NemID om manglende fejlmeddelelser: Vi kan ikke gøre det bedre

9. november 2010 kl. 10:5922
Nedbruddene for NemID har ført til kritik af fejlmeddelelserne, som enten ikke er der, eller kan skabe forvirring. Men det kan ikke gøres bedre, mener DanID.
Artiklen er ældre end 30 dage

Da NemID brød ned søndag den 31. oktober, gav det ballade for netbankbrugere, der var logget ind og forsøgte at bruge NemID til at godkende en transaktion.

En Version2-læser, der til dagligt arbejder som webudvikler, fik således spærret sin NemID-konto, fordi han forsøgte at logge på for mange gange. Der var ingen fejlmeddelelser om nedbruddet i den situation, fortæller han, og den løsning forstår han slet ikke.

»Det er sgu' pinligt, at et system kan være lavet så ringe. Danske Bank kan ikke videregive en fejlmelding eller advarsel om, at der er noget galt. DanID spærrer NemID'er, mens at deres system er nede. Det er mig ubegribeligt, at ting kan være lavet så dårligt,« lyder kritikken.

Men ifølge DanID's kommunikationschef Jette Knudsen er det ikke muligt for DanID at få fejlmeddelelser lagt ind i netbank-applikationerne.

Artiklen fortsætter efter annoncen

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Der vil dog altid være en forsinkelse fra fejlen er opstået, til driftsfolkene hos DanID har opdaget fejlen og sendt besked ud til bankerne, som så derefter selv skal have lagt besked ind.

»Forventningen er, at man får beskeden i samme sekund, men det vil vi aldrig kunne gøre. Der er dette forløb, hvor vi giver bankerne besked, og den proces prøver vi at gøre kortere hele tiden,« siger Jette Knudsen.

Fejlmeddelelser gør livet lettere for hackere

En anden kritik af DanID's fejlmeddelelser kommer fra it-bloggeren Dorte Toft. Med NemID ramt af flere nedbrud på kort tid, samt bøvl med en Java-opdatering, er brugerne efterhånden så vant til fejl, at det bliver nemmere for hackere at manipulere folk gennem falsk fejlmeddelelser, lyder argumentet.

Og Jette Knudsen er helt enig i kritikken.

»Dorte Toft har jo ret. Men når vi har en unormal situation, har vi en forpligtelse til at fortælle om situationen, som den er,« siger kommunikationschefen.

Som eksempel bruger Dorte Toft situationen med Java-opdateringen, hvor DanID bad brugerne om at genstarte browseren for at løse problemet. Men når det bliver normalt med den slags fejlmeddelelser, kan it-kriminelle nemmere lokke knap så it-kyndige brugere til andre handlinger, som kan hjælpe hackerne, lyder argumentet fra Dorte Toft.

For DanID er det en afvejning mellem at give præcis besked, og at forsimple situationerne for ikke at forvirre nogen.

»Det er et dilemma, vi står i. Alternativet er kun at bruge helt generelle fejlmeddelelser, som at 'der er driftsproblemer med NemID i øjeblikket', men det er ikke specielt godt i situationen eller særligt handlingsorienteret,« siger Jette Knudsen.

NemID har været ramt af timelange nedbrud den 21. oktober, 31. oktober og 5. november samt en række mindre driftsproblemer derudover. Siden juni har DanID måtte betale bod til IT- og Telestyrelsen hver måned for ikke at leve op til kravene i kontrakten.

22 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
9. november 2010 kl. 11:25

Ordentlig software håndterer fejl lige så godt og grundigt som det håndterer normaltilstandene.

Uden fejlrapportering er Nemid kun et stykke halvfærdigt software.

2
9. november 2010 kl. 11:50

Jette: Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu

Nej, der er INGEN driftsstatus side på nemid.nu, man lige kan tjekke hvis man bliver afvist i netbanken, og gerne vil undgå spærring.

Jeg ved ikke hvor jeg skal dirigere tvivlende brugere hen - til http://www.ernemidnedeigen.dk/ ?

3
9. november 2010 kl. 12:02

Det kan simpelthen ikke passe, hvis systemet er lavet sådan, at der i de API-kald der går mellem DanID og netbankerne ikke er lavet en fejlkode.

Det skulle være noget af det første man tænker på, når man skal beskrive grænsefladen mellem de 2 systemer - og ikke mindst ved et kritisk system.

Hvis der ikke er mulighed for at sende fejlkode mellem de 2 systemer, så er det simpelthen tegn på inkompetance fra udviklerne - og så vil jeg håbe hele projektet bliver droppet snarest, da det godt kunne være et tegn på, at resten af systemet slet ikke er gennemtænkt.

Hvor er jeg glad for, at jeg lige har åbnet en konto her i Raiffeisenkasse i østrig. Det kræver ikke fast bopæl her. Jeg spurgte om netbank, fik koderne udleveret i banken 2 dage senere - og det virker bare. Og en udlandsoverførsel til f.eks. DK koster kun 17 cent, så det er næsten værd at flytte hele sin bankforretning ud af landet, hvis NemID bliver ved som de er startet.

