svar fra DanID. Vi er ikke DanID's kunder; vi er produktet, som DanID sælger.

Fra og med befolkningen blev skrevet i mandtal og fik CPR, var processen og konsekvenserne delvis forudsigelige - skive efter skive er nye lag koblet på.

Dem der gør, 'hvad vi er bedst til' har jo endeligt fundet den ultimative gebyrautomat.

Når alt er digitaliseret og automatiseret vil ~4. mio personer sikre en jævn og flydende indtægt til bankerne via mindst to kanaler - kontakt med dem selv (banken) og kontakt med det offentlige.

Det offentlige ønsker borgerne primært laver it-hjemmearbejde, således de har mindst mulig kontakt med borgerne - billigt med programmeret robotbetjening.

Vi mangler nu kun, at de folkevalgte vedtager et gebyr for indkaldelse og fremmøde hos det offentlige :) Bankerne har allerede haft flere at typen... gebyr for at de sætte penge ind på din egen konto og gebyr for du ønsker kvittering og lignende.

Begge parter har samme interesse, og har derfor ingen som helst interesse i ændringer af tingenes tilstand - uanset partifarve.

  • 2
  • 0
Maciej Szeliga

Du kikker fra den helt forkerte side og derfor ser du ikke problemet, man kan ikke kikke på tabet for samfundet man på fortjensten for den kriminelle for at forstå motivationen.
Desuden er tabet langt større end du antager, det er ikke bare det som går i den kriminelles lomme som er tabet, der er efterforskning, forsikring etc. som i sidste ende også betales af samfundet.

Bortset fra alt det så:
1. Alle advarede mod NemID løsningen netop fordi den var nem at bryde bl.a. med et MiM angreb som version2 demonstrerede
2. Havde man gjort det rigtigt første gang ville det ikke have været specielt dyrere.
3. Havde man ikke koblet bankerne på løsningen ville det ikke være lige så fristende for de kriminelle (ingen kontant bonus mulig).

Så mon ikke det er dig som er en knægt som ikke forstår problemet ?

  • 6
  • 0
Simon Rigét

Jeg syntes det er en spændende debat, selvom jeg ikke kan gennemskue alle detaljerne i sikkerheden. Problemet er at med den uprofessionelle ledelse i danID og indtil nu manglen vilje til at tage ansvar i regeringen, sker særligt meget, uanset hvor berettiget kritikken er.

Hvad der mangler er et alternativ.
Ville det være muligt at lave et OS alternativ der tager højde for alle de kritikpunkter der har været fremme? eller ender det med en række kompromisser på samme måde som det vi har nu? er der cirkulære argumenter i det?

Hvis vi kunne lave et væsentlig bedre OS alternativ, ville det sikkert også blive brugt eller kopieret på sigt. (Måske ikke først i DK)

Det vanskelige i dette er at definere opgaven præcist ikke at kode det.
Kan det lade sig gøre?

  • 0
  • 0
Simon Rigét

Tja - love kan jo ændres. Specielt når dem der har lavet dem ikke længere er ved magten. Men det kræver at der er alternativer.

Andre lande og institutioner kunne have glæde af et OS alternativ, specielt hvis det var overbevisende godt. Så ville DK med tiden nok også lade sig inspirere.

  • 1
  • 0
Jon Bendtsen
  • 3
  • 0
Christian Nobel

Hvad er det for en lov?

Naturlov!

Ligesom det er naturlove, på linie med tyngdeloven at:

Skattetrykket kan kun gå opad.

Rejsekortet er nu indført, processen kan ikke stoppes.

IC4 tog skal ud på danske skinner, uagtet det kan køre eller ej.

DRs licens (hvorfor eksisterer det begreb overhovedet i det 21' århundrede).

Det offentlige tager aldrig fejl.

etc, etc.

  • 3
  • 1
Rasmus Faber-Espensen

NemID er vedtaget ved lov som den eneste legale løsning i Danmark.

Jeg spørger igen: hvad er det for en lov?

Grunden til jeg spørger er selvfølgelig, at det er noget vås, at det er lovbestemt, at man skal bruge NemID i Danmark. Man har valgt at bevilge en sum penge til udvikling og drift af en fælles signatur- og login-løsning, forskellige offentlige myndigheder har valgt at tillade at elektronisk kontakt til dem kan autentificeres ved hjælp af NemID (og Datatilsynet har valgt at det er okay) og i enkelte love (f.eks. Tinglysningsloven) er der lovgivet om, at den relevante minister må sidestille digitale mekanismer med underskrifter og ministrene har så valgt, at NemID kan bruges.

Jeg er meget skeptisk over, om man kunne lave et Open Source alternativ (der er en del krav til en sådan løsning, som Open Source traditionelt har svært ved at håndtere: f.eks. brugervenlighed og tilgængelighed for handicappede), men at give lovgivningen skylden er lidt for let.

  • 0
  • 2
Log ind eller Opret konto for at kommentere