I sidste uge kunne man læse, hvordan Ingeniøren og Version2 gennemførte et fiktivt man-in-the-middle-angreb mod NemID. Tidligere har kriminelle udført phishing-angreb mod Nordea. Der er helt klart huller i NemID.
Men problemet med NemID er ikke, at den slags angreb er mulige. Det har nemlig fra starten været klart for alle med baggrund i it-sikkerhed. Det er bare først nu, at nogen har gidet demonstrere det.
Nej, problemet med NemID er DanID's syn på sikkerhed. Hver gang der har været rejst kritik af systemets sikkerhed i den offentlige debat, har svaret fra DanID været det samme: Systemet er sikkert. Basta!
I første omgang er det uheldigt med en sådan udmelding. Når den offentlige debat mangler, bliver almindelige borgere ikke oplyst om de risici, der er forbundet med NemID – og kan derfor ikke tage de nødvendige forholdsregler.
Derudover er den valgte løsning med en integreret applet særlig følsom for misbrug, da brugeren ikke har reel mulighed for at se, hvem der modtager oplysningerne. Havde man i stedet valgt en løsning med redirect til NemID's hjemmeside (efter samme princip som man ser det ved kreditkortbetalinger), ville det være nemmere for brugeren at kontrollere, at alting var o.k.
Men det egentlige problem stikker meget dybere.
NemID bærer præg af at være opstået i et lukket forløb. I udbudsfasen var der ingen offentlig debat om, hvordan løsningen skulle fungere. Alle krav blev fastlagt i et lukket forum mellem DanID og It- og Telestyrelsen. Og al senere offentlig kritik er blevet fejet af banen eller tiet ihjel.
Det syn på sikkerhed fungerer fint i bankverdenen. Så længe det bare handler om penge, kan banken vælge den sikkerhedsmodel, der er billigst overordnet set. Hvis der kan spares nogle millioner på udviklingen af systemet, kan det godt betale sig at lave et hullet system – så længe det er billigere at erstatte de beløb, der bliver stjålet ved nogle få indbrud i netbanken. Bankkunden får så deres penge igen, og alle er glade.
Men den model virker ikke, når man pludselig bruger den uden for finansverdenen. Der kan man nemlig ikke værdisætte skader præcist. Hvis dit hus bliver solgt, eller dine børn bliver meldt ud af skolen, du melder flytning, eller du bliver skilt online – hvordan erstatter man det? Jo, man kan naturligvis føre transaktionen tilbage, men hvad med alle de gener, der er forbundet med det? Hvordan prissætter man det? Og hvor meget skal du gøre for at bevise, at det ikke var dig?
Og hvis det lykkes for dig at sende krypteret e-mail med NemID, hvordan erstatter (endsige opdager) du så, at en uvedkommende har læst din mail?
Hvis man skal bruge NemID uden for den finansielle verden, kræver det, at hele modellen bag NemID gentænkes. Og denne gang skal borgernes og virksomhedernes hensyn tænkes med i løsningen. I en offentlig proces, tak!
Jørgen Elgaard Larsen er bestyrelsesmedlem i IT-Politisk Forening.