DI opfordrer DanID til at kigge på sikkerheden i NemID

8. november 2011 kl. 06:595
Dansk Industri mener, at den nuværende sikkerhed i NemID's design bør revurderes på baggrund af Ingeniørens video-demonstration af et fiktivt man-in-the-middle-angreb mod login-løsningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ingeniørens video-demonstration af et simpelt, fiktivt man-in-the-middle-angreb mod NemID bør give anledning til, at DanID går den nuværende sikkerhedsmodel efter i sømmene. Det mener chefkonsulent Henning Mortensen, sikkerheds- og privacy-ekspert i DI ITEK – Dansk Industris brancheorganisation for it, telekommunikation og elektronik.

»Når der popper sådan noget op (Ingeniørens videodemonstration, red.), så er der grund til at kigge på, om der er noget, man kan gå ind og forbedre,« siger han.

Henning Mortensen påpeger, at der som sådan ikke er noget nyt i man-in-the-middle-problematikken hos NemID, men alligevel bør demonstrationen give anledning til en genvurdering af sikkerheden.

»Når I kommer med sådan en ting her, som vi jo alle sammen godt kender til, så er der jo grund til, for DanID at gå ind og sige: Har vi gjort det godt nok,« siger han.

Artiklen fortsætter efter annoncen

Henning Mortensen og DI vil dog nødigt rette direkte kritik af den nuværende løsning, da organisationen ikke umiddelbart selv har et bud på, hvordan det kan gøres bedre.

»Man bør løbende kigge på sikkerheden og vurdere den i lyset af de tre faktorer: sikkerhed, økonomi og brugervenlighed,« siger han.

DI anbefaler i øvrigt organisationens medlemmer at tegne en forsikring i forhold til netbanken, hvor NemID også bruges. Det skyldes, at erhvervsaftaler i forhold til privataftaler, kan betyde at en virksomhed selv skal dække eventuelle tab i forbindelse med indbrud i netbanken.

»Der har været en del debat om det emne tidligere. Den finansielle sektor har, blandt andet i samarbejde med os, lavet en forsikringsordning, som virksomhederne kan gå ind og tegne, netop for at imødegå, at deres konto evt. måtte blive tømt. Derfor anbefaler vi også, at man går ind og tegner en forsikring imod det,« siger han.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
8. november 2011 kl. 08:51

Barnet er blevet kørt ned i det kryds de lokale i årevis har prøvet at få politikere og politi til at lysregulere.

Men nej, der skal lig på bordet før der sker noget.

Denne problematik (og andre) er der rigtig mange der har prøvet at råbe myndighederne op omkring i snart årevis, men de (og sikkert også DI) har bare stået med fingrene i ørerne og skreget la-la-la-la-jeg-kan-ikke-høre-noget.

Men bliver altså ret harm.

4
8. november 2011 kl. 09:45

I den "rigtige verden" skal der oftest mere end et "lig" til...

Samme her, for har vi ikke allerede det første "lig" på bordet (var der nogle som sagde "Nordea")?

Det vil først blive taget seriøst af DanID, når der sker et stort hack som rydder forsiderne på alle medier, så selv min mor stopper med brugen af sin netbank og møder op i den lokale pengeterminal.

5
8. november 2011 kl. 11:01

tror du har misforstået noget. Hvem skulle informere medierne om disse indbrud? Enten er det de kriminelle ellers er det brugerne. Hvis tabene er store vil bankerne sikkert dække tabene, men samtidig give mundkurv på deres kunder så medierne ikke får historien. Dårlig omtale af bankernes sikkerhed er nok ikke den bedste historie for banken. Så nej vi får nok ikke noget at vide før det er sket for rigtig mange millioner så det kan ses i års regnskabet.

forresten at omtale danID's login system som en digital signatur bevidner om skriverens forståelse for sikkerhed.

2
8. november 2011 kl. 08:03

Vil de så også se på om sikkerheden på Man-In-The-Middle platformen er god? Således at der ikke kan forekomme overvågning eller anden form for misbrug hos NemID? Eller vil de bare skrabe i overfladen og kigge på sikkerheden / autenciteten mellem slutproduktet (brugeren) og Man-In-The-Middle platformen? Formodentlig det sidste.

1
8. november 2011 kl. 07:22

Præmiestørrelsen må vel kunne fortælle noget om den forventede risiko for misbrug. Så det kunne da være interessant at få oplyst.

Og derudaf måske spekulere lidt i, om risikoniveauet er et incitament for yderligere indtægter gennem forsikringspræmier, som gør det uinteressant at forbedre sikkerheden.