Derfor koster NemID til mobilen 100 millioner kroner

2. september 2013 kl. 10:4420
Derfor koster NemID til mobilen 100 millioner kroner
Illustration: Privatfoto.
Den Javascript-baserede NemID-klient, der gør det muligt at bruge NemID på mobilen, koster 47 millioner kroner at udvikle og 53 millioner for drift i 3,5 år. Staten og bankerne deles om regningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Jep - det koster 100 millioner kroner at få NemID gjort brugbar på mobile enheder. Men det er inklusive drift og bankernes andel.

Sådan lyder det fra Digitaliseringsstyrelsen, som selv skal betale 23,6 millioner kroner til Nets DanID for udviklingen af den kommende, Javascript-baserede NemID-klient. De danske banker betaler samme beløb, og udviklingsomkostningerne løber dermed op i 47,2 millioner kroner.

»Resten af beløbet er til drift af den nye løsning, fra lancering i 2. kvartal 2014 og til og med 2017, hvor kontrakten og optionen på to ekstra år slutter,« forklarer Charlotte Jacoby, souschef i Digitaliseringsstyrelsens kontor for it-standardisering og sikkerhed, til Version2.

De tre et halvt års drift, der er regnet med, lander altså cirka på 13 millioner kroner om året, som bankerne og staten også deles om. Men de samlet 50 millioner kroner, som staten bruger på også at få NemID på mobile platforme, kører sideløbende med den nuværende NemID-platform, med en Java-klient, som skal køre videre. I dag betaler Digitaliseringsstyrelsen 31 millioner kroner om året til Nets DanID for drift af NemID.

Artiklen fortsætter efter annoncen

For borgerne vil der stort set ikke være forskel på den nuværende og den kommende klient til NemID-login.

»Der er gjort rigtig meget for, at det, som brugerne kommer til at se, bliver det samme. Tjenesteudbyderne (som bruger NemID til login, red.) skal tilrette de kald, der skal til for at starte klienten, men ellers bliver det også meget det samme for dem,« forklarer Charlotte Jacoby.

Også NemID-løsningen til medarbejdersignatur skal gøres klar til brug på mobile enheder. Det er der afsat 14,4 millioner incl. drift, men den regning er den offentlige sektor alene om, da bankerne ikke har brug for medarbejdersignaturer til deres netbank-login.

En anden post, der får udgifterne til NemID i 2014 til at suse i vejret, er ekstra kapacitet til at udstede medarbejdersignaturer. Når Digital Post bliver den eneste måde, en virksomhed kan kommunikere med det offentlige på den 1. november 2014, vil der sandsynligvis være en voldsom efterspørgsel efter NemID til medarbejderne. Her er afsat 6,6 millioner kroner.

Men hvordan kan Nets DanID få opgaven med den Javascript-baserede NemID til 100 millioner kroner, uden at opgaven kommer i udbud?

»Det er en videreudvikling under den nuværende kontrakt med Nets. Den nye løsning er meget tæt knyttet op til den eksisterende infrastruktur, så det er ikke muligt at bruge andre til at lave den løsning,« siger Charlotte Jacoby.

Ingen konkurrenter til Nets DanID har henvendt sig til Digitaliseringsstyrelsen i den forbindelse.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
4. juni 2014 kl. 18:49

Det ville være billigere, nemmere og bedre at oprette en Certificate Authority ligesom TDC den gang for 10 år siden. Og udstede certificater til alle som så installeret på telefonen og i folks browseres

for 100 mio kunne man snildt fremstille al den undervisning der skal til at forklare hr og fru rødkål hvordan fanden de installere et skide certifikat.

NemID har på ingen måde gjort login nemmere eller bedre for nogen som helst.

19
4. juni 2014 kl. 18:59

Det ville være billigere, nemmere og bedre at oprette en Certificate Authority ligesom TDC den gang for 10 år siden....

