Kommentar: Digitaliseringsstyrelsen holder os alle for nar

17. marts kl. 10:2022
MitID
Illustration: Ingeniøren.
Kommunikationen omkring MitID er så dårlig, at det er umuligt for borgerne at finde hoved og hale i den. Digitaliseringsstyrelsen sidder tungt på al information.
Artiklen er ældre end 30 dage

Trods gentagne eksempler på, at sikkerheden i MitID mildest talt er hullet, står Digitaliseringsstyrelsen, der sammen med bankerne ejer MitID, fast på, at løsningen er sikker nok.

Dermed erklærer styrelsen sig uenig med flere professorer, lektorer og mindst fire førende, private it-sikkerhedseksperter, Version2 har talt med. Samt ikke mindst Datatilsynet, der helt tilbage i september 2022 måtte give Digitaliseringsstyrelsen et påbud og beordre styrelsen til at forbedre sikkerheden.

Det skyldtes, kort sagt, at hele tre borgere på tre måneder havde logget ind på hinandens MitID, fordi vi ikke længere har et kodeord i vores mest centrale loginløsning.

Dette påbud – et juridisk rap over nallerne – har Digitaliseringsstyrelsen kommunikeret som »positiv dialog«.

Artiklen fortsætter efter annoncen

Tilbage på informationsperronen står den almindelige dansker, der bare gerne vil passe så godt på sig selv, sin formue og sine persondata som muligt. Hvad skal man tro på? Og hvordan passer man på sig selv, når myndigheden på området ligger i åben kommunikationsstrid med eksperter og andre myndigheder?

Hvem har skylden?

Og hvis det går så skidt, som det gjorde for de tre danskere, hvis sager endte hos Datatilsynet, og en fremmed dansker pludselig er logget ind i ens bank eller på sundhed.dk, hvor det flyder med følsomme oplysninger – hvis skyld er det så?

Følger vi Digitaliseringsstyrelsens logik, er skylden din egen. MitID fungerer som planlagt, lyder det i flere omgange fra Danmarks centrale it-myndighed, der ved flere lejligheder har gentaget over for Version2 både på skrift, på tv og i landsdækkende radio, at man med fordel kan »oprette et stærkt brugernavn«.

Der er svært at gætte.

Artiklen fortsætter efter annoncen

Lyder det bekendt? Resten af it-verdenen kalder den slags kodeord, og de er ganske udbredt i næsten enhver tjeneste, der bare skal sikres nogenlunde – i hele verden. Undtagen Danmarks vigtigste løsning, som alle vores digitale guldæg er samlet i.

Derfor er det næppe borgernes skyld, at deres brugernavne ikke er designet som kodeord – det er kontralogisk. I årevis er hele verden blevet opdraget til, at brugernavne er noget, der er simpelt og nemt at huske, og at kodeordet er det, der skal passe på os. Sidstnævnte er hemmeligt – stik modsat brugernavnet. I MitID er de to ting blandet sammen i en uadskillelig, usikker suppedas.

Men spørger man i stedet eksperterne og universitetsfolkene – eller Datatilsynet – peger pilen på Digitaliseringsstyrelsen og Nets, der har udviklet systemet. Det er fyldt med designfejl, der langsomt pibler frem, og som øjensynligt tager utrolig lang tid at fikse.

Digitaliseringsstyrelsen bøvler eksempelvis stadig med at rette op på de fejl, Datatilsynet beordrede dem til at rette i september. Det er nu seks måneder siden, og fejlene bliver først rettet i juni. Præcis hvordan ved vi som offentlighed endnu ikke – men bliver blot bedt om at stole på, at denne gang, der er den der. Men hvad med næste gang? Siger styrelsen selv til, når den begår en fejl, eller skal der endnu en aktindsigt til?

