NemID-monopol er for sårbart: Sikkerhedsråd vil have konkurrence på digital signatur

Illustration: REDPIXEL.PL/Bigstock
Valgfrihed, bedre oppetider og ikke mindst højere sikkerhed. Rådet for Digital Sikkerhed ser mange fordele i at få brudt Nets DanID's de facto-monopol på digital signatur i Danmark.

Fremover skal der åbnes for, at flere forskellige udbydere kan tilbyde digital signaturer som NemID til borgerne. Det skal give konkurrence, valgfrihed - skabe bedre oppetider for det digitale Danmark. Det skriver Rådet for Digital Sikkerhed i en pressemeddelelse.

»Den nuværende situation, hvor virksomheder og borgere kun tilbydes ét system, er for skrøbelig og vi har allerede flere gange oplevet, hvordan alt kan gå i stå i kortere eller længere tid,« udtaler formand Birgitte Kofod Olsen pressemeddelelsen.

Rådet mener, at det i sin tid var en god løsning at satse på en fælles digital platform, da NemID skulle udbredes på landsplan. Men nu er tiden kommet til, at der bør laves mere fleksible løsninger.

Ved at skabe en åben debat omkring hvordan fremtidens digitale signatur skal se ud, håber rådet, at der kan skabes bedre løsninger.

“Det vil være vigtigt at nå frem til en løsning, som nyder bred opbakning blandt fagfolk inden for it-sikkerhed og privatlivsbeskyttelse. Vi foreslår derfor maksimal åbenhed og dialog om specifikationen af standarder og arkitektur i den kommende udbudsproces. Rådet ser gerne, at kommende digitale ID-løsninger i Danmark baseres på en åben standard. Det vil give flere forskellige aktører mulighed for at tilbyde digitale ID-løsninger og dermed bidrage til at sænke sårbarheden i Danmarks nationale it-infrastruktur," udtaler Birgitte Kofod Olsen.

Læs også: Nets bekræfter salgsplaner: Hvor havner NemID?

Forslaget kommer i kølvandet på de danske bankers udmelding om, at de ønsker at sælge Nets, herunder DanID, der har ansvaret for NemID. Og da DanID's konktrakt udløber i 2015, mener rådet, at tiden nu er inde til at åbne for markedet.

IT-sikkerhedsråd: NemID skal åbnes op for flere spillere

I fremtiden skal digitale nøglesystemer svarende til NemID kunne tilbydes af flere forskellige udbydere. Teknologien er klar, og der er brug for valgfrihed og konkurrence. Sådan siger Rådet for Digital Sikkerhed som en kommentar til den nylige udmelding fra Nets, om at ejerne, de danske banker, ønsker at sælge hele virksomheden, herunder DanID, der står for den nuværende NemID-løsning.

Formand Birgitte Kofod Olsen siger: "Rådet mener, at tiden er moden til at åbne markedet op, når den nuværende kontraktperiode for NemID udløber i 2015. Det var en nødvendig og klog beslutning at løbe digitaliseringen i gang i Danmark ved at satse på en fælles løsning, der omfattede både det offentlige og bankerne. I dag er ID-løsninger en teknologi under hastig udvikling og modning, og vi vil som samfund, borgere og virksomheder i fremtiden få brug for mere fleksible og varierede løsninger."

Rådet for Digital Sikkerhed mener, det vil være uheldigt og uhensigtsmæssigt, hvis danske banker sælger Nets som et de facto monopol på offentlige digitale ID-løsninger. "Målet med NemID var at få sat gang i digitaliseringen i Danmark. Med 3,9 mio. brugere må vi sige, at det er lykkedes. Derfor er det nu, vi skal se på behovet i fremtiden og diskutere, hvordan næste generation af en dansk digital ID-løsning skal udformes," siger Birgitte Kofod Olsen.

Hun fortsætter: "Vi mener opgaven nu er at sikre størst mulig tillid og tryghed i befolkningen i forhold til de digitale ID-løsninger. Det vil være vigtigt at nå frem til en løsning, som nyder bred opbakning blandt fagfolk inden for it-sikkerhed og privatlivsbeskyttelse. Vi foreslår derfor maksimal åbenhed og dialog om specifikationen af standarder og arkitektur i den kommende udbudsproces. Rådet ser gerne, at kommende digitale ID-løsninger i Danmark baseres på en åben standard. Det vil give flere forskellige aktører mulighed for at tilbyde digitale ID-løsninger og dermed bidrage til at sænke sårbarheden i Danmarks nationale it-infrastruktur."

Birgitte Kofod Olsen uddyber: "Den nuværende situation, hvor virksomheder og borgere kun tilbydes ét system, er for skrøbelig og vi har allerede flere gange oplevet, hvordan alt kan gå i stå i kortere eller længere tid. Vi ser globalt en udvikling med flere forskellige former for digitale ID-løsninger, som giver mulighed for forskellige grader af sikkerhed og anonymitet, alt efter brugernes behov. Denne udvikling skal vi byde velkommen i Danmark med politiske signaler om at åbne markedet for flere spillere."