Kun hvis du vil acceptere en tilbagevenden til den situation at sikkerheden i systemet er stærkt afhængig af hr og fru rødkåls evne til at forhindre deres PC,telefon mv. i at blive kompromiteret.

Enhver løsning på en national signatur bør erkende det problem og tage folks evner som systemadministratorer på deres udstyr ud af ligningen.

Det betyder så ikke at vi skal affinde os med "løsninger" som NemID, men det er ikke "bare" at sætte en Certificate Authority op.

Det vil nok kræve at der f.eks. etableres et framework for nøgler på diverse hardware tokens og det skal jo så tænkes ind i det at man ikke nødvendigvis bare kan stikke sådan et i f.eks. en mobiltelefon. Men sådanne hardware tokens koster jo også penge.

20
4. juni 2014 kl. 21:40

hvorfor skal du gøre det mere besværligt end det er ?

Cert + ok Password = rigelig sikkerhed

selv i dag med NemID og alt muligt skidt og kanel, er det stadig muligt at få sjålet sin identitet - det sker endda ret ofte !!

og glem ikke hvor overbærende vi egentlig er i forhold til voret idiotiske CPR-nummer. Svenskerne har allerede smidt deres ud fordi det var håbløst i forhold til sikkerhed.

17
4. juni 2014 kl. 11:49

Hør nu her, der er jo en meget simpel forklaring på hvorfor det er så dyrt at drive nemid JS i et par år: De skal jo sende ca 1 MB JavaScript data til hver bruger når de forsøger at logge ind. Og det skal sendes HVER gang fordi de ikke vil have, at browseren cacher noget. [kilde en anden artikel på v2 i dag]

Båndbredde koster penge. Og serverne som skal sende al den data koster penge. Og strøm. Og strøm koster penge. Og iøvrigt skal der sikkert også bruges en masse køling. Og der skal være redundans, så det hele x2.

Jeg håber I opfanger sarkasmen. Magen til dårligt systemdesign skal man lede længe efter. At det er præcist som jeg havde forventet når noget kommer fra bankverdenen er en anden (sørgelig) sag.

14
3. september 2013 kl. 12:02

Overskriften siger "Derfor koster NemID til mobilen 100 millioner kroner". Artiklen fortæller så, hvilke poster, beløbet bliver fordelt på. Men det grundlæggende spørgsmål bliver stadig ikke besvaret: Hvorfor i alverden koster det 8 bondegårde[1] at få Nets til at rette den næststørste[2] fejl i deres system?

For borgerne vil der stort set ikke være forskel på den nuværende og den kommende klient til NemID-login.

Jeg håber da meget, at der er forskel. F.x. at man ikke skal slås med hullede Java-plugins og måske endda at man kan bruge NemID på flere platforme.

Hvis det skal laves sikkert, bør man da også opleve at blive omdirigeret til en autorisationsside hos NemID. Hvis login-boksen er indlejret i bankens side, ligesom appletten er det nu, har man jo ingen chance for at vide, om man bliver snydt.

Ingen konkurrenter til Nets DanID har henvendt sig til Digitaliseringsstyrelsen i den forbindelse.

Nej hvor mærkeligt, at ingen konkurrenter til et statsstøttet privatejet monopol har vist sig! Og det til trods for, at udbuddet tydeligt har været slået op i nede i kælderen, hvor lyset er gået i stykker, i det nedlagte toilet, bag skiltet med "pas på leoparden".

[1] En hurtig, uvidenskabelig undersøgelse viser, at en dansk landbrugsejendom kan erhverves for gennemsnitligt 12.5 mio kr.

[2] At bruge Java i browseren, selvom det allerede dengang var en usikker teknologi, som var på vej i graven. Deres største fejl er naturligvis, at de insisterer på at kalde deres single-sign-on-system for en digital signatur, til trods for at de private nøgler ikke er private.

15
3. september 2013 kl. 14:14

Hvis det skal laves sikkert, bør man da også opleve at blive omdirigeret til en autorisationsside hos NemID. Hvis login-boksen er indlejret i bankens side, ligesom appletten er det nu, har man jo ingen chance for at vide, om man bliver snydt.

