Skarp kritik af Digitaliseringsstyrelsen: Blev advaret om Nemkonto-svindel 30 gange

Svindlere stjæler borgeres NemID og ændrer vedkommendes Nemkonto, så de kriminelle selv får penge udbetalt. Illustration: Skærmbillede
Kriminelle har i årevis udnyttet Nemkonto til svindel, men Digitaliseringsstyrelsen ignorerer problemet trods flere end 30 advarsler.

Nemkonto er i årevis blevet brugt af svindlere til at frarøve borgere, og det har Digitaliseringsstyrelsen vidst, men man har ikke gjort noget ved problemet.

Det skriver DR.

Hvis kriminelle får fat på en borgers NemID, kan de ændre vedkommendes Nemkonto til en anden konto, så pengene bliver udbetalt til svindlerne. DR’s aktindsigt viser, at Digitaliseringsstyrelsen er blevet gjort opmærksom på problemet mere end 30 gange siden starten af 2016.

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

De mange advarsler kommer fra både myndigheder, organisationer og privatpersoner og indeholder konkrete eksempler på svindel. Men Digitaliseringsstyrelsen skriver i 2017 som svar på en advarsel, at man venter med at løse problemet, indtil et nyt Nemkonto-system kommer i udbud - det er stadig ikke offentliggjort.

»De oplysninger, som I (DR red.) har fremlagt her, gør, at man må stille spørgsmål ved, om Digitaliseringsstyrelsen lever op til sit ansvar,« siger Frederik Waage, professor i forvaltningsret på Syddansk Universitet, til DR.

Læs også: Brugernes computere på biblioteket står pivåbne for hackerangreb

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ebbe Hansen
  • Hvis der fandtes én teknisk løsning, der alene kunne stoppe de kriminelle, der misbruger en NemKonto, ville vi selvfølgelig indføre den løsning med det samme, skriver Digitaliseringsstyrelsens vicedirektør, Adam Lebech, til DR.

Der er problemer, og bare fordi der ikke er en samlet løsning, bliver der ikke gjort noget. Op til 100 nemkonti er - uden et løftet øjenbryn (endsige en henvendelse til borgerne) fra digitaliseringsstyrelsen - blevet tilknyttet samme bankkonto.

Mon Adam Lebech skal til at kigge efter nyt job inden længe?

  • 25
  • 0
#2 Christian Nobel

Hvis jeg skal have en konto med bare så lidt som 25 øre stående på, så skal banken have kopi af mit pas, og hvad har vi.

Hvordan i alverden kan det så være at når der har været lavet svindel, hvor pengene er blevet redirigeret til en anden konto så er der ingen op/forfølgning, for det burde da være så nemt som at klø sig i en vis legemsdel for politiet (da der jo foreligger en anmeldelse) at få navnet på svindleren.

Der er noget det slet, slet ikke stemmer et eller andet sted.

  • 32
  • 0
#4 Gert Madsen

Digitaliseringen har fra begyndelsen kun handlet om at få så mange borgere til at betjene sig selv, som muligt.

Alt hvad der har kunnet skabe tvivl og usikkerhed, som sikkerhedssvagheder og andre uhensigtsmæssigheder, er konsekvent blevet dysset ned.

Som man direkte har udtalt, så handler det om at få borgerne til at FØLE sig trygge.

Systemet har så sikret sig selv, ved at overføre ansvar og risiko til borgerne.

  • 19
  • 0
#5 Anders Reinhardt Hansen
  • 10
  • 0
#6 Christian Nobel

Der bruges æsler (folk der ikke udfører svindlen, men blot overfører pengene ud af landet). Det er dumt at medvirke til, men det er ofte forgældede personer, så de er nemme ofre.

Det gør der givetvis, men med al den snagen i vores privatliv som både banker og myndigheder ynder, så burde alle alarmklokker da ringe det sekund der er mere end en "Nem" konto tilknyttet et individ.

Ligesom at hvis der kommer penge ind, så skal de ud igen, og hvis æslet modtager et større antal tusinde kroner (uden ellers at have noget særligt bankengagement) og straks hæver dem samme dag, så burde banken måske også vågne op - hvis jeg trækker over med 50 øre, så går der ca. 5 minutter, så ringer min såkaldte bankrådgiver og brokker sig.

  • 12
  • 1
#7 Mogens Rasmussen

Først problemer i en styrelse, så i en anden og så videre. Mon ikke mange personer eftertragter sådant et lederjob i en styrelse, hvor man kan sidde og hæve en klækkelig gage uden at røre en finger. Og henvendelser fra presse eller offentlighed vedr. uregelmæssigheder eller andet ubehageligt, kan jo blot ignoreres og undgå at svare på med henvisning til bla..bla... . Ren "Eldorado".

