Efter årelang svindel: Nemkonto-systemets sikkerhed skal testes

Svindlere har af flere omgange udnyttet sikkerhedshullerne til at stjæle borgeres NemID-oplysninger og -kort. Illustration: Mads Allingstrup, Nets
Finansministeren har besluttet, at Nemkonto-systemet skal testet, efter en redegørelse fra Digitaliseringsstyrelsen viser, at sikkerheden gennem flere år har været for dårlig.

Sikkerheden i NemKonto-systemet skal testes, har finansminister Nicolai Wammen slået fast, efter Digitaliseringsstyrelsen har afleveret en redegørelse om styrelsens håndtering af svindel med Nemkonto og Nemid.

Det skriver DR.

Systemet skal igennem to forskellige tests, hvor den ene udføres af Digitaliseringsstyrelsen selv, og den anden laves af eksterne eksperter. Ifølge Finansministeren er der behov for, at myndighederne passer bedre på borgerne.

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

Det er selvom styrelsen i sin redegørelse vurderer, at sikkerheden i systemet er »meget høj«, og man løbende har forholdt sig til advarsler om svindel. Men Frederik Waage, professor i forvaltningsret ved Syddansk Universitet, er uenig i, at sikkerheden er i orden. Han har læst redegørelsen:

»De initiativer, der tages, indikerer ret klart, at sikkerheden ikke har været god nok indtil videre. Der slår man simpelthen fast, at der er ting, der skal gøres bedre,« siger han til DR.

Læs også: Minister afviser indsats mod Keylogger-svindel: Den ligger hos kommunerne selv

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Knud Larsen

Version2 indlæg har for længst sat alvorligt spørgsmål ved Nemkonto sytemet og praksis viser da også at bankerne er alt for lemfældige med udstedelse af oplysninger til svindlere. Det er helt utroligt at fremmede kan få lån på bais af svindel og fup, og selvfølgelig skla pengeinstituttet være ansvarlig for den ulovlige udstedelse af lån og udbetalinger ikke som nu hvor indehvarne både får tilskrevet uhyrlige renter og er ude af rådighed over egne midler i årevis. Det er blevet sådan at en Nemkonto skal være en særlig konto, der ikke bruges driftmæssigt af hensyn til risikoen for svindel og fup. Og selv det er ikke nok. En syltekrukke i digitalstyrelsen vil dog næppe ændre noget - som helst hele holdningen er forkert.

  • 5
  • 1
#2 Kjeld Flarup Christensen

Hvorfor har man givet nemid monopol på vores data og sikkerhed?

Hvorfor kan vi ikke vælge mellem flere løsninger, så skal leverandørerne nok oppe sig, for ikke at få ry for at have dårlig sikkerhed, og derfor lytte til kritikken fra ekspert brugerne.

Vi mangler mulighed for at kunne vælge de dårligste fra!

  • 4
  • 1
#3 Gert Madsen

Hvorfor har man givet nemid monopol på vores data og sikkerhed?

Jeg tror at det er et retorisk spørgsmål, men alligevel:

Fordi man har prioriteret bekvemmelighed og udbredelse over sikkerhed.

Hvilket selvfølgelig hænger sammen med, at man på alle måder har gjort myndighederne ansvarsfri i forhold til de digitale løsninger.

Derfor har vi Nemid, og ikke digital signatur - og derfor er der ikke flere leverandører.

  • 8
  • 0
#4 Henrik Madsen

Derfor har vi Nemid, og ikke digital signatur - og derfor er der ikke flere leverandører.

Spørger du politikerne så mener de jo at NemID ER en digital signatur løsning.

I virkeligheden er det jo, som de fleste med lidt teknisk indsigt en Single SignOn løsning, som på ingen måde yder nogen mulighed for brugeren at beskytte sig effektivt mod at ens digitale identitet bliver snuppet.

Hvis jeg lejede en boks i den lokale bank af typen med 2 låse, så ville jeg næppe overlade "MIN" nøgle til min bankrådgiver og så bare aftale at han nok skulle sørge for at ingen rodede i min boks, med mindre han fik mit password.

