It-advokat til NemID-kritikere: Sæt dog tingene i perspektiv

16. august 2010 kl. 06:5934
Kritikken af NemID for at være usikker virker hysterisk og gammeldags, mener it-advokat. Han opfordrer kritikerne til at sammenligne med sikkerhedsniveauet i den analoge verden.
Artiklen er ældre end 30 dage

NemID har fået mange drag over nakken siden lanceringen 1. juli - i hvert fald blandt Version2's læsere - men det største kom i sidste uge. Her udråbte forsiden af Børsen NemID til at have store sikkerhedshuller, ud fra IT-politisk Forenings kritik af Java-appletten, som NemID bruger.

Men den slags dommedagsbasuner over en hypotetisk mulighed for misbrug er it-advokat Martin von Haller Grønbæk godt og grundigt træt af. Der mangler simpelthen perspektiv i den slags diskussioner, mener han.

»Det virker hysterisk, når man hver eneste gang, der bare er en lille mulighed for misbrug, så straks taler om, at der er et fundamentalt problem. Selvfølgelig skal NemID være sikker. Men der er ikke noget, der er helt sikkert - det er et fact of life,« siger advokaten med speciale i it-problemstillinger.

Tit glemmer kritikerne det store billede, mener han, og så kommer kritikken ud af proportioner.

Artiklen fortsætter efter annoncen

»Enhver sikkerhedsløsning skal være proportional med det problem, der kan opstå, så man må komme med en fornuftig afvejning. Hvis man laver noget, der er meget sikkert, men ingen bruger det, så er det helt ligegyldigt. Det typiske er, at man stiller krav, som på sin vis er fornuftige, men som er helt ude af trit med, hvad man er vant til i den virkelige verden,« siger han.

It-folk glemmer nemlig tit, at vi i det daglige accepterer rutiner, som faktisk er skrigende usikre.

»Vi er vant til ufattelig grad af usikkerhed i omgangen med myndigheder og virksomheder. Tænk på hvor usikkert opbevaring af dine personlige data i papirform på hospitalet er. Og den traditionelle underskrift, som man bruger overalt i dag, er så usikker, som noget kan være. På trods af det, bliver det brugt i hele verden,« siger Martin von Haller Grønbæk.

Også betalingskort er sådan set ganske håbløst designet, set med kritiske sikkerhedsøjne, når man for eksempel på en restaurant rask væk giver sit kort til tjeneren, der dermed med et hurtigt blik kan få alle nødvendige oplysninger til at handle løs på nettet fra kundens konto.

Spiller altid sikkerhedskortet

Kritik af sikkerheden i en løsning eller i ny teknologi er ikke nyt for Martin von Haller Grønbæk. Det er faktisk et punkt, der altid dukker op, siger han.

Artiklen fortsætter efter annoncen

»Hver eneste gang man sidder i et råd eller komite, er det standard på enhver dagsorden, at man skal igennem alle teoretiske muligheder for sikkerhedsproblemer. Det er jo fint at få belyst, men det er for nemt at bruge det til at skræmme med,« mener han.

Da handel på nettet var i sin vorden, oplevede han for eksempel, hvordan sikkerheden i SSL-krypterede betalinger blev hevet frem af modstanderne mod nethandel som et argument mod dette nye fænomen.

»Man spiller altid sikkerhedskortet, når nye medier tages i brug. Det sker i en uhellig alliance mellem dem, der sælger sikkerhedsløsninger, og dem, der ønsker at opretholde status quo og forhindre ny teknologi. Det virker gammeldags,« siger advokaten.

Om NemID er den teknisk rigtige løsning, vil han ikke forholde sig til, ned i tekniske detaljer. Men han stoler på, at der samlet set er fundet en løsning, som har et passende sikkerhedsniveau.

Artiklen fortsætter efter annoncen

»Jeg kan ikke vurdere den konkrete situation. Men jeg er sikker på, at NemID er fuldt forsvarligt. Og det indebærer efter min opfattelse, at der helt sikkert være mulighed for misbrug i forskellige sammenhænge, men at misbruget overhovedet ikke vil stå i forhold til den omfang af anvendelsen af NemID,« siger han.

Mød Martin von Haller Grønbæk i Deadline på DR2 i aften, hvor han debatterer privacy i forhold til ny it-teknologi.

34 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
16. august 2010 kl. 07:31

Kære IT-Advokat.