6
9. november 2010 kl. 12:25

Yes, det er i hvert fald amatør-agtigt, at fejlmeddelelser ikke kan vises på normal vis. Pinlig software på et kritisk område. Og mer' pinligt, at systemet ikke kan håndtere hvem der er tilmeldt. Og det er øjesynligt tilfældet, for ellers fik man vel ikke (ca en gang om ugen) en email fra DanID, med meddelelsen:

Kære XXXXX XXX

Vi har registreret, at din Digitale Signatur udløber 18/11-2010.

Digital Signatur er den 1. juli 2010 afløst af NemID, hvorfor du ikke kan forny din Digitale Signatur. Vi kan i stedet tilbyde dig NemID - ....
Har du allerede fået NemID via din bank eller bestilt NemID på nemid.nu, kan du se bort fra denne mail... Venlig hilsen DanID A/S

..... selv om man siden introen af NemID har benyttet denne.

9
9. november 2010 kl. 12:38

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Giv mig bare en, bare EN god grund, som ikke starter med: "Vores sikrede servere bag en firewall."

Nu grænser jeg sgu til at fælde en lille tåre her, på hele Danmarks vegne. Jeg sad lige og lavede min matematik aflevering foran TV'et for et kvarter siden, og der måtte jeg se på ikke bare en, men 2(!), NemID reklamer på bare det ene kvarter.

Den almene dansker bliver jo fodret med propaganda, mens systemet der skal forestille at være "åååh så godt" fejler omkring 3 - 4 gange om ugen.

... Konklusion: ... Jeg så gerne nogle hoveder der rullede, og et stik der blev trukket!

10
9. november 2010 kl. 12:55

"Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun."

"Plejer at være hurtige"

Dér skal mine penge ikke involveres.

13
9. november 2010 kl. 13:35

...ja, en gang(P)BS..

Jeg kan simpelthen ikke få ind i mit hovede hvordan bankerne fik svunget den her løsning.

Reelt set har vi allesammen betalt (gennem skatten) for at bankerne kan realisere et monopol på netbanks login tjenester og de får så lige de offentlige systemer med som en bonus... Hvor mange software devs og token producenter røg der lige i svinget dér? Jeg kan ikke forstå konceptet i at en hel branche skal statssikres det her monopol.

At systemet så også rent teknisk og designmæssigt er til grin kommer bare oveni hatten.

Specielt en af de sidste nedbrud hvor deres ene login server failer så 50% af trafikken går i hegnet... det er simpelthen mangel på basale IT infrastruktur færdigheder at den slags kan ske. Hvad skete der med helt alm. automatisk failover?

Man bliver nødt til at spørge sig selv hvem der i realiteten har fordel af dette system, for sådan som jeg ser det, er det ikke forbrugerne. De bliver shafted mens PBS sidder og tæller deres penge. Man bliver helt konspirationsteoretisk anlagt...Det grænser (eller burde) til inhabilitet.

Hvor mange penge har det nu kostet at realisere den hypotese at borgerne ikke kan holde styr på 2 forskellige passwords og et par nøgler?

Jeg er klar over at der ikke er de store nye åbenbaringer i denne post, jeg skulle nok bare have luft.

Personligt har jeg ikke turdet aktivere min NemID endnu. Jeg venter til min bank sætter mig kniven for struben og tvinger mig. Det kommer nok snart. Så håber jeg at de værste børnesygdomme, på hvad der, meget generøst, kan kaldes et beta-fase produkt, er blevet kureret.

Fra afmagtens korridorer: S. Andersen

14
9. november 2010 kl. 14:24

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Var det en hvilken som helst anden IT virksomhed, der hostede noget og ikke kunne melde korrekt ud om fejl, var kunderne skredet for længst. Men sådan er det jo desværre når der er monopol på noget.

15
9. november 2010 kl. 14:33

Vi kan ikke gøre det bedre

Nej - det har vi sgu fundet ud af.

7
9. november 2010 kl. 12:29

»Det er et dilemma, vi står i. Alternativet er kun at bruge helt generelle fejlmeddelelser, som at ’der er driftsproblemer med NemID i øjeblikket’, men det er ikke specielt godt i situationen eller særligt handlingsorienteret,« siger Jette Knudsen.

hmm. en generisk fejlmeddelelse er da meget bedre end ingen fejlmeddelelse?

8
9. november 2010 kl. 12:36

DanID’s kommunikationschef Jette Knudsen citeres for: "... Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu ..."

Det er ikke bare lemfældig omgang med sandheden - det er ganske enkelt urigtigt.

Og på den automatiske telefonsvarer skal man heller ikke forvente, at de indrømmer deres fejl.

11
9. november 2010 kl. 13:22

Det er jo ikke engang muligt at se en driftsstatus på nemid.nu...

Hvis vi på skolen sagde "Vi kan ikke gøre det bedre det er perfekt som det er" ville vi næppe bestå...

4
9. november 2010 kl. 12:14

Det skulle være noget af det første man tænker på, når man skal beskrive grænsefladen mellem de 2 systemer - og ikke mindst ved et kritisk system.

Sådan går det desværre når man sætter profitmagere til at skrive software...

5
9. november 2010 kl. 12:15

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til.

Så giv mig én, det er mig der betaler gildet.