Leder: MitID må tilbage på tegnebrættet

30. september kl. 04:0018
Leder
Illustration: Ingeniøren.
Artiklen er ældre end 30 dage

Danmark er flere gange udråbt til verdens­mester i offentlig digitalisering, men det er mere end almindeligt svært at mærke førertrøjen lige nu. Digitaliseringsstyrelsens milliarddyre MitID-projekt er således ved at udvikle sig til en mindre it-katastrofe og et skoleeksempel på digitalisering med hovedet under armen. Udrulningen af afløseren for det NemID-system, danskerne efterhånden endelig har vænnet sig til og er glade for, er dybt kritisabel, og problemer af både teknisk og designmæssig karakter hober sig op.

For det første har Digitaliseringsstyrelsen, Nets og bankerne skabt en løsning, som det for mange danskere er en nærmest uoverstigelig opgave at blive tilkoblet. Et krav om at scanne sit pas for at aktivere MitID-appen betyder eksempelvis, at en moderne smartphone til tusindvis af kroner i praksis bliver adgangsbilletten til den næste generation af moderne signatur.

Det har vist sig at være et adgangskrav, som mange danskere enten ikke ønsker eller ikke kan leve op til, og det eneste ­alternativ for dem er en tur på borgerservice for at blive godkendt manuelt. Det er ikke i sig selv en dårlig ting at skulle betjenes af et rigtigt menneske – måske tværtimod. Men Digitali­seringsstyrelsen har tydeligvis fuldstændig fejlvurderet, hvor mange borgere der ikke kan leve op til MitID’s tekniske krav og derfor skal have hjælp. Det har udløst et decideret stormløb på borgerservice, og på tværs af landet er der i gennemsnit næsten to ugers ventetid på at få hjælp til MitID, som hundredtusinder af danskere stadig mangler at få adgang til. Samtidig rykker deadline for at koble sig på systemet nærmere, og 31. oktober klapper fælden.

Den tilsyneladende fuldstændig uigennemtænkte proces sætter borgerne i en ubehagelig og unødvendig situation. Det er umyndiggørende og uværdigt for den enkelte, når en i praksis obligatorisk it-løsning er så kompliceret at bruge, at så mange skal have  så meget hjælp.

Artiklen fortsætter efter annoncen

Desuden sender Digitaliseringsstyrelsen en opgave videre til kommunerne, som man tilsyneladende ikke har afstemt på forhånd. Mange kommuner er i forvejen presset på økonomien og skal spare, og når de også bliver tvunget til at løse en gigantisk support-­opgave, som de ikke har budgetteret med, tager det tid fra andre vigtige opgaver. Det er asymmetrisk gevinstrealisering, og det  holder ikke.

På det tekniske niveau har MitID også været plaget af massive problemer fra starten. Tjenesten har haft mange udfald, og som grelt eksempel kan man fremhæve det ­massive nedbrud i april, der gjorde det umuligt at bruge MitID oven i et månedsskift, hvor regningerne skal betales. Samtidig har basale tekniske brølere som udløbne SSL-certifikater betydet, at borgere bliver mødt med ­advarsler om ‘usikker forbindelse’, når de logger på MitID. Det fremmer heller ikke ligefrem den tillid, der er altafgørende for at få borgerne med på den digitalisering, vi forventer os så meget af.

Det oplagte spørgsmål er, hvad borgerne så får ud af det. Hvorfor skal vi som borgere acceptere, at den nogenlunde ­velfungerende NemID-løsning smides på porten, så vi kan bruge en lille milliard skattekroner på et alternativ, der indtil videre er utvetydigt dårligere og mere besværligt? Svaret har indtil videre været, at sikkerheden i den nye løsning er bedre, men som vi blandt andet afdækker i denne uge, er det en sandhed med gigantiske modifikationer.

Et af de primære argumenter har været, at vi med MitID kommer væk fra papkortet med koder, som kan stjæles og misbruges, og i stedet skal verificere os via den mere sikre app. Det er et glimrende argument, men man kunne fint have udfaset papkortet og brugt den allerede eksisterende – og i øvrigt velfun­gerende – app i NemID. En anden ændring, der angiveligt skulle højne sikkerheden, er, at man har fjernet kodeordet, så der i stedet bare er et brugernavn, som herefter skal verificeres i appen.

