Finansministeren: Jeg er tryg ved at bruge NemID

NemID er sikkert, og borgerne kan fortsat have tillid til NemID. Det fremgår af finansminister Bjarne Corydons svar på en lang række spørgsmål om sikkerheden i NemID.

Version2 har gennem en længere tid prøvet at få finansminister Bjarne Corydon (S) til at svare på en række spørgsmål omkring sikkerheden i NemID. Efter gentagne gange forgæves at få svar fra ministeren, lagde vi derfor spørgsmålene ud til læserne. Det reagerede Michael Aastrup Jensen, Venstres it-ordfører, på, og derefter stillede han syv af de elleve spørgsmål som såkaldte paragraf 20-spørgsmål til ministeren. Den slags kan ministeren nemlig ikke undslå sig at svare på.

Svarene på de spørgsmål er nu kommet. Sådan da. I samtlige spørgsmål henvises der nemlig til et svar på et andet paragraf 20-spørgsmål, stillet af Dansk Folkepartis it-ordfører Dennis Flydtkjær. Dette svar hører til i den absolut lange ende af paragraf 20-svar og må siges at besvare Dennis Flydtkjærs spørgsmål særdeles grundigt, mens det straks er mere usikkert, om det også besvarer de spørgsmål til ministeren, som Michael Aastrup Jensen har stillet efter at have læst dem på Version2.

Nedenfor bringer vi finansminister Bjarne Corydons svar til Michael Aastrup Jensen. Samtidig bringer vi relevante passager fra den lange besvarelse til Dennis Flydtkjær. Endelig bringer vi en vurdering af, om ministeren i sin lange besvarelse også besvarer nogle af de spørgsmål, som Venstres it-ordfører stillede.

Version2's samlede vurdering er, at finansministeren ikke besvarer halvdelen af de spørgsmål, Michael Aastrup Jensen stillede.

Spørgsmål 584: Besvaret

Hvad er ministerens holdning til, at man-in-the-middle-angreb imod NemID tilsyneladende meget nemt kan udføres, som det fremgår af artikler i Ingeniøren den 4. november 2011, og hvad agter ministeren at gøre for at rette op på dette sikkerhedsproblem i NemID, så befolkningen kan have tillid til, at deres digitale oplysninger forbliver fortrolige?

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet::

»Den type svindel på nettet, som fremgår af Ingeniørens artikel, er velkendt i teorien, og selv om det i eksemplet ser let ud at gennemføre svindelnummeret, er det i det virkelige liv meget vanskeligt at udføre på en troværdig måde.«

Dermed besvarer finansministeren altså spørgsmålet, og afviser, at det skulle være ”meget nemt”, som Dennis Flydtkjær ellers spurgte til.

Spørgsmål 616: Besvaret

Hvordan vil ministeren forhindre, at borgernes tillid til NemID og offentlige,
digitale selvbetjeningsløsninger forsvinder, efter at tidskriftet Ingeniøren den 3.
november 2011 dokumenterede, hvordan it-kriminelle kan misbruge borgernes
NemID ved hjælp af den såkaldte man-in-the middle fremgangs-måde?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet
af Dennis Flydtkjær (DF).«

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet, at borgerne fortsat kan have tillid til NemID, ligesom han også selv har det.

Spørgsmål 731: Ikke besvaret

Finder ministeren det rimeligt, at det med relativt enkle midler kan lykkedes it-kriminelle at franarre borgerne deres NemID?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF)«

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:

*Det skal indledningsvis bemærkes, at sikkerheden i NemID ikke er kompromitteret, og der er således ikke tale om, at NemID er blevet hacket. Den type svindel på nettet, som fremgår af Ingeniørens artikel, er velkendt i teorien, og selv om det i eksemplet ser let ud at gennemføre svindelnummeret, er det i det virkelige liv meget vanskeligt at udføre på en troværdig måde*

Spørgsmål 732: Delvist besvaret

Er ministeren overbevist om, at sikkerheden i NemID er tilstrækkelig?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:

*Den aktuelle trussel mod NemID, som Ingeniøren har beskrevet, tager Digitaliseringsstyrelsen, bankerne og Nets DanID naturligvis seriøst. Den er som sagt velkendt i teorien og indgår allerede i beredskabet, men Digitaliseringsstyrelsen, bankerne og Nets DanID vurderer fortsat, at risikoen for svindel på nuværende tidspunkt er minimal. Brugerne kan derfor fortsat havetillid til NemID*

Spørgsmål 733: Besvaret

Hvilke initiativer ønsker ministeren at sætte i gang for at udbedre de sikkerhedsbrister, der har vist sig at være i sikkerheden på NemID?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF)«

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:

*På baggrund af Digitaliseringsstyrelsens oplysninger finder jeg ikke behov for at foretage mig yderligere i sagen på nuværende tidspunkt.*

Spørgsmål 734: Besvaret

Er ministeren selv tryg ved fortsat at benytte NemID, efter historierne om sikkerhedsbrister i systemet er kommet frem?

»Idet jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF), kan jeg tilføje, at jeg selv fortsat er tryg ved at bruge NemID.«

Spørgsmål 735: Besvaret

Finder ministeren det hensigtsmæssigt, at en sikkerhedsbrist i NemID kan betyde en stjålet identitet, tømt bankkonto, adgang til dybt personlige oplysninger m.v.?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«

I besvarelsen fra Bjarne Corydon til Dennis Flydtkjær står der blandt andet:

*Indførelsen af NemID med to-faktorsikkerhed har i forhold til netbankernes tidligere sikkerhedsløsninger og den tidligere digitale signatur generelt gjort det vanskeligere for de it-kriminelle, som går efter en hurtig økonomiskgevinst på nettet. Det skal i den sammenhæng bemærkes, at uanset hvilken sikkerhedsløsning, man havde valgt at basere NemID på, vil den altid være forbundet med risici og sårbarheder. NemID er valgt ud fra en nøje afbalanceret afvejning mellem et tilstrækkeligt højt sikkerhedsniveau, mobilitet og behovet for en stor udbredelse, anvendelse og forståelse af løsningen i den brede befolkning.*
*Det er i den forbindelse vigtigt at understrege, at sikkerhed ikke er en absolut størrelse. Trusselsbilledet ændrer sig konstant, og det er ikke praktisk muligt at etablere it-systemer, derover tid er 100 % sikre. Man bliver derfor nødt til at acceptere, at der – ligesom i alle andre typer af løsninger – er en risiko ved at anvende digitale løsninger. Risikoen for misbrug og svindel i den papirbaserede verden er langt større, men den har man lært at håndtere. Identitetstyveri eller økonomiske tab, der relaterer sig hertil er alvorlige lovovertrædelser, såvel i den digitale som den analoge verden. Sådanne lovovertrædelser er reguleret af dansk rets almindelige regler, herunder straffeloven og betalingstjenesteloven.*

Spørgsmål 736: Ikke besvaret

Mener ministeren, at DanID har løftet opgaven med NemID tilfredsstillende?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«

Ministeren kommenterer ikke på, om DanID har løftet opgaven med NemID tilfredsstillende, omend han nævner sikkerheden i NemID gentagne gange.

Spørgsmål 737: Ikke besvaret

Mener ministeren, at der findes nogle alternativer til NemID, efter afsløringerne om sikkerhedsbrister i systemet er kommet frem?

»Jeg tillader mig at henvise til mit svar på spørgsmål nr. S 584 af 7. november stillet af Dennis Flydtkjær (DF).«

Ministeren kommenterer ikke på, om der findes nogle alternativer til NemID.

Det fulde svar

Du kan læse det fulde svar i nedenstående dokument.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (77)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Dahl

ALLE IT systemer har en eller anden form for sikkerhedsrisiko. Det er sku ikke nogen nyhed. Nemid er åbenbart særligt populær hos journalisterne. Forstår ikke den store kritik af nemid. Det kører problemfrit, og har i forhold til statisikken sparet danskerne mange millioner, ved at gøre arbejdet sværer for hackerne.
Kig på statistikken folkens! Den siger nemid er mere sikker. Basta! Det kan ikke diskuteres. I 2009 blev der stjålet næsten 7 mio fra danske netbanker! Det var FØR nemid. Hvorfor fokusere medierne ikke på hvor godt et første år nemid har haft mht sikkerhed? Ingen netbanker er blevet hacket! En håndfuld kunder har dog frivilligt givet sine personlige oplysninger fra sig... Alt sikkedhed kan ødelægges af naive brugere.

