Nye fejl hos DanID får videnskabsministeren op i det røde felt

I en måned op til jul sendte DanID igen breve med NemID-adgangskoder i strid med persondataloven. Videnskabsministeren kalder situationen 'helt uacceptabel' og kræver proceduren lavet om.

3.403 danskere fik efter nytår ny adgangskode til NemID, efter at DanID igen måtte indrømme problemer med at sende papirbreve med adgangskoder ud på den korrekte, sikre måde.

Dermed er sikkerhedsproblemet fra efteråret altså ikke løst endnu: Velkomstbrevet med introduktion og det første papkort bliver sendt samtidig med det brev, der indeholder den midlertidige adgangskode, og de nødvendige oplysninger for at stjæle en NemID-identitet bliver lettere at få fat i på en gang.

Læs også: Minister undskylder pinlige NemID-fejl over for kritisk borger

Det fremgår af videnskabsministerens svar til Folketingets udvalg for Videnskab og Teknologi fra 11. januar. Og ministeren er langt fra tilfreds med DanID's gentagne brud på sikkerhedsreglerne. Hun nævner i svaret, at DanID siger, at problemerne nu er løst. Men fortsætter så:

»Uanset dette, finder jeg det naturligvis helt uacceptabelt, at der fortsat ikke er fuldstændigt styr på processen for udsendelsen af brevene,« skriver Charlotte Sahl-Madsen til udvalget.

Nu har ministeren derfor krævet, at der findes en anden løsning, der ikke er afhængig af, om DanID kan få sendt brevene forskudt med posten.

Fejl ramte ansat hos Datatilsynet
Brevene med den første adgangskode til en NemID-konto, samt det første nøglekort med engangskoder, skal efter myndighedernes regler for NemID sendes forskudt med posten, men det er kikset flere gange for DanID.

I august skrev Version2 om et par, der begge modtog brevene på samme dag. Senere samme måned gik Datatilsynet ind i sagen, fordi en ansat i tilsynet også selv havde oplevet fejlen, som er i strid med Persondataloven.

Læs også: DanID skal stå skoleret for Datatilsynet: Sjusker stadig med brevene

Datatilsynets undersøgelse endte med, at DanID måtte spærre 27.611 NemID-konti, men problemerne med brevene fortsatte i september, hvor Datatilsynet igen kritiserede NemID.

Derfor valgte DanID at placere en medarbejder permanent hos firmaets print-leverandør fra 7. oktober, som manuelt skulle kontrollere, hvordan brevene kom af sted.

Applikation virkede - men fejlede
Samtidig fik DanID udviklet en applikation, der automatisk skulle sikre, at brevene ikke kom af sted samme dag. Løsningen blev testet i en uge i november, med held, og så troede DanID, at problemet var løst. Det ekstra, manuelle tjek, der skulle forhindre fejlen i at ske, blev derfor droppet.

Men i perioden 18. november til 22. december fortsatte brevene alligevel med at dukke op samme dag hos borgerne. Det fremgår af en ny redegørelse fra IT- og Telestyrelsen. Problemet var, at applikationen fejlede, hvis det drejede sig om en genbestilling, men ikke gjorde knuder under normale forhold.

Hos DanID beklager kommunikationschef Jette Knudsen fejlene med udsending af breve.

»Vi synes som videnskabsministeren, at det er uacceptabelt. Det må ikke ske. Men de tiltag, vi satte i søen, viste sig ikke at være tilstrækkelige,« forklarer hun.

Siden fejlen i applikationen, der skulle sikre forskudte breve, blev opdaget, har DanID's medarbejder derfor genoptaget det manuelle tjek. Det skulle sikre mod fejl, men koster altså en del arbejdstid hos DanID.

Ifølge DanID's svar til IT- og Telestyrelsen om sagen, har brev-fejlene ikke haft konsekvenser.

»Fejlen har så vidt vides ikke medført sikkerhedsproblemer for nogen af de berørte NemID-brugere,« skriver firmaet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Problemet var, at applikationen fejlede, hvis det drejede sig om en genbestilling, men ikke gjorde knuder under normale forhold.

Det er skis'me også dumt de ikke lige har tænkt det ind også - hvor i fejlretningsprcessen mon analysen og intelligensen har fundet sted?

Ifølge DanID’s svar til IT- og Telestyrelsen om sagen, har brev-fejlene ikke haft konsekvenser.

»Fejlen har så vidt vides ikke medført sikkerhedsproblemer for nogen af de berørte NemID-brugere,« skriver firmaet.

Okay, det det ved I hvordan? Er det ikke blot normal procedure, at benægte der kan have sket noget som helst galt ved en fejl, for dernæst at glemme problemet og først tage det op, når/hvis det viser sig alligevel der er problemer (ligesom dioxin foderet fra Tyskland der ikke var sendt til Danmark, lige indtil der faktisk var noget af foderet, der var sendt til Danmark)?

Anders Kreinøe

Jeg er også en af dem som fik brevene samme dag i december. Yderligere irriterende finder jeg det så, at jeg et par dage efter oprettelsen, prøver at logge på min netbank. Der sker umiddelbart ingen ting, jeg for ikke noget at vide om forkert adgangskode eller bruger navn. Jeg prøver igen, hvor jeg meget grundigt kontrollerede at jeg indtastede det hele rigtigt. Igen ingen fejlmelding, men ingen resultat, login skærmen nulstiller sig bare. I 3 forsøg, for jeg så at vide at mit login er spæret på grund af 3 fejlede forsøg. Jeg blev temmelig irriteret, da jeg var sikker på at jeg havde indtastet det rigtigt, men havde ikke tid til at ringe til DanId.

