Nets efter sag om massespærring: Bankerne skal spærre NemID ved mistanke om svindel

Bankerne har mulighed for at spærre folks NemID - også for personer, der ikke er deres kunder.

Hvis en bank mistænker, at et NemID bliver misbrugt, så har banken mulighed for at spærre det pågældende NemID. Det oplyser Nets.

Forleden fortalte Version2 om, hvordan Jyske Bank havde spærret, hvad banken selv vurderer til at være omkring 40 kunders NemID. Det skete i forbindelse med mistanke om NemID-misbrug i et andet pengeinstitut fra en specifik ip-adresse.

Læs også: Jyske Bank massespærrer NemID efter it-angreb

Flere personer viste sig dog at anvende den samme ip-adresse, og det resulterede altså i massespærringen.

Det skete alt sammen, uden at banken i første omgang fik orienteret de berørte kunder om, at deres NemID nu var blevet spærret.

Vi har spurgt Nets, der står for driften af NemID, om proceduren for, når en bank spærrer for NemID, der jo som bekendt giver adgang til hele det digitale Danmark og altså ikke kun netbanken.

»Bankernes bemyndigelse ligger i en aftale mellem bankerne og Nets, hvor det fremgår, at de skal spærre en brugers NemID, hvis der er mistanke om fraud. Bankerne benytter en selvbetjeningsportal, der giver dem mulighed for at spærre de mistænkte NemID’er,« oplyser kommunikationskonsulent ved Nets Ulrik Marschall via mail.

Han fortæller, at det kræver en del informationer om en person for at kunne spærre NemID, og at det primært er egne kunder, som bankerne på den måde spærrer NemID for. I princippet er det dog også muligt at spærre for ikke-kunder.

Regler for spærring

I forbindelse med spærring henviser Ulrik Marschall via mail til de generelle regler for spærring af NemID, nærmere bestemt punkt 3.5.2. Her står der blandt andet:

»Når du spærrer din adgangskode og/eller dit nøglekort/din nøgleviser, skal du oplyse dit navn, eventuelt din adresse og cpr-nummer eller dit bruger-id eller nummeret på dit nøglekort eller din nøgleviser. Derudover skal du oplyse, om det er adgangskoden eller nøglekortet/nøgleviseren, der skal spærres.«

Desuden står der i punkt 3.5.3, at Nets DanID spærrer:

  • din adgangskode, hvis Nets DanID får mistanke om eller vished for, at andre har fået kendskab til din adgangskode
  • din adgangskode, hvis adgangskoden er indtastet forkert et vist antal gange
  • dit nøglekort/din nøgleviser, hvis Nets DanID får mistanke om eller vished for, at andre har fået kendskab til nøgler fra dit nøglekort/din nøgleviser
  • NemID, hvis Nets DanID får kendskab til, at du ikke har overholdt reglerne for NemID
  • NemID, hvis du har opgivet forkerte oplysninger i forbindelse med oprettelse af NemID
  • NemID, hvis Nets DanID får meddelelse om, at du er afgået ved døden.

Og dertil kommer altså aftalen mellem bankerne og Nets i forhold til mistanken om svindel.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarne Nielsen

Nu vil jeg godt indrømme, at jeg ikke husker den præcise formulering af reglerne, men i ovenstående tekst er det klart, at Nets kan spærre, hvis Nets får mistanke.

Og jeg fornemmer at vi er mange, som mener at man med NemID har lagt alt for mange æg i samme kurv (og nogle af dem ganske værdifulde - og her tænker jeg faktisk ikke på netbankerne). Derfor er jeg også bekymret over, at bankerne kan spærre, hvis bankerne får mistanke; der skal meget lidt til, og det kan have store konsekvenser for de berørte - det bør være noget de begrunder overfor Nets, hvorefter Nets tager en beslutning om, hvorvidt der er grund til mistanke. Hvorfor give bankerne en særstatus?

Generelt virker det på mig som om, at det offentlige med Nets/NemID konstruktionen har kastet sig fuldkommen i armene på bankerne, og at "den fælles offentlige digitale signatur" (host!) er en lille og tilsyneladende altid lystigt dikkende hale på et stort, forkromet netbanklogin. Ikke ligefrem noget, som vil gøre os til et digitalt foregangsland.

  • 14
  • 0
#2 Bent Jensen

Hvis banker kun fik lov til at spærre bank eller økonomi delen. Samtidigt med dette kunne deres sendes et brev, SMS samt måske en mail eller brev i E-Boks som advarsel til vedkommen som advarsel. Med brevet kunne man sende ny midlertidig adgangs kode samt nøgle kort, som brugeren så kunne aktivere.

