Datatilsynet til DanID: Spær 27.611 NemID-certifikater NU!

DanID sendte brugernavn og kodeord til næsten tredive tusinde nye NemID brugere samme dag. Nu slår Datatilsynet i bordet og kræver certifikaterne spærret.

27.611 danskere har modtaget to breve med henholdsvis brugernavn og kodeord til NemID på samme dag. Dette er et brud på NemID's sikkerhedsprocedurer, og Datatilsynet har derfor tidligere afkrævet selskabet bag en redegørelse.

Nu slår Datatilsynet så i bordet og kræver, at alle 27.000 certifikater bliver spærret omgående. Det fremgår af Datatilsynets hjemmeside.

**LÆS OGSÅ **DanID skal stå skoleret for Datatilsynet: Sjusker stadig med brevene

Datatilsynet mener, at DanID burde have spærret certifikaterne straks fejlen blev opdaget, og kalder det beklageligt, at DanID ikke har gjort noget endnu.

Ifølge DanID's redegørelse til Datatilsynet er der to årsager til fejlen: Dels fordi en printerfejl hos printleverandøren forsinkede produktionen af velkomstbreve med nøglekort, så de blev afleveret til Post Danmark samme dag som pin-brevene, og dels har store ordrer på velkomstbreve gjort, at produktionen imod procedure har strakt sig over to dage og dermed blev indleveret til posten samme dag som pin-brevene.

DanID mener ifølge Datatilsynet dog ikke, at uregelmæssighederne er alvorlige nok til at spærre de berørte brugeres certifikater, og det er denne vurdering tilsynet nu altså går i rette med.

»Eftersom der er sket brud på en procedure, der er et centralt sikkerhedselement og dermed en forudsætning for, at NemID kan leve op til de fornødne sikkerhedsforanstaltninger efter persondataloven , når certifikaterne anvendes ved login til digitale selvbetjeningsløsninger mv., mener Datatilsynet, at der straks skal ske spærring af de berørte certifikater,« skriver Datatilsynet i et brev til DanID.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Watts

Er ikke løsningen, uanset hvor tåbelig den er.

Det værste er DanIds holdning der er gennemsyret af at de føler sig hævet over kritik, og at folk bare er nogle hystader, hvis de råber vagt i gevær.

Systemer kan tilrettes og dør ud med tiden - grundholdninger i organisationer er mere varige og gør LANGT større skade, når de er så arrogante og verdensfjerne som her.

  • 0
  • 0
Morten Andersen

Det problematiske er faktisk, at man ikke engang kan sige "Spær lortet og så er det det". Hvad nu hvis folk har brugt deres privatnøgle og certifikat til noget? Aktuelt kan løsningen reelt kun bruges til sign on så der er skaden nok ikke så stor - den ene nøgle er jo så god som den anden. Men hvis løsningen til krypteret mail havde været frigjort, så ville det være en alvorlig sag at spærre brugernes nøgler.

  • 0
  • 0
Peter Jespersen

Ja, dette her er endnu et eksempel på at man ikke kan stole på at DanID ved hvad de gør, eller mere skræmmende så ved de lige præcis hvad de gør.

Det giver mig tihvertifald ikke mere anledning til at at stole på de forsikringer de har givet om, at de vil opretholde privatlivets fred, i forbindelse med deres signed applet.

  • 0
  • 0
Mogens Kjær

"DanID mener ifølge Datatilsynet dog ikke, at uregelmæssighederne er alvorlige nok til at spærre de berørte brugerer certifikater"

Føj siger jeg bare.

Den medarbejder der har udtalt ovenstående står til en fyreseddel. Og repræsentere holdningen på nogen måde DanID's officielle hodning, står hele firmaet for at blive sat fra opgaven.

  • 0
  • 0
Jens Schumacher

"Vi skal efterkomme Datatilsynets krav, og vi skal nok spærre de berørte certifikater," siger Jette Knudsen.

"Men vi bliver nødt til at gør det på en skånsom måde, så vi ikke udelukker folk fra deres netbanker med mere," siger hun.

"Så det bliver ikke fra den ene dag til den anden. Vi er ved at finde en egnet løsningsmodel," forklarer DanID's pressechef.

Waaaahahaha jeg brækker mig snart af grin.
27k certifikater er muligvis kompromiterede meeeen vi kan jo ikke bare spærre dem for så kan ham der stjal certifikatet jo ikke tømme folks bankkonto mere... Waaahahaha

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg synes faktisk Datatilsynet burde kunne udstyres med magten til at fjerne personer fra et ansvarsområde under deres resort.

Sådan lidt a'al:

Kære XYZ,

Vi har korresponderet med N.N om _________.

Vi har ikke tillid til at N.N er sit ansvar voksent og skal anmode om at en ny ansvarlig for området udpeges, indsættes og kontakter os med status på den konkrete sag, indenfor 24 timer.

På forhånd tak,

Datatilsynet.

Poul-Henning

  • 0
  • 0
Søren Mikkelsen

Jeg forstår ikke hvorfor man ikke blokere de 27.611 brugere ASAP.

Jeg arbejder i en unavngivet sikkerheds virksomhed som har kunder både i det store erhverv og i det offentlige og jeg ville ikke på nogen måde kunnen forsvare at sende både kode og brugernavn til en og samme adresse med samme brev, at finde en bedre løsning end at "komme til at sende kode og brugernavn med samme post levering" er jo ikke så svær ville jeg mene, det her grænser til det tåbelige og jeg er faktisk ret skuffet over den sløsen der ses i det offentlige den dag i dag, dette er jo ikke første gang de laver en fejl 40!

