Skarp kritik af Digitaliseringsstyrelsen: Blev advaret om Nemkonto-svindel 30 gange

8. februar 2021 kl. 09:3523
Nemkonto
Illustration: Skærmbillede.
Kriminelle har i årevis udnyttet Nemkonto til svindel, men Digitaliseringsstyrelsen ignorerer problemet trods flere end 30 advarsler.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Nemkonto er i årevis blevet brugt af svindlere til at frarøve borgere, og det har Digitaliseringsstyrelsen vidst, men man har ikke gjort noget ved problemet.

Det skriver DR.

Hvis kriminelle får fat på en borgers NemID, kan de ændre vedkommendes Nemkonto til en anden konto, så pengene bliver udbetalt til svindlerne. DR’s aktindsigt viser, at Digitaliseringsstyrelsen er blevet gjort opmærksom på problemet mere end 30 gange siden starten af 2016.

De mange advarsler kommer fra både myndigheder, organisationer og privatpersoner og indeholder konkrete eksempler på svindel. Men Digitaliseringsstyrelsen skriver i 2017 som svar på en advarsel, at man venter med at løse problemet, indtil et nyt Nemkonto-system kommer i udbud - det er stadig ikke offentliggjort.

Artiklen fortsætter efter annoncen

»De oplysninger, som I (DR red.) har fremlagt her, gør, at man må stille spørgsmål ved, om Digitaliseringsstyrelsen lever op til sit ansvar,« siger Frederik Waage, professor i forvaltningsret på Syddansk Universitet, til DR.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
9. februar 2021 kl. 23:00

Det vi har brug for - er en plan. Kom nu med en plan for, hvorledes vi får det her fixet, så det gøres umuligt at stjæle andre folks penge og identiteter. Gerne finurligt som Olsen Bandens planer, men fremfor alt, så skal planen være realiserbar. Værsgo - sæt i gang!

Vi kan sagtens sætte igang - men selv hvis vi kom med en kørende fungerende sikker skalerbar og billig ville ingen røre ved den...

...fordi:

  1. NOT inventetd here!
  2. ikke profiterbar (det ville være OpenSource hele vejen igennem)
  3. ville kræve noget af slutbrugeren
  4. ville kræve en dims hos slutbrugeren

Hele problemet er i virkeligheden at NemID (samt en del andre løsninger i Danmark) er en genopfindelse af den dybe tallerken - bare dårligere: de løser meget lidt og koster en masse i udvikling og drift.

NemID kunne implementeres på en helt standard CA / LDAP / Radius / OTP kombo løsning (CA til certifikater for de resterende komponenter samt for borgerne) for meget små anskaffelsesomkostninger og med få driftsomkostninger - bevares det skulle skalere til 10 mill. brugere men det er fortsat overkommeligt. Her går jeg naturligvis ud fra at det IKKE skulle være afh. af CPR.

22
9. februar 2021 kl. 15:52

Jeg kan se du er ny herinde, men hvis du havde læst med her de sidste 10-20 år, så ville du vide at der har været masser af forslag fremme til hvordan det kan laves rigtigt.

Men selv sikkerhedskapaciteter som Stephan Engberg har ikke kunnet trænge igennem til magtens korridorer.

Dybest set, hvilket gør det mere tragisk, så har det ikke ret meget med teknik at gøre, da det er gammelkendt viden og da vi faktisk har haft en rigtig digital signatur her i landet, som man så smed ud med badevandet.

Bevares, der kunne sagtens have været arbejdet på usability på den gamle løsning, men det havde været et minimalt besvær, sammenlignet med det morads man nu har bevæget sig ud i.

21
9. februar 2021 kl. 13:45

Det vi har brug for - er en plan. Kom nu med en plan for, hvorledes vi får det her fixet, så det gøres umuligt at stjæle andre folks penge og identiteter. Gerne finurligt som Olsen Bandens planer, men fremfor alt, så skal planen være realiserbar. Værsgo - sæt i gang!

19
9. februar 2021 kl. 10:11

Hovedproblemet er i mine øjne, at systemet ejes af staten.

Bankerne er da privatejede, men betyder det at de tager noget ansvar?

Eller havde du forestillet dig at Digitaliseringsforstyrrelsen skulle være privatejet - for i så fald så er du jo tæt på at ønske enevælden genindført.

Herudover, så kan man med det tætte personsammenfald med DI jo tvivle stærkt på om det er en reel styrelse.

Nej hovedproblemet er et helt andet, nemlig at man har påtvunget danskerne et elendigt broken-by-design SSO system, i stedet for at lave en ægte digital signatur.

Og hvis man så havde gjort det rigtigt, så kunne CA og brooker rollen for dens sags skyld godt være på (flere) private hænden, under skarpt tilsyn selvfølgelig.