Heller ikke her giver sikkerhedsargumen­tet mening. Som eksperter påpeger over for Ingeniøren, har man i virkeligheden bare udskiftet kodeordet med et brugernavn. Da mange er opflasket med, at brugernavnet skal være nemt at huske, og kodeordet skal være kompliceret, har man i praksis bare skåret det sikre lag fra, og som Ingeniørens seneste afdækning viser, vælger mange derfor meget nemme brugernavne – altså er der reelt tale om en forringelse på sikkerhedsfronten. Derudover fortæller systemet, om et givent brugernavn er i brug eller ej, og derfor er det lettere at gætte brugernavne i titusindvis.

I stedet for at holde fast i sit budskab om, at danskerne bare skal bide tænderne sammen og finde sig i miseren i sikkerhedens navn, skulle Digitaliseringsstyrelsen hellere slå ørerne ud og lytte til eksperterne. Der er gode ting i både NemID og MitID, og de kan med fordel kombineres. Det er fornuftigt, at man har sagt farvel til CPR-nummeret som brugernavn, men så nytter det ikke, at man bare kan vælge sit navn og fødselsår. Det er fornuftigt, at man siger farvel til papkortet, men man behøver ikke opfinde den dybe tallerken. Et kompliceret brugernavn og et kompliceret kodeord, der begge skal verificeres i en app, vil være fint. Det har man i lignende løsninger andre steder.

Digitaliseringsstyrelsen søger lige nu en erfaren UX-designer til MitID, og det virker fornuftigt – bedre sent end aldrig.  Helt overordnet skal styrelsen tilbage til tegnebrættet og sørge for, at den løsning,  der er til for borgernes skyld, tager udgangspunkt i den virkelighed, borgerne lever i.

Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium

Leder
Illustration: Ingeniøren.
18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
2. oktober kl. 14:18

Såvidt jeg ved har Digitaliseringsstyrelsen ikke anbefalet kode-viser eller oplæser til ældre men udelukkende favoriseret app'en - underligt at Ældresagen ikke har protesteret mod dette.

15
1. oktober kl. 20:34

Hvorfor ikke bare skrotte MitID. NemID med papkort kan ikke hackes, da det er et miks af analogt og digitalt. OK, der er lidt driftsomkostninger med pap-kortet, og det tager en anelse mere tid, men til gengæld er det sikkert som amen i kirken. I øvrigt er der ukendte driftsomkostninger på MitID, for det skal tilsyneladende opdateres hele tiden for ikke at blive hacket.

17
3. oktober kl. 14:53

Du glemmer svagheden med at alt for mange bruger CPR som brugernavn til NemID.

dvs du kan fremtvinge et skift af papkort, som du så kan opsnappe i den fysiske post

10
1. oktober kl. 08:57

Ret skal være ret: det er faktisk muligt at få MitId uden pas, smartphone og uden besøg på borgerservice. Man kan tilmelde sig via sin netbank og bestille en kodeviser. Det kan klares hjemmefra, med NemID og papkort

11
1. oktober kl. 13:42

Jeg tror, du har misforstået noget!?

Med MitID skal du opfylde et krav til identifikation, som kan klares med en app på smartphone og et pas, men hvis dette ikke er muligt skal du en tur på Borgerservice, hvor du bliver udspurgt om personlige forhold, som skal "bevise" at du er den du udgiver dig for at være.

18
3. oktober kl. 14:58

Selvom du viser på på borgerservice, så skal du alligevel igennem 'spørgsmål og svar' seancen hos borgerservice.

12
1. oktober kl. 15:31

Jeg har en fornemmelse af, at det handler om, at der skete en stramning på et eller andet tidspunkt. Jeg var med på første bølge og bestilte via netbank, som Jakob beskriver det. Jeg fik tilsendt kodeviseren med posten og har ikke på noget tidspunkt haft bøvl med pas eller tur på borgerservice for at identificere mig - og jeg er ellers aktiv smartphonemodstander om en hals.

13
1. oktober kl. 16:30

Samme oplevelse her. Har det noget at gøre med, om man har brugt pas ved oprettelse af nemid app?

