Trods gentagne eksempler på, at sikkerheden i MitID mildest talt er hullet, står Digitaliseringsstyrelsen, der sammen med bankerne ejer MitID, fast på, at løsningen er sikker nok.
Dermed erklærer styrelsen sig uenig med flere professorer, lektorer og mindst fire førende, private it-sikkerhedseksperter, Version2 har talt med. Samt ikke mindst Datatilsynet, der helt tilbage i september 2022 måtte give Digitaliseringsstyrelsen et påbud og beordre styrelsen til at forbedre sikkerheden.
Det skyldtes, kort sagt, at hele tre borgere på tre måneder havde logget ind på hinandens MitID, fordi vi ikke længere har et kodeord i vores mest centrale loginløsning.
Dette påbud – et juridisk rap over nallerne – har Digitaliseringsstyrelsen kommunikeret som »positiv dialog«.
Tilbage på informationsperronen står den almindelige dansker, der bare gerne vil passe så godt på sig selv, sin formue og sine persondata som muligt. Hvad skal man tro på? Og hvordan passer man på sig selv, når myndigheden på området ligger i åben kommunikationsstrid med eksperter og andre myndigheder?
Hvem har skylden?
Og hvis det går så skidt, som det gjorde for de tre danskere, hvis sager endte hos Datatilsynet, og en fremmed dansker pludselig er logget ind i ens bank eller på sundhed.dk, hvor det flyder med følsomme oplysninger – hvis skyld er det så?
Følger vi Digitaliseringsstyrelsens logik, er skylden din egen. MitID fungerer som planlagt, lyder det i flere omgange fra Danmarks centrale it-myndighed, der ved flere lejligheder har gentaget over for Version2 både på skrift, på tv og i landsdækkende radio, at man med fordel kan »oprette et stærkt brugernavn«.
Der er svært at gætte.
Lyder det bekendt? Resten af it-verdenen kalder den slags kodeord, og de er ganske udbredt i næsten enhver tjeneste, der bare skal sikres nogenlunde – i hele verden. Undtagen Danmarks vigtigste løsning, som alle vores digitale guldæg er samlet i.
Derfor er det næppe borgernes skyld, at deres brugernavne ikke er designet som kodeord – det er kontralogisk. I årevis er hele verden blevet opdraget til, at brugernavne er noget, der er simpelt og nemt at huske, og at kodeordet er det, der skal passe på os. Sidstnævnte er hemmeligt – stik modsat brugernavnet. I MitID er de to ting blandet sammen i en uadskillelig, usikker suppedas.
Men spørger man i stedet eksperterne og universitetsfolkene – eller Datatilsynet – peger pilen på Digitaliseringsstyrelsen og Nets, der har udviklet systemet. Det er fyldt med designfejl, der langsomt pibler frem, og som øjensynligt tager utrolig lang tid at fikse.
Digitaliseringsstyrelsen bøvler eksempelvis stadig med at rette op på de fejl, Datatilsynet beordrede dem til at rette i september. Det er nu seks måneder siden, og fejlene bliver først rettet i juni. Præcis hvordan ved vi som offentlighed endnu ikke – men bliver blot bedt om at stole på, at denne gang, der er den der. Men hvad med næste gang? Siger styrelsen selv til, når den begår en fejl, eller skal der endnu en aktindsigt til?
Den danske model
For få måneder siden besøgte Version2 Israel, der måske nok er en af de mest paranoide stater i verden, men som også er allerlængst fremme i forhold til konstant at holde landets cyberorganer på dupperne. Her belønner man enhver, der kommer med forbedringsforslag til landets centrale systemer. Der er sågar en ugentlig, månedlig og årlig hall of fame over de folk, der har fundet flest huller og indberettet dem.
Hvor er den offentlige hyldest af de forskere, der i starten af 2022 begyndte at rejse den første kritik af MitID’s svage loginstruktur? Hvor er hastemøderne med de eksperter, der i Version2 har taget sig til hovedet og råbt vagt i gevær?
Hvor er dialogen, der i sikkerhedens navn er blevet sultet ihjel af en overbeskyttende styrelse, som stadig hænger fast i oldtidens tanker om security by obscurity. Hvor man naivt håber, ingen andre finder de fejl, der vil være i næsten alle systemer. Og derfor gemmer sig og prøver at nedtone sagerne, når fejlene alligevel kommer frem.
Vrede brugere
Men hvad siger brugerne, hvis man spørger dem? 3.124 af dem, for at være præcis. På trustpilot.com får MitID en score på 1,2 ud af 5. Dermed indplacerer MitID sig et godt stykke under en webshop, jeg for nylig politianmeldte for aldrig at sende den vare, jeg bestilte.
Folk er rasende, de er forvirrede og de er magtesløse. Flere nævner konkret den skiftende kommunikation både om sikkerheden og de øvrige funktioner:
»MitID har nu ændret rækkefølgen på login uden at underrette brugerne først. Det er uhyre arrogant,« skriver f.eks. brugeren Carl Rasmussen.
Mens denne kommentar blev skrevet, stod den ansvarlige for MitID på en konference om offentlig digitalisering og fortalte om MitID. Inden da har Digitaliseringsstyrelsen gentagne gange afvist at stille op til interview og forklare, hvordan de vil lappe hullerne i MitID. Samt hvad de tænker om Datatilsynets påbud.
I stedet for at bruge lejligheden til at erkende, at der er knas i maskineriet og forsikre om, at det vil man naturligvis kigge på, lød det fra scenen, at Version2 »har misforstået det hele. Desværre«.
Siden da har vi flere gange forsøgt at få denne udlægning uddybet, men Digitaliseringsstyrelsen leger en forbløffende stilleleg.
Vi har trods alt skrevet om tre forskellige fejl i loginprocessen i MitID og fremlagt al dokumentation. Vi har tilbudt at komme forbi Digitaliseringsstyrelsen til en kop kaffe, så vi kunne gennemgå problemerne. Hver eneste af vores artikler har fremprovokeret opdateringer af MitID, der i sig selv er påfaldende, hvis altså sikkerheden er i top, som Digitaliseringsstyrelsen igen og igen siger.
Hvis alle andre – myndigheder, professorer, eksperter, borgere og journalister – virkelig misforstår alt eller meget af det, Digitaliseringsstyrelsen siger, bør de dygtige mennesker, der arbejder der, nok tænke lidt over, hvordan de formulerer sig. Eller om de holder os alle for nar.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