Tak for artiklen, det er lige mine ord. Jeg deltog aktivt i debatten i sidste uge, men det var en håbløs indsats, da kritikerne er meget fast indstillet på at sikkerheden er elendig hos NemID, og alle der mener noget andet blev haglet ned.

Det som artiklen beskriver med dine ord, er præcis det jeg skrev i sidste uge. Jeg håber artiklen er med til at åbne lidt op for skeptikerne, da en 100% sikker løsning aldrig vil blive brugt af brugerne, da en sådan løsning vil være alt for besværlig at benytte.

3
16. august 2010 kl. 07:49

Hvis sikkerheden angiveligt skal afvejes med det mere praktiske, hvornår kommer NemID så med en praktisk løsning, hvor man slipper for at skulle rende rundt med et nøglekort, bare for at kunne bruge NemID på både arbejds-PC og hjemme?

NemID forbyder jo indscanning eller anden digitalisering af nøglekortet.

Og vi mere praktisk anlagte bør vel ikke alle sammen tilmelde os blinde-udgaven af NemID, hvor man bliver ringet op af et voice response system, der læser koden op - hvilket vel i øvrigt blot er endnu mere usikkert... ;-)

6
Indsendt af Anonym (ikke efterprøvet) den man, 08/16/2010 - 08:30

Så bliver debatten ikke mere pinlig og desperat.

Martin Von Haller plukker de simple argumenter ud af kritikken, naragtiggør dem, påstår at al kritik falder i den gruppe og påstår så at NemId er "Sikkert".

Det er Stråmandsargumenation uden nogen form for logisk sandhedsværdi.

It-Pol puster måske et aspekt og en reel problemstilling lidt op, men det er langt fra det værste problem.

Hvad der er interessant er at se Martin Von Haller Grønbæk argumentere for lukkede proprietære "standarder" og agere "privacy"-ekspert. Normalt ville man se ham agitere for en promiskiøs åbenhed og blotlægning af mennesker overfor interesserne.

Faktum er at den tunge kritik er den stik modsatte end det som Von Haller udlægger den som. At NemId ikke løser nogen samfundsopgave - hverken sikkerhedsmæssigt, økonomisk eller legalt - tværtimod blokerer det for samfundsudviklingen.

NemId "sikrer" kun at

  • der etableres en kunstig monopolkontrol med borgernes nøgler for at etablere en kommerciel pengemaskine
  • al datasikkerhed undermineres.
  • at risici akkumulerer og koncentreres i ekstremt grad - når det går galt, går det helt galt.
  • at den offentlige ineffektiviseringsprocess fortsætter med den ekstreme centralisering
  • at samfundets innovations- og tilpasningsevne forringes yderligere via hardkodning af stive one-size-fits-all knudepunkter.
  • at Danmark spilder hele digitaliseringsprocessen på at hardkode legacy som ingen kan løse op for bagefter.

Jo tak - når de uvidende kritiseres af de blinde, så skal den demokratiske debat nok få et løft. Og lad endelig forvirringen fortsætte i Deadline.

Lad os i stedet få taget hul på den virkelige kritik. NemId er en katastrofe for dansk samfundsøkonomi og underminerer sikkerheden alle steder. At tage det tavse flertal som indtægt for legitimering af overgreb er demokratisk useriøst.

7
16. august 2010 kl. 09:13

Fint nok

lad os endelig have tingene i perspektiv når det første misbrug sker, og DanID fraskriver sig ansvaret.

Så skal i bare se et helt fint perspektiv.

.... eller hvis DaniD kan kompromiteres, og alle kontier i teorien i alle bankerne kan tømmes over nat, det er da også et perspektiv der kan ses.

... eller når en kær pensionist får tømt sine kontier, pension og solgt sit hus, af en person der lige "hjalp med computeren".. fint perspektiv.

SSO løsningen som det er, er ikke en digital signatur.. og det er slået fast med syvtommersøm. NemID og DanID giver ingen garantier imod misbrug, og kan ikke stilles til ansvar, så jeg har svært ved at se "sikkerheden".

8
16. august 2010 kl. 09:39

Så skal den da også forringes på nettet, det er da logik for enhver.

En del af problemet ligger i at mennesker "tør" meget mere når de sidder hjemme bag deres egen skærm, og der vil derfor være mange flere forsøg på at skade en person online end der vil være i den virkelige verden, ergo bør sikkerheden være højere.

Jeg forstår slet ikke hvordan man kan være advokat og samtidig være så uvidende at man kan komme med sådan et argument.