  • 5
  • 0
#6 Louise Klint

Det er rigtig godt og tiltrængt, at der nu skrides til handling. (Nu må vi vente at se, hvad det ender med af sikkerhedsløsninger i sidste ende). Men dette sker udelukkende pga. af pressen. Fordi primært DR vedholdende har fremdraget den ene sag efter den anden om ganske almindelige danskere, som uanet er blevet svindlet og har fået røvet deres bankkonto via NemID og NemKonto. Samt Digitaliseringsstyrelsens årelange laissez-faire.

Jeg synes dog, at de (foreløbige?) 2 sikkerhedstiltag er lidt pauvre:

1) En døgnåben hotline (vil blive oprettet).

Således har du et sted at ringe hen, når skaden er sket. Det er da altid noget.

Måske efter samme devise, som når Hækkerup siger, at de såkaldte tryghedskameraer er et godt værn imod vold og overfald. Fordi så kan kriminaliteten efterforskes. Således kan du fremover trygt lade dig overfalde med visheden om, at det kan efterforskes efterfølgende. Regeringens særlige logik. https://politiken.dk/debat/debatindlaeg/art8145087/Vi-kommer-ikke-udenom... https://www.dr.dk/nyheder/indland/regeringen-ser-flere-overvaagningskame...

2) Vil du fremover ændre din NemKonto, får du tilsendt et fysisk brev med en aktiveringskode.

https://www.dr.dk/nyheder/indland/efter-dr-afsloeringer-om-svindel-nemko...

Fremover går der således 5 dage (eller mere), før din NemKonto igen er anvendelig, hvis du skulle finde på at ændre den.

https://www.nemkonto.dk/da/Borger/AEndret-proces-for-selvbetjening

Via dette tiltag ^^ signalerer Digitaliseringsstyrelsen også, at vil man have sikkerhed, så bliver det bøvlet.

Måske er det bare mig, men jeg synes, det minder om en hån eller ligegyldighed. Kunne der mon ikke findes en mere enkel og smidig løsning? Hvad siger IT-eksperterne?

  • 2
  • 0
#7 René Nielsen

Problemerne med nemid udstiller på fin vis, den politiske uvidenhed omkring digitalisering.

For politikerne har aldrig interesseret sig for borgernes sikkerhed. Det har alene drejet sig om ”spare porto” og juridisk læsse myndighedernes ansvar af på borgerene (via ændret lovgivning).

Begreber som brugervenlighed og brugersikkerhed er helt bevist nedprioriteret.

Det er først efterfølgende at man fra politisk hold tænder for fjernsynet og opdager at identitetstyveri kombineret med svag sikkerhed – måske fra starten burde havde været tænkt ind i løsningen.

Men ansvar for noget politisk bestilt makværk (altså NemID) – det får du ikke en eneste politiker til indrømme. De vil pege på andre end sig selv og helst på embedsværket.

I Storbritannien har man fem parallelle udbydere til at validerer identiteten, så hvis en service er nede, så vælger man blot konkurrenten som mikroafregnes pr. login. Det kunne Danmark godt lærer noget af.

Men rigtig digitalsignatur kommer først når borgerne opbevarer egen krypteringsnøgle og helst på dedikeret hardware.

Det er så dansk, det med at sige, at ingen andre kan levere en løsning – så vi laver det hele fra bunden, i stedet for at tage en standard løsning som f.eks. Zoho . Glem al det med Zoho også tilbyder integreret CRM og fokuser på mail-delen med dokumenthåndteringen.

Men så ville man ikke kunne ændre i gamle skrivelser på e-boks. Jeg ved godt at de siger, at det er for at gøre det nemmere for borgerne når Middelfart Sygehus bliver til Sygehus Lillebælt i 5 år gamle breve.

Personligt tror jeg at en normal begavet borger godt kan finde ud af at håndter et navneskifte, men jeg ikke har ikke tillid til et system hvor en part altid kan ændre indholdet.