Mens dette skete kunne man jo overvåge kontoen grundigere, så man fik flere oplysninger om brugerens PC, til en eventuelt efterforskning, hvis kontoen var hacket. Men kunne også sætte underskrifter med Net og andet i bero, som været konfirmeret men ikke autoriseret før den nye nøgle er brugt til dette.

Noget mere kundevenligt, så det kommer sikkert ikke til at ske,. Eller ikke før der kommer mulighed for flere konkuranter til NET's

  • 2
  • 0
#3 Morten Toudahl

Hvor blev min tidligere kommentar af?

Den kommer da bare igen...

Hvordan kan spærring af 40 nemid ud af flere millioner være massespærring?

Den eneste grund til at kalde det for massespærring må da være for klickbait effektens skyld...

  • 1
  • 1
#4 Laila Jasmin Pedersen

Jeg føler, at der er flere problemstillinger i denne og den tidligere artikel:

  1. Kan det være rigtigt, at en bank uden varsel kan lukke af for ens adgang til hele det digitale Danmark?

  2. Er en "selvbetjeningsportal", det rigtige værktøj til denne form for spærring?

  3. Er NemID den rigtige løsning for det digitale Danmark, hvis det ikke er muligt at opdele adgangen?

Som privatperson er jeg da glad for at nogle er opmærksomme på, hvis der er mistænkelig adfærd med mit NemID, så der skal banken have tak. Til gengæld vil det måske være på sin plads, at kontakte de pågældende kunder umiddelbart inden spærringen? Hvis man kan bruge tid på en selvbetjeningsportal, så kan 30 sekunder på at finde telefonnummer og/eller email-adresse vel også være på sin plads ? Men måske er vurderingen, at her kommer kunden i anden led, og beskyttelse af banken er vigtigst?

Når man læser, at spærringen foregår ved en "selvbetjeningsportal", så er jeg forbløffet. En selvbetjeningsportal, hvor der tilsyneladende ikke foregår nogen menneskelig evaluering (det er måske sparet væk af hensyn til Nets profit og børsnotering?)? Som det oplyses, så er det åbenbart kompliceret at bruge pågældende portal, burde der så ikke være en form for alarm hos Nets, der aktiveres ved så mange spærringer? Jeg ved godt, at jeg som privatperson ikke er kunde hos Nets, og derfor ikke betyder det mindste for dem, men som fornuftsmenneske, så ville jeg da gerne have, at Nets måske havde været mere proaktiv omkring spærringen fra Jyske Bank, da spærringen netop har store konsekvenser.

Som andre også har stillet spørgsmålstegn ved, så er det ved sådan en situation, at svaghederne ved sådan et system udstilles. Det er forhåbentligt tydeligt for enhver, at sådan en komplet nedlukning for adgang til det digitale Danmark, er en alvorlig sag. Og når man tænker på den tid, det tager for NemId at fremsende et nyt kort, så kan det have endog meget alvorlige konsekvenser, når man tænker på manglende adgang til vigtige offentlige systemer, som sygejournal, e-boks (indkaldelser til undersøgelser, resultater fra undersøgelser, etc.). Man må da håbe, at kravene til efterfølgeren for NemID, indeholder et krav om separeret adgang, hvorved det stadigvæk er muligt, at tilgå visse dele af det digitale Danmark, når en bank får "nervøse trækninger" og spærrer for NemID - Man har vel lov at håbe?

Jeg takker for de gode artikler og håber på mange flere - med en efterfølgende sund debat.

  • 5
  • 0
#5 Henning Mølsted Editor

Morten,

hvis man vil fyre over 10 ansatte i en virksomhed, er der tale om en massefyring. Hvis en morder gør det af med over 6-8 mennesker, er han massemorder.

Der er intet belæg for din indvending.

Ud over ovenstående må jeg indskærpe, at debatten på Version2 skal være it-faglig. Kommentarer til artiklens formidling sendes direkte til redaktionen.

Mvh Henning Mølsted, redaktør.

  • 3
  • 2
#6 Christoffer Kjeldgaard

hvis man vil fyre over 10 ansatte i en virksomhed, er der tale om en massefyring. Hvis en morder gør det af med over 6-8 mennesker, er han massemorder.

Vi kan diskutere om fyring af 10 ansatte er en massefyring. Microsoft, Novozymes og Maersk ville næppe skabe overskrifter hvis de fyrede 10, og netop derfor er anvendelsen søgt her. Den Danske Ordbog definerer "masse" som "en stor mængde" [1]. Heri ligger der ordet "stor", der skaber et forhold til det navneord der behandles. Eksempelvis er 50 KR ikke en "masse penge", men en million KR er en masse penge for de fleste. I og med 40 NemID brugere hverken er en stor brugergruppe af Jyske Banks brugere, den samlede mængde af nemID-brugere eller normalfordelingen af spærrede nemID-kort over en periode, er formuleringen søgt.

