Version2 har gennem en længere tid prøvet at få finansminister Bjarne Corydon (S) til at svare på en række spørgsmål omkring sikkerheden i NemID. Efter gentagne gange forgæves at få svar fra ministeren, lagde vi derfor spørgsmålene ud til læserne. Det reagerede Michael Aastrup Jensen, Venstres it-ordfører, på, og derefter stillede han syv af de elleve spørgsmål som såkaldte paragraf 20-spørgsmål til ministeren. Den slags kan ministeren nemlig ikke undslå sig at svare på.
Svarene på de spørgsmål er nu kommet. Sådan da. I samtlige spørgsmål henvises der nemlig til et svar på et andet paragraf 20-spørgsmål, stillet af Dansk Folkepartis it-ordfører Dennis Flydtkjær. Dette svar hører til i den absolut lange ende af paragraf 20-svar og må siges at besvare Dennis Flydtkjærs spørgsmål særdeles grundigt, mens det straks er mere usikkert, om det også besvarer de spørgsmål til ministeren, som Michael Aastrup Jensen har stillet efter at have læst dem på Version2.
Nedenfor bringer vi finansminister Bjarne Corydons svar til Michael Aastrup Jensen. Samtidig bringer vi relevante passager fra den lange besvarelse til Dennis Flydtkjær. Endelig bringer vi en vurdering af, om ministeren i sin lange besvarelse også besvarer nogle af de spørgsmål, som Venstres it-ordfører stillede.
Version2's samlede vurdering er, at finansministeren ikke besvarer halvdelen af de spørgsmål, Michael Aastrup Jensen stillede.
Spørgsmål 584: Besvaret
Hvad er ministerens holdning til, at man-in-the-middle-angreb imod NemID tilsyneladende meget nemt kan udføres, som det fremgår af artikler i Ingeniøren den 4. november 2011, og hvad agter ministeren at gøre for at rette op på dette sikkerhedsproblem i NemID, så befolkningen kan have tillid til, at deres digitale oplysninger forbliver fortrolige?
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet::
»Den type svindel på nettet, som fremgår af Ingeniørens artikel, er velkendt i teorien, og selv om det i eksemplet ser let ud at gennemføre svindelnummeret, er det i det virkelige liv meget vanskeligt at udføre på en troværdig måde.«
Dermed besvarer finansministeren altså spørgsmålet, og afviser, at det skulle være ”meget nemt”, som Dennis Flydtkjær ellers spurgte til.
Spørgsmål 616: Besvaret
Hvordan vil ministeren forhindre, at borgernes tillid til NemID og offentlige,
digitale selvbetjeningsløsninger forsvinder, efter at tidskriftet Ingeniøren den 3.
november 2011 dokumenterede, hvordan it-kriminelle kan misbruge borgernes
NemID ved hjælp af den såkaldte man-in-the middle fremgangs-måde?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet
af Dennis Flydtkjær (DF).«
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet, at borgerne fortsat kan have tillid til NemID, ligesom han også selv har det.
Spørgsmål 731: Ikke besvaret
Finder ministeren det rimeligt, at det med relativt enkle midler kan lykkedes it-kriminelle at franarre borgerne deres NemID?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF)«
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:
*Det skal indledningsvis bemærkes, at sikkerheden i NemID ikke er kompromitteret, og der er således ikke tale om, at NemID er blevet hacket. Den type svindel på nettet, som fremgår af Ingeniørens artikel, er velkendt i teorien, og selv om det i eksemplet ser let ud at gennemføre svindelnummeret, er det i det virkelige liv meget vanskeligt at udføre på en troværdig måde*
Spørgsmål 732: Delvist besvaret
Er ministeren overbevist om, at sikkerheden i NemID er tilstrækkelig?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:
*Den aktuelle trussel mod NemID, som Ingeniøren har beskrevet, tager Digitaliseringsstyrelsen, bankerne og Nets DanID naturligvis seriøst. Den er som sagt velkendt i teorien og indgår allerede i beredskabet, men Digitaliseringsstyrelsen, bankerne og Nets DanID vurderer fortsat, at risikoen for svindel på nuværende tidspunkt er minimal. Brugerne kan derfor fortsat havetillid til NemID*
Spørgsmål 733: Besvaret
Hvilke initiativer ønsker ministeren at sætte i gang for at udbedre de sikkerhedsbrister, der har vist sig at være i sikkerheden på NemID?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF)«
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:
*På baggrund af Digitaliseringsstyrelsens oplysninger finder jeg ikke behov for at foretage mig yderligere i sagen på nuværende tidspunkt.*
Spørgsmål 734: Besvaret
Er ministeren selv tryg ved fortsat at benytte NemID, efter historierne om sikkerhedsbrister i systemet er kommet frem?
»Idet jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF), kan jeg tilføje, at jeg selv fortsat er tryg ved at bruge NemID.«
Spørgsmål 735: Besvaret
Finder ministeren det hensigtsmæssigt, at en sikkerhedsbrist i NemID kan betyde en stjålet identitet, tømt bankkonto, adgang til dybt personlige oplysninger m.v.?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«
I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:
*Indførelsen af NemID med to-faktorsikkerhed har i forhold til netbankernes tidligere sikkerhedsløsninger og den tidligere digitale signatur generelt gjort det vanskeligere for de it-kriminelle, som går efter en hurtig økonomiskgevinst på nettet. Det skal i den sammenhæng bemærkes, at uanset hvilken sikkerhedsløsning, man havde valgt at basere NemID på, vil den altid være forbundet med risici og sårbarheder. NemID er valgt ud fra en nøje afbalanceret afvejning mellem et tilstrækkeligt højt sikkerhedsniveau, mobilitet og behovet for en stor udbredelse, anvendelse og forståelse af løsningen i den brede befolkning.*
*Det er i den forbindelse vigtigt at understrege, at sikkerhed ikke er en absolut størrelse. Trusselsbilledet ændrer sig konstant, og det er ikke praktisk muligt at etablere it-systemer, derover tid er 100 % sikre. Man bliver derfor nødt til at acceptere, at der – ligesom i alle andre typer af løsninger – er en risiko ved at anvende digitale løsninger. Risikoen for misbrug og svindel i den papirbaserede verden er langt større, men den har man lært at håndtere. Identitetstyveri eller økonomiske tab, der relaterer sig hertil er alvorlige lovovertrædelser, såvel i den digitale som den analoge verden. Sådanne lovovertrædelser er reguleret af dansk rets almindelige regler, herunder straffeloven og betalingstjenesteloven.*
Spørgsmål 736: Ikke besvaret
Mener ministeren, at DanID har løftet opgaven med NemID tilfredsstillende?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«
Ministeren kommenterer ikke på, om DanID har løftet opgaven med NemID tilfredsstillende, omend han nævner sikkerheden i NemID gentagne gange.
Spørgsmål 737: Ikke besvaret
Mener ministeren, at der findes nogle alternativer til NemID, efter afsløringerne om sikkerhedsbrister i systemet er kommet frem?
»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«
Ministeren kommenterer ikke på, om der findes nogle alternativer til NemID.
Det fulde svar
Du kan læse det fulde svar i nedenstående dokument.
<div class="consent-placeholder"
data-category="cookie_cat_functional"
onClick="CookieConsent.renew()">Dette indhold kan kun vises hvis funktionelle cookies er accepteret.
<br /><span>Klik for at opdatere samtykke</span>
</div>