Den danske model

For få måneder siden besøgte Version2 Israel, der måske nok er en af de mest paranoide stater i verden, men som også er allerlængst fremme i forhold til konstant at holde landets cyberorganer på dupperne. Her belønner man enhver, der kommer med forbedringsforslag til landets centrale systemer. Der er sågar en ugentlig, månedlig og årlig hall of fame over de folk, der har fundet flest huller og indberettet dem.

Hvor er den offentlige hyldest af de forskere, der i starten af 2022 begyndte at rejse den første kritik af MitID’s svage loginstruktur? Hvor er hastemøderne med de eksperter, der i Version2 har taget sig til hovedet og råbt vagt i gevær?

Hvor er dialogen, der i sikkerhedens navn er blevet sultet ihjel af en overbeskyttende styrelse, som stadig hænger fast i oldtidens tanker om security by obscurity. Hvor man naivt håber, ingen andre finder de fejl, der vil være i næsten alle systemer. Og derfor gemmer sig og prøver at nedtone sagerne, når fejlene alligevel kommer frem.

Vrede brugere

Men hvad siger brugerne, hvis man spørger dem? 3.124 af dem, for at være præcis. På trustpilot.com får MitID en score på 1,2 ud af 5. Dermed indplacerer MitID sig et godt stykke under en webshop, jeg for nylig politianmeldte for aldrig at sende den vare, jeg bestilte.

Folk er rasende, de er forvirrede og de er magtesløse. Flere nævner konkret den skiftende kommunikation både om sikkerheden og de øvrige funktioner:

Artiklen fortsætter efter annoncen

»MitID har nu ændret rækkefølgen på login uden at underrette brugerne først. Det er uhyre arrogant,« skriver f.eks. brugeren Carl Rasmussen.

Mens denne kommentar blev skrevet, stod den ansvarlige for MitID på en konference om offentlig digitalisering og fortalte om MitID. Inden da har Digitaliseringsstyrelsen gentagne gange afvist at stille op til interview og forklare, hvordan de vil lappe hullerne i MitID. Samt hvad de tænker om Datatilsynets påbud.

I stedet for at bruge lejligheden til at erkende, at der er knas i maskineriet og forsikre om, at det vil man naturligvis kigge på, lød det fra scenen, at Version2 »har misforstået det hele. Desværre«.

Siden da har vi flere gange forsøgt at få denne udlægning uddybet, men Digitaliseringsstyrelsen leger en forbløffende stilleleg.

Vi har trods alt skrevet om tre forskellige fejl i loginprocessen i MitID og fremlagt al dokumentation. Vi har tilbudt at komme forbi Digitaliseringsstyrelsen til en kop kaffe, så vi kunne gennemgå problemerne. Hver eneste af vores artikler har fremprovokeret opdateringer af MitID, der i sig selv er påfaldende, hvis altså sikkerheden er i top, som Digitaliseringsstyrelsen igen og igen siger.

Hvis alle andre – myndigheder, professorer, eksperter, borgere og journalister – virkelig misforstår alt eller meget af det, Digitaliseringsstyrelsen siger, bør de dygtige mennesker, der arbejder der, nok tænke lidt over, hvordan de formulerer sig. Eller om de holder os alle for nar.

22 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
27. marts kl. 13:01

Hmm, jeg er ret uforstående overfor hvordan man kan oprette sig med et brugernavn, der allerede er taget i MitId . Både FB, Google, MicoSoft, m.f. har valideringer, så man bliver afvist hvis man forsøger at oprette sig med et brugernavn, der er taget. Hvordan har MitId tænkt sig at løsningen skulle fungere uden unikke brugernavne.

22
27. marts kl. 13:26

Claus, du kan ikke oprette dig med et eksisterende brugernavn.

16
18. marts kl. 14:53

Jeg tror ikke, at jeg har forstået problemet med "brugernavn". Der skal da også anvendes et kodeord (password) ved login, foruden tallet fra kodeviseren.

Er det noget med mobiltelefonerne?

Cheers

Axel

18
18. marts kl. 19:35

Hvis man bruger appen, så skal kun bruge brugernavn + et swipe.