Jeg siger ikke at problemmakiten ikke er blevet hypet, men jeg synes samtidig er der er godt belæg for det.

9
16. august 2010 kl. 09:55

Jeg er til dels enig, men det betyder ikke, at vi skal give NemID carte blanche til at gøre hvad som helst, fordi "det er sikrere end før".

Applet historien er reel. NemID kræver adgang til din computer på trods af, at de kan autentificere dig lige så sikkert uden adgang. Deres forklaring holder simpelthen ikke vand. Det er ikke særligt tillidsvækkende.

10
16. august 2010 kl. 10:09

1: Det kan godt være at det offentlige hæfter for misbrug af NemID, hvis det sker baseret på systemets sikkerhedssvagheder, men det er ikke så meget sikkerheden i NemID jeg er bange for. Det er sikkerheden på computeren generelt uden om NemID. NemID's Java-applet lærer jo borgerne at man ukritisk skal acceptere installation af skumle programmer, uden der er nogen som helst god grund til at køre dem, og NemID lærer også borgerne at man bare ukritisk skal indtaste sin adgangskode på vilkårlige hjemmesider uanset deres adresse. Det kan godt være det er sikkert nok til NemID, men hvad med resten af den online verden? Hæfter det offentlige også for misbrug af min Gmail fordi NemID har lært mig at give min Gmail-adgangskode til hvem som helst? Det mener jeg NemID bør, når den er lavet som den er.

2: En middelmådig sikkerhed er i mange tilfælde god nok, og det er jeg sikker på den også er i NemID's tilfælde. Men man er bare nødt til som myndighed og virksomhed der bruger NemID at være klar over hvad sikkerheden rent faktisk er. Hvis man fx kalder NemID for en Digital Signatur og dermed tror at sikkerheden er noget helt andet end virkeligheden, så har man et sikkerhedsproblem. Kalder man derimod NemID hvad den er ser jeg ingen problemer med sikkerheden.

5
16. august 2010 kl. 08:16

De to primære sikkerhedsproblemer, der er blevet rejst, er så vidt jeg kan bedømme følgende:

  1. DanID kan uden tekniske udfordringer logge enhver borgers brug af IT-systemer, hvor der benyttes NemID som autentifikation. Et sådant overvågningsspor er vi som borgere ikke nødvendigvis interesserede i. Endvidere kan DanID af passende myndigheder pålægges at "rette" lidt kode, så de har væsentligt flere beføjelser end det.

  2. Det er en helt grundlæggende sikkerhedsbrist at lægge nøgler centralt. Ganske vist slipper hver enkelt person for at passe på sin digitale nøgle (og skal i stedet rende rundt og passe på et fysisk nøglekort), men det sker på bekostning af national sikkerhed, hvor en sikkerhedsbrist ikke betyder én men mange kompromitterede nøgler.

Begge disse problemer kunne være undgået, hvis vi havde valgt at afstå fra en central nøglehåndtering.

Thomas Petersens bidrag i debatten har primært været at spille rollen som naiv og nyttig. Havde folk været så paranoide, som han flere gange har påstået, ville de have beskyldt ham for at være ansat ved DanID eller IT- og Telestyrelsen.

4
16. august 2010 kl. 08:11

kære IT-advokat.

NemID er ikke kommet med en praktisk sikker løsning, men en uigennemtænkt genopfindelse af sikkerhedssystemer, uden hensyn til historiske hacker metoder.

Hvordan kan det være at vi skal havde opfundet den dybe tallerken med et utal af kendte og endnu ukendte sikkerheds konsekvenser.

Når vi nu har en standard off the shelf løsning som rent faktisk addresser samtlige kendte problemer som NemID har, og er gennementestet i over 20år.

Et produkt som er designet til at ikke havde de huller som DanID/NemID løsningen har.

Et produkt som er nemmere for folk med læse vanskligheder at bruge, da NemID er problematiske for tal blinde mennesker.

Et produkt som er indskrevet i loven med mindste krav, og specificere hvordan det skal virke. Noget som NemID omgår.

Et produkt som er standardiseret, og kan leveres af multiple leverandører, hvis man ønsker dette. Mens NemID er oprettelsen af en monopol virksomhed.

Et produkt der fungere offline, og derfor ikke har de samme problemer som PBS har med udfaldt hvor hele danmark ikke kan handle med Dankort fordi der har været IT nedbrud hos PBS - Nu er NemID i samme både.

