Oppositionspartier vil gøre op med Nets-monopol

Datalæk, nedetid og java-bøvl. Blå blok har fået nok af Nets.

Når Digitaliseringsstyrelsens kontrakt med Nets udløber til næste år, så skal virksomheden ikke længere have monopol på infrastrukturelle knudepunkter som Dankorttransaktioner og NemID. Det mener både Venstre, Konservative og Dansk Folkeparti ifølge Berlingske.

Det er den seneste tids afsløringer i sagen om Nets-medarbejderes ukontrollerede adgang til borgeres betalings-oplysninger, der har fået oppositionspartierne til at reagerer. Men ifølge Michael Aastrup Jensen, der er it-ordfører for Venstre, vaklede korthuset alvorligt i forvejen.

»Den seneste tids episoder er dråben, der har fået bægeret til at flyde over. Med de krav, som vi stiller til oppetid, og hvor nødvendigt det er for virksomheder og private borgere at kunne logge på NemID hele tiden, er det essentielt, at der er 100 procents oppetid, og at det er så sikkert som muligt. Der har Nets fejlet på de her faktorer i så høj en grad, at jeg ikke kan forsvare, at vi skal fortsætte, som om intet var hændt, når vi kommer i en ny udbudsrunde,« siger Michael Aastrup Jensen til Berlingske.

Ifølge de tre partier vil den brudte monopol gøre sikkerhed til et konkurrence-parameter, så borgerne kan vælge den sikreste løsning, der er tilgængelig.

Venstre byder også ind med en række forslag til en opgradering af den generelle sikkerhed, som man opfordrer regeringen til at gå i dialog med erhvervslivet om.

Blandt forslagene fra Venstre er flere ressourcer til Datatilsynet, krav om sikkerhedsgodkendelse af medarbejdere med adgang til følsomme data og pseudonymisering af følsomme data.

Du kan læse resten af Venstres forslag i pressemeddelelsen for neden.

Læs også: Sådan beskytter du dig mod datamisbrug á la Nets

Venstre: Behov for opgradering af datasikkerhed

Venstres IT-ordfører Michael Aastrup Jensen foreslår en række nye initiativer, der skal styrke sikkerheden omkring vores følsomme persondata. Initiativerne kommer efter en stribe af sager, herunder Se & Hør-sagen, hvor personfølsomme oplysninger er blevet lækket eller hacket.

  • Vi må konstatere, at sikkerheden omkring vores personfølsomme data er helt utilstrækkelig. Der er behov for at revidere de nuværende regler og se på, hvordan vi kan øge datasikkerheden til et niveau, der modsvarer trusselsbilledet. Det er aldeles uacceptabelt, at personfølsomme oplysninger uden videre kan tilgå et ugeblad gennem en længere årrække uden, at nogen opdager det eller griber ind, siger Michael Aastrup Jensen.

Han opfordrer regeringen og erhvervslivet til gå i dialog om initiativerne for at styrke datasikkerheden. Blandt forslagene er højere sikkerhedskrav til de medarbejdere, der har adgang til de følsomme oplysninger, bedre sikkerhedsprocedurer og adskillelse af data for at sikre, at én person ikke sidder med adgang til samtlige data.

  • De mange sager tegner et billede af, at sikkerheden langt fra har været god nok. Der er behov for at stramme op, siger Michael Aastrup Jensen.

Desuden peger han på højere strafferammer – både til dem, der lækker oplysninger og hacker systemerne, og til de virksomheder, der ikke lever op til sikkerhedskravene.

  • Vi er som samfund nødt til at slå fast med syvtommersøm, at det er uacceptabelt at lække oplysninger og slække på sikkerheden. Gør man det, skal det have alvorlige konsekvenser, siger Michael Aastrup Jensen.

Styrket datasikkerhed med nye initiativer:

· Krav om sikkerhedsgodkendelse af medarbejdere, som har adgang meget følsomme data.

· Pseudonymisering af følsomme data. Ved at skille de oplysninger, der kan identificere ejeren, ud fra øvrige oplysninger er det muligt at styrke datasikkerheden.

· Rollebaseret adgang til følsomme data, så ingen kan se det hele. Der bør mindst være to personer med adgang til hvert sit system for at finde ud af, hvem oplysningerne knytter sig til.

· Rotation af medarbejdere skal sikre, at den samme medarbejder ikke vedvarende har adgang til de samme oplysninger.

· Automatisk advarsel ved uregelmæssigheder, så de tilsynsførende orienteres, hvis en bruger udviser uregelmæssig adfærd, eksempelvis søger på de samme personoplysninger gentagne gange uden gyldig grund.

· Flere ressourcer til Datatilsynet skal styrke tilsynet, øge de tekniske kompetencer og give mulighed for bedre kontrol med sikkerhed i virksomheder og hos myndigheder samt mulighed for at yde bedre vejledning.