19
19. marts kl. 09:08

til #18: plus 6 cifre eller biometri på mitid appen

12
18. marts kl. 10:29

Det er den EVIGE "ingen konsekvens - intet incitament"...

Af hensyn til "rigets sikkerhed", så fjernes der adgange til aktindsigt og dermed en sporbarhed af beslutninger, specielt når der involveres "nogen", læses som politikkere, offentlig myndighed. Beslutninger skal tages og selvfølgelig vil der tages forkerte beslutninger, men evnen til reel opfølgning burde være tilstede for alle parter, MitID er desværre et symptom på beslutninger, hvor der kun er "en læring", at sporbarhed er mindre vigtig/skal mindskes. Dermed en form for ansvarlighed, ”nåh ja” problemet er forresten borgerens!!!

8
17. marts kl. 13:58

Konen har MitID og har fulde navn som login. Der er 500 i Danmark der hedder det samme. Nu skal jeg så kraftigt anbefale hende at skifte brugernavn. Det lyder helt gak.

Selv er jeg ikke ramt af dette problem, da jeg ikke har MitID.

6
17. marts kl. 12:48

Problemet starter i Grundloven.

Grundlove skrives for at løse et problem.

Danmarks problem var monarker med natpotten på hovedet.

Det problem løste man ved at parallelforskyde enevælden over til godsejere valgt af godsejere.

Kun med møje og besvær er det senere lykkedes at udbrede stemmeretten til uformuende, kvinder osv.

Men enevælden består: Vi har ikke nogen tredeling af magten i Danmark fordi "Ingen over og ingen ved siden af Folketinget."

Og derfor er der ingen myndigheder, mindst af alt domstole, der kritiserer andre myndigheder for at inkompetente, grænsende til det landsskadelige.

De eneste der kan gøre noget er Folketinget.

Og de ved ikke noget om IT og teknologi, for, som enhver ved, er IT folk og Ingeniører alt for fine til at sidde på Tinge.

Det er ikke nok at stemme: Stil op!

14
18. marts kl. 10:45

Nu spurgte jeg dig for nogle år siden her i debatten hvorfor jeg ikke kan finde PHK på listen... ;-)

4
17. marts kl. 12:40

to ting blandet sammen i en uadskillelig, usikker suppedas.

Password er en forældet metode. Kombination af brugernavn og password til en entitet, der ikke forandres er fornuftig nok, så længe den er entydig og tilstrækkelig kompleks.

Gammeldags identifikation med brugernavn og kodeord er mere besværlig for brugerne, end for hackerne.

Sikkerheden ligger i tofaktorautentifikation, 6 cifret pinkode, enhedsidentificering, app og selvfølgeligt krypteringen af de hele.

Problemet her er at de ikke har implementeret det ordentligt, så identifikationen ikke er entydig. Man kan så blive urolig for hvordan resten er implementeret!? Men tankegangen med kun et brugernavn, er god nok.

20
22. marts kl. 14:11

Hej Simon, identifikationen er entydig - der er ikke flere der kan have samme brugernavn. Problemerne opstår når to brugere har et næsten ens Mitid brugernavn, og den ene af dem ved en fejl taster den andens ind (nogle kan måske ikke huske deres præcise navn), og den anden bruger så godkende transaktionen. Problemet er søgt imødegået ved ikke at sende notifikationer som i Nemid, men der er stadigvæk en risiko for den anden bruger selv i er gang med at logge ind og kommer til at godkende den første brugers transaktion (måske uden at gennemlæse / tror det er sin egen)... nu er den første bruger logget ind på den andens konto. Så identifikationen er (i systemet) entydig, men der skal ikke så meget til før det går galt. adgangskoden fungerede som et ekstra filter i en sådan situation.

7
17. marts kl. 13:00

Nu ved jeg ikke hvad en kodeviser koster, men hvis man fra starten blot havde besluttes sig for at uddele en kodeviser til alle, så er jeg sikker på at udgifterne i samlet var blevet mindre og sikkerheden bedre.