Altså 20 år gammelt teknologi, der er gennemtestet.

Det er hvad du forkaster ved brugen af NemID.

Løsningen er Digital signaturere baseret på public/private key cryptography. Det nye er at der er hardware tokens der nu kan beskytte folks privat nøgle, og løser det sidste helt store problem med løsningen - Vira, trojaner, og phising.

11
16. august 2010 kl. 10:16

Om NemID er den teknisk rigtige løsning, vil han ikke forholde sig til, ned i tekniske detaljer. Men han stoler på, at der samlet set er fundet en løsning, som har et passende sikkerhedsniveau.

Typisk advokat ævl fra ende til anden. Havde vi spurgt Hr. og fru Danmark ville de givetvis komme med samme svar.

Man kan altså ikke forvente at blive taget seriøs når man ikke vil forholde sig til de centrale kritikpunkter. Uanset von Haller Grønbæk's gode mavefornemmelse, så er hele NemID konstruktionen flikket sammen med absolut laveste fællesnævner i tankerne - men okay så kan Maren i kæret også benytte møget.

Samlet set er der desværre ikke mange kritikere af systemet, men vi her på Version2 må blive ved med at kæmpe imod.

12
16. august 2010 kl. 10:27

Brug penge og spalte plads på at hænge modstanderene ud som kværulanter, eller uvidende naive narrehatte, der ikke aner noget om fakta, og brug store summe på at fremhæve fortræffeligheder af systemet, og afvise alt kritik som irrelevant.

Gentages det nok gange, skal folket nok tro på det, da det er de "officielle" der siger at modstanderne bare er dumme og uvidene.

16
16. august 2010 kl. 11:23

@Martin

Det virker hysterisk, når man hver eneste gang, der bare er en lille mulighed for misbrug, så straks taler om, at der er et fundamentalt problem.

Vi har at gøre med et system, der skal give borgerne en juridisk gyldig, digital underskrift. Hvis man, som her, proiriterer udbredelse og brugervenlighed højere end, og på bekostning af sikkerhed er man i mine øjne ude på et skråplan.

Selvfølgelig skal NemID være sikker. Men der er ikke noget, der er helt sikkert - det er et fact of life,

Du taler om noget du tilsyneladende ikke ved noget om. Public key kryptering kan sikre identitet, autencitet, integritet og fortrolighed mellem afsender og modtager - såfremt de to involverede parter i kommunikationen har den fulde kontrol over deres privatnøgle og den aldrig er kommet andre i hænde. Dette system er helt sikkert, bortset fra akademiske argumentationer der bygger på scenarier med ubegrænset regnekraft, kvantecomputere som kan blive en realitet om 30 år eller scenarier hvor inholdet af transmissionen er kendt på forhånd (hvilket ville overflødiggøre dekryptering).

Disse teoretiske svagheder ved, i øvrigt, enhver form for kryptering skal holdes op mod et system, NemID, hvor man på forhånd har fjernet sikkerheden og introduceret en uvedkommende tredjepart i kommunikationen, der har fri og ubesværet adgang til al data sendt gennem denne model.

Du siger at du ikke kan vurdere den konkrete situation. Da ville jeg anbefale dig enten at læse om Public Key Infrastructure og asymmetrisk kryptering, da det er meget usagligt at komme med sådanne udtalelser uden at kende eller forstå de tekniske begrundelser bag kritikken.

Ligeledes er det usagligt når jeg selv udtaler mig om hvorvidt NemID lever op til gældende lov, da jeg ikke har noget fagligt belæg for at udtale mig om juridiske aspekter. Men jeg vil gerne benytte lejligheden til at spørge dig om:

  • hvorvidt du mener, at NemID lever op til Persondatalovens §41 stk. 3, da DanID vel hverken kan siges at være dataansvarlig eller databehandler - og dermed er en uvedkommende tredjepart?

  • hvorvidt du mener, at det er lovligt at konstruere en juridisk gyldig digital signatur, som ikke lever op til Lov om elektroniske signaturer?

På forhånd tak

15
16. august 2010 kl. 11:17

Martin Haller,

Ganske som du er inde på, så er handler sikkerhed om at styre risiko. Risiko er i denne forbindelse sandsynligheden for at sikkerheden kan blive brudt. Det vil sige at en person som ikke skulle have adgang til et (del)-system får adgang, at data mistes grundet manglende backup, eller at systemet bringes ud af drift i en periode.

Det er også helt korrekt at en sikkerhedsvurdering bør foretages som en samlet helhed, hvor den samlede risiko vurderes.

Der er tre hovedsagelige interessenter i forbindelse med sikkerheden omkring DanIDs NemID løsning: Dels er der DanID selv. Dels er der DanIDs kommercielle anvendere (Banker, andre virksomheder) og dels er der borgerens anvendelse af systemet. Naturligvis er sikkerhedsdiskussionen afhængig af denne interessent.

For borgerens vedkommende må sikkerheden ikke forringes nævneværdigt og hans muligheder må ikke indskrænkes. Og det er her NemID fejler: Vi havde allerede en digital underskrift i TDCs digitale signatur. Den havde et vist sikkerhedsniveau og juridisk set var der rent faktisk tale om en digital signatur. Jeg finder der bemærkelsesværdigt at NemID ikke er omfattet af loven om digitale signaturer. Det er, for borgeren, en klar forringelse af sikkerheden. Dermed holder stråmandsargumentet omkring den fysiske digitale underskrift næppe.

Det er også bemærkelsesværdigt at i en post-NemID verden så kan min digitale underskrift kun sættes gennem en kommunikation med DanID. Det er en klar forringelse af mine muligheder: TDCs signatur kan sættes når som helst af mig, uden indblanding fra tredjepart. Verifikation af signaturen kræver kommunikation med tredjepart, men det er noget andet. DanID kunne meget vel tænkes at tage et gebyr for at jeg kan sætte min underskrift - og det er et problem.

Det sidste tekniske problem er dette: NemID-løsningen øger sikkerheden sikkerheden i form at et nøglekort. Og dette kan gøres samtidig med at man opfylder lov om digitale signaturer. Med andre ord findes der en løsning som ikke har det nuværende problem. Det finder jeg uheldigt.

IT-Politisk forenings argumentation er sådan set ikke forfejlet: Hvis der ikke er nogen privatnøgle lokalt på maskinen, hvorfor så overhovedet have en applet som kan række ud over applet-sandboxen? Det kan man ligeså godt undgå, for der er ikke noget reelt vundet ved alternativet. Hvorfor overhovedet have en krypteret logfil på brugerens computer når denne bare kan sendes til DanIDs servere?

Med andre ord: Man skal finde den interessent man supporterer. Man skal se på "skyggepriserne" eller de marginale omkostninger ved at ændre i sikkerhedsmodellen som den er nu. Hvis omkostningerne ikke ændrer sig nævneværdigt mod at man får øget sikkerhed, så giver det grobund til undren. Derfor kan det undre at man ikke har en privatnøgle. Og når man nu ikke har privatnøgle, hvorfor har applet'en så fuld kontrol? Og hvorfor bryde nævneværdigt med TDCs digitale signatur som virkede efter hensigten og bare kunne have fået en one-time-pad på sig i form af nøglekortet?

13
16. august 2010 kl. 10:55

Det er rigtigt at al sikkerhed er en afvejning af sikkerhed og bøvl.

Men husk på at ved NemID sker der en centralisering af "underskrifter", der gør misbrug mere interessant end almindeligt "analogt snyderi".

Læg dertil at NemID tilbyder en central overvågning af borgerne, og tilsyneladende teknisk er meget dårligere og dyrere end eksisterende løsninger på området... Så tegner der sig et billede af at nogen har sovet i timen.

Men forvent ikke at disse personer frivilligt indrømmer fejlen. De er jo professionelle (hvilket betyder at de får penge for det, og derfor har meget at miste).

Lyt hellere til entusiastiske amatører, f.eks. IT-POL, der er det tætteste vi kommer på en uvildig undersøgelse.

17
16. august 2010 kl. 11:27

Må hellere holde mig til emnet. Men hvem er det egentlig der laver revision af DanID? Det er jo dem vi skal stole på beskytter os mod korruption på landsplan..

Nej, hvor hulen kom den advokat lige fra? En ting er at NemID er så underminerende for befolkningens digitale sikkerhed som muligt, enddog meget tilgængelig.

Personligt synes jeg da at ideen bag NemID er genial. Designet er noget joks og implementeringen som jeg ville forvente et hvert nationalt forfejlet IT-projekt. Men det ændre ikke ved at løsningen har potentiale jeg har drømt om siden jeg var så ~ høj.