  • 5
  • 6
#8 Maciej Szeliga

...der er intet problem i NemKonto!

Hele problemet sidder i NemID - vi (IT-folk) må ikke tillade at man flytter rundt på problemet fordi et gør det langt sværere at fjerne kræftbylden (dvs. NemID).

FÅ DET NU FIXET!!!

  • 12
  • 0
#9 Ebbe Hansen

Hele problemet sidder i NemID - vi (IT-folk) må ikke tillade at man flytter rundt på problemet fordi et gør det langt sværere at fjerne kræftbylden (dvs. NemID).

Og hvordan skal det så fixes på en måde, så vi ikke taber Marius i Kæret? Han har det svært nok med, at den usikre distribution af nøglekortet har gjort, at han skal til at vænne sig til nøgleviser eller (glup!) app.

  • 5
  • 1
#12 Thomas Nielsen

Pengesporet er netop ikke nødvendigvis let at følge. Hvis din teenagesøn bliver tilbudt lidt [tilsyneladende] nemme penge for at stille konto til rådighed for en 2 meter høj plakatsøjle på motorcykel og politet så en dag tropper op og spørger til transaktionen, så er chancerne for at han udleverer motorcyklisten næppe ret stor. Endnu mindre sandsynligt er det, hvis muldyret i forvejen er en med dummebødeudeståender.

  • 2
  • 1
#13 Christian Nobel
  • 13
  • 0
#14 Gert Madsen

Hvis din teenagesøn bliver tilbudt lidt [tilsyneladende] nemme penge for at stille konto til rådighed for en 2 meter høj plakatsøjle på motorcykel og politet så en dag tropper op og spørger til transaktionen, så er chancerne for at han udleverer motorcyklisten næppe ret stor.

Dette problem er selvfølgelig alvorlig nok, af mange årsager, hvoraf hvidvask kun er een.

Men det er jo ikke denne vej at vi har fået multimia. hvidvask.

Det er jo patetisk at man først går efter arbejdsmand Jensen, fuldstændig ude af trit med de forbrydere, som faktisk udførte hvidvasken, og når så man netop har et sikkert spor, så beklager man sig over at det ikke er godt nok.

Hvis man tror at man kan registrere sig ud af, at rockere får narkomaner til at vaske penge, så bør man være diskvalificeret til ethvert job med ansvar.

  • 7
  • 0
#15 Louise Klint

Det her er, i mine øjne, groft uansvarligt.

Som professoren siger til DR:

Det er ikke godt nok at blive ved med blot at vente på, at der engang kommer et nyt system. Man har en handlepligt, hvis man får gentagne oplysninger om, at der sker sikkerhedsbrud i et IT-system som NemKonto.

Professor Frederik Waage, ekspert i forvaltningsret, Syddansk Universitet.

Advarslerne er, ifølge DR, tilgået Digitaliseringsstyrelsen siden starten af 2016. Mere end 30 gange.

Så hvem kan holdes ansvarlig for den manglende ageren?

Desværre er Digitaliseringsstyrelsens direktører nu begge penduleret over til branche- og interesseorganisationen Dansk Industri.

Direktører cirkulerer angiveligt, i rutefart, mellem Digitaliseringsstyrelsen og DI Digital. Således:

DIGITALISERINGSSTYRELSEN:

2012 – 2017: Direktør Lars Frelle-Petersen

2017 – 2020: Direktør Rikke Hougaard Zeberg

2017 – nu: Vicedirektør Adam Lebech

Lars Frelle-Petersen var direktør i Digitaliseringsstyrelsen, fra styrelsen blev oprettet i 2012 og indtil juni 2017. Således ansvarlig, fra første færd, da de begyndte at få advarsler om ^^ sager.

Efter et kort intermezzo, på trekvart år, i Innovationsministeriet/Finansministeriet, under Sophie Løhde, rykkede han til Dansk Industri, 1. marts 2018, som direktør for DI Digital.

Som sådan har han bl.a. indgået aftale med Danske Regioner, om at gøre Danmark til en førende health tech-nation via vores sundhedsdata fra hospitalerne.

26.06.17: https://www.berlingske.dk/virksomheder/mr.-digitalisering-skifter-job 01.10.18: https://www.berlingske.dk/virksomheder/han-har-kaempet-for-den-offentlig... 12.06.19: https://www.version2.dk/artikel/skridttaeller-puls-hjerterytme-sundhedsv... https://www.version2.dk/artikel/di-regioner-vil-skabe-foerende-sundheds-... http://www.e-pages.dk/regioner/173/

Digitaliseringsstyrelsens senere direktør, Rikke Zeberg, er nu, fra årsskiftet, rykket til Dansk Industri, som direktør for DI Digital. Her afløser hun sin tidligere chef, Lars Frelle-Petersen.

Det samme gjorde hun, i Digitaliseringsstyrelsen, i september 2017. Hvor hun havde været vicedirektør, siden starten i 2012. Under Lars Frelle-Petersen, i perioden, hvor styrelsen fik de mange advarsler om ^^ sager.

03.11.20: https://m.itwatch.dk/article/12533080 https://www.berlingske.dk/virksomheder/digitaliseringsstyrelsen-leverer-... https://digst.dk/nyheder/nyhedsarkiv/2020/november/digitaliseringsstyrel...

Den nuværende vicedirektør, Adam Lebech – som udtaler sig i sagen til DR – er kommet den anden vej fra.

Han har arbejdet som vicedirektør i Digitaliseringsstyrelsen, under Rikke Zeberg, siden 2017. Han kom fra en stilling, som direktør for DI Digital.

05.10.17 (og link ovenfor): https://www.berlingske.dk/virksomheder/digitaliseringsstyrelsen-henter-v...

Har vi et problem?

  • 28
  • 0
#16 Arne Emborg Jørgensen

Ethvert system, der baserer sig på levering gennem postvæsenet, er usikkert og har været det, siden vi skiftet fra en brevsprække i hoveddøren til en postkasse. Det er blevet nemt at fiske postforsendelser. Når så samtidig de offentligt tilgængelige PCer på bibliotekerne er usikre, er katastrofen forprogrammeret for de danskere, der ikke har en privat PC og kun bruger den.

  • 6
  • 0
#17 Claus Wøbbe

Hovedproblemet er i mine øjne, at systemet ejes af staten. Dermed føler ingen noget ansvar overfor brugeren, og der er derfor komplet fravær af incitament til at få løst problemet og dermed stille brugeren tilfreeds.

Derfor bør staten aldrig eje disse systemer - kun infrastrukturen, API o.lign..

  • 0
  • 7
#19 Christian Nobel

Hovedproblemet er i mine øjne, at systemet ejes af staten.

Bankerne er da privatejede, men betyder det at de tager noget ansvar?

Eller havde du forestillet dig at Digitaliseringsforstyrrelsen skulle være privatejet - for i så fald så er du jo tæt på at ønske enevælden genindført.

Herudover, så kan man med det tætte personsammenfald med DI jo tvivle stærkt på om det er en reel styrelse.

Nej hovedproblemet er et helt andet, nemlig at man har påtvunget danskerne et elendigt broken-by-design SSO system, i stedet for at lave en ægte digital signatur.

Og hvis man så havde gjort det rigtigt, så kunne CA og brooker rollen for dens sags skyld godt være på (flere) private hænden, under skarpt tilsyn selvfølgelig.

  • 4
  • 1
#22 Christian Nobel

Jeg kan se du er ny herinde, men hvis du havde læst med her de sidste 10-20 år, så ville du vide at der har været masser af forslag fremme til hvordan det kan laves rigtigt.

Men selv sikkerhedskapaciteter som Stephan Engberg har ikke kunnet trænge igennem til magtens korridorer.

Dybest set, hvilket gør det mere tragisk, så har det ikke ret meget med teknik at gøre, da det er gammelkendt viden og da vi faktisk har haft en rigtig digital signatur her i landet, som man så smed ud med badevandet.

Bevares, der kunne sagtens have været arbejdet på usability på den gamle løsning, men det havde været et minimalt besvær, sammenlignet med det morads man nu har bevæget sig ud i.

  • 6
  • 0
#23 Maciej Szeliga

Det vi har brug for - er en plan. Kom nu med en plan for, hvorledes vi får det her fixet, så det gøres umuligt at stjæle andre folks penge og identiteter. Gerne finurligt som Olsen Bandens planer, men fremfor alt, så skal planen være realiserbar. Værsgo - sæt i gang!

Vi kan sagtens sætte igang - men selv hvis vi kom med en kørende fungerende sikker skalerbar og billig ville ingen røre ved den...

...fordi:

  1. NOT inventetd here!
  2. ikke profiterbar (det ville være OpenSource hele vejen igennem)
  3. ville kræve noget af slutbrugeren
  4. ville kræve en