It-ordfører afviser central fallback-løsning: NemID-nedbrud er kortvarige

Illustration: REDPIXEL.PL/Bigstock
Der er ikke brug for en central fallback-løsning, der kan overtage, hvis NemID går ned. Nedbrud er oftest kortvarige og er i det store billede små, siger Socialdemokraternes it-ordfører

Der findes ikke en digital nødløsning, der træder i kraft, hvis NemID er utilgængelig. På Version2 kaldte oppositionen det faktum for fuldstændig uacceptabelt. Men det er socialdemokraternes it-ordfører Trine Bramsen lodret uenig i.

Læs også: Oppositionens ramaskrig: Manglende NemID-nødløsning fuldstændig uacceptabelt

Trine Bramsen afviser oppositionens kritik om en manglende fallback-løsning til NemID. Hun er nemlig enig i Digitaliseringsstyrelsen og finansminister Bjarne Corydons vurdering af, at det er op til de enkelte myndigheder at have et beredskab klar.

»Digitaliseringsstyrelsen har grundigt redegjort for, at de har ansvaret for at sikre, at informationen kommer ud til borgerne. Og det giver rigtig god mening, at det er Skat eller de enkelte kommuner, der skal vurdere, hvordan det konkrete nødberedskab skal være skruet sammen. Det er jo dem, der i sidste ende servicerer borgerne,« siger Trine Bramsen til Version2.

Hun mener ikke, at løsningen på fremtidige NemID-nedbrud vil være et ekstra system, som borgerne skal forholde sig til.

»Det handler om at gøre det så simpelt som muligt for borgerne at bruge de digitale løsninger. Hvis man ser på, hvor lidt NemID har været nede i forhold til, hvor lang tid, det har været i drift, er det stadigvæk promiller,« siger Trine Bramsen til Version2 og fortsætter:

»Det giver langt bedre mening at have gode beredskabsplaner, så borgeren ved, hvad konsekvensen af et nedbrud er. Det skal være så let som overhovedet muligt, og der skal ikke være 117 forskellige it-løsninger, som borgerne skal forholde sig til.«

Men risikerer man ikke netop, at der er 117 forskellige it-løsninger, borgerne skal forholde sig til, når det er op til de enkelte myndigheder at sørge for en nødløsning?

»Jeg mener ikke, at man risikerer, at borgerne får mange forskellige login-løsninger at skulle forholde sig til, fordi ansvaret for et nødberedskab ligger hos dem, der har ansvaret for de enkelte løsninger.«

Løsningen er ikke kun fysisk fremmøde

Et af de springende punkter i diskussionen var, at der fra Digitaliseringsstyrelsens side blandt andet blev henvist til fysisk fremmøde ved borgerservicecentre i tilfælde af længerevarende nedbrud. Det fik oppositionen op i det røde felt, og blandt andet kaldte venstres it-ordfører Michael Aastrup Jensen henvisningen for provokerende arrogant.

Men det præmis køber Trine Bramsen slet ikke. For forslaget om at møde fysisk op på et borgerservicecenter er blot ét forslag ud af mange. Der lægges blandt andet også op til, at man kan henvende sig telefonisk eller at man kan vente en dag eller to, hvis tingene ikke haster. Og så er hun ikke enig i, at det nødvendigvis skulle være problematisk eksempelvis at henvise til et fysisk borgerservicecenter.

»Ved nedbrud er det op til den enkelte kommune at sikre, at der er bemanding til at kunne håndtere henvendelser til borgerservicecentret. Et sådan beredskab har kommunerne også på en lang række øvrige områder, hvor det kan være nødvendigt at tilkalde ekstra personale. Det er jeg ret overbevist om, at kommunerne godt kan håndtere.«

Regner med høj oppetid

Et af hovedargumenterne er altså, at nedbruddene hidtil har været så kortvarige, at man højst har skullet vente en dag eller to med at indsende eksempelvis en flytteanmeldelse til det offentlige. Hidtil har der altså ikke været store nedbrud, der trak ud i mange dage eller uger. Trine Bramsen er dog ikke bekymret for, at det vil komme til at ske.

»Sikkerheden har åbenlyst ikke været god nok fra NemID’s side. Det er der nu grundigt ved at blive rettet op på,« siger hun og fortsætter:

»DanID har en kontrakt, hvor der er krav om oppetid, som skal overholdes. Det har vi fået håndslag på, at de vil overholde, så det har jeg kun grund til at tro på.«

Læs også: Sandheden om NemID: 1,7 gange mere nede end tilladt

Og det er ikke kun oppetiden, Trine Bramsen tror på, DanID i fremtiden vil håndtere bedre. Også sikkerheden vil blive bedre, lyder det fra it-ordføreren.

»Vi har fået håndslag på, at sikkerheden strammes op, og har fået indsigt i nogle af de iværksatte sikkerhedsinitiativer. Det er ikke noget, jeg mener, at offentligheden skal have indsigt i, da det selvsagt vil gøre det lettere at gennemføre angreb,« siger Trine Bramsen til Version2 og fortsætter:

»For mig er det afgørende, at NemID kører. Oplever vi flere angreb, af denne form, er det klart, at vi vil genoverveje, hvad vi vil gøre. Der er nogle ret stramme kontrakter mellem NemID og Digitaliseringsstyrelsen, så det vil få store konsekvenser.«

I en artikel udtalte Nets, at de havde arbejdet på DDoS-værnet siden januar, og at der dermed ikke havde været et egentlig DDoS-værn. Derfor blev Nets kritiseret for ikke at have haft en løsning klar tidligere. Men det passer ikke, at der ikke var et værn, lyder det fra Trine Bramsen.

