Digitaliseringsboss om afblæst NemID-udbud: Vi satser på fælles forståelse med Nets

31. marts 2017 kl. 05:1111
Digitaliseringsboss om afblæst NemID-udbud: Vi satser på fælles forståelse med Nets
Illustration: Anders Hviid-Haglund.
Digitaliseringsstyrelsen har fundet frem til, at det alligevel ikke gav mening med et udbud i forhold til den videre drift af den nuværende NemID-løsning.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tidspunktet for, hvornår NemID's afløser, MitID, er klar til brug, er blevet rykket så mange gange, at mulighederne for at forlænge kontrakten med leverandøren bag den nuværende løsning, Nets, for længst er opbrugte.

Lars Frelle-Petersen

Uddannet cand.scient.adm. i 1998 fra Roskilde Universitetscenter.

Karriereforløb:

  • 2012- : Direktør Digitaliseringsstyrelsen
  • 2011 - 2012: Vicedirektør i Økonomistyrelsen/Digitaliseringsstyrelsen
  • 2006 - 2011: Kontorchef/digitaliseringschef i Finansministeriets departement
  • 2005: Programchef i Videnskabsministeriet
  • 2001 - 2005: Specialkonsulent/chefkonsulent Finansministeriets departement
  • 1998-2001: Projektleder i Teknologirådet

Oprindeligt var det planen af finde en midlertidig NemID-leverandør, indtil MitID er klar via et udbudsforløb, men den tanke er droppet igen, som Version2 tidligere i dag kort kunne notere.

I et opfølgende interview forklarer direktør i Digitaliseringsstyrelsen Lars Frelle-Petersen, at det var på grund af EU's udbudsregler, at styrelsen tilbage i november 2016 var nået frem til, at et udbud ville være den eneste vej at gå.

Artiklen fortsætter efter annoncen

Men i forbindelse med den efterfølgende udbudsforberedelse fandt styrelsen så ud af, at det tidsmæssigt, økonomisk og den tekniske kompleksitet taget i betragtning ikke ville være realistisk med andre leverandører end Nets.

»Så vi er jo bare blevet klogere, kan man sige, efterhånden som vi er gået i udbudsforberedelse og har fået syn for sagen på, at det at lave et udbud i denne situation, det er ikke realistisk.«

Lars Frelle-Petersen forklarer, at EU's udbudsregler i sådan en situation giver mulighed for så at gå direkte til forhandling med den eksisterende leverandør.

Hvor meget skal Nets have for at drive NemID videre noget tid endnu? Hvad kommer det til at koste?
»Det er det store spørgsmål. Det er jo det, vi skal forhandle om. Altså hvad vil det koste at drive løsningen videre i en overgangsordning, indtil der foreligger en ny kontrakt omkring MitID med en leverandør. Så det er den forhandling, vi kigger ind i nu sammen med Nets. Og den er også vigtig at få på plads, så der også er ro omkring det udbud, vi skal ud med (omkring MitID, red.).«

Artiklen fortsætter efter annoncen

Umiddelbart kunne det godt lyde til, at Nets har en ret stærk forhandlingsposition i og med, der ikke er andre om buddet?
»Det er korrekt, men der er også regler, der grundlæggende set sikrer, at man ikke har alle kort på hånden som privat leverandør, når man leverer en løsning som det her. Der findes spilleregler, som regulerer, at man ikke kan forlange en ublu pris i forhold til det at drive sådan en løsning videre,« siger Lars Frelle-Petersen og tilføjer:

»Der er spilleregler, som vi satser på, og som vi også har en fælles forståelse om at køre efter, når vi nu går ind i sådan en drøftelse med Nets.«

Hvornår forventer I, at forhandlingerne er overstået, og der ligger en aftale?
»Vores håb er, at vi får afsluttet så hurtigt som muligt, men hvad deadlinen er lige nu, det kan jeg slet ikke sige. Vi er først ved at gå i dialog med hinanden. Og Nets skal selvfølgeligt også have lejlighed til at sadle hesten i forhold til den proces, de nu går ind i sammen med os. Mit håb (om en aftale, red.) er et sted omkring sommerferien,« siger Lars Frelle-Petersen.

Den nuværende kontrakt med Nets udløber endegyldigt til november i år, og Lars Frelle-Petersen forsikrer i den forbindelse om, at en aftale med Nets nok skal være i hus inden da.

Artiklen fortsætter efter annoncen

»Jo, vi skal nok nå det inden, det er der ingen tvivl om. Der er ikke nogen fare,« forsikrer han og fortsætter:

»Det har alle parterne en meget stor interesse i. Så vi skal nok sikre, at man som dansker kan have tillid til, at NemID er der, den tid, det skal være der.«

Digitaliseringsstyrelsen har meldt ud, at MitID vil være klar 2019-2020.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
31. marts 2017 kl. 11:01

Når først deres system er hacket, så ligger ALLE digitale signaturer til "fri afbenyttelse" så selvom login proceduren for at få adgang til denne normalt er beskyttet af 2 faktor authentication, så hjælper det dem jo ikke.