Synes den her hetzt mod nemid minder om EB journalistik... Man tilsidesætter alle de positive aspekter ved et givent emne, og fokusere istedet på en og eller anden lille nærmest ubetydelig fejl, som så bliver blæst op til verdens største ulykke.
Trist at journalisterne på V2 lader sig inspirere af EB... Indtil "sagen" mod nemid var jeg ellers overbevist om altid at kunne forvente kvalitets artikler her på V2. Det har jeg ikke længere nogen forventning om.

  • 7
  • 30
Thue Kristensen

Selv jeg kunne falde for et angreb som det på gentofte-bibliotek.dk som Version2 demonstrerede. Og jeg er mere sikkerhedsbevidst end 99% af danskerne.

Argumentet for den nuværende NemID er, at tilsyneladende er det ok, at NemID ikke er så sikker som NemID kunne være. Det er jo fint for en bank-løsning, hvor bankerne står for både ansvaret for sikkerheden og det økonomiske tab hvis det går galt, og derfor kan lave en økonomisk afvejning fordi det hele drejer sig om penge. Men den synes jeg altså ikke holder, når det er mine personlige oplysninger og min bindende, forhåbentligt uforfalskelige, digitale underskrift det gælder.

Jeg synes også er der er væsentlig forskel på om der er et "sikkerhedsproblem" fordi brugerne er dumme og ikke følger de sikkerhedsregler de har fået udstukket, eller fordi der simpelthen ikke er nogen måde for selv kompetente brugere at sikre sig på. Ingen kan jo sikre sig 100% mod dumme brugere, men selv kompetente brugere kan ikke bruge NemID sikkert.

Og husk at det ville være relativt simpelt at redesigne NemID, så Version2's angreb ikke virkede. Bare lav den regel, at når der skal skrives under så sendes brugeren til https://nemid.nu , og fortæl brugeren om dette, for eksempel ved at skrive "Må kun indtastes på https://nemid.nu" på toppen af papkortet. Denne sikkerheds-regel skrev jeg om i en klage til Datatilsynet for et år siden, og samme regel bliver også anbefalet i Version2's oprindelige artikel i sektionen "Eksperter: Sårbarhed kan mindskes". Det er simpelthen standard grundlæggende sikkerhed for websider for begyndere, og fuldstændigt uforståeligt at NemID ikke bruger denne metode.

Jeg har ikke set noget tegn på at Bjarne Corydon forstår denne mulighed. Faktisk har jeg ikke i Bjarne Corydon's svar set nogen tegn på at han overhovedet forstår problemstillingen - alle hans svar er floskler så som " det er ikke praktisk muligt at etablere it-systemer, derover tid er 100 % sikre". Det er jo ikke en god grund til ikke at låse hoveddøren!

  • 21
  • 2
Christian Dahl

Jeg er til dels enig med det du siger. Vil dog mere sige at det er det lille kældervindue som står på klem :) I forhold til de gamle løsninger så er de tidligere åbne vinduer og døre blevet lukket. Dog er der stadig problemet med kældervinduet. Som der hele tiden har været. Til gengæld er det nu den eneste mulighed for at komme ind i huset...
Håber min metafor giver mening :)

  • 4
  • 18
Thue Kristensen

Det problem som Version2 har demonstreret var ikke i det gamle system - for eksempel var det ikke muligt at tømme min netbank ved at hugge mit login på gentofte-bibliotek.dk .

Jeg er enig i at de gamle system også havde problemer, især for usofistikerede brugere. Min klage er jo også primært at man let kunne gøre det nuværende system sikkert ved at følge sikkerhedseksperternes (og min) anbefaling.

Det er selvfølgelig også problemet med at DanID har adgang til din private nøgle, din "uforfalskelige" underskrift. Det er fint hvis det var et frit valg fra brugerens side, men er problematisk da brugeren ikke har fået muligheden for at opbevare nøglen selv.

  • 18
  • 0
Christian Dahl

Haha... Kan med hånden på hjertet sige at jeg IKKE arbejder ved danid. Kender heller ikke nogen ved danid og har aldrig snakket med dem. Jeg vil blot helst selv danne mine meninger istedet for at lade mig forføre af en flok journalister.
Jeg koncentrere mig udelukkende om hvad der er fakta:
Er nemid blevet hacket? Nej!
Har nemid en høj oppetid? Ja!
Er nemid nem at bruge? Det er en smagssag, men synes ikke selv det er vildt svært at indtaste 4 tal på en skærm...
Er der blevet stjålet færre penge i det første år efter nemid, end der gjorde året før nemid? Ja!
Har nemid gjort det mere besværligt for hackere og andre it-kriminelle? Ja!

Konklusion: Jeg har sku ikke noget at bitche over.

Som nemid også siger det: Sikkerhed er en løbende proces hvor trusselbilledet hele tiden skal vurderes. Den nuværende vurdering de har lavet virker til at have været tilstrækkelig. Statistikken over netbankangreb lyver jo ikke. I forhold til andre gamle løsninger så er nemid en succes.

  • 7
  • 16
Lars Hansen

Jeg forstår fint problematikken Version2 demonstrerer, og er ikke helt uduelig indenfor emnet IT sikkerhed, uden decideret at ville kalde mig en ekspert heller.

For mig er det tydeligt, at det offentlige har valgt en løsning de selv har sat kravene til. Den har nogle ulemper, og de er i deres øjne ikke store nok til, at de umiddelbart vil kræve dem løst. Samtidigt virker det også som om, at de er klar til, at ændre på løsningen, skulle det vise sig, at der opstod problemer af et vidst omfang. De snakker jo, om beredskabsplaner.

Jeg synes det er godt, at Version2 tager emnet op, men jeg synes også, at det tager overhånd. Det er som om, at så længe Version2 ikke får deres holdning omformet til handling vil emnet blive vendt i en evighed, og det er i mine øjne upassende for et nyheds medie. Det ligner, i mine øjne, at der sidder nogle kloge ingeniører som ikke kan tolerere, at nogen synes, at vende tommelfingeren ned overfor deres faglighed.

Fordi, jeg forstår udmærket godt, at man ikke vil ændre ved en løsning i forhold til en problematik man ikke mener har nok at sige, på nuværende tidspunkt. Hvor mange var blevet fanget af den phishing mail, var det 8? Det var i hvert fald ikke ikke ret mange. Herefter er det gået hak i hak, med det ene angreb efter det andet på flere aspekter af NemID løsningen, men det er jo ikke nyheder, det er snarere hetz. Gentagelse fremmer forståelse, men det er ikke nyheder.

Jeg ved også, hvordan en 80årig ikke IT kyndig person reagerer på et pop up vindue, som det så vidt jeg forstår, ville kræve, hvis den nuværende løsning skulle gøres mere sikker imod det angreb der blev demonstreret. De reagerer ofte ved slet ikke at forstå hvad der sker, og skal tit og ofte allerede bruge alle deres mentale kræfter på at logge ind og gennemføre deres transaktioner (jeg har arbejdet 5 år i TDCs support tidligere i mit liv, og jeg ved godt, hvad Hr og Fru Danmark bikser med). Java er også en hindring, i den sammenhæng (og det er i mine øjne, det værste ved NemID).

Det er på tide, vi får noget mere konstruktivt på bordet. Det kunne være VILDT spændende med en artikel serie, hvor version 2 ´s læsere sammen skitserer et lige så nemt system - men som ikke skal bruge Java, som måske er offentligt ejet og ikke har de bagdele NemID lider under. Så kunne det måske danne kilde til inspiration for politikerne. Selve processen ville også være fascinerende, og mange af os ikke genier kunne helt sikkert lære noget.

Lad mig understrege, at jeg er glad for, at version2 har haft fokus på emnet - men de her follow ups er lige i overkanten for mig. Det ligner noget fra ekstrabladet bare i IT.

Regner dog ikke at slippe for at høre på NemID skandalen.

  • 9
  • 10
Thue Kristensen

Er nemid blevet hacket? Nej!