Om Rådet for Digital Sikkerhed
Med cirka 40 medlemsorganisationer samt forsker-medlemmer arbejder Rådet for Digital Sikkerhed med fokus på tryg digitalisering. Vi bidrager med viden og analyser, som kan være med til at sætte retningen for fremtidens digitale velfærdssamfund. Rådet arbejder for at it-sikkerhed og privatlivsbeskyttelse bliver naturligt integreret i systemer og samfund. Rådet vil understøtte læring og sund adfærd i den digitale verden samt innovativ udnyttelse af teknologiens muligheder.

Læs mere: www.digitalsikkerhed.dk

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jonathan Jørgensen

Første gang en bruger skal autoriseres hos en konkurrent, kunne det da være en idé at lade dem autorisere gratis via NemID? På den måde ville det være relativt smerte og omkostningsfrit for forbrugerne.

Personligt vil jeg rigtig gerne se en fælles login og signatur platform som kan benyttes gratis (eller billigt) af danske virksomheder. Systemet kunne eksempelvis drives af Danske Medier.

  • 2
  • 5
#2 Carsten Stenberg

Første gang en bruger skal autoriseres hos en konkurrent, kunne det da være en idé at lade dem autorisere gratis via NemID? På den måde ville det være relativt smerte og omkostningsfrit for forbrugerne.

Den må du lige forklarer mere præcist !

Mener du, at jeg først skal anskaffe mig SlemID, for at kunne vælge et alternativt produkt ?

Hvor er konkurrencen så henne ?

  • 7
  • 1
#4 Torben Lund

Meget passende citat. Digital signatur lanceret af TDC blev fravalgt af bankerne da man skulle finde et mere "sikkert" digitalt login system for digitale Danmark. Nu vil bankerne af med deres andel af Nets. Jeg håber at man istedet for at bruge år og millioner af kroner igen, går tilbage til et lignende system, som er uafhængig af Java og derfor mere sikkert.

  • 3
  • 0
#5 Allan S. Hansen

Rådet mener, at det i sin tid var en god løsning at satse på en fælles digital platform, da NemID skulle udbredes på landsplan. Men nu er tiden kommet til, at der bør laves mere fleksible løsninger.

Det var en dårlig ide at monopoliserer dette til at starte med, det blev fortalt det var en dårlig ide, det blev afvist i kraft af det var løsningen der blev valgt.

Så hvis der kan komme noget fornuft ind i processen ville det være dejligt, omend meget af det allerede er for sent.

Det lugter lidt af kassetænkning, ligesom når de graver veje op for at lægge et rør, og så måneden efter graver den op igen fordi de nu skal endnu et rør i jorden.

  • 0
  • 0
#6 Christoffer Kjeldgaard

Rådet for Digital Sikkerhed er en interesse organisation nedsat af staten, og ligesom de andre pseudopolitiske råd skal de først og fremmest deltage eller starte debatter, som reflekterer godt på dem. Det ses oftest ved at disse råd pisser i den retning vinden blæser, og dengang NemID var i beslutnings- og testfasen var befolkningen glade for at der kom et digitalt alternativ til borgerkontoret.

I dag er vinden vendt, og tænk sig om Rådet for Digital Sikkerhed vender med, og kommer med en gratis udtalelse.

Og vi skal absolut ikke tilbage til en SSO baseret på en digital signatur, for hvad gør vi så med vores mobilenheder? Hvad gør vi ved svindlere, der udsteder og signerer deres egen signatur, som så lokker penge og identitet fra kunden?

nemID er et skridt i den rigtige retning. Og er det overhovedet rimeligt, at staten skal tilbyde alternativer? I forvejen er vi dybt nok ude og skide i og med at alle vores private oplysninger ligger ude hos et privat firma, kun beskyttet af en lind pengestrøm (kontrakt) fra staten.

Istedet skulle vi gå open source vejen og vælge en standardløsning og lav en analyse af hvad der skal til at løfte værktøjet nok til at nå det ønskede niveau.

  • 1
  • 2
#8 Deleted User

Svar på indlægget ”Politisk spin” på vegne af Rådet for Digital Sikkerhed som jeg arbejder for:

Christoffer Kjeldgaard omtaler i indlæg ovenfor Rådet for Digital Sikkerhed som en statslig interesseorganisation. Det er ikke korrekt. Rådet blev etableret i 2012 som en bred og uafhængig organisation. Vi har mere end 40 organisationsmedlemmer og et antal forskermedlemmer, og vi er sat i verden for at bidrage med viden, dialog, oplysning, debat. En liste med Rådets medlemmer kan ses her: http://digitalsikkerhed.dk/om-raadet/organisation/raadets-medlemmer/

Der har gennem årene været et antal forskellige råd og komiteer som har haft fokus på it-sikkerhed. Nogle af dem har været statslige. Det seneste statslige initiativ på området, IT-Sikkerhedskomiteen, holdt sit sidste møde i 2011 før den nye regering tiltrådte.