Jeg kom da også på Digital signatur til sidst og er glad for det. Og jeg kommer også på NemID. Men jeg håber dog at hullerne bliver lukket, min rets tryghed vender tilbage, og at løsningen udvikler sig.

Det er lidt 50-50 om jeg er naiv og stoler blindt på løsningen eller paranoid og føler mig cornered. Om en 6-9 måneder vil billedet bliver mere klart da løsningen på det tidspunkt er slået mere igennem og problemmerne burde blive udnyttet HVIS de bliver det.

Det er sgu lidt som mine maskiner. Jeg ville aldrig drømme om ikke at configurere min firewall til min arbejdsmaskine. Min lege maskine er jeg ikke sikker på jeg gider have antivirus på. Det er et spørgsmål om tillid. Skab den. Så forstummer debatten.

14
16. august 2010 kl. 11:03

At siddestille "snyd med NemID" med "forfalskning af analoge underskrifter" svarer til at sige at informationssøgning vha. google er magen til et gammeldags bibliotek (med papkort).

Det er i princippet det samme - men i praksis er der kæmpe forskel pga. mængden og hastigheden.

2
16. august 2010 kl. 07:43

Hej Thomas,

Tak for artiklen, det er lige mine ord.

+1

... alt i diskussionen bliver et fundamentalt ankepunkt med uoverskuelige konsekvenser for alle menneskers liv og færden.

[b]Martin Von Haller:[/b]
Det virker hysterisk, når man hver eneste gang, der bare er en lille mulighed for misbrug, så straks taler om, at der er et fundamentalt problem. Selvfølgelig skal NemID være sikker. Men der er ikke noget, der er helt sikkert - det er et fact of life,« siger advokaten med speciale i it-problemstillinger.

Præcist - du rammer hovedet lige på sømmet.

... og så håber jeg inderligt, at IT-Pols udtalelser for øjnene op hos beslutningstagerne for, hvor dilettantisk de af og til udtaler sig.

18
16. august 2010 kl. 12:05

... og så håber jeg inderligt, at IT-Pols udtalelser for øjnene op hos beslutningstagerne for, hvor dilettantisk de af og til udtaler sig.

HVAD?!?! Nu læste jeg artiklen 2 gange og jeg kan stadig ikke finde noget sted hvor Von Haller forfolder sig til kritikken. Faktisk virker det mest som om han blot stiller op i køen af folk, der ikke har gidet at sætte sig ind i hvad kritikken af NemID går ud på.

Det er selvfølgelig heller ikke nemt, når problemerne mudres sammen i medierne. Vignetten har siger f.eks. "gammeldags". Jeg har da også set folk, der brokkede sig over at det var håbløst gammeldags med et papir-kort med nøgler. Men hvis man satte sig lidt ind i kritikken ville man opdage at det er nogle helt andre folk end dem, der kritiserer NemID for at være et demokratisk problem. De 2 ting har intet med hinanden at gøre - faktisk gætter jeg på at kritikerne af papir-kortet heller ikke har fattet den anden kritik.

Kan vi da ikke få udtalelser fra folk, der faktisk har forstået kritikken og forholder sig til den??

20
16. august 2010 kl. 13:17

Hver gang man udtaler sig, er det et bidrag til en "varedeklaration". Artiklen kan således opfattes som et eksempel på Martin Grønbæks tilgang til alvorlige spørgsmål i IT-verdenen. Man kan synes om det eller man kan lade være.

Skulle jeg bruge en IT-advokat vil jeg til enhver tid vælge en der holder sig for god til at komme med uforbeholdne meninger og indlysende fakta i pressen. Jeg ville vælge en der kan formulere sig neutralt og balanceret og kan respektere alle de indvolverede parter.

I realiteten en artikel der har NemID som underordnet emne.

21
16. august 2010 kl. 16:43

Hvis NemID er en omgåelse af loven om persondata, så er det vel bare et spørgsmål om tid, inden vi ser hoveder falde og retssager mod de ansvarlige. Så lad os lige se engang, når de første sager dukker op, om nu også DanID/NemID overfor loven også kan fraskrive sig ethvert ansvar omkring systemet.

Hmm... Mon NemID er noget Lars Løkke har "tegnet og fortalt"? De minder i mistænkelig grad om hans førte politik.