Nu ved jeg intet konkret, så lad mig i stedet sige, hvad man kunne have gjort:

For det første, så kunne man have sikret sin installation på højde med langt mere lukrative og finansielt givende mål, og langt bedre end hvad du kan stable på benene selv med særlig hardware.

For det andet så kunne man have krypteret alle nøgler med noget afledt af de enkelte nøglebrugeres password - så selv hvis nogen formår at løbe med alle data, så er de umiddelbart ubruelige.

Det er er sikkert også meget andet man kunne gøre.

10
31. marts 2017 kl. 10:37

Men..
Det er os der er malkekøer indtil nets ikke er mere.</p>
<p>Og jeg tror ikke på vore visionsløse politikere vil lade det ske.</p>
<p>De vil skrige "NetsPakke 1.0", "NetsPakke 2.0", "NetsPakke 2.1" osv.
Lige indtil de (med)ansvarlige dummernikker har fundet sig et "vennetjenestejob" udenfor borgen.

Selvfølgelig er vi det.

Men det er jo fordi lige netop med NemID, så har staten sørget for at der kun er een mulighed.

Den sikreste måde at dræbe innovation og "Lyt til forbrugeren" er at lave et stats sanktioneret monopol.

9
31. marts 2017 kl. 10:33

ad. 1: Det er Nets (og DIGST) selv ude om, når de ikke fortæller noget om, hvad de rent faktisk måtte have gjort af fornuftige tiltag. Som nogen nævnte i anden sammenhæng, så er det pt. en tillidssag, om de har brugt ROT13 eller ej. Så det forstår jeg faktisk godt. Og så vidt jeg lige kan gennemskue, så kan de ikke slippe afsted med det under eIDAS, fordi der skal de svjv. certificeres.</p>
<p>ad. 2: Det har du heller ikke :-). Se evt. ad. 1.

Nej, vi er enige, jeg aner heller ikke om det er sikkert eller ej og det er vel også lige meget, for så længe jeg ikke har kontrol over min egen digitale signatur, så kan den være nok så sikker idag, imorgen og om et år, men hvad så om et år og 1 dag, der er hele skidtet måske hacket og fordi alle æggene ligger i en kurv så er det hele nu ude.

Når først deres system er hacket, så ligger ALLE digitale signaturer til "fri afbenyttelse" så selvom login proceduren for at få adgang til denne normalt er beskyttet af 2 faktor authentication, så hjælper det dem jo ikke.

Den eneste logiske mulighed man har for at forsvare sig mod det, er at undlade at aktivere og bruge NemID.

8
31. marts 2017 kl. 09:40

Nets ender nok med at blive det nye "nokia". De var også så forblændede af deres egen succes at de havde en holdning, noget i retning af "Vi behøver ikke lytte til brugerne, VI ved bedre hvad de vil have og "If we build it, they will come" ".</p>
<p>Desværre for Nokia (Og sikkert også Nets) så endte det med at de BLEV overhalet indenom, noget så lesterligt og alle ved jo hvordan det gik Nokia.

Men.. Det er os der er malkekøer indtil nets ikke er mere.

Og jeg tror ikke på vore visionsløse politikere vil lade det ske.

De vil skrige "NetsPakke 1.0", "NetsPakke 2.0", "NetsPakke 2.1" osv. Lige indtil de (med)ansvarlige dummernikker har fundet sig et "vennetjenestejob" udenfor borgen.

K

7
31. marts 2017 kl. 09:35

Om 95% af befolkningen så hellere vil at Nets har deres digitale identitet i deres "hule hånd", så ændrer det ikke på 2 ting.</p>
<ol><li>
<p>Jeg stoler ikke på dem.</p>
</li>
<li>
<p>De 95% reagerer som de gør, fordi de ikke har nogen ide om, hvad der kan ske når systemet bliver hacked.

ad. 1: Det er Nets (og DIGST) selv ude om, når de ikke fortæller noget om, hvad de rent faktisk måtte have gjort af fornuftige tiltag. Som nogen nævnte i anden sammenhæng, så er det pt. en tillidssag, om de har brugt ROT13 eller ej. Så det forstår jeg faktisk godt. Og så vidt jeg lige kan gennemskue, så kan de ikke slippe afsted med det under eIDAS, fordi der skal de svjv. certificeres.

ad. 2: Det har du heller ikke :-). Se evt. ad. 1.

6
31. marts 2017 kl. 09:06

Nets troede de sad på den grønne gren, men de bliver overhalet af verdenen omkring dem.

Det tror da faen når de ikke er tvunget til at levere et godt og brugbart produkt og at de ikke engang af sig selv forsøger.