Når systemet ikke giver brugerne mulighed for at vide om de sender deres password til det rigtige sted, så må det være systemets skyld og ikke brugernes når dette bliver udnyttet. Som det skete mod Nordea. Så ja, NemID er blevet hacket.

Plus at rigtigt mange danskere er blever hacket via kravet om at du skal have java-appletten installeret, som er en af de farligste plugins du kan installere. Det er jo også grundet til at Secunia kaldte NemID's valg af Java håbløs. (husk at Jyske bank havde 2-faktor uden Java!)

  • 15
  • 2
Jesper Lund

Ingen netbanker er blevet hacket! En håndfuld kunder har dog frivilligt givet sine personlige oplysninger fra sig... Alt sikkedhed kan ødelægges af naive brugere.

Det er korrekt at de centrale netbank systemer (servere) til NemID ikke er blevet hacket (i betydningen: uautoriseret indtrængen), men jeg er temmelig sikker på at det også var gældende for de tidligere sikkerhedssystemer med password og nøglefil på disk. De blev heller ikke "hacket", men brugerne "kom til" at afsløre deres password og nøglefil for en angriber.

Men.. vi har fået tudet ørerne fulde om at NemID skulle være meget mere sikker end de tidligere netbank systemer fordi der ikke er en nøglefil som kan kopieres. Det hænger ikke sammen. Man kan mene at NemID sikkerheden er "god nok" nu, i hvert fald til netbank formål (og så længe bankerne hæfter for misbrug, har jeg intet problem med at overlade sikkerheden til dem), men jeg synes at argumentet om at NemID skulle være mere sikker end tidligere løsninger allerede er blevet gennemhullet.

Det hjælper heller ikke noget at afvise kritikken af NemID sikkerheden med at brugerne er dumme eller uforsigtige, som visse personer (ingen nævnt) har gjort. Måske er NemID ikke blevet "hacket", men et led i sikkerhedskæden er blevet kompromitteret, og sikkerhed er aldrig bedre end det svageste led i kæden. Ja, det led er ofte brugerne.

  • 15
  • 0
Per Hansen

Tværtimod kunne man mene, at netbank var mere sikker før med NetID, hvor sikkerheden bl.a. bestod i en nøglefilen, som OGSÅ skulle stjæles/kopieres før man fik adgang til folks netbank.

Angrebet mod Nordea havde ikke kunnet lade sig gøre med løsningen pre-nemid. Selvom den løsning (og Digital Signatur) havde andre problemer.

  • 12
  • 1
Jesper Poulsen

Har du mulighed for at danne dine egne meninger, eller lader du altid journalisterne om at bestemme hvad du bør mene?

Jeg kan se, at du er ret ny her på Version2. 10 dage på sitet gør dig ikke til ekspert på folks meninger og holdninger i denne sag.

Hvis du nu havde været med fra starten, så ville du have vidst, at Version2's dybdeborende journalistik er et resultat af skriverierne her - ikke omvendt.

  • 15
  • 2
Nicolai Klausen

Ministeren opgave er her (desvære) at forsvare de løsninger som ministiret er ansvarlig for. Uanset om det er den nuværende minister der er ansvarlig for problemerne eller ej.

Spørg nogle andre ordføre, helst nogen der ikke er IT-ordføre, om hvad det betyder for deres område, at løsningen lader meget tilbage at ønske.

Hvilket konsekvenser har det for ønsket om at give befolkningen adgang til deres egne data. Hvordan vil sundsektoren fx kompensere for læk af information - Man kunne fx forstille sig en pige fra en stærkt troende familie har fået en abort: Ingen penge kan bringe pigen liv tilbage, når familien har slået pigen ihjel.

Andre områder har ligende udforinger grundet denne mangelfulde løsning.

  • 6
  • 0
Jesper Lund

Endvidere vil jeg henlede din opmærksom på at NetId ikke har høj oppetid, da de ved flere lejligheder ikke kan overholde oppetidsgarantierne der er indgået.

Apropos "ikke overholde" så har DanID voldsomme problemer med at overholde deres egne deadlines omkring levering af de sidste elementer af NemID.

DanID skal efter kontrakten med staten levere en digital signatur løsning hvor borgeren har frit valg mellem om den private nøgle opbevares hos DanID eller om den alene opbevares hos borgeren på et smartcard. Indtil videre har DanID kun leveret den ene halvdel, og løsningen hvor den "private" nøgle virkelig er privat er udskudt på ubestemt tid.

Muligheden for at borgeren kunne vælge smartcard løsningen blev fremhævet af Datatilsynet i deres bemærkninger til OCES II
http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/datat...

Smartcard løsningen er heller ikke sårbar over for MiTM angreb, ligesom OTP løsningen er det.

Gør det virkelig Finansministeren "tryg" at den mest sikre del af NemID er udsat på ubestemt tid?

NemID med OTP er sikkert "god nok" til netbank, fordi banken hæfter for tab, men som digital signatur og single sign-on til "alt" er det simpelthen ikke godt nok.

  • 11
  • 1
Peter Mogensen

Det er jo interessant at Datatilsynet udtaler:

"En afgørende forudsætning for, at det er tilstrækkeligt sikkert at bruge digital OCES II signatur, når f.eks. en myndighed giver borgeren adgang til oplysninger via selvbetjeningsløsninger, er efter Datatilsynets opfattelse, at certifikatindehaveren har enekontrol over sin private nøgle."

(min fremhævelse)

Mao. så er den løsning DanID tilbyder nu ubrugelig til alt andet end SSO til din netbank. - og den løsning vi er blevet lovet, hvor brugeren har ene-kontrol over sin private nøgle er forsinket på (øjensynligt) ubestemt tid, kræver at man bruger DanID's hardware og koster ekstra.

... men så har staten jo ikke fået et anvendeligt signatursystem til borgerne, der er gratis at bruge! Det var vel det vi var blevet stillet i udsigt. Er der nogen politikere, de har taget stilling til det?

  • 11
  • 0
Sune Marcher

NemID ville - næsten - være godt nok, hvis det ene og alene drejede sig om netbank login. Der ved man altid vide hvilke domæne(r) det var sikkert at indtaste sine oplysninger på, og det er ikke det helt store problem at ens ""private"" nøgle ligger hos trediepart. Der er så stadig Java problemet (hvilket delvist er et sikkerhedshuls-problem, og mere skræmmende, lidt for effektiv <tinfoilhat>statslig malware-leverings platform</tinfoilhat>).

Problemet ligger rigtigt meget i at staten og Nets rigtigt gerne vil udbrede NemID i bedste "One ring to rule them all, and in the darkness bind them" stil. Det giver masser af problemer, som er nævnt masser af gange af andre folk.

Og så er det "lettere problematisk" at skulle benytte systemet til andet end single sign-on. Jeg har ikke særligt meget lyst til at benytte en digital signatur til bindende underskrifter, hvis jeg ikke har 100% kontrol over den private nøgle.

  • 14
  • 0
Martin Rasmussen

Christian siger han ikke arbejder for DanID.
Han skriver ikke, at han ikke arbejder for at udbrede deres løsninger som leverandør af deres NemID loginside.
Christian er nærmest blevet fantatisk tilhænger af NemID, og kan ses i faktisk samtlige debater angående nemid, hvor han "ikke ser et problem".

Overstående ville også forklarer hvorfor han kan svare "laver ikke andet" til 'Har du overhovedet nogen viden om IT og personsikkerhed?'.
Hvis han arbejder med at implementere nemid loginsider for kunder/firmaer, ville dette jo forklarer en god del af hans holdninger.

Tankevækkende ville nogen sige.

  • 12
  • 3
Per Lind

Ministeren kommer ikke uden om at de svageste i samfundet er stillet uden for doeren! Hvis man havde valgt at indkoble en stemme biometrisk loesning, saa var man kommet meget langt med at faa dem som er stillet uden for doeren ind i varmen igen. Foej hvor der noget som stinker i staten Danmark!

  • 0
  • 6
Lars Lundin

Hvis han arbejder med at implementere nemid loginsider for kunder/firmaer, ville dette jo forklarer en god del af hans holdninger.

Jeg ser den klare stigning i astroturfing i V2s NemID debat som tegn på at den bliver bemærket i videre kredse.

Det er en god ting.

Da man som bekendt ikke kan overbevise folk om at droppe en holdning som deres karriere afhænger af, så kan det ikke betale sig at diskutere disse indholdsløse apologistindlæg.

PS. Der er en Christian Dahl, som er ansat i Bankdata, der udvikler en elektronisk NemID nøgleviser til mobiltelefoner. Det forklarer givetvis den stædige begejstring.

  • 6
  • 5
Michael T. Jensen

Bare fordi Christian Dahl ikke er enig i Vores Allesammens Mening (tm), skal han ikke halshugges for at have en anden mening. Selv om det så er fordi hans brøds smør afhænger af NemID, skal det stadig være "tilladt" at ytre sin mening.

Hvis kritikken af NemID ikke kan overleve kritik, er vi i gang med et religiøst korstog, som ikke vil ændre noget! Kan kritikken af kritikken i stedet mødes med saglige argumenter er der anderledes substans i Vores Fælles Holdning (tm).

For nu lige at citere lidt filosofisk guld: "Jeg er uenig i hvad De siger, men jeg vil forsvare til døden Deres ret til at sige det." (Evelyn Beatrice Hall om Voltaires holdninger).

  • 4
  • 0
Jesper Lund Stocholm Blogger

Bare fordi Christian Dahl ikke er enig i Vores Allesammens Mening (tm), skal han ikke halshugges for at have en anden mening. Selv om det så er fordi hans brøds smør afhænger af NemID, skal det stadig være "tilladt" at ytre sin mening.


Tja - velkommen til version2 :o). Så snart en holdning ikke stemmer med parnassets, så forsøges først latterliggørelse og skulle dette ikke virke, så trækkes kortet med "kan ikke ændre en mands holdning, hvis hans levebrød afhænger af det".

Det positive i det er dog, at lige netop denne mekanisme er selve grunden til, at de, der rent faktisk bestemmer og tager beslutninger, ofte ryster overbærende på hovedet over "landsbytosserne" herinde.

  • 5
  • 8
Henrik Mikael Kristensen

Selv om det så er fordi hans brøds smør afhænger af NemID, skal det stadig være "tilladt" at ytre sin mening.

Det er rigtigt, men givet at han ytrer sig på et utilstrækkeligt fagligt grundlag, har han hermed bekendt kulør, hvilket kan bruges til at dømme, om man vil hyre ham til fremtidige jobs indenfor sikkerhed.

Så havde han nok været bedre tjent med at holde sin mund.

  • 5
  • 2
Michael T. Jensen

Det positive i det er dog, at lige netop denne mekanisme er selve grunden til, at de, der rent faktisk bestemmer og tager beslutninger, ofte ryster overbærende på hovedet over "landsbytosserne" herinde.


Se det er netop denne mekanisme jeg er opmærksom på. Jeg er selv rimelig overbevist modstander af NemID (sagt på jysk) og ser et velfunderet fagligt forum som en væsentlig platform for at få ændret en digital platform, som på ingen måde gør mig (og andre, som arbejder dagligt med IT) tryg.

I begyndelsen var jeg faktisk positiv overfor NemID-løsningen indtil en debat med Stephan Engberg fik mig til at overveje de sikkerhedsmæssige problemer (og andre issues) i den valgte løsning. Jeg tror saglig og lødig argumentation er den bedste vej frem - også i NemID-debatten.

  • 6
  • 0
Michael T. Jensen

Det er rigtigt, men givet at han ytrer sig på et utilstrækkeligt fagligt grundlag, har han hermed bekendt kulør, hvilket kan bruges til at dømme, om man vil hyre ham til fremtidige jobs indenfor sikkerhed.


Godt så. Jeg har lige genlæst hans indlæg igen og kan ikke se hvor det er han udtaler sig på et "utilstrækkeligt fagligt grundlag". Det kan da godt være at han ser bort fra vigtigheden af at beskytte mod mitm-angreb, men det gør DanID jo også. Det er en legal holdning at have, selvom jeg er dybt uenig med den, når det er vores digitale identitet de leger "hvem kan tjene flest penge på at være sikkerhedsdilettant" med!

  • 2
  • 2
Jesper Lund Stocholm Blogger

Se det er netop denne mekanisme jeg er opmærksom på. Jeg er selv rimelig overbevist modstander af NemID (sagt på jysk) og ser et velfunderet fagligt forum som en væsentlig platform for at få ændret en digital platform, som på ingen måde gør mig (og andre, som arbejder dagligt med IT) tryg.


Vi er helt enige. Problemet er blot, at Version2.dk ikke er dette "veLfunderede, faglige forum" - men i bla. NemID-sammenhænge mere at betegne et hysterisk hylekor imod NemID/DanID . Der er masser af steder hvor NemID fortjener berettiget kritik - men det drukner i debatterne herinde, hvor tonen skifter imellem " Won't somebody think of the children " og "NemID will kill kittens/babies"

  • 3
  • 7
Jesper Lund Stocholm Blogger

Jeg har lige genlæst hans indlæg igen og kan ikke se hvor det er han udtaler sig på et "utilstrækkeligt fagligt grundlag".


Du misforstår dynamikken herinde. Det du skal se er en "hvis alt andet fejler, så gå til 'Regel 1' "-dynamik. Hvis man ikke er enig i den "rigtige holdning(tm)" og ikke til sidst bøjer nakken for "two legs bad, four legs good"-hylekoret, så er man pr. definition fagligt anløben/ignorant/korrupt (tilføj flere ad nauseam) .

  • 2
  • 7
Michael T. Jensen

Vi er helt enige. Problemet er blot, at Version2.dk ikke er dette "veLfunderede, faglige forum" - men i bla. NemID-sammenhænge mere at betegne et hysterisk hylekor imod NemID/DanID . Der er masser af steder hvor NemID fortjener berettiget kritik - men det drukner i debatterne herinde, hvor tonen skifter imellem " Won't somebody think of the children " og "NemID will kill kittens/babies"

Helt så negativt ser jeg ikke debatkulturen. Der kommer stadig klumper af velovervejet og fagligt velfunderet tekst på siden, og jeg håber at der fremover kommer mere af den slags. (håbløs jubeloptimist, I know)

Du misforstår dynamikken herinde. Det du skal se er en "hvis alt andet fejler, så gå til 'Regel 1' "-dynamik. Hvis man ikke er enig i den "rigtige holdning(tm)" og ikke til sidst bøjer nakken for "two legs bad, four legs good"-hylekoret, så er man pr. definition fagligt anløben/ignorant/korrupt (tilføj flere ad nauseam) .

Aj, Jesper. Nu lyder det til at du lader dig gå på af "Jesper skrev noget - jeg downrater"-autorefleksen nogle "debattører" har.

  • 1
  • 1
Jesper Lund Stocholm Blogger

Der kommer stadig klumper af velovervejet og fagligt velfunderet tekst på siden, og jeg håber at der fremover kommer mere af den slags. (håbløs jubeloptimist, I know)


Enig - der er blot desværre uhyggeligt langt imellem snapsenene :o).

Aj, Jesper. Nu lyder det til at du lader dig gå på af "Jesper skrev noget - jeg downrater"-autorefleksen nogle "debattører" har.


hæhæ ... næeh du, den bro krydsede jeg for mange år siden. Jeg plejer at se det sådan, at jo flere negative stemmer jeg får, jo mere fat i den lange ende har jeg.

(og det må jo betyde, at det har jeg rigtigt, rigtigt tit)

:o)

  • 1
  • 5
Peter Mogensen

NemID-sammenhænge mere at betegne et hysterisk hylekor imod NemID/DanID . Der er masser af steder hvor NemID fortjener berettiget kritik - men det drukner i debatterne herinde, hvor tonen skifter imellem " Won't somebody think of the children " og "NemID will kill kittens/babies"

Men så er jeg da sikre på at du over Jesper vil hilsen denne opfordring til at droppe meta-diskussionen og komme tilbage til sagen med at få saglig debat af NemID bragt derhen hvor den hører hjemme.

  • 8
  • 0
Henrik Mikael Kristensen

Godt så. Jeg har lige genlæst hans indlæg igen og kan ikke se hvor det er han udtaler sig på et "utilstrækkeligt fagligt grundlag".

OK, jeg må indrømme, at jeg tænkte fra mit eget perspektiv om tilstrækkeligt fagligt grundlag og brugte det til at bedømme, om jeg kunne finde på at hyre ham.

Når han så siger, at MITM angreb er ligegyldige i et nationalt sikkerhedssystem, der er beregnet til at varetage millioner af danskeres identitet, værdier, skatteoplysninger, mv., ville jeg ikke hyre ham.

Men det faglige grundlag skal sådan set tale for sig selv, så andre kan jo så frit hyre ham, med de konsekvenser, det eventuelt måtte have.

  • 5
  • 1
Jesper Lund Stocholm Blogger

Men så er jeg da sikre på at du over Jesper vil hilsen denne opfordring til at droppe meta-diskussionen og komme tilbage til sagen med at få saglig debat af NemID bragt derhen hvor den hører hjemme.


Du/I bør gribe i egen barm og droppe jeres " ellers dør baby " - holdning til NemID. Vi får eksempelvis ikke alle kompromitteret vores online identiteter fordi det er muligt at lave et MiM-angreb på en bruger af NemID.

  • 2
  • 6
Jesper Lund Stocholm Blogger

Du må meget gerne henvise til hvor har givet udtryk for at det (MiM) var den vigtige debat.


Pas på med det der citat-sjov. Jeg skrev meget bevidst "du/I", da det ikke var møntet på dig personligt men på den generelle tone i debatten.

Debatten om NemID er totalt énsidig og på mange måder sammenlignelig med debatterne herinde om patenter og dokumentformater. Der er ingen kritik af kritik af NemID - uanset hvor tåbelig den er. Et eksempel er forslaget om et popup-vindue til login. Enhver der har arbejdet med brugere/pensionister etc ved, at det kun er med meget, meget god vilje, at det vil være en god idé med de komplikationer det vil medføre. Men fordi det er en kritik af NemID, så forbliver den uimodsagt - tilsyneladende ud fra devisen, at uanset lødigheden er et angreb på NemID et godt angreb.

På samme måde er det åbenbart en Guds givet konsekvens, at den signerede applet er den lige vej til et Orwellsk mareridt hvor vi alle overvåges døgnet rundt.

... og endelig er præmissen om, at hvis man blot har rørt NemID i enten implementering, vedtagelse eller ligenende, så er man enten dum, korrupt, taburet-klistrende eller landsforrædder (eller alle førnævnte) heller ikke just borgende for en frugtbar debat.

Hvis man vedbliver med samme agenda/vinkel som nu i debatterne herinde, så ender I med samme succes som I havde i debatterne om dokumentformater.

Hvordan synes I selv det gik?

Og igen: det er ikke møntet på dig personligt.

:o)

  • 3
  • 5
Michael T. Jensen

Vi får eksempelvis ikke alle kompromitteret vores online identiteter fordi det er muligt at lave et MiM-angreb på en bruger af NemID.


Det er ikke noget acceptabelt argument i mine øjne. Hvis det er fhv. enkelt at lave et mitm-angreb, er det muligt at lave nogle ret heftige overgreb, idet NemID er udbredt til også at være OCES-signatur.

Forestil dig et login til Skvallerbølle bibliotek, som du uden omtanke indtaster dine login-oplysninger i. Samtidig benyttes disse oplysninger til at logge dig ind på borger.dk. Mens du bliver mødt af det ene "Desværre er der indtastet forkert kode"-systemfejlsmeddelelse, er din digitale identitet blevet blevet overtaget. Du har skiftet adresse og din NemID er blevet oprettet i den nye identitet.

Eller endnu bedre: Du indfinder dig en sen aftentime på hotnhorny.dk.ru og tænker med forkerte lemmer, da de lader dig få adgang til heftige videoer med dit NemID. Virkede dit login? Jep. Så er det nok en ok site, ikke?

DanID vil så forsvare sig med at det er alt for besværligt, til at de kriminelle vil gøre det - det er jeg uenig i. Er honningkrukken stor nok er der mennesker, der vil gøre forsøget.

Så længe det er muligt, mener jeg ikke NemID er klar til brug.

  • 6
  • 0
Jesper Lund Stocholm Blogger

Eller endnu bedre: Du indfinder dig en sen aftentime på hotnhorny.dk.ru og tænker med forkerte lemmer, da de lader dig få adgang til heftige videoer med dit NemID. Virkede dit login? Jep. Så er det nok en ok site, ikke?


Ja, det er helt klart en udfordring (læg mærke til, hvordan du alligevel fik mig trukket ind i debatten :o) ... ), men og hvordan skal login via nemid.nu-finten beskytte imod viderestilling til nemid.ru ?

Design af et system til digital signatur på stats-niveau er nødt til at være en afvejning af brugervenlighed og sikkerhed. UDelukkende at fokusere på enten det ene eller det andet af disse er imo langt værre end kompromisset.

  • 2
  • 3
Peter Mogensen

på mange måder sammenlignelig med debatterne herinde om patenter og dokumentformater. Der er ingen kritik af kritik af NemID - uanset hvor tåbelig den er.

Altså...
For det første kan jeg så konkludere at du ikke har læst de indlæg hvor jeg (bl.a.) har pointere at det er ærgeligt støj at vi skal høre på ting som enkelte bank-ansatte, der fumler sig til at give en kunde adgang til en andens konto (tilfældigivs med NemID).
Men jeg må indrømme at jeg også er ved at blive træt af at kritisere den ret ligegyldige kritik - af 2 grunde. For det første fordi det øjensynligt er nyttesløst. V2 fodrer jo bl.a. konstant debatten med madding om nedetidsprocenter og andet relativt ligegyldigt og "fixable". For det andet fordi at jeg egentlig ikke føler mig forpligtet til at tage nogen i forsvar, der ikke selv er interesseret i at diskutere det jeg mener er den vigtige kritik. Så må de sgu ligge som de har redt.

Og så må jeg indrømme at din sammenligning med patent-debatten gør at jeg har lidt svært ved at tage din indignering her seriøst. Det ville jo kræve at du faktisk havde noget at blive indigneret over i den.

Jeg ved for lidt teknisk om de specifikke dokumentformater til at jeg har kunne følge den debat, men du har givet vis ret i at mange simpelthen reagerer som brændte børn.

  • 6
  • 0
Jesper Lund Stocholm Blogger

For det første kan jeg så konkludere at du ikke har læst de indlæg hvor jeg (bl.a.) har pointere at det er ærgeligt støj (...)


Jeg siger på ingen måde, at ingen har været kritiske - blot at der er langt imellem snapsene.

Og så må jeg indrømme at din sammenligning med patent-debatten gør at jeg har lidt svært ved at tage din indignering her seriøst.


Jeg er overhovedet ikke indigneret over debatten om NemID - jeg er faktisk grænsende til det ligeglade. Debattørerne herinde (ingen nævnt ingen glemt) har travlt med at ødelægge det for sig selv, så der er imo ikke meget at bekymre sig om.

Ang. patenter så mangler jeg stadig svar på bla dette indlæg:

http://www.version2.dk/artikel/microsoft-foraerer-officepakke-til-libreo...

  • 1
  • 5
Niels Didriksen

Så fordi jeg understår mig i at kritisere tonen/niveauet i debatten, så er jeg selvfed og frelst?


Nej, ingenlunde. Kritisér du bare. Det var bare måden hvorpå du distancerede dig fra parnasser og hylekor og fik krydret med kvæg-referæncer mm. på meget få indlæg. Men det må jo også være en øjebæ i den pæne udsigt fra elfenbenstårnet :)

Umiddelbart synes jeg da, at du meget godt bekræfter min pointe som anført ovenfor.

Glad for jeg ikke skuffer. Jeg vælger at tage thumbsdowns på min kommentar som at jeg har fat i noget :) Mens jeg husker ikke mange dage tilbage, hvor en med samme navn som dig, blærede sig med sin debat-ninja-skillz med denne værdiskabende kommentar:http://www.version2.dk/artikel/hvem-skal-kigge-i-nemid-kildekoden-32748#...
Det kan jo næsten ikke have været dig, når man nu ved hvor gyldne idealer du selv holder dig til i debatten.

..og mht. til manglende input i patentdebatten, så erindrer jeg at du af mange debattører i flere forskellige patent-artikler er blevet bedt om saglig og redelig dokumentation for at sw-patenter har samfundsgavnlig effekt.

  • 6
  • 0
Michael T. Jensen

men og hvordan skal login via nemid.nu-finten beskytte imod viderestilling til nemid.ru ?


Det kan den heller ikke. Ethvert tiltag, hvor brugeren skal "være opmærksom på detaljer" er dødsdømt, for det er i detaljen, at brugeren skal se forskel. Thue Kristensen skriver fx således:

Jeg har for resten spurgt DanID direkte om, hvad man som slutbruger skal gøre for at vide om en given NemID-dialog er reel. Svaret var, at man skal læse HTML-kildekode, finde det sted i kildekoden hvor NemID-appletten er indlejret [dette en for resten datalogisk umuligt at gøre generelt, da javascript er turingkomplet], downloade den manuelt, og checke signaturen på den

.
Det bør være muligt at designe en anden løsning!

  • 4
  • 0
Michael T. Jensen

Ethvert tiltag, hvor brugeren skal "være opmærksom på detaljer" er dødsdømt, for det er i detaljen, at brugeren skal se forskel


Sikke en skodsætning! Jeg mener, at de detaljer, som brugerne skal holde øje med er så små og placeret andre steder end de detaljer, brugerne normalt er opmærksomme på. Hvis bare browserbilledet ser ok ud, er det fløjtende hvad der står i adressefeltet, for den gennemsnitlige bruger. Idet denne løsning er udviklet så alle skal kunne være med, nytter det ikke at sikkerheden er bundet op på sådanne detaljer. Denne type brugere var bedre stillet ved den gamle digsig, hvor den var bundet til computeren.

I øvrigt er det ligegyldigt, hvad der står i adressefeltet, hvis computeren er inficeret. Står et russisk ip-nummer i hosts-filen ud for nemid.nu eller danskebank.dk, er brugeren up-deep-shit-creek.

  • 3
  • 0
Jesper Lund Stocholm Blogger

Det var bare måden hvorpå du distancerede dig fra parnasser og hylekor og fik krydret med kvæg-referæncer mm.


Faktisk er det en får-reference - men lad nu det ligge :o)

Det kan jo næsten ikke have været dig, når man nu ved hvor gyldne idealer du selv holder dig til i debatten.


Næeh - det må være en navnebror. Jeg står i øvrgit fuldt ved min kritik af ITPol - de opfører sig amatøragtigt i debatten omkring NemID. Desværre er det ikke første gang det sker, og jeg har dem mistænkt for på bedste dæmagogiske vis at fiske i rørte vande for at skabe tilslutning til foreningen.

..og mht. til manglende input i patentdebatten, så erindrer jeg at du af mange debattører i flere forskellige patent-artikler er blevet bedt om saglig og redelig dokumentation for at sw-patenter har samfundsgavnlig effekt.


Jeg tror aldrig, at der er lavet en cost/benefit-analyse af "patenter", så den kan du heller ikke få af mig. Jeg forholder mig til, at vi har haft patenter i flere århundreder og at jeg har svært ved at se, hvad der skulle være specifikt for software, der skulle diskvalificere det for at kunne patenteres. Jeg tror, at vi alle er enige i, at der er noget galt med håndtering af softwarepatenter, men når man nu foreslår et alternativ til det etablerede, hundredeårige system, så må man da kunne forklare lidt om, hvorfor fx ophavsret skulle være bedre. Som jeg skriver i kommentaren jeg henviser til, så er der en række forhold, hvor jeg mener at ophavsret som beskytter af software, der vil være direkte værre end det system vi har nu. Jeg har skrevet den samme liste flere gange - og det må da være relativt let at skyde den ned for jer.

  • 1
  • 2
Peter Mogensen

Jeg står i øvrgit fuldt ved min kritik af ITPol - de opfører sig amatøragtigt i debatten omkring NemID.

Ja, jeg bemærkede godt at du kalde dem "amatører" (uden dog at fortælle hvorfor det var berettiget) i en debat, hvor IT-pol så vidt jeg kunne læse ikke havde ytret sig overhovedet. ("hvem-skal-kigge-i-nemid-kildekoden-32748")

Er det den slags du kalder et "hylekor"?

Ang. dit patentspørgsmål, så skal den debat jo nok ikke fortsætte her, men du er velkommen til at følge op på dette indlæg i en tråd du finder relevant.
For det første så synes jeg jo at jeg talrige gange har besvaret hvorfor ophavsret er bedre til software end patenter, men i forhold til det konkrete spørgsmål, så må jeg jo også sige at jeg slet ikke kan acceptere dit præmis.
Det er meningsløst at tale om hvilken beskyttelse (ophavsret/patenter), der er den "stærkeste". Du har ingen målestok.
Jeg kunne med ligeså stor ret påstå at et patent var en "stærkere" beskyttelse, hvis det galt om at forhindre konkurrence.

  • 5
  • 0
Niels Didriksen

Faktisk er det en får-reference - men lad nu det ligge :o)


Sorry, hørte ikke så godt efter i geografi den gang ;-) Men det er da flinkt, at du ønsker at præcisere din opfattelse af folk af anden holdning.

Næeh - det må være en navnebror. Jeg står i øvrgit fuldt ved min kritik af ITPol -

Jamen godt det var en navnebror, for ellers ville det jo være ret dobbeltmoralsk at komme med den type værdiløse hylekors-indlæg for derefter at brokke dig over andre.

Jeg tror aldrig, at der er lavet en cost/benefit-analyse af "patenter", så den kan du heller ikke få af mig.

Jo, det er der faktisk, når vi snakker sw-patenter. Mange endda. Blandt andet fra PwC og self. den velkendte fra Deutche Bank, der advarer mod dem, da de efter alt at dømme er gift for innovation. Det er du også blevet gjort opmærksom på flere gange, sammen med appellen om at finde saglige analyser der skulle vise det modsatte.
Desværre er de berømte mavefornemmelser alt hvad du, en vis Mogens og andre kunne fremtrylle indtil videre.

Men for min skyld kan vi sagtens vente med den diskussion til en anden dag.

  • 5
  • 0
Jesper Poulsen

Vi får eksempelvis ikke alle kompromitteret vores online identiteter fordi det er muligt at lave et MiM-angreb på en bruger af NemID.

Så bare fordi det kun rammer IT-analfabeter, så er du sk*deligeglad?
MiTM rammer ikke mig, men derfor vil jeg gerne kæmpe for en sikker løsning. Det er samfundet der bliver taber i det nuværende spil og det har vi ikke råd til.

  • 5
  • 0
Peter Mogensen

Desværre er de berømte mavefornemmelser alt hvad du, en vis Mogens og andre kunne fremtrylle indtil videre.

Ja. Jeg synes heller ikke at jeg har set andet end mavefornemmelser. For Mogens' vedkommende vi ldet nok heller ikke være helt uberettiget at få mistanken om at det også kløede lidt i lommeulden - givet den endeløse stribe reklamer han spammer debatten med.

  • 2
  • 0
Jesper Lund Stocholm Blogger

Det er meningsløst at tale om hvilken beskyttelse (ophavsret/patenter), der er den "stærkeste". Du har ingen målestok.


Ja som udgangspunkt giver ophavsretten dig eneret/monopol i 70 år, hvor et patent "kun" giver det i 20.

Jeg kunne med ligeså stor ret påstå at et patent var en "stærkere" beskyttelse, hvis det galt om at forhindre konkurrence.


Ja, og de eksempler jeg har skrevet er jo netop eksempler på, at "ophavsret" uden konkretisering på ingen måde lader patenter noget tilbage ifht begrænsning af konkurrence.

  • 0
  • 1
Jesper Lund Stocholm Blogger

Jamen godt det var en navnebror, for ellers ville det jo være ret dobbeltmoralsk at komme med den type værdiløse hylekors-indlæg for derefter at brokke dig over andre.


Jeg mener slet ikke, at der er nogen sammenligning imellem min kritik af ITPols agering i sagen omkring NemID og fx dokumentformater og min kritik af det bastante hylekor ifht de generelle debatter omkring NemID

Blandt andet fra PwC og self. den velkendte fra Deutche Bank, der advarer mod dem, da de efter alt at dømme er gift for innovation


Øhm - har du overhovedet læst de papirer du henviser til?

Lad os tage dem én ad gangen:

Deutsche Bank: For det første er rapporten fra 2004, og det er dælme lang tid siden. Men deres udsagn er baseret på en rapport fra MIT fra 1999, hvori konklusionen som skrevet i DB-rapporten ikke kan findes (Der står noget lignende men ikke det samme). Og så afsluttes delen i rapporten fra DB med en klassisk akademiker-fejl - nemlig afslutte en redegørelse med en konklusion (Copyrighting provides both adequate leeway for sequential innovation and enough protection for marketable software products. ) som slet ikke kan retfærdiggøres af redegørelsen selv.

PWC: Også denne rapport er fra 2004. Rapporten snakker faktisk ikke ret meget om softwarepatenter, faktisk er stort set hele afsnittet her:

A software patent, which serves to protect inventions of a
non-technical nature, could kill the high innovation rate. However, opinions on software patent in its current proposed form vary a lot. Many large companies operating on a global scale, including European ones, seem to be in favour of a software patenting regime. But most small enterprises are strongly opposed.

Så igen konkluderes der faktisk ikke noget - faktisk opridses der blot, at der er uenighed imellem store og små virksomheder - og den vage formulering "could kill the high innovation rate" er igen fuldstændigt ukonkretiseret. Det kunne dog være interessant at se, om de i de seneste år har undersøgt, om "the high innovation rate" er gået ned. Mit gæt er, at det har de sgu nok ikke gjort.

Konklusion: kildekritik ville klæde dig, kære Hr. Didriksen.

Desværre er de berømte mavefornemmelser alt hvad du, en vis Mogens og andre kunne fremtrylle indtil videre.


Jamen konklusionen må jo være, at heller ikke du har andet end mavefornemmelser. Det må da være lidt træls at få den tilbage i hovedet, er det ikke? Altså sådan rigtigt "jeg bliver rød helt op over begge ører-træls" ...

  • 0
  • 0
Jesper Lund Stocholm Blogger

Nej, ophavsretten gælder desværre endnu længere, nemlig 70 år efter din død.


Ups - min fejl. Det har du i øvrigt ret i. (jeg skal undlade at kommentere på, om det gør det mere eller mindre attraktivt at anvede ophavsret i stedet for patenter)

PS. Hvornår giver du en snaps?

Ja, det er jo længe siden der har været et "version2 offline" arrangement, men hvis det bliver arrangeret (jeg skal da gerne stå for det), så giver jeg gerne en omgang :o) (*)

*) altså ... hvis antallet af deltagere er nogenlunde som det var sidst ...

  • 0
  • 0
Peter Mogensen

Ja som udgangspunkt giver ophavsretten dig eneret/monopol i 70 år, hvor et patent "kun" giver det i 20.

Igen. Du har ingen meningsfuld målestok for at sammeligne de to på et "stærkeste" skala.
Kun at se på løbetiden er en himmelråbende naiv betragtning. For det første er begge tos løbetid så lang at den konkrete software nok alligevel er forældet (Jeg undrer mig også over logikken, når nogen idømmes 20 gange livstid).
For det andet, så kan man jo bruge de to typer beskyttelse på vidt forskellig måde, så at sige "70 > 20" og tro man har sagt noget meningsfuldt er så åbenlyst en oversimplicifering af problemstillingen at jeg egentlig regner med at diskussionen fortsætter efter du har erkendt det.
Det er et præmis, så vanvittigt at det ikke kan bruges til videre debat.

  • 2
  • 0
Jesper Lund Stocholm Blogger

Kun at se på løbetiden er en himmelråbende naiv betragtning.


Det er nemlig helt korrekt, der er også faktorer som muligheden for at retsforfølge/håndhæve sin IP, fortolkning hos domstolene m.v.

Men det er jo ikke alle patenter, der er forældede efter 20 år. Eksempler på disse er jo GIF, RSA og MP3, der stadig den dag i dag bruges flittigt over hele verden.

Tilbage står, at det eneste I har at hænge jeres modstand imod patenter på software på er, at de "hæmmer innovation". Men når I så ønsker at bruge ophavsret i stedet, så er det en "gratis omgang", for ingen ved, hvordan det vil blive administreret og fortolket af domstolene, og vi kan kun være sikre på, at hvis virksomhederne der i dag bruger patenter på software nu "kun" har ophavsret tilbage, så vil de jo kaste lige så mange penge/advokater efter håndhævelse af disse som via ophavsret. Jeg har givet nogle eksempler på domme, hvor ophavsretten i mine øjne i mindst lige så stor grad som patenter "hindrer innovation" og derfor dur ophavsret ikke som et vidundermiddel i stedet for patenter, for vi risikerer at ende med et system, der i lige så høj grad "hindrer innovation" som patenter ... og så har vi jo skiftet system "bare for at skifte".

Patenter på software bliver tit hånet med kommentarer som at "hvis man kunne patentere bøger, så ville der være et patent på plottet i 'butleren gjorde det'". Men dette gætværk på patenter på software eksisterer i fuld vigør i ophavsretten og det var netop dette Susanne Bier og Zentropa mærkede, da "Italiensk for begyndere" viste sig at ligge liiiige lovligt tæt op ad plottet i en irsk bog. Og her var det ikke engang det samme medie! Eller ophavsret der beskytter "en konkurrence om trivialviden hvor deltagerne skal formulere svar som spørgsmål" eller "en flok deltagere smides ud på en ø og skal overleve på den via samarbejde på trods af intriger". Eller som i retssagen i USA, hvor ORACLE mener, at Googles kopiering af metodenavnene i et API krænker Googles ophavsret og altså alene nanvne på metoderne og ikke selve indmaden i dem (om ORACLE får ret vil dog vise sig). Det bliver ofte fremført, at ophavsret kun dækker den konkrete implementation af noget software (altså ex kildekoden til den) og lader andre kopiere idéen bag i egne programmer, men jeg har svært ved at forstå, hvordan man kommer til den konklusion på baggrund af, hvordan ophavsret på IPR-området generelt håndteres.

  • 0
  • 0
Peter Mogensen

Nå ok - du vil åbenbart gerne føre patent-debatten her.

Jesper, det er muligt du har svært ved at forstå det og du kan spekulere i at ophavsret vil blive misbrugt istedet for patenter (som dit eksempel med ORACLE tyder på).
Men at krænke ophavsret kræver i første omgang at du overhovedet har haft adgang til andres værk. Du kan ikke krænke noget du ikke ved eksisterer. Det kan man med patenter.
Det fremgår også tydeligt af - ihvertfald - den danske ophavsretslov at det ikke er en overtrædelse af loven at gøre sit eget værk interoperablet med et andet. Så jeg har svært ved at se hvordan ORACLE ville kunne komme igennem med et krav om at man ikke må "kopiere" deres metodenavne i interfacet.

Og så må jeg vel også hellere lige forebygge en misforståelse. Der er ingen der siger at ophavsret kan bruges som alternativ til patenter på den måde at enhver, der gerne ville gøre noget konkret med et patent blot ville kunne bruge ophavsret istedet. Selvfølgelig kan man ikke det, da de to netop er forskellige.
Argumentet om at vi skal beskytte software med ophavsret istedet for patenter er ud fra et perspektiv om at det er det rigtige værktøj for samfundet. Spørgsmålet er jo om de ting folk gerne ville bruge patenter til generelt er samfundsmæssigt ønskværdige på området.

  • 0
  • 0
Peter Mogensen

Lone Scherfig kendte udemærket godt "Evening Class" og havde orienteret Zentropa på forhånd om at hun var mere end alm. inspireret af den. Advokaterne mente ikke det kvalificerede som et afledt værk - de tog så fejl.

Man behøves ikke kopiere kildetekst verbatim for at krænke overhavsretten. Hvis jeg oversætter et program til et andet sprog men bevarer hele strukturen, så har jeg stadig lavet et afledt værk.
Men ophavsretten giver mig ikke mulighed for at forhindre andre i interoperabilitet.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Nå ok - du vil åbenbart gerne føre patent-debatten her.


Næeh - men nu var vi jo lige kommet i gang :-)

Men at krænke ophavsret kræver i første omgang at du overhovedet har haft adgang til andre værk. Du kan ikke krænke noget du ikke ved eksisterer. Det kan man med patenter.


Men det vil jo i sidste ende blive en vurdering. Susanne Bier kunne jo hævde, at hun aldrig havde læst bogen fra Irland og så kunne retten vurdere, at lighederne var så bastante at de ikke troede på det. Så i sidste ende vil retten af og til skulle vurdere dette alligevel. Jeg tvivler også på, at hvis nogen i en eller anden TV-udørk af verden fik den idé at lave en spørgsmål-som-svar-quiz og aldrig havde set Jeopardy,at de så ville kunne ungså at betale licens til Buena Vista - uanset hvor meget de overfor dommeren plæderede for, at de aldrig havde set programmet i USA.

Det fremgår også tydeligt af - ihvertfald - den danske ophavsretslov at

Og dette understreger jo, at "ophavsret" ikke er en universel ting - den adminstreres forskelligt fra land/region til land/region. Derfor nytter det ikke noget blot at sige, at "ophavsret er løsningen".

Argumentet om at vi skal beskytte software med ophavsret istedet for patenter er ud fra et perspektiv om at det er det rigtige værktøj for samfundet. Spørgsmålet er jo om de ting folk gerne ville bruge patenter til generelt er samfundsmæssigt ønskværdige på området.


Men hvordan kan du argumentere for, at det er "det rigtige værktøj", når det allerede i dag (kan) bruges som patenter bruges - som jo er på en for dig ikke-samfundsønskelig måde?

Jeg synes, at du sætter kikkerten for det blinde øje, Peter.

Lone Scherfig kendte udemærket godt "Evening Class" og havde orienteret Zentropa på forhånd om at hun var mere end alm. inspireret af den

Tak for opdatering :o)

  • 0
  • 0
Peter Mogensen

Susanne Bier kunne jo hævde, at hun aldrig havde læst bogen fra Irland

Det gjorde hun ikke, så det er spekulation.

Og dette understreger jo, at "ophavsret" ikke er en universel ting - den adminstreres forskelligt fra land/region til land/region. Derfor nytter det ikke noget blot at sige, at "ophavsret er løsningen".

Jeg troede jeg ved min sidste kommentar havde forebygget at blive citeret for "ophavsret er løsningen" - for hvad er det du mener jeg siger det er løsningen på?
Næe... jeg siger ophavsret er tilstrækkeligt til at opfylde de samfundsmæssige mål.
Men derudover er det en non-sequitur.
Det kan ikke komme som en overraskelse for nogen at ophavsret præcis ligesom patenter ikke er helt det samme alle steder. Der er grundliggende 2 traditioner (ophavsret og copyright) og i USA har de "Fair Use" begrebet som erstatning for de undtagelser vi f.eks. har ang. interoperabilitet.
Hvis det at det ikke er 100% ens globalt betyder at det "ikke er løsningen", så er patenter ihvertfald heller ikke løsningen.

Men hvordan kan du argumentere for, at det er "det rigtige værktøj", når det allerede i dag (kan) bruges som patenter bruges - som jo er på en for dig ikke-samfundsønskelig måde?

Det er et præmis jeg ikke kan tilslutte mig. Jeg kan ikke se at man blot bruger ophavsret til ting patenter ellers er lavet til. Det er dig, der ekstrapolerer mavefornemmelser.
Men vi kan jo se om du har ret. HVIS ellers din beskrivelse af ORACLE-sagen er korrekt - at det er metodenavnene i interfacet de mener er "kopieret" og at de bygger det på ophavsret og ikke patenter, så forudser jeg de taber.
Jeg har ikke sat mig ind i sagen, men jeg må stole på din udlægning. Jeg kan dog se at der også er patenter involveret og da softwarepatener jo er lovlige i USA, så afhænger meget jo af detaljerne i sådan en afgørelse.

  • 0
  • 0
Peter Mogensen

Jeg skrev selv:

Jeg kan ikke se at man blot bruger ophavsret til ting patenter ellers er lavet til. Det er dig, der ekstrapolerer mavefornemmelser.

Det kræver måske lige en uddybning - for jeg mener faktisk at DMCA, Infosoc og lign. kan siges at være at bruge ophavsretten til at begrænse interoperabilitet på en måde patenter ellers ville være ene om at kunne.
Men til det hører jo så også at jeg på ingen måde mener at disse misfostre (§75c i den danske ophavsretslov) hører hjemme i det ophavsretslige system.

  • 0
  • 0
Niels Didriksen

Som du så smart reformulerede det, så er der ikke mange deciderede cost/benefit analyser at finde, og det var derfor jeg spurgte efter undersøgelser, der viser den samfundsmæssige effekt, og ikke den økonomiske gevinst ved at anvende dem for et firma.

Men i cost/benefit sammenhæng er der en undersøgelse fra 2008, der viste: "American public companies’ total profits from patents (excluding pharmaceuticals) in 1999 were about $4 billion—but that the associated litigation costs were $14 billion"

Det er vist en dårlig cost/benefit betragtning for de fleste. Og så er det endda gamle tal, fra før patent-trolleri blev moderne, men der er sket en stigning i sagsanlæg på 70% fra 1991 til 2005
http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1...

Samme rapport viser også med fin tydelighed, at sw-patenter specifikt er en ret dårlig forretning for innovation og samfundet. Men naturligvis ikke for firmaer med store patent-arsenaler.

Det er da heller ikke svært at finde mange rapporter fra den akademiske verden, der på historisk og empirisk vis konkluderer, at det er meget problematisk at patentere matematik ol. Hvilket jo sikkert også er årsagen til at det i Europa er ulovligt.
http://ijlit.oxfordjournals.org/content/14/3/257.full?ijkey=rF2MI0t8NYrG...
Allerede i 2000 kunne man se hvorledes sw-patenter skadede samfundet, og de problemer der identificeres er jo tydeligt blevet værre:
http://www.researchoninnovation.org/patent.pdf
"A simple model also shows that in such a dynamic
industry, patent protection may reduce overall innovation and social welfare. The natural experiment that occurred when patent protection was extended to software in the 1980's provides a test of this model"

Sidstnævnte er bl.a. også grundlaget for Deutche Banks advarsler, så der er jo et fint datagrundlag bag dem. Og bemærk at advarslen vedrører SMÅ virksomheder. Vi er enige om at firmaer med stående patenthær ikke har problemer, men det bør øjeblikkeligt stoppes at de små virksomheder og innovatører bliver taget som gidsler i argumenter FOR software patenter.

Og så er der investorer. Mark Cuban, som ikke burde kræve større præsentation i sin egenskab som investor, har sagt følgende:
"Every technology company I have is getting hit by patent lawsuits" og appelerer til et totalt stop for sw-patenter:
http://www.cato.org/pub_display.php?pub_id=13735


Der er masser af dokumentation for, at hele it-revolutionen kom pga. lav barrier-to-entry, og det er den der er ved at blive hævet til urealistiske højder.

Jeg mener at byrden for at bevise deres gavnlighed ligger på fortalerne, og her er der et arbejde der skal gøres, og synes det er trist at visse lobby-forblændede politikere er villige til at gamble med fremtiden på den måde.

Så nej Jesper. Det er ikke mavefornemmelser herfra. Jeg skal gerne liste mere, men synes at bolden ikke længere er på denne halvdel. Og desuden synes jeg vi skal vente til emnet bliver aktuelt.

  • 0
  • 0
Peter Stricker

Jeg mener at byrden for at bevise deres gavnlighed ligger på fortalerne


Her mener du nok, at byrden burde ligge på fortalerne, idet der - i hvert fald her i Europa - ikke er lovhjemmel for softwarepatenter.

Desværre er situationen jo den, at der rent faktisk bliver udstedt masser af softwarepatenter - også i Europa. Og så længe loven ikke bliver overholdt, og overtrædelsen af den ligefrem billiges af politikere og domstole, så bliver vi andre nødt til fortsat at kæmpe for at få patenterne afskaffet.

Fortalerne skal selvfølgelig fortsat kæmpe for at få patenterne lovliggjort, men det haster jo ikke så meget, da loven alligevel tilsidesættes.

  • 0
  • 0
Log ind eller Opret konto for at kommentere