»Der er sket en kraftig stigning af DDoS-angreb i det seneste halve år. DanID har oplyst, at de har haft et beredskab i forhold til DDoS,« siger Trine Bramsen og fastslår:

»Det er ikke mit indtryk at NemID har været helt uden sikring mod angreb af DDoS-lignede karakter.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rene Madsen

For mig er det afgørende, at NemID kører. Oplever vi flere angreb, af denne form, er det klart, at vi vil genoverveje, hvad vi vil gøre. Der er nogle ret stramme kontrakter mellem NemID og Digitaliseringsstyrelsen, så det vil få store konsekvenser.

Man bygger også først brønden til at hente vand fra når huset brander.

Alle mulige kontrakter på papir løser ikke borgernes problemer med at løsningen ikke virker. Lav nu den løsning decentral, så er det slet ikke et issue!

Peter Mogensen

Lidt fornuft er der da (for en gangs skyld) i hvad hun siger:

"Hun mener ikke, at løsningen på fremtidige NemID-nedbrud vil være et ekstra system, som borgerne skal forholde sig til."

...ud over at ideen om et "fallback" system generelt er misforstået, så kan hun da have ret i den pointe.
At hendes anden begrundelse så er at hun endnu ikke har set noget rigtigt alvorligt og hun har fået en hemmelig indsigt, der skulle gøre det mere sikkert (altså bare hemmeligheden ikke røbes) må man nok bare trække på skuldrene af.

Thomas Alexander Frederiksen

Jeg kommer sådan til at tænke på historien om manden der faldt ned fra toppen af en 115-etages skyskraber, og som efter 113 etagers fald tænkte "foreløbig går det jo meget godt"...

Alt det magiske kontraktvifteri og de hemmelige tiltag er jo bare varm luft, og som bekendt stopper varm luft ikke DDoS-angreb. Så længe der er et let-angribeligt single point of failure i form af en enkelt udbyder af tjenesten, så vil problemet bestå. De øvrige sikkerhedsproblemer og risici udeladt af ligningen er der altså fortsat et problem der ikke bare sådan kan ignoreres. Med mindre man er Tine Bramsen, åbenbart.

Christian Nobel

At hendes anden begrundelse så er at hun endnu ikke har set noget rigtigt alvorligt og hun har fået en hemmelig indsigt, der skulle gøre det mere sikkert (altså bare hemmeligheden ikke røbes) må man nok bare trække på skuldrene af.

Nu er der vel ingen grund til overhovedet at tage de ting der vælter ud af Trine Bramsens mund seriøst - vi så jo hvordan hun har udtalt sig decideret ubegavet i forbindelse med digitale valg, offentlighedsloven og meget andet.

Så skal vi ikke bare se at det var endnu en Trine Bramsen, og så håbe på at mere garvede folk har en mere velovervejet holdning.

Carsten Berggreen

Hvordan kan man accepterer så dårligt et system design når man har brugt så mange millioner på det?

Hvem siger det er "lovlige" danske borgere som laver det næste angreb? Hvad nu hvis det er en organisation med åbentlys økonomisk interesse i at lægge vores lands infrastruktur ned?

Synes man burde udfordre kvikke danskere med en uges frit lejde til at se om de kan tvinge den i knæ nu hvor "sikkerheden er forbedret" - så ved vi hurtigt om det er mere varm luft eller ej.... mon DanID tør stille op?

Ragnar Joensen

Nej hvor er det latterlig at et sådan et system ikke har en eller anden form af availability-backup plan. Tænker man på hvor nemt det egentlige er at lave et stort amplification men relativ små source traffic, så burde man absolut begynde at tænke på et mere robust netværk til dette system. Færøerne kigger nu på at komme på nem-id banen, jeg tror sku ikke at det er en god ide :/

Per Laursen

når nem-id og øvrige services hos den myndighed borgeren ønsker at kontakte aktive og tilgængelige, så er der jo ikke noget problem!
Tidligere kunne vi udfylde vores selvangivelse og aflevere den i postkassen når vi havde tid. I dag kan vi forberede os og når det "på trods af" nem-id og øvrige services er muligt at logge ind - altså når vores service organer står til rådighed SAMTIDIGT med at vi har tid - udfylde vores selvangivelse. Hvis der ikke er noget sammenfald her, så er vi automatisk kriminelle, ikke ved handling eller mangel herpå, derimod ved fraværet af mulighed for at interagere med myndighederne i det vindue disse eller deres repræsentanter stiller til rådighed for borgerne.
Jeg er egentligt rigtigt glad for muligheden for digital kontakt med myndighederne, herunder udfyldelse af selvangivelse men de offentlige myndigheder/beslutningstagere SKAL være opmærksomme på risici interaktions problemer og eventuel marginalisering af nogle brorgere . Jeg oplevede at være ude af stand til at logge ind - på tidspunkter hvor jeg havde tid - på skat, fire dage i træk. Hvis dette havde været lige op til deadline for selvangivelse havde jeg ikke fået indrapporteret i tide, med de omkostninger dette kan have.
(En del vil så mene jeg kunne have været ude i bedre tid - det er muligt men dette er så en ændring i forhold til tiden før digitalisering).

Log ind eller Opret konto for at kommentere