Prisen for NemID på mobilen: 100 millioner kroner

Illustration: REDPIXEL.PL/Bigstock
Regeringens forslag til finanslov vil fordoble udgiften til NemID fra 32 millioner til 79 millioner. Konverteringen fra Java- til Javascript-baseret NemID står for hovedparten af millionerne.

Regeringen har med sit forslag til finanslov 2014 med overskriften 'Vækst og Balance' lagt op til, at det offentliges udgifter til NemID mere end fordobles. Konkret foreslår regeringen, at der afsættes 78,8 millioner kroner til videreudviklingen af projektet i 2014. I 2013 er beløbet 31,8 millioner kroner.

De 47 ekstra millioner skal ifølge finanslovsforslaget gå til ordinære driftsomkostninger, hvilket primært må formodes at gå til leverandøren, Nets.

Langt de fleste penge vil gå til udviklingen af en ny, Javascript-baseret NemID-løsning, der ifølge bemærkningerne til finanslovsforslaget samlet vil koste 100 millioner kroner. Udgiften deles ligeligt mellem det offentlige og banksektoren.

»I forbindelse med aftaler om kommunernes og regionernes økonomi for 2014 er det aftalt at videreudvikle og fremtidssikre NemID, så løsningen fortsat kan anvendes på gængse PC-platforme og mobile platforme. Der afsættes i alt 64,4 mio. kr. i 2014-2017, herunder 40,2 mio. kr. i 2014, 8,6 mio. kr. i 2015 samt 7,8 mio. kr. årligt i 2016 og frem. Den offentlige andel af udviklingen af en mobil NemID-løsning til borgerne udgør 50,0 mio. kr. over perioden, mens bankerne tilsvarende betaler 50,0 mio. kr. Tilpasningen af mobil NemID til håndtering af medarbejdersignatur, som kun anvendes af den offentlige sektor, udgør 14,4 mio. kr. Herudover er der afsat 6,6 mio. kr. i 2014 til øget kapacitet til udstedelse af medarbejdersignaturer i forbindelse med overgangen til Digital Post. Midlerne finansieres af stat (40 pct.), kommuner (40 pct.) og regioner (20 pct.),« hedder det i bemærkningen.

Version2 følger op.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Hansen

Jeg synes det er fint at det bliver muligt at tilgå ens netbank, det offentlige osv. fra browsere på alle mulige digitale enheder ved at benytte JavaScript istedet for Java Applets.

Dét jeg derimod ikke synes om er Nets' oplæg til hvordan man kommer til at integrere NemID i sin side ved den kommende løsning, for der er lagt op til to forskellig størrelses iframes... hvor blev Responsive Web Design lige af? Kigger Nets slet ikke på mulighederne i HTML5, CSS3 osv.? Hvordan fa'en skal jeg så kunne logge på min netbank fra mit kommende armbånedsur med lille skærm med lav opløsning? Tænker Nets slet ikke fremad?

Det andet jeg ikke bryder mig om er at alle taler om JavaScript og browser-brug. Hvad nu hvis jeg ønsker at kunne automatisere opslag til fx. netbank for at tjekke min konto? Det kommer jeg formodentligt ikke til at kunne da nøgle-kortet stadig er en del af løsningen. Hvorfor... går det offentlige/Nets ikke "all-in" for digitalisering? Hvorfor... skal vi have det skide nøgle-kort? Hvorfor... kan vi ikke selv vælge hvilket programmerings-sprog vi ønsker at kunne tilgå vores bank, virk.dk m.fl. med?

  • 4
  • 6
Daniel Udsen

Det lyder meget dyrt for konvertering fra et sprog til et andet. Man burde kunne automatisere det meste af oversættelsen. Det kan potentielt også mindske antallet af fejl, som introduceres ved oversættelsen.

Der bliver nok ikke direkte tale om at konvertere fra et sporg til et andet, der er for meget "juridisk fiktion" i hele nemID systemet til at det bare kan gøres sådan, der er tale om at man realt starter helt om igen fra bunden af med et system ingen faktisk har en klar definition der giver teknisk mening på endnu.