10
17. marts kl. 23:23

Nu ved jeg ikke hvad en kodeviser koster, men hvis man fra starten blot havde besluttes sig for at uddele en kodeviser til alle, så er jeg sikker på at udgifterne i samlet var blevet mindre og sikkerheden bedre.

Kodeviseren er ren guf for et MIM angreb.

Den eneste kobling fra klient til system er den hash der bliver beregnet ud fra tiden (lidt populariseret, men det er fuldstændig underordnet hvor kompliceret beregningen er) - det er så langt fra tofaktor som man kan komme.

Og nøgleviserens "kode" er valid i mindst 2 minutter, så den bare marginalt snu MIM angriber kan sagtens nå at logge ind på banken, gøre overførslen klar, meddele brugeren at "noget" gik galt og så få ham til at taste en ny kode ind.

Det er skandaløst ringe.

Jeg har ikke prøvet om koden kan genbruges inden for tiden, men det ville ikke undre mig.

"I stedet for at bruge lejligheden til at erkende, at der er knas i maskineriet og forsikre om, at det vil man naturligvis kigge på, lød det fra scenen, at Version2 »har misforstået det hele. "

Hvorfor er det lige jeg kommer til at tænke på Blinkende Lygter?

13
18. marts kl. 10:43

Jeg har ikke prøvet om koden kan genbruges inden for tiden, men det ville ikke undre mig.

"Normalt" kan en kode fra en kodeviser kun bruges en gang - hvis det ikke er tilfældet med MitID er det en bug af format.

Kodevisere (uanset om det er App eller fysisk) betragtes ellers som ret sikre...

17
18. marts kl. 15:50

(uanset om det er App eller fysisk)

Nej. Jeg har en Samsung Galaxy S22 og den har en sikkerhedsfejl. Så med denne eller en anden sikkerhedsfejl er telefonen usikker, og den fysiske dims er det sikreste.

15
18. marts kl. 11:02

hvis det ikke er tilfældet med MitID er det en bug af format.

Jeg mener, at jeg jævnligt har brugt samme kode flere gange, hvis der er gået noget galt. Vil fremover huske at trykke på knappen igen, så jeg får en ny kode.

11
18. marts kl. 10:05

Hvorfor er det lige jeg kommer til at tænke på Blinkende Lygter?

Enig Christian. Og skal billedet forlænges lidt, så minder situationen om blinkende lygter i en jernbaneoverskæring. Det blinker rødt samtidig med at MitID forsvares fra en position ude midt på sporet: "Nej, der er ingen fejl. Se det går jo fint".

3
17. marts kl. 11:51

Rigtigt god kommentar fra Version2. Frustrationen over som gravende journalist ikke kan få lov at få svar fra centrale myndigheder, når man gør sit arbejde, er til at føle på i kommentaren - og fuldt forståelig.

Digitaliseringsforstyrrelsen udstråler en helt ufattelig arrogance, og man må som borger spørge sig selv hvorfor? Hvordan tør de? Man får en mistanke om, at de må føle sig beskyttede af friends in high places, så de kan tillade sig at være arrogante - men hvem er de venner, der beskytter dem?

Og hvorfor sætter den nye IT-minister sig ikke i respekt med en lodret ordre om at få styr på tingene? Det varsler ikke godt for fremtiden. Hvis side er IT-ministeren egentlig på?

1
17. marts kl. 11:28

Det er den EVIGE "ingen konsekvens - intet incitament"...

Så længe der ikke findes en direkte konsekvens for deres inkompetence, så er der ikke noget incitament for dem, til at ændre på status quo.

2
17. marts kl. 11:38

Det er den EVIGE "ingen konsekvens - intet incitament"...

Hvem skal holde øje med dem ?

Det er jo politikerne som er over dem og deres hjerner fungerer kun i 4 års intervaller - og den nødvendige kompetence til at forstå komplekse it-problematikker er på niveau af en teenager på TikTok.