· Stresstest. Fremover skal IT-sikkerheden hos leverandører, der opbevarer personfølsomme data testes med jævne mellemrum med henblik på at sikre, at deres sikkerhedsprocedurer og –niveau er tilstrækkeligt til at matche trusselsniveauet for den type og mængde data virksomheden/myndigheden opbevarer.

· Højere strafferammer. Strafferammen for at lække personfølsomme oplysninger og for at bryde ind (hacke) i systemer med personfølsomme oplysninger bør hæves.

· Krav om åbenhed/offentliggørelse. Hvis borgeres data er blevet lækket eller tilgået illegalt, skal de ansvarlige myndigheder/virksomheder have pligt til at underrette de berørte borgere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Nils Bøjden

Så vidt jeg kan se har Nets 3 forskellige funktioner.

  1. Opbevaring og generering af danskernes digitale identitet. At skulle til at dublere dette giver formodentlig ingen mening. Det skal derimod insources ind i staten til en monopol funktion, varetaget af danske statsborgere i danmark.

  2. Validering af digital identitet og transport af aftaler (penge osv). Bare lad os få 25 firmaer der kan håndtere dette.

  3. Dankort. Jeg er lidt usikker på denne. På den side eksekverer dette en fuldstændig unik, sikker og billig betalingsløsning på tværs af alle borgere, banker og firmaer i Danmark. Og så med indbygget forsikringsordning. På den anden side er det en transport af penge som uden problemer kan udføres af andre.

  • 1
  • 0
#6 Harry Jessen

Michael Aastrup Jensen så det er altså version2 der helt har misforstået jer?

Hvad med at mindske den massive overvågning der foregår af danske borgere.

Hvorfor skal skat automatisk have adgang til vores transaktioner på vores konti i vores banker?

Alle i politikere er en flok hyklere, der først råber op når skaden er sket, og så foreslår i kun små lappe løsninger.

  • 2
  • 1
#7 Morten V. Christiansen

Intentionen er påskønnelsesværdig. Spørgsmålet er nok, hvem der kunne tænkes at ville byde.

Digital Signatur var for hårdt for TDC. For Nets har NemID vist også også været en blandet fornøjelse. Er der andre i Danmark, der har resurserne og ekspertisen til at lave en stabil og sikker Identity Provider løsning ?

Eller kommer vi til at kigge til udlandet ?

  • 0
  • 0
#9 Klavs Klavsen

Problemet er nok snarere hvad der stilles af krav til dem der må byde? Der er en årsag til at det som oftest kun er CSC, IBM mm. der byder på opgaverne..

Men hvis man istedet for at lave et udbud, sørgede for at ALLE fik deres digitale nøgle på en hardware nøgle (og KUN på hardware nøgle *1) - og så bare specificerede nogle krav for at hvilket som helst firma i danmark - på servere, hostet i danmark, kunne levere den nødvendige ydelse for at kunne udfylde Nets rolle.

Så kan forbrugerne og (vigtigt) firmaerne, skifte IDudbyder, ligesom de idag kan skifte telefonudbyder.

*1 Den hardware nøgle man kan vælge hos Nets idag, er desværre kun til pynt - Nets udsteder åbenbart automatisk en ekstra nøgle som så ligger hos dem, så man også kan bruge sit papirkort og ikke behøver hardware nøglen - jeg har selv bekræftet det desværre - mit valg af NemID på hardware, betød åbenbart ingenting :(

  • 4
  • 0
#10 Deleted User

Man undres jo en smule over at Venstre i ti år har siddet i regering uden at gøre noget ved datasikkerheden i forbindelse med de års privatisering. Er man i Venstre blevet så meget klogere i løbet af 2½ år? Eller er der nærmere tale om kærkomment skyts mod regeringen?

Men uanset motiver er det da godt at vi får en bevægelse på området.

Der er mange gode ting i artiklen og pressemeddelelsen, men to stikker lidt i øjnene:

  1. "Rotation af medarbejdere skal sikre, at den samme medarbejder ikke vedvarende har adgang til de samme oplysninger." ... men i stedet blot ved tålmodighed har adgang til en hvilken som helst oplysning i systemet. Jeg kan ikke se at det skulle være en forbedring.

  2. Flere udbydere kan være en god ide, men man kan altså ikke bare lade id-udbydere konkurrere på sikkerhed, det kræver at man centralt sikrer mod at en udbyder udsteder id til en person som har valgt ikke at være kunde i det selskab. En politisk vedtagelse uden et grundigt teknisk fundament risikerer at bringe os i en situation hvor den samlede sikkerhed aldrig er bedre end den dårligste udbyder.

  • 0
  • 0
Log ind eller Opret konto for at kommentere