Spøgsmålet er om der overhovedet er et punkt hvor man holder op med at lade som om at nemid er en successfuld digital signatur, og bestlutter sig for faktisk at udvikle en signaturløsning til private i DK. Er det i 2015 når nemID til mobilen viser sig ikke at fungere i ren standard complient javascript, efter den 3 budget og tidsplans overskrivelse?

  • 8
  • 0
Carsten Stenberg

Hvis vi er oppe i de her størrelsesordner hver gang, der skal ændres et eller andet i NemID, så stiller jeg mig tvivlende overfor om EUs udbudsregler overhovedet overholdes !?

Var det ikke på tide, at staten frigjorde sig fra bankernes Nets, og udbød et selvstændigt login-system til offentligt brug, og gerne med flere leverandører, så vi som borgere selv kunne vælge hvem vi havde tillid til og som vi fandt lavede den bedste løsning ?

  • 18
  • 0
Jacob Pind

Special set i lyset af at de inden for få år skal acceptere login på de offenlige sider fra andre eu borger, så er det pludslige ikke kun nemid , men løsninger fra alle de andre lande som skal virke på ligefod, men så langt tænkt man ikke da vi genopfandet det 8 kantede nemid hjule .

  • 2
  • 0
Kim Hansen

Selvfølgelig kan de ikke droppe nøglekortet.

Selvfølgelig kan de dét! De kunne jo fx. gøre ligesom Google gør i deres 2-fase-login hvor man har en applikation på sin mobil (som man alligevel altid har med sig) der genererer din "nøgle".

  • 0
  • 4
Helge Svendsen

1) Den tilhører Danske Bank, og det er ikke ligesom at kopiere en film fra Pirate Bay.
2) Den virker kun med Danske Bank. Jeg har hørt der er andre banker?
3) Det er en app lavet til kort tids (Bank) login. Hvad med resten?

  • 2
  • 2
Hans Schou

Hvad nu hvis jeg ønsker at kunne automatisere opslag


Det ville være at bryde reglerne, men med javascript og et Firefox-plugin skulle det kunne lade sig gøre. Scan og OCR dit nøglepapkort og læg listen ind på systemet. Når dit plugin så registrere at der spørges om papkorttal, så udfylder plugin'et alle felter.

Men altså, en rigtig dårlig idé fordi NemID så ikke længere har Multi-factor authentication, hvilket er meningen med det "irriterende" papkort.

  • 5
  • 0
Jacob Pind

nemid er jo to ting, det som bruges til bankerne og det som bruges til det offentlige, det som identificere dig hos banken er kun du har det papkortet med det rigtig løbenummer så du kan svare rigtig på hvad number der står på den position som du blever bedt om, de er slet ikke inden over certificat delen med din private signatur som ligger "trygt og godt" hos nets.

  • 1
  • 1
Kim Hansen

Jeg mener bare at uanset hvad så bør man kunne strikke en smartere løsning sammen som også vil kunne benyttes programmerings-mæssigt. Bankernes kommunikation imellem hinanden benytter vel ikke også NemID sådan at der skal sidde én person kl. midt om natten for at taste en nøgle for at kunne overføre til/fra andre banker?

Det kan også godt være at 2-faktor login a la Google Authenticate og login fra selvsamme device ikke er optimalt, men jeg har jo heller ikke sagt at jeg ville logge på fra mobilen. Ligegyldigt hvad... så hvis man har nøglekortet er man jo lige vidt... så hvad er egentligt forskellen på nøglekortet og en applikation der er godkendt til en bestemt telefon?

  • 0
  • 1
Peter Makholm Blogger

Jeg mener bare at uanset hvad så bør man kunne strikke en smartere løsning sammen som også vil kunne benyttes programmerings-mæssigt.

Jeg mener at det er fornuftigt at bankerne kræver to-faktor authentificering inden der bliver foretaget overførelser fra kundernes konti. Det har jeg svært ved at se er kompatibelt med ønsket om en løsning der fra kundens side kan programmeres.

Bankernes kommunikation imellem hinanden benytter vel ikke også NemID sådan at der skal sidde én person kl. midt om natten for at taste en nøgle for at kunne overføre til/fra andre banker?

Ansvarsforholdet for overførelser mellem banker er noget anderledes end ansvarsforholdet mellem bankerne og slut-kunderne. Derfor er behovet for authentifikation anderledes.

Vi kan godt diskutere at droppe to-faktor autentifikation, men det hænger sammen med ansvarsfordelingen (som ved kundeforhold er fastsat ved lov). Er vi interesseret i en svagere kundebeskyttelse i forbindelse med misbrug af netbank?

Derudover kan vi selvfølgelig diskutere hvad der udgør en faktor.

Men jeg vil stadigvæk mene at en korrekt anvendelse af en faktor kræver en aktiv handling fra brugerens side. En blob information der automatisk hentes fra noget hardware er hverken noget du ved eller noget du har. Så et program der har adgang til mit kodeord er ikke engang en enkelt faktor (imho).

  • 5
  • 0
Peter Makholm Blogger

Jeg mener at det er fornuftigt at bankerne kræver to-faktor authentificering inden der bliver foretaget overførelser fra kundernes konti. Det har jeg svært ved at se er kompatibelt med ønsket om en løsning der fra kundens side kan programmeres.

Dermed ikke sagt at jeg ikke har stor forståelse for ønsket om at kunne bruge sin bank smartere.

Jeg ville elske at have et API til min bank. Men jeg ville også holde mig langt væk fra det, hvis det ikke havde et ordentligt rolle-baseret adgangssystem så jeg kunne styre hvilke rettigheder de enkelte programmer havde. Det ville efter min mening også være fint hvis banken for visse transaktioner krævede en vis sikkerhed for at jeg personligt havde godkendt transaktionen.

  • 1
  • 0
Peter Makholm Blogger

Hvad/ hvem er det egentligt man prøver at sikre ved at bruge NemId?

NemID skal for en række forskellige typer transaktioner sikre begge parter at "klienten" er den han udgiver sig for at være.

For "klienten" handler dette om at sikre at der ikke er andre der kan udgive sig for at være klienten og for "serveren" at det virkelig er "klienten" der står bag en forspørgsel.

NemID udgør kun en del af sikkerheden. Ud over NemID er der blandt andet forskellige juridiske elementer der skal sikre parterne, herunder hvordan det juridiske ansvar fordeles hvis "noget går galt".

For (forbruger-) netbank-transaktioner placeres det juridiske ansvar temlig entydigt hos banken, sålænge kunden opfører sig "fornuftigt". Derfor er det først og fremmest i bankens interesse at NemID virker, da det er banken der hæfter hvis en mangel i NemID der giver kunden et tab. Derfor er det også først og fremmest bankerne der definere hvordan NemID virker og hvad der betragtes som "fornuftig" opførelse (selvfølgelig underlagt Aftalelovens §36 og §38c om urimelige aftaler).

Ved andre typer transaktioner er situationen lidt mer uklar for mig. Det virker lidt til at det offentlige (og andrer brugere) primært bare vælger at piggy-backe på bankerne og tæner at hvis noget er godt nok til financielle transaktioner så er det også godt nok til dem. Men jeg er noget usikker på at du kan få gennemført et krav om at det offentlige skal hæfte hvis en mangel i NemID betyder at det offentliges handlinger medfører et tab for dig.

Havde NemId nu været underlagt Lov om elektroniske signature, så havde DanID hæftet som nøglecenter. Det er derfor de krampagtigt holder fast på at de ikke rigtigt er end digital signatur selvom de prøver at udgive sig for at være en digital signatur (forviret, det forstår jeg godt).

TL;DR - Kunderne sikres først og frememst ved at bankerne hæfter for fejl i netbanken. Derfor er NemID først og frememst designet til at sikre bankerne.

Hvis bankerne hæftede for tab fuldstændig gnidningsløst kunne vi som kunder være lidt ligeglad med sikkerheden i (bank-)NemID.

Sikkerheden for at bruge NemID ved det offentlige er noget mere uklart.

  • 3
  • 0
Log ind eller Opret konto for at kommentere