DanID skal stå skoleret for Datatilsynet: Sjusker stadig med brevene

19. august 2010 kl. 06:598
En medarbejder hos Datatilsynet - og mange andre danskere - har fået de to aktiveringsbreve til NemID samme dag. Det er et brud på sikkerheden og får nu Datatilsynet til at kaste sig ind i sagen.
Artiklen er ældre end 30 dage

Ligesom det er dumt at prøve at sælge sort arbejde til en ansat hos Skat, er det uheldigt for DanID, at en fejl i udsendingen af aktiveringskoder til NemID også har ramt en medarbejder hos Datatilsynet.

Her skal man nemlig holde øje med sikkerheden i NemID, der afløser Digital Signatur, og når de to breve med koder til NemID lander i postkassen samme dag, stiger chancerne for, at NemID-kontoen kan bruges af den forkerte person, betydeligt.

Den ureglementerede omgang med brevene får nu Datatilsynet til at kaste sig ind i sagen, for Datatilsynets krav til sikkerheden ved NemID tilsiger meget bestemt, at brevene ikke må ankomme samtidigt.

Version2 har tidligere skrevet om fejlen, som DanID beklagede og lovede at rette hurtigst muligt. Her var det en Version2-læser, som havde modtaget både brevene til ham selv og til kæresten på samme dag. Og Datatilsynet har siden hen fået en henvendelse fra en borger, ligesom en Version2-debattør oplevede problemet så sent som i går.

Artiklen fortsætter efter annoncen

Omfanget af problemet, og DanID's manglende reaktion, har fået Datatilsynet til at afkræve DanID svar på, hvad søren der sker. Hvor mange er ramt, hvad har DanID gjort for at lukke fejlen - og vigtigst af alt - hvorfor er de ramte NemID-konti ikke spærret og brugerne orienteret, spørger Datatilsynet i brevet, der røg af sted til DanID tirsdag.

I Version2's artikel fra 10. august lover Peter Lind Damkjær, PKI-ekspert hos DanID, at fejlen vil blive rettet.

»Vi er i færd med at lave yderligere tiltag i systemet, der skal forhindre dette. Det er naturligvis ikke tilfredsstillende, og de ekstra tiltag er da også prioriteret højt,« skrev han dengang til Version2.

Læs også:DanID afviser mulig sikkerhedsbrist: Bankerne genkender dig på stemmen

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
19. august 2010 kl. 07:18

DanID's slogan burde være SNMP! Og til det ikke tekniske folk (Security Not My Problem).

2
19. august 2010 kl. 08:47

"Sjusker stadig med brevene"

Jep, dét vil jeg godt skrive under på. Jeg modtog mine i tirsdags, så det kan næppe væres PostDanmark's skyld - brevene er formodentlig begge gået ud om mandagen.

Godt at høre DanID trods alt skal stå til ansvar for nogen, man får nemlig bestemt ikke meget ud af at kontakte dem direkte som alm. borger!

3
19. august 2010 kl. 09:12

@CASPER BANG Klag venligst til datatilsynet så de kan få et reelt billede af problemets omfang og dermed prikke endnu mere til NemID end de allerede gør :-)

4
19. august 2010 kl. 09:21

men jeg modtog også 2, men med et par dages mellemrum. Svaret var fra nemid "det kan være det er din bank der har bedt om det." Det undrer mig en del da det jo er meget automatisk og styret fra DanID så må de vel vide det, men ak nej.

5
19. august 2010 kl. 10:41

Er forhåbentligt ved at blive taget af datatilsynet... Nu mangler vi bare søm og kiste - så har vi os Danmarks lykkeligste begravelse.

6
19. august 2010 kl. 11:28

Der sker det at nu kommer der en direkte henvendelse fra Datatilsynet, som resultere i at en eller anden kuli bliver stillet til ansvar, efterfulgt af at netop det problem bliver løst.

Så fra godt og vel tirsdag og fremad rettet vil brevene komme seperat. Altså explicit brev med Kode, 2-3 dage senere Papkort. 2 modtagere på samme adresse samme dag er intet problem, men kode og papkort vil blive skilt ad. Undervejs sikkert i morgen kommer BT eller ligende med en "Dit NemID bliver stålet af postdanmark" artikel hvor de har fulgt 2 breve fra afsender (som vi jo får oplyst der) hele vejen igennem system til den utilfredse modtager der føler sig udsat. Omkring uge 36 er episoden glemt og folk begynder at tænke på hvem de skal stemme på til det forestående valg som faktisk først kommer omkring marts. Hvor kampen står mellem hvor meget Helle snyder i skat holdt op mod hvor meget Lene holder ferie.

Som nævnt i artiklen er det noget tåbeligt at sælge sort arbejde til en medarbejder i skat, ja tak. Men at det er det som skal til før de reagere...

Man bliver helt modløs, Datatilsynet begynder jo ikke at kigge på nogle af de mere interressant kritik punkter, de vil bare have deres breve også er den skid slået.

/spydige bemærkninger og forkerte oplysninger kan forekomme i ovenstående ligesom jeg antager jeg ved alt. Det burde dække som disclaimer.

Mere seriøst: Nogen gode foreslag til hvordan man rent faktisk kunne lade noget indsigt sive ind i organerne ala Datatilsynet, eller generalt bare for de ansvarlige til at leve op til deres ansvar?

Jeg ved ikke om det er fordi jeg er begyndt at læse aviser og se fjernsyn igen, men er det ikke meget almindeligt efterhånden med tankegangen : Hvad siger du? jeg stjæler dine bukser, hey se derovre TopStjerne bla bla stjæler nadas bukser...... Nej nej, jeg har aldrig gjort noget.

7
19. august 2010 kl. 16:39

Bliver postbude allokeret til forskellige ruter fra dag til dag?

8
19. august 2010 kl. 17:05

Kun i begrænset omfang.

På langt de fleste ruter skal postbudet gå "føl" et par gange hos en der kender ruten godt, inden de ved hvilke nøgler der bruges til hvilke opgange osv.

Min erfaring er at vi har et eller to "faste" postbude og 2-3 "udskiftere".

At sprede brevene over flere dage fjerner ikke risikoen, men det reducerer fristelsen og gør det lidt mere besværligt for dem der forsætligt vil ondt.

Jeg forstår ikke hvorfor det første brev ikke indeholder en kode der skal tastes ind for at udløse det næste brev, på den måde kan de to breve aldrig ankomme samme dag, uanset hvad der sker for/hos PostDK.

Poul-Henning