14
1. oktober kl. 17:11

At det er fordi pas har indgået som identifikation tidligere lyder ret sandsynligt.

Ønsket om overgangen til MitId er blevet markedsført, som et krav fra EU om at slippe af med papkortet, men myndighederne har ved samme lejlighed skærpet krav til identifikationen.

Da mange i sin tid automatisk fik tildelt NemId af deres bank, uden at skulle vise nogen form for identifikation, er der nok lidt tilfældigt, hvem der har suppleret med pas siden da, men at de digitalt udsatte netop ikke har er nok ikke så tilfældigt.

7
30. september kl. 11:49

Min mor og mine to mostre er pensionister. hvad de ikke har brugt af tid på at få det til at fungere, det er simpelthen helt vildt. hvis man er kynisk kunne man tro at pensionisters tid ikke er noget værd så lad da bare dem spilde deres tid med det. men det er så typisk at man vælger den entreprenør der giver den laveste udbudspris uden at bruge hovedet.

9
30. september kl. 15:10

hvis man er kynisk kunne man tro at pensionisters tid ikke er noget værd så lad da bare dem spilde deres tid med det.

Det er meget atypisk at de seneste års regeringer, som ellers har brugt størstedelen af deres tid på at please de store ældreårgange, i den grad overser hvor vanskeligt og omstændigt digitaliseringen kan være for de ældste borgere.

6
30. september kl. 11:42

En simpel forbedringer, ville vœre at tilfóje krav om pinkode, tilsendt via sms, hvis valgt istedet for app. Ja GSM nettet er ikke 100% sikkert - men så må man krœve en personlig pin kode sammen med brugernavn, før sms sendes. Det kan folk huske.

og så undlade at afsløre om et brugernavn er i brug eller ej selvfølgelig.

4
30. september kl. 11:15

Den helt grundlæggende fejl i NemId/MitID og forøvrigt også digitalpost, er at alt behandles efter et og kun et sikkerhedsniveau.

Hvis man bruger betalingskort er der en pragmatisk holdning til sikkerheden, f.eks. at pinkode i udgangspunkt ikke skal indtastes for småbeløb, men kun en gang imellem for at reducerer risikoen for systematisk snyd.

Hvis man fra starten havde indtænkt forskellige niveauer, var det f.eks. ikke nødvendigt med den rigide tilgang til godkendelse ifb (gen-)oprettelse af MitId.

At det kræver højeste sikkerhedsniveau for at afslutte en millionhandel f.eks. ved huskøb er forståeligt, men at kunne åbne sin netbank og betale månedens husleje burde slet ikke hører til på højeste sikkerhedsniveau.

5
30. september kl. 11:34

De er super gode. Men brugervenligheden og supporten på isœr mobil siden er IKKE på plads til alles brug, endnu.

Alle i vores firma anvender yubikeys til al adgang (gpg delen til dekryptering og signering, HOTP til 2-factor og gpg2ssh til ssh adgang). Men det er altså ikke nemt for alle at få til at virke på ens computer og i praksis er disse keys, låst til en brugerkonto (man kan ikke 'bare' bruge en anden yubikey under samme brugers konto på lokal maskine) - så det VIL med nuvœrende niveau, skabe mange support udfordringer. Når først det dur, er det en fantastisk lósning, jeg gerne selv ville kunne vœlge at bruge som MitID (og ligesom man kan med Yubikeys - med touch ved hver operation slået til som krav i key'en) vil det give langt højere sikkerhed og vœre simplere i hverdagen.

Med NFC til mobil kunne mobiler også understøttes - men ikke alle telefonder kan det. alternativt kan den bruges via usb-c connectoren f.ex. - men giver udfordringer på nogen mobiler.

2
30. september kl. 08:39

Meget præcis skreven artikel om MitID. Den rammer sømmet på hovedet. Endnu et eksempel på, at digitaliseringen i det offentlig bare hasler afsted, uden gennemarbejdelse af proces før noget sættes i gang. Ensidig kontrol og afprøvning et produkt, som alle i DK SKAL bruge. Det er en ommer !

1
30. september kl. 08:22

God leder.

Men: "Et kompliceret brugernavn og et kompliceret kodeord, der begge skal verificeres i en app, vil være fint. "

Forhåbentlig en app, som ikke kræver smartphone?