NemID er usikkert by design, og skifte til javascript, vil ikke øge sikkerheden, i nogen betydelig grad, bevarres det kan lukke et par huller ind i dit system, men det vil ikke øge din transaktions sikkerhed, eller system sikkerhed. Javascript er på ingen måde sikker - det bruges allerede nu til at distribuere, og installere viruser.

NemID er bare en dyr fadæse, en klon af systemer som man legede med i 1990'erne..

Fatter ikke at man valgte denne løsning, og jeg undre mig mere og mere, des flere af disse sager popper op..

Desuden har man baseret systemet på en monopol, altså hvor kun EN virksomhed kan levere infrastrukturen, som du i øverigt skal havde 100% tillid til.. Så vil man sælge den til højeste bydende..

Suk!.

En rigtig standard digital signatur, og transaktions sikkerhed system som det her, supportere flere leverandører og fungere offline (ikke flere DDOS), folk ejer deres egne nøgler, m.v. Ikke det her mak værk, som er bare for at skabe en monopol, der kan plukke Danskerne for penge, enten direkte, eller indirekte.

16
3. september 2013 kl. 20:59

... Og så drives den offentlige login/signatur af det offentlige - den sekundære fordel er, at danskerne sparer udgiften til mellemhandlerens fortjeneste (læs DanId).

10
2. september 2013 kl. 14:28

Sålænge det ikke beskrives hvad er indeholdt i prisen er det svært at vurdere om 100mio kr er rimeligt - umiddelbart kan det virke af meget, men fx driftsomkostninger vurderer jeg som ganske rimelige. Der skal trods alt også noget vedligehold / support på som er en omkostning.

Jeg kunne forestille mig i driftomkostninger indgår følgende:

Drift:

  • Personale til en servicedesk / support
  • forsendelser af nye nemID kort til brugere
  • Hardware omkostninger til mainframe
  • diverse tekniker-omkostninger herunder tilkalde vagtordninger
  • Support til "kunder" som ønsker integration via nemID
12
2. september 2013 kl. 14:47

Jeg kunne forestille mig i driftomkostninger indgår følgende:

Bemærk at de 100 millioner kroner er en ekstraomkostning i forhold til den eksisterende service. Det vil sige at en javascript-frontend ifølge artiklen vil øge driftomkostningerne fra 31 millioner kroner om året til 44 millioner om året.

Jeg kan se at en nye frontend vil kunne give en moderat forøgelse af support-behovet, men det bør hverken kræve nye eller flere NemID-kort.

Ligeledes kan jeg se et moderat behov for at øge omkostningerne til hardware og driftsstab. Men i et veldesignet system vil denne ekstraudgift være meget begrænset, da den nye frontend bør kunne tilgå stort set samme grænseflader som den eksisterende Java-baseret frontend.

Integration anser jeg ikke for noget der skal dækkes af driftsbudgettet. For eksisterende offentlige kunder går jeg ud fra at det i et vist omfang er (forhåbenligt nærmere specificeret) er dækket af udviklingsomkostningerne og for nye kunder er det bare en ekstramomkostning i forhold til hvad integration af Java-løsningen koster. En del af integrationen bør også foregå mod backend-systemer der bør fungere ens uanset hvilken frontend end bruger anvender.

Jeg mener ikke at der er noget i din liste der kan forsvare en 40% forøgelse af driftsomkostningerne.

13
2. september 2013 kl. 18:43

Jeg mener ikke at der er noget i din liste der kan forsvare en 40% forøgelse af driftsomkostningerne.

Jeg mistænker lidt at ledelsen sidder med fakturaen og siger "Gad vide om de betaler hvis vi beder dem give 50 millioner mere?".