Derudover vil jeg da rose redaktionen og journalisterne for at deltage i debatten og besvare spørgsmål.

[1] http://ordnet.dk/ddo/ordbog?query=masse

Som andre også har stillet spørgsmålstegn ved, så er det ved sådan en situation, at svaghederne ved sådan et system udstilles.

Enig, og problemet bliver kun større af, at NemID-kortene leveres med almindelig post-omdeling, der fra 1. januar kan tage op mod 5 dage. Problemet kunne dog nemt være afværget med en notifikationstjeneste, der gør kunden opmærksom på potentielt misbrug (f. eks. via nemSMS). NemID kunne således blive midlertidigt spærret ved mistanke i eksempelvis 48 timer, hvor kunden har mulighed for at gøre indsigelse, herefter spærres kortet permanent. Det er klart at det kan åbne for phishing-angreb, og omfanget heraf skal selvfølgelig tages med i beregningen.

  • 2
  • 0
#9 Christoffer Kjeldgaard

Arbejdsgivere i den størrelse skal kun op på 30 afskedigelser, før der er tale om en massefyring, så argumentet holder stadig. Se definitionen her.

Pointen er at når "masse" anvendes, så er det altid i en relativ sammenhæng. Der er intet belæg i artiklen for, at 40 blokeringer er en stor mængde, eller er usædvanligt. Når vi ikke har en relation til hvad der sammenlignes med, så er formuleringen søgt.

50 DKK er ikke en masse penge for den almindelige dansker, 10 afskedigelser er heller ikke en masse ifht. IDAs definition, 500 dankort-transaktioner / pr dag er få for selv en mindre bankvirksomhed.

Du kan ikke bare sige at fordi jeg har 40+ X, så er det per definition en "masse". Det afhænger af hvad der tales om, og perspektivet, der ses fra.

  • 0
  • 0
#10 Bent Jensen

Ud over ovenstående må jeg indskærpe, at debatten på Version2 skal være it-faglig. Kommentarer til artiklens formidling sendes direkte til redaktionen.

Sikke da noget vrøvl, Version har tit efterhånden tit Extra Blads overskrifter, så man spilder sin tid på maskinoversatte artikler. Synes kommentar er helt på sin plads og hvis nogen på Version2 har følt sig pisset på, så skulle de se lidt mere indad.

Hvis IBM fyre 100 personer, er det en omrokering, hvis de fyre 1000, er det lukning af en afdeling. Hitler er massemorder , op til flere gange, sammen med mange andre, som operatør af overvågningsfly der bomber et bryllup.

Hvis i ikke kan holde til denne form for debat tone og kommentar, så burde i enten se at få øget kvaliteten af jeres artikler, eller i det mindste overskrifter, eller så luk debatten helt, Sammen med version2.

Hvis den her indlæg slettes, helt uden varsel, kommentar og forklaring, som i har for vane på version2. så på i også gerne slette min konto, da i som medie så har udspillet jeres interesse fra min side. mvh.

  • 1
  • 2
#12 Bent Jensen

"Er det lovligt?"

Privat, til Firma, Til bank og endeligt til ApS. Så det er det sikkert :-)

Du kan undgå at få bundet dit nemid til privat, til en en Bank, hvis du beder banken op at oprette et nyt, kun til dem. Det betyder så at du ikke kan logge ind med dit CPR nummer, men skal bruge deres ID, eller af dig selv valgt og oprettet som ikke må ligne et CPR nummer. Da Nem ID så ikke kan skelne hvilken konto som NEM id skal knyttes til ? :-)

  • 0
  • 0
#13 Martin Jensen

Henning Mølsted,

Hvor er det rart med en feedback omkring feedback - meget meta, og meget på sin plads. Det er der flere der har savnet.

Det er især dejligt at du pointerer det skal være it-fagligt - igen, noget som jeg (og andre) flere gange har påpeget måske har manglet fra v2.dk's side - det er dermed super velkomment at se en så specifik præcision af det fra v2.dk's side, og endda i debatten, hvor der ellers tidligere sjældent kom reaktioner på den slags.

TIl sidst opfordres du til at man tager den slags uden for debatten, hvilket jeg gerne vil have uddybet - jeg synes nemlig tit at den bedste indsigt i debatørernes meninger og pointer, og jeres ditto, ses her i kommentarsystemet. Der har tidligere været super værdiskabende debatter som har givet øjenåbnere for begge parter, netop ved at det 'hænges frem'.

Hvis det er af frygt for debatten afspores, kunne I jo tage imod dette forslag om at lave et andet sted, hvor den slags kan debatteres åbent; så er der en god måde og et godt sted.

Igen tak, Martin

  • 1
  • 0
Log ind eller Opret konto for at kommentere