22
Indsendt af Anonym (ikke efterprøvet) den man, 08/16/2010 - 17:05

Jeg tror at denne siger det hele

Stephan Engberg skrev (4. juli 2008):</p>
<p>Katastrofe på katastrofe - ansvarspådragende</p>
<p>Med andre ord - Finansministeriet og VTU har fejldesignet hele den offentlige infrastruktur. Så nu skal hele samfundet ligges i digitale lænker og spændes for en kommerciel malkemaskine fordi man i ministerierne ikke vil erkende de fejl man har begået.</p>
<p>Det er skræmmende at følge en offentlig sektor lave cover-ups, hvor prisen for skatteyderne bliver stadigt større for hver stadigt grovere overgreb for at presse en planøkonomisk fejlstrategi igennem.</p>
<p>Nu griber men til grundlovsstridige tiltag for at skabe en malkemaskine for bankerne, så de kan tvinge det igennem som ingen vil have og som kun destruerer værdi for samfundet.</p>
<p>Regningen er ikke sølle 800 millioner - den vil kunne måles i både 2 og formentlig 3-cifrede millardbeløb for den skade, det påfører samfundet i tabt konkurrencevne, mindre effektivisering i den offentlgie sektor, dårligere sikkerhed, underminering af tilliden til hele systemet, fejlinvesteringer i digitaliseringsprocessen etc. etc.</p>
<p>VTU har INGEN og kan ikke få beføjelser til at udlicitere magten over borgerens suverænitet på denne måde. DanId er IKKE en Digital Signatur og kan ikke være det fordi den ikke opfylder selv de mest minimale krav.</p>
<p>Det eneste relevante spørgsmål er hvornår det institutionelle system stopper dette samfundsundergravende galmandsværk.</p>
<p>Worst case - aldrig - fordi hele checks and balances systemet i Danmark synes at være brudt sammen. At både konkurrencestyrelsen og Datatilsynet burde have stoppet det for længe siden siger kun noget om hvor galt det står til i den indspiste danske centraladministration.</p>
<p>Tilbage er kun domstolsapperatet - og vi taler i sidste ende en regulær forfatningsdomstol fordi nu er selve Grundloven under angreb. Og videre overnationelt fordi en hel stribe tiltrådte direktiver og konventioner er overtrådt.</p>
<p>Bankerne griner - VTUs totale fiasko er ved at forære dem en helt ekstrem magtposition.</p>
<p>Magen til inkompetance, ressourcespild, samfundsundergravende aktivitet og ministeriel magtmisbrug er uden sidestykke i Danmarkshistorien.</p>
<p>Tamil-sagen var peanutes i sammenligning (<a href="http://da.wikipedia.org/wiki/Tamilsagen">http://da.wikipedia.org/wiki/T…;) - dette er et bevidst planlagt overgreb på hele befolkningen i strid med selve Grundloven, men formentlig også data-lovgivningen OG konkurrencelovgivningen.</p>
<p>Jeg vil blot understrege 100% klart - VTUs embedsfolk VIDSTE dette FØR de indgik aftalen og de har vidst det i lang tid, så ansvaret kan entydigt og utvetydigt placeres.</p>
<p>Spørgsmålet er kun hvor mange der pådrager sig medansvar ved at dække over dette overgreb på demokratiet og samfundet.</p>
<p>Vi kan allerede høre Anders Fogh Rasmussen forsøge at feje sagen ind under gulvtæppet ..
<a href="http://www.computerworld.dk/art/46870/virksomhederne-skal-betale">http:…;

19
16. august 2010 kl. 13:11

Det er sjovt at se at der bliver refereret til 'analog' sikkerhed - jeg antager, man her hentyder til udlevering af breve via PostDanmark. Når man som jeg bor et sted, hvor postbuddet i en lang periode uddelte breve til 'nr. 20' uden hensyn til hvilken vej de var nr. 20 på - så er overliggeren placeret ganske lavt. Der er stor sandsynlighed for, at mit nøglekort lander i en anden postkasse end min.

Det er helt rigtigt, at sikkerheden i en underskrift ikke er stor. Og at personlige papirer ikke bliver behandlet i overensstemmelse med persondataloven. Og jeg har aldrig fattet, at bankerne er sluppet afsted med at have særlige krav til indlogningen i eboks (når nu alternativet er så ringe som det er).

Den store forskel er, at de alternative løsninger (inklusiv digital signatur) kompromiterer én bruger af gangen. Mens risikoen for systematisk misbrug/denial-of-service på NemID er tilstede - og dermed øges kravet til en velgennemtænkt løsning.