Dagen efter (eller 2 tror jeg faktisk det var) modtager jeg så et brev, hvor der står at de har lavet fejlen med at sende brevene samme dag, og derfor har ændret min adgangskode til en ny engangsadgangskode som jeg ville modtage med posten senere. Meget fint, men hvorfor for jeg først denne information, efter koden er spæret. Jeg ved godt at de sikkerhedsmæssigt bliver ned til at skifte adgangskode så snart de opdager fejlen, men kunne de så ikke sende en email, eller lave en funktion der gør at man for det at vide når man prøver at logge ind.

Når men jeg måtte vente et par dage mere på min nye kode. I mellemtiden skrev jeg til min bank, da jeg jo var i tvivl om den nye kode var blevet spæret med mine 3 forkerte login forsøg. Det kunne de ikke svarer på, men henviste til DanId support. I det mindste svarede de hurtigt.

DanId har endnu tilgode at svarer, men i det mindste virede den kode jeg fik.

Min kone har i øvrigt stadig til gode at få et velfungerende nemId, efter at hun kun fik 2 af de 3 breve da vi genbestilte hendes nemid.

Grunden til at vi begge genbestilte nemid, var at jeg bestilte det selv hos banken, men tilsyneladende inden banken var klar til det. I hvert fald kunne jeg på det tidspunkt ikke finde et nemid login på deres side, så jeg tænkte at jeg kunne oprettet dem på nemid.nu. Det kunne jeg dog ikke, når jeg kun ville bruge det til banken (skal ikke nyde noget af at bruge det til det offentlige, men det er en anden snak), så dette gik galt. Jeg skrev til DanId og farklarede situationen, men de har stadig til gode at svare, selvom det nu er mange måneder siden. Jeg brugte mit gamle login et stykke tid, men besluttede altså i december, at nu måtte jeg hellere genbestille (gennem banken), inden jeg ikke kunne bruge det gamle login mere. Og så fik jeg alså det bøvl som jeg startede med at beskrive.

Jeg er allerede godt træt af at bruge nemId, og jeg har næsten ikke brugt det endnu. Selv vis man tager alle de tekniske og politiske aspekter ud af nemid, som jeg også er mod, ville jeg være godt træt af nemid.

Allan Rostik

Jeg kan ikke forstå hvorfor jeg ikke kan benytte nemid uden at jeg kun har 1 browser åben. Og de skal være den første side jeg åbner i browseren. Ikke noget med at sidde og surfe og så logge ind på nemid. Næh nej.

Anders Christensen

Når de nu gang på gang beviser at de ikke kunne finde ud af noget så simpelt, på trods at manuel inspektion og software til at prøve at styre det, hvad så med at gøre det nemmere. (KIS)

Istedet for at sende alle ugen dage som de nok gør nu, så lav KUN papkort mandag og tirsdag, også KUN kodebrev onsdag og torsdag f.eks.

Så kan de bruge fredagen til at feje gulvet og glæde sig over at hvis brevene nu ankommer samme dag, så skyldes det PostDK istedet....

Preben Charles Nielsen

Jeg er stadigvæk logget ind på NEMID...

Det er det eneste program der ikke retter sig efter
operativsystemet...
Jeg kører windows 7 (speciel) version.

Jeg har fået 4 kviteringer på at jeg er logget ud, men det er jeg bare ikke...

Sådan...
Login på nemid
gem en adresse i internet explorer.
logud ud fra nemid.
Modtag en kvitering fra menid..
Du er nu logget ud siger kviteringen

Skriv dette brev...........
send det..

Tryk på internet explorers gemmeside fra nemid.
Pling du er nu inde igen UDEN kode.......

Og det skulle være sikkert ??????????????

Jeg er 72 år og rutineret EDB bruger...

At fortælle dette til nem id personale udløser bare en uforskammet tiltale samt trusler..

Så jeg skriver her i stedet, jeg kan være længe ude fra nemid og være logget ude -- uden at være det --.

Jeg er stadigvæk logget inde, selv om jer er ude...

Hygge PCN..

Michael Thomsen

At fortælle dette til nem id personale udløser bare en uforskammet tiltale samt trusler..

Det er sjovt. Det er også min oplevelse. Hvis jeg er /meget/ heldig vil de dog lige skylde skylden på den dårlige implementering over på banken.

Prøver jeg der får jeg samme sure opstød og en henvisning til DanID fordi de mener, at det er deres ansvar.

Der er åbenbart ingen i Danmark, som tager sikkerhed seriøst..

Claus Agerskov

Min tillid til NemID kan end ikke ligge på en elektron.

Når noget så lavteknologisk som adskillelse papkort og aktiveringsbrev i to forsendelser endsige sendt på to forskellige dage, ikke kan sikres efter gentagne problemer.

Hvordan skal man så kunne have tillid til det, der er bag grænsefladerne til DanID?

Claus Agerskov

[b]Morten Andersen skrev:[/b]

@Claus: Har ikke meget tillid til dig, når du ikke engang kan anvende idiomet korrekt

Nu ved jeg ikke, hvad et idiom er, så du har nok ret.

Nu er det heller ikke mig, den voksne befolkning skal have tillid til omkring at håndtere deres bankkonti og digitale identitet. Men derimod NemID og virksomheden DanID, som står for det.

Med venlig hilsen
Claus Agerskov - privatpersonen

Log ind eller Opret konto for at kommentere