Og sjov nok vil myndigheder som Skat heller ikke finde sig i at jeg frit kan ændre i f.eks. fakturaen og justerer beløb, dato og lignende.

Man er nødt til at lave en ordentlig løsning og lur mig om ikke næste version af nemid/e-boks får problemer med konvertering af indhold fra gammel til ny løsning.

  • 7
  • 0
#9 Christian Nobel

Måske er det bare mig, men jeg synes, det minder om en hån eller ligegyldighed. Kunne der mon ikke findes en mere enkel og smidig løsning? Hvad siger IT-eksperterne?

Ligger det ikke lidt til højrebenet, gør det ved fysisk fremmøde i banken.

Det fordrer så at man bevæger sig til banken, hvilket godt nok besværliggøres af at bankerne har en mere og mere fjendsk holdning til deres "kunder", da service efterhånden er blevet erstattet med kafkask selvbetjening, men alligevel - der er stadig nogen banker som faktisk er betjente, så det ville jo være ret oplagt at fysisk fremmøde i ens bank, med behørig dokumentation kunne være en løsning.

Men så kommer vi så frem til at behørig dokumentation jo også er et problem her i landet, for vi vil åh-så-gerne lave "digitale signaturer" (som ikke er det!), og tåbelige apps til kørekort, sygesikringsbevis og hvad har vi, men noget så nærliggende som et rigtigt ID kort, det kan vi ikke en gang finde ud af.

Man har en mærkelig anskuelse af at være "førende" i HC Andersens lille land.

  • 4
  • 0
#11 Louise Klint

Ligger det ikke lidt til højrebenet, gør det ved fysisk fremmøde i banken.

Jo. Den simpleste løsning af alle :)

Uden at involvere IT-udviklere, som skal ændre i systemet, hvilket hidtil har været myndigheders undskyldning for manglende handling. Det er så enkelt, at man slet ikke kan regne det ud.

  • 3
  • 0
#12 Louise Klint

Personligt tror jeg at en normal begavet borger godt kan finde ud af at håndter et navneskifte, men jeg ikke har ikke tillid til et system hvor en part altid kan ændre indholdet.

Nej, jeg er enig. Det burde ikke være en option.

Og det er ærgerligt, at de ikke selv kan se problemet. Som hvis Kommunen kom og stak hele armen ned i din postkasse, eller ringede på og krævede adgang til dine dokumenter. Der burde ringe nogle alarmklokker.

Jeg er ved at tømme min e-boks, og for hvert dokument advares jeg om, om jeg virkelig vil gemme lokalt/andetsteds, frem for i den sikre løsning.

  • 4
  • 0
#14 Louise Klint

Vores IT-ven, Frelle, har tilsyneladende forladt os (faget).

Digitaliseringsstyrelsens tidligere direktør, Lars Frelle-Petersen, som var ansvarlig chef, dengang ovennævnte ^^ problemer begyndte at melde sig, og som siden gik til Dansk Industri. https://www.version2.dk/artikel/skarp-kritik-digitaliseringsstyrelsen-bl...

Han er nu allerede tilbage i Centraladministrationen. Nu som departementschef i Klima- og Energiministeriet.

https://kefm.dk/Media/3/D/Lars%20Frelle-Petersen%20CV%20-%20dansk.pdf https://kefm.dk/ministeriet/organisering https://kefm.dk/aktuelt/nyheder/2020/nov/ny-departementschef-i-klima-ene...-

  • 0
  • 0
#15 Christian Nobel

Hvorfor har man givet nemid monopol på vores data og sikkerhed?

Vi mangler mulighed for at kunne vælge de dårligste fra!

Og for at føje spot til skade, så har man besluttet at man nu ikke kan lave kortbetalinger på nettet uden det såkaldte NemID (på den måde kan man knække nakken på den sidste modstand!).

Selvsamme NemID som nu er 100% underlagt udenlandske interesser.

Som Thomas Nielsen sagde: Vi har sejret ad helvede til.

  • 4
  • 0
Log ind eller Opret konto for at kommentere