Nets ender nok med at blive det nye "nokia". De var også så forblændede af deres egen succes at de havde en holdning, noget i retning af "Vi behøver ikke lytte til brugerne, VI ved bedre hvad de vil have og "If we build it, they will come" ".

Desværre for Nokia (Og sikkert også Nets) så endte det med at de BLEV overhalet indenom, noget så lesterligt og alle ved jo hvordan det gik Nokia.

Personligt vil jeg IKKE begræde hvis vi en dag kommer til at Nets går bankerot og forsvinder.

Der vil være stor konkurrence fra bankerne, apple, android og en hel masse andre aktører som, for at komme ind på markedet, vil være MEGET lydhøre overfor hvad det er forbrugerne ønsker. (Mobilepay er et godt eksempel på et projekt der er kørt med ekstrem fokus på hvad kunderne vil have).

5
31. marts 2017 kl. 09:02

Hvor meget innovation har vi brug for?

Spørgsmålet er vel.

Hvor meget innovation kunne vi have fået, hvis der var 2 udbydere som skulle "slå's" om kunderne.

Der findes kun 2 ting når det gælder den slags.

  1. Udvikling.

  2. Afvikling.

Om få år vil "alle" mine kort (Kørekort, sygesikringskort, kreditkort, adgangskort m.v.) ligge som en app på min telefon eller være integreret på eet "borgerkort".

Siger du så at når man har den udvikling så er det gammeldags papkort godt nok ?

For mig er det vigtige egentligt heller ikke hvilken implementering man vælger, det vigtigste for mig er at jeg har een løsning som virker til "alt NemID" og som er en løsning hvor jeg selv har kontrol over dele af min digitale signatur.

Om det så betyder at jeg skal have en eller anden dongle som fylder mere end papkortet og nøgleviseren er jeg sådan set lidt ligeglad med, jeg må bare indrømme at jeg stoler OVERHOVEDET ikke på at et amerikansk ejet firma, med serverne placeret i Norge, er i stand til at varetage mine interesser og beskytte min digitale identitet, ligeså godt som jeg selv kan.

Om 95% af befolkningen så hellere vil at Nets har deres digitale identitet i deres "hule hånd", så ændrer det ikke på 2 ting.

  1. Jeg stoler ikke på dem.

  2. De 95% reagerer som de gør, fordi de ikke har nogen ide om, hvad der kan ske når systemet bliver hacked.

4
31. marts 2017 kl. 08:42

Det er ikke NemID der har brug for Innovation. Det er Nets der skal drive forretningen videre. De mangler nye indtægter og forretningsområder. Deres aktier er styrtdykket med historisk hastighed og der skal ske noget før de kommer op igen. Nets troede de sad på den grønne gren, men de bliver overhalet af verdenen omkring dem.

3
31. marts 2017 kl. 08:26

Hvor meget innovation har vi brug for?

Vi har brug for et bruger venligt ID system. NemID behøver ikke løser ikke alle problemer. Så meget som jeg gerne så U2F, totp, smartcards og GPG som muligheder, så ville jeg stille mig tilfreds hvis systemet havde en plain HTML side hvor man kunne logge ind (et domæne, CSP/HSTS headers, etc, best practices).

Et hurtigt tjek viser at borger.dk logger in via. nemlog-in.dk der hverken har HSTS eller CSP headers, også anvender man selvfølgelig et andet domæne hvis man logger på netbank, nemid.nu, etc.. suk

Papkortet er ret idiot sikkert, næste gang skal vi bare lige have et foto-forbudt skilt tegnet på omslaget :) Og en forklaring der siger du kun må bruge koderne på domænet https://<...>.dk (og at du altid vil blive sent til det domæne når du skal logge ind).

2
31. marts 2017 kl. 07:41

at det ikke gav mening med et planlagt udbud i forhold til driften af det nuværende NemID ikke var realistisk.

Mon ikke det gik lidt for hurtigt med den overskrift?

1
31. marts 2017 kl. 07:12

"Altså hvad vil det koste at drive løsningen videre i en overgangsordning, indtil der foreligger en ny kontrakt omkring MitID med en leverandør."

Hvis jeg var bookmaker og skulle sætte oddsene for for hvem den "nye" leverandør bliver så ville de nok være sat sådan ca. sådan her.

Nets, Odds 1,01 Enhver anden aktør, Odds 100

Det ender utvivlsomt med at Nets vinder kontrakten på "MitID" og at det vil blive drevet videre, nærmest som det vi har idag.

Brugervenlighed og mulighed for, selv at være herre over dele af sin "digitale signatur" vil også i det nye setup, være ekstremt begrænset og der vil være 0 konkurrence til at drive innovationen.

"One size, fits some, fuck the rest", burde være mottoet for NemID/MitID