Fordi det offentlige siger aldrig nej, lige gyldig hvor miserabel en faktura det får tilsendt. Og det må vel bunde ud i at beslutningstagerne på sådanne projekter ikke aner en brik om hvad det er de bestiller - de tænker slet ikke over at 13 millioner kroner mere årligt er et urealistisk tal for noget så simpelt, og de spekulerer ikke i hvor vidt de bør forhøre sig hos folk der er klogere på området end dem selv, da de ikke ønsker at udstille deres manglende evner på området.

Det er skræmmende at se gang på gang, hvordan ingen politikere ønsker at reagere, og hvordan katastrofe efter katastrofe, kunne have være afværget af personer som havde brugt sølle 2-3 år på en IT grunduddannelse.

11
2. september 2013 kl. 14:39

Ja, hvis udgangspunktet var at man startede på et nyt projekt,men det er jo netop ikke !

9
2. september 2013 kl. 13:47

Den nye løsning er meget tæt knyttet op til den eksisterende infrastruktur, så det er ikke muligt at bruge andre til at lave den løsning.

*Suk*

Jo hvis infrastrukturen var samfundets ejendom og vi havde bestemt at den netop skulle kunne udvikles på af andre for at forhindre monopoltilstande.

8
2. september 2013 kl. 13:32

Nu må I jo ikke glemme at man prøver at sælge nets mm. Dette er jo et godt argument for en høj salgspris.

7
2. september 2013 kl. 12:32

Vi skal lige tjene nogle penge, hvordan gør vi det?

Nåe jo, vi er jo ejet af bankerne, så lad os gøre det på denne måde:

Kære stat, vi skal have lavet en ny (per)version af NemID, så skal vi ikke sige det koster 50 millioner at lave det - men vores ejere som jo er åh-så-samfundsansvarlige de spytter da 25 millioner i kassen - og så glemmer vi meget behændigt at fortælle at vi jo har et dejligt overskud, så de samme 25 millioner kroner kanaliseres tilbage til bankerne på et senere tidspunkt.

Heurika - vi har jo opfundet en pengemaskine.

5
2. september 2013 kl. 12:25

Hvis nemid til mobilen bare er et nyt interface til nemid bør der ikke være store forøgelser af drifs omkostningerne, ved vi om nemid til mobilen realt er det samme system som nemid til PC? Eftersom nemid til ehverv og privat jo ikke rigigt har andet med hinanden at gære end navnet.

Det ville værre rart hvis man i pressen gad spørge lidt dybere ind til nemid og ikke bare lade dem snakke i ligegyldige floksler.

4
2. september 2013 kl. 11:59

At alting koster 50x mere end alle andre steder ?

Når en 'virksomhed' har 5 millioner kunder som betaler 75% af deres løn til tiden hver måned, så kan man jo tillade at tage alle de penge man vil for at levere noget til den...

3
2. september 2013 kl. 11:34

At det koster 14 millioner kroner om året at drive en frontend til et NemID antyder for mig at der er noget galt med hele systemarkitekturen.

Det tyder ikke på at serverdelen til den gamle Java-baserede frontend kan andvendes, men at der skal sættes en helt selvstændig infrastruktur op for at udnerstøtte en Javascript version. Dermed virker det ikke som om at grænsefladen mellem klienten og serveren er særlig veldesignet.

Kan vi gøres os forhåbninger om at den nye grænseflade vil få en veldesignet grænseflade mellem klient og server der gør det muligt for DanID at følge med udviklingen i klientplatforme uden at skulle bruge 15 millioner om året på hver enektl type klient der skal have adgang til NemID?

1
2. september 2013 kl. 11:02

Hvem fanden løber med pengene?

Til den pris kunne man hyre 15 folk, til 1000 kroner i timen (de skal jo have en god løn!), til at arbejde 365 dage non stop, 18 timer i døgnet.

Og alle de resurser er VIRKELIG nødvendige for at vi kan få porteret noget til Javascript? Føj for fanden, det lugter langt væk af inkompetence.

2
2. september 2013 kl. 11:22

Hvor mange Nets udviklere skal der til at skifte en elpære?