Mvh
Martin

  • 0
  • 0
Jens Madsen

Og nej, har ikke har travlt med at aktivere nemID.

Kan tidligst finde på det, når jeg forhåbentligt begynder at få advarsler om, at min nuværende nøgle udløber. Og håber man til den tid har indset, at et endnu ukendt millionbeløb, på adskillige cifre IGEN er spildt på et 'offentligt' it-projekt.

Imponerende, at danID ikke mener at nemID skal behandles på samme sikkerhedsniveau( eller bedre), som dankort !?!
Selv vores egen nabo-'banan-republik' sverige har bedre fat i sikkerheden, hvad angår adgang til banker m.m.( selvom de også har haft deres vanskeligheder).

Kan være man bare bliver nødt til at gå old-school, og vende tilbage til bank-bog, kontanter, og snail-mails via post.dk.
Men så bliver man vel bare beskyldt for at være terrorist, da USA ikke kan følge med i mine indkøbsvaner, og hvor jeg har været( swift-aftalen).

/me removes tinfoil hat...

Ja, jeg er sku efterhånden ved at være ret træt af det 'moderne' offentlige danmark.

Med den tankevirksomhed det offentlige danmark ligger for dagen, og her kigger jeg især på jer på christiansborg, så bliver nødt til at lufte mit seneste motto:

"Danmark kan klare sig fint uden Christiansborg, men kan Christiansborg klare sig uden Danmark ? ... not so much! "

  • 0
  • 0
Jimmy Frydkær Dürr

Skuffet er vel nærmest årtusindets absolut vagest beskrivende følelse for de fleste IT-folk i Danmark, når talen falder på DanID/NemID.

Århundredets absolutte joke rent sikkerhedsmæssigt og en usigelig arrogant holdning overfor de mennesker, som gøres afhængige af NemID. End ikke Statens Datatilsyn agter man hos DanID at rette sig efter. Lov og orden er, tilsyneladende, af mindre betydning, når Løkke & kumpanerne samles ved mjød-gryderne.

Topmålet af DanID's arrogance må siges at være, at de ikke regner med at DanID/NemID godt KAN vælges helt fra. Jeg vil i hvert fald ikke røre deres "produkt" med en glødende ildrager.

Hvornår vågner DanID op og indser, at danske borgere ikke er dumme får, men mennesker med en meget høj intelligens?

  • 0
  • 0
Casper Bang

Nå, gad vide hvornår min adgang så bliver lukket for jeg er også en af dem der har modtaget brevene samtidig (kodebrevet var endda lettere medtaget / revet lidt op). Kæft et gedemarked!

  • 0
  • 0
Thomas Jensen

Jeg synes faktisk Datatilsynet burde kunne udstyres med magten til at fjerne personer fra et ansvarsområde under deres resort.

Eller måske bare viljen til at lægge magt bag deres udtalelser... Hvis de altså har nogen magt. Det er jeg faktisk lidt usikker på om de har.

Hvis man ser på de udtalelser de er kommet med, så lyder overskrifterne

"Vedrørende krav om spærring af 27.611 certifikater"
"DanID skal spærre certifikater"

men når man dykker ned i udtalelserne, så er det vendinger som "Datatilsynet mener" der præger billeder. Ingen steder bliver der stillet krav om noget.

Og hvis man ser på de udtalelser DanID er kommet med, så er der heller ikke noget der tyder på, at de opfatter Datatilsynet som andet end nogen med en mening, man kan tage til efterretning efter behag.

Som det fremgår af artiklen, så mener DanID "ikke, at uregelmæssighederne er alvorlige nok til at spærre de berørte brugeres certifikater" - men hvorfor mener DanID at spørgsmålet overhovedet er til diskussion?

På trods af at Datatilsynet bruger ord som "krav" og "skal" i deres overskrifter, så er det tilsyneladende ikke noget DanID har respekt for, og mener de skal rette sig efter.

Spørgsmålet er, om Datatilsynet overhovedet har nogen magt, eller om de bare har en mening om tingene. Hvis de [b]har[/b] magt, så undrer det mig at de ikke bruger den - [i]kræver[/i] at certifikaterne spærres - og det undrer mig, at DanID ikke tager Datatilsynet mere alvorligt.

Derfor hælder jeg mest til at tro, at Datatilsynet slet ikke [i]kan[/i] kræve noget som helst. Spørgsmålet er så hvorfor de prøver at få det til at se sådan ud.

At de [i]har[/i] held med at få det til at se sådan ud, kan man se på de artikler der har været omkring denne sag. Medierne skriver ukritisk at "Datatilsynet kræver", men som sagt, når man dykker ned i de udtalelser de er kommet med, så står der "Datatilsynet mener". Og det er jo lidt svært at få øje på kravet i det...

  • 0
  • 0
Søren Pedersen

Hvis der vitterligt er et problem, hvad DanID sammen med IT-styrelsen afviser, https://www.nemid.nu/om_nemid/aktuelt/20100810_afvisning_af_paastande_om..., hvordan kan man så begrænse det, indtil (hvis) det løses centralt?

Er det ikke bare at lave en ekstra bruger, der ikke er admin, på sin computer, og så logge ind dér, når man skal i banken? Ja, det er mega-bøvlet, men sådan er jo work arounds nogle gange, og livet skal gå videre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere