Hård kritik fra IT-sikkerhedsråd: NemID skal forbedres
»NemID-løsningen skal forbedres, og både det offentlige og DanID bør på en række punkter snarest øge deres indsats for at bevare befolkningens tillid.«
Sådan lyder det fra Rådet for Større it-sikkerhed, som i pressemeddelse skriver om den danske identifikations-løsning:
»Rådet har nøje fulgt de seneste måneders omtale og debat omkring NemID og konstaterer, at den egentlige nyhed er, at det kun tog cirka et år, før der første gang blev konstateret en forudsigelig type kriminelt misbrug af en af NemID-løsningens kendte designmæssige svagheder. I den forbindelse har medierne givet en alment forståelig beskrivelse af NemID-løsningens arkitektur og de sikkerhedsproblemer, den kan medføre. Derudover har en række teknisk kyndige personer formået at fremvise nogle hidtil ukendte og hemmeligholdte detaljer omkring NemID's funktionsmåde.«
Version2 har forsøgt at holde fokus på netop den designmæssige svaghed i NemID, som muliggør man-in-the-middle angreb, ligesom det også har været beskrevet, hvordan NemID-appletten benytter filer, camoufleret som billedfiler, til at køre kode og indsamle data på brugerens computer.
»I den forbindelse finder Rådet det særligt vigtigt, at NemID-løsningen hurtigt bliver forbedret, så løsningens design ikke i sig selv giver anledning til, at der kan skabes tvivl om rigtigheden af borgernes digitale identitet,« udtaler formand for Rådet for Større IT-sikkerhed Christian Wernberg-Tougaard i pressemeddelelsen.
»Der er nogle designmæssige ting, som giver nogle usikkerheder. Fx man-in-the-middle muligheden,« uddyber han til Version2.
Christian Wernberg-Tougaard fortæller, at udmeldingen fra Rådet for større it-sikkerhed handler om, hvordan den nuværende løsning kan gøres bedre.
»Vi har ikke en silverbullet til, hvordan løsningen skal se ud, men vi tror på, at man i fællesskab mellem aktørerne i en åben dialog kan skabe den næste generation af digital identifikationsløsning og på den måde bringe Danmark ind i verdenseliten af lande, der har styr på identitet og borgernes sikkerhed,« siger han til Version2.
Rådet for Større IT-sikkerhed har følgende forslag til forbedring af NemID for at øge befolkningens tillid til løsningen:
Rådet mener, at der behov for at skabe en stærk og tillidsvækkende sammenhæng mellem analoge og digitale ID-løsninger. Det betyder ifølge Rådets opfattelse, at der i løbet af kort tid skal udvikles en efterfølger til den nuværende NemID-løsning. Regeringen bør derfor allerede nu igangsætte forberedende arbejde i forhold til, hvordan næste generation af en offentlig digital ID-løsning skal udformes.
Arbejdet med næste generation af det offentlige Danmarks digitale ID-løsning bør involvere høring af eksperter og interesseorganisationer. Den nuværende NemID-løsning blev udviklet i en lukket proces uden høringsrunde. Rådet anbefaler, at et sådant forløb ikke gentages.
Sikkerhedsløsninger opnår størst tillid blandt eksperter og borgere, når de baseres på metoder, der kan efterses af uvildige. Rådet mener derfor, at fremtidens offentlige danske digitale ID-løsninger bør udvikles med størst mulig transparens.
Et folketingsflertal vedtog i 2006, at software, som anvendes i det offentlige, skal være baseret på åbne standarder. Rådet mener, at denne beslutning skal efterleves ved udvikling af næste generation af NemID eller dennes efterfølger.
Rådet mener at næste generation af NemID eller dennes efterfølger, bør opfylde EU's krav til "kvalificerede digitale signaturer", og at den bør designes, så den i videst muligt omfang er kompatibel med løsninger, der anvendes uden for Danmark. Transaktioner med brug af digitale ID-løsninger har nu nået et volumen, så det ikke længere bør udskydes at certificere dem ud fra en velbeskrevet standard.
Næste generation af en offentlig dansk digital ID-løsning bør ifølge Rådets være platformsuafhængig og uden krav om, at der skal installeres bestemt type software fra tredjepart på brugerens computer. Den bør endvidere etableres på en måde, så den i sin arkitektur giver fuld beskyttelse af brugernes privatlivsrettigheder, herunder må den ikke give serviceudbyder mulighed for at indsamle oplysninger, der er transaktionerne uvedkommende.
Rådet anbefaler, at DanID i højere grad informerer proaktivt omkring de aktuelle NemID-sikkerhedsproblemer, og også i højere grad går i dialog med fagligt velkvalificerede kritikere.
Rådet mener, at DanID uden yderligere forsinkelse bør tilbyde brugere af NemID, at de selv kan vælge, om digitale nøgler gemmes centralt eller decentralt. Dette var det en af betingelserne for at DanID fik opgaven, og Rådet finder forsinkelsen problematisk. De decentrale nøgler skal efter Rådets opfattelse også kunne benyttes til login i bankløsninger.
Både offentlige og private udbydere bør efter Rådets mening generelt tilbyde flere forskellige indlogningsmuligheder. Brugere bør tilbydes mulighed for at logge ind via løsninger, der er baseret på åbne standarder og gerne på eksisterende velafprøvede løsninger med international udbredelse. Brugere har behov for fleksibilitet. Muligheden for at brugere kan vælge mellem forskellige login-løsninger vil forebygge monopoldannelse og medvirke til at fremme åbne standardiserede løsninger, der også anvendes uden for Danmark.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