17
9. februar 2021 kl. 08:43

Hovedproblemet er i mine øjne, at systemet ejes af staten. Dermed føler ingen noget ansvar overfor brugeren, og der er derfor komplet fravær af incitament til at få løst problemet og dermed stille brugeren tilfreeds.

Derfor bør staten aldrig eje disse systemer - kun infrastrukturen, API o.lign..

16
8. februar 2021 kl. 21:41

Ethvert system, der baserer sig på levering gennem postvæsenet, er usikkert og har været det, siden vi skiftet fra en brevsprække i hoveddøren til en postkasse. Det er blevet nemt at fiske postforsendelser. Når så samtidig de offentligt tilgængelige PCer på bibliotekerne er usikre, er katastrofen forprogrammeret for de danskere, der ikke har en privat PC og kun bruger den.

15
8. februar 2021 kl. 17:00

Det her er, i mine øjne, groft uansvarligt.

Som professoren siger til DR:

Det er ikke godt nok at blive ved med blot at vente på, at der engang kommer et nyt system.
<strong>Man har en handlepligt</strong>, hvis man får gentagne oplysninger om, at der sker sikkerhedsbrud i et IT-system som NemKonto.

Professor Frederik Waage, ekspert i forvaltningsret, Syddansk Universitet.

Advarslerne er, ifølge DR, tilgået Digitaliseringsstyrelsen siden starten af 2016. Mere end 30 gange.

Så hvem kan holdes ansvarlig for den manglende ageren?

Desværre er Digitaliseringsstyrelsens direktører nu begge penduleret over til branche- og interesseorganisationen Dansk Industri.

Direktører cirkulerer angiveligt, i rutefart, mellem Digitaliseringsstyrelsen og DI Digital. Således:

DIGITALISERINGSSTYRELSEN:

2012 – 2017: Direktør Lars Frelle-Petersen

2017 – 2020: Direktør Rikke Hougaard Zeberg

2017 – nu: Vicedirektør Adam Lebech

Lars Frelle-Petersen var direktør i Digitaliseringsstyrelsen, fra styrelsen blev oprettet i 2012 og indtil juni 2017. Således ansvarlig, fra første færd, da de begyndte at få advarsler om ^^ sager.

Efter et kort intermezzo, på trekvart år, i Innovationsministeriet/Finansministeriet, under Sophie Løhde, rykkede han til Dansk Industri, 1. marts 2018, som direktør for DI Digital.

Som sådan har han bl.a. indgået aftale med Danske Regioner, om at gøre Danmark til en førende health tech-nation via vores sundhedsdata fra hospitalerne.

26.06.17: https://www.berlingske.dk/virksomheder/mr.-digitalisering-skifter-job
01.10.18: https://www.berlingske.dk/virksomheder/han-har-kaempet-for-den-offentlige-digitalisering-i-aartier-men12.06.19: https://www.version2.dk/artikel/skridttaeller-puls-hjerterytme-sundhedsvaesnet-vil-hente-data-din-smartphone-1088261https://www.version2.dk/artikel/di-regioner-vil-skabe-foerende-sundheds-it-nation-nu-skal-alskens-sundhedsregistre-kobleshttp://www.e-pages.dk/regioner/173/

Digitaliseringsstyrelsens senere direktør, Rikke Zeberg, er nu, fra årsskiftet, rykket til Dansk Industri, som direktør for DI Digital. Her afløser hun sin tidligere chef, Lars Frelle-Petersen.

Det samme gjorde hun, i Digitaliseringsstyrelsen, i september 2017. Hvor hun havde været vicedirektør, siden starten i 2012. Under Lars Frelle-Petersen, i perioden, hvor styrelsen fik de mange advarsler om ^^ sager.

03.11.20: https://m.itwatch.dk/article/12533080https://www.berlingske.dk/virksomheder/digitaliseringsstyrelsen-leverer-igen-direktoer-til-dihttps://digst.dk/nyheder/nyhedsarkiv/2020/november/digitaliseringsstyrelsens-direktoer-har-faaet-nyt-job/

Den nuværende vicedirektør, Adam Lebech – som udtaler sig i sagen til DR – er kommet den anden vej fra.

Han har arbejdet som vicedirektør i Digitaliseringsstyrelsen, under Rikke Zeberg, siden 2017. Han kom fra en stilling, som direktør for DI Digital.

05.10.17 (og link ovenfor): https://www.berlingske.dk/virksomheder/digitaliseringsstyrelsen-henter-vicedirektoer-fra-di

Har vi et problem?

14
8. februar 2021 kl. 16:47

Hvis din teenagesøn bliver tilbudt lidt [tilsyneladende] nemme penge for at stille konto til rådighed for en 2 meter høj plakatsøjle på motorcykel og politet så en dag tropper op og spørger til transaktionen, så er chancerne for at han udleverer motorcyklisten næppe ret stor.

Dette problem er selvfølgelig alvorlig nok, af mange årsager, hvoraf hvidvask kun er een.

Men det er jo ikke denne vej at vi har fået multimia. hvidvask.

Det er jo patetisk at man først går efter arbejdsmand Jensen, fuldstændig ude af trit med de forbrydere, som faktisk udførte hvidvasken, og når så man netop har et sikkert spor, så beklager man sig over at det ikke er godt nok.

Hvis man tror at man kan registrere sig ud af, at rockere får narkomaner til at vaske penge, så bør man være diskvalificeret til ethvert job med ansvar.

12
8. februar 2021 kl. 14:23

Pengesporet er netop ikke nødvendigvis let at følge. Hvis din teenagesøn bliver tilbudt lidt [tilsyneladende] nemme penge for at stille konto til rådighed for en 2 meter høj plakatsøjle på motorcykel og politet så en dag tropper op og spørger til transaktionen, så er chancerne for at han udleverer motorcyklisten næppe ret stor. Endnu mindre sandsynligt er det, hvis muldyret i forvejen er en med dummebødeudeståender.

11
8. februar 2021 kl. 14:12

kræftbylden (dvs. NemID)

Fuldstændig enig i at det primære problem er kræftbylden "NemID", men det skal ikke være nogen undskyldning for ikke også at lave noget ordentligt opklaringsarbejde, og følge et pengespor som burde være stort set lige så tydeligt som hvis en rendegraver har kørt gennem en golfbane.

8
8. februar 2021 kl. 13:45

...der er intet problem i NemKonto!

Hele problemet sidder i NemID - vi (IT-folk) må ikke tillade at man flytter rundt på problemet fordi et gør det langt sværere at fjerne kræftbylden (dvs. NemID).

FÅ DET NU FIXET!!!

7
8. februar 2021 kl. 13:38

Først problemer i en styrelse, så i en anden og så videre. Mon ikke mange personer eftertragter sådant et lederjob i en styrelse, hvor man kan sidde og hæve en klækkelig gage uden at røre en finger. Og henvendelser fra presse eller offentlighed vedr. uregelmæssigheder eller andet ubehageligt, kan jo blot ignoreres og undgå at svare på med henvisning til bla..bla... . Ren "Eldorado".

6
8. februar 2021 kl. 12:29

Der bruges æsler (folk der ikke udfører svindlen, men blot overfører pengene ud af landet). Det er dumt at medvirke til, men det er ofte forgældede personer, så de er nemme ofre.

Det gør der givetvis, men med al den snagen i vores privatliv som både banker og myndigheder ynder, så burde alle alarmklokker da ringe det sekund der er mere end en "Nem" konto tilknyttet et individ.

Ligesom at hvis der kommer penge ind, så skal de ud igen, og hvis æslet modtager et større antal tusinde kroner (uden ellers at have noget særligt bankengagement) og straks hæver dem samme dag, så burde banken måske også vågne op - hvis jeg trækker over med 50 øre, så går der ca. 5 minutter, så ringer min såkaldte bankrådgiver og brokker sig.

4
8. februar 2021 kl. 12:15

Digitaliseringen har fra begyndelsen kun handlet om at få så mange borgere til at betjene sig selv, som muligt.

Alt hvad der har kunnet skabe tvivl og usikkerhed, som sikkerhedssvagheder og andre uhensigtsmæssigheder, er konsekvent blevet dysset ned.

Som man direkte har udtalt, så handler det om at få borgerne til at FØLE sig trygge.

Systemet har så sikret sig selv, ved at overføre ansvar og risiko til borgerne.

2
8. februar 2021 kl. 11:02

Hvis jeg skal have en konto med bare så lidt som 25 øre stående på, så skal banken have kopi af mit pas, og hvad har vi.

Hvordan i alverden kan det så være at når der har været lavet svindel, hvor pengene er blevet redirigeret til en anden konto så er der ingen op/forfølgning, for det burde da være så nemt som at klø sig i en vis legemsdel for politiet (da der jo foreligger en anmeldelse) at få navnet på svindleren.

Der er noget det slet, slet ikke stemmer et eller andet sted.

1
8. februar 2021 kl. 10:20

- Hvis der fandtes én teknisk løsning, der alene kunne stoppe de kriminelle, der misbruger en NemKonto, ville vi selvfølgelig indføre den løsning med det samme, skriver Digitaliseringsstyrelsens vicedirektør, Adam Lebech, til DR.

Der er problemer, og bare fordi der ikke er en samlet løsning, bliver der ikke gjort noget. Op til 100 nemkonti er - uden et løftet øjenbryn (endsige en henvendelse til borgerne) fra digitaliseringsstyrelsen - blevet tilknyttet samme bankkonto.

Mon Adam Lebech skal til at kigge efter nyt job inden længe?