  • 1
  • 0
#10 Deleted User

På nuværende tidpunkt er vi finansieret via medlemskontingenter. Vi søger fonde til specifikke projekter og vil også være interesseret i delvis offentlig finansiering - men ikke så meget at der skal leveres 'modydelser' som antydet i det første indlæg. Rådets holdninger og udmeldinger har basis i fagligt funderede arbejdsgrupper. Ser vi bagud i tid, har der været mange forskellige it-sikkerhedsråd med forskellige konstellationer, nogle statslige og nogle i andre regi - men ingen som har haft samme bredde og tyngde med både private og offentlige medlemmer og forskere som Rådet for Digital Sikkerhed.

I forhold til vores aktuelle udmelding så bemærk at vi faktisk siger, at det vil være vigtigt at nå frem til en løsning, der nyder bred opbakning blandt fagfolk inden for it-sikkerhed og privatlivsbeskyttelse. Vi foreslår derfor maksimal åbenhed og dialog om specifikationen af standarder og arkitektur i den kommende udbudsproces, og Rådet foreslår at kommende digitale ID-løsninger i Danmark baseres på en åben standard.

  • 2
  • 0
#11 Finn Christensen

Det lugter lidt af kassetænkning, ligesom når de graver veje op for at lægge et rør...

Ikke for en øre kassetænkning, men lærdommen mht. drift, sikkerhed (læs NSA), bankernes fortsat elendige renomme, brugernes domme, salgsplanerne til xx mia. samt deraf følgende ændret politisk signalføring fik Rådet for Digital Sikkerhed til at opsende røgsignaler :)

Monopolbindingen + ophør af DanID's konktrakt i 2015, samt annoncering af et næsten samtidigt salg indbyder jo af sig selv til at se den nødvendige ændring.

Men hvem kan dog stable noget brugeligt på benene i så kort en periode og mod et 100% indarbejdet monopol - seriøse bud er vist pt. ukendt.

Men en usikkerhed vil fjerne mange mia. ved salg af Nets.

  • 0
  • 0
#12 Anders Majland

Nu har jeg lige kæmpet med en ny windows8 pc for en i familien i et par timer. Kunne simpelthen ikke få java og nemid til at virke. Rodede også med det i søndags, men der var download linkene fra java.com ikke døde. Idag fik jeg det installeret og iføgte java.com var test applet virkede det også.

Men forsøg med netbank login gav blot : "For at bruge NemID skal du acceptere at køre sikkerhedsprogrammet fra DanID."

Tør for ideer og nærmest i desperation installerede jeg også den nyeste udgave af java på min egen windows 7 pc og har nu heller ikke længere adgang til mine netbanker !

Årsagen er så den simple at Java version 7 update 45 ikke er kompatibel.

Indtil for 15min siden kørte jeg med update 25 eller lign ...

  • 0
  • 0
#15 Jesper Lund

Årsagen er så den simple at Java version 7 update 45 ikke er kompatibel.

Blot til info for andre. DanID advarer officielt mod at opdatere til Java7 update 45, bliv ved update 40 (15/10 kl. 23:08) https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/

Lad os satse på at de ser bort fra at man så ikke overholder betingelserne for brug af NemID, som forudsætter opdateret software :-)

  • 3
  • 0
#17 Anders Majland

Forsøger at være it supporter for en pensionist i familien. Hendes gamle bærbare kan ikke mere, men den er også snart de 10år gammel. En ny er indkøbt, og jeg skal "bare lige" hjælpe med at flytte data (incl email) over og hjælpe med opsætning (herunder java for brug af nemid til login)

Lørdag er der problemer hos Oracle. Java kan ikke downloades !

Men der går en god 1/1 dag alligevel med de andre sysler. For selvfølgelig er det en udfordring at flytte post fra et 10år gammelt program til hvad der er tilgængeligt under den aktuelle windows.

Igår omkring kl 21 prøver jeg så at blive færdig med at hjælpe. Det går der så mange timer med. Det var så åbenbart før 23:08 jeg kiggede på Nemid's side.

Nu du NemId har opdaget at man ikke kan bruge den nyeste udgave ville det da da være rart at de kom med en instruktion i hvordan man så finder en gammel udgave af java at installere igen ...

Mange vil sikkert automatisk opdatere deres java når får beskeden at der er kommet en opdatering, og så sidder man i saksen....

  • 1
  • 0
#18 svend glavind

Jeg elsker NEM-ID. Éen "nem" sikker fælles indgang til alle banker og myndigheder.

MEN spildte 1 time i aftes p.g.a. MAC downloadede java 7 update 45. Derefter manglede noget fra DAN-ID / NETS har sovet i timen og var ikke klar til at supportere nyeste Java.

Løste problemet med SWIPP på mobilen. Så man må konstatere at Nem-id bliver overhalet inden om af Mobiltekonolgien. Så derfor er det ikke så vigtigt at få solgt NEM-id /NETS da monopolet for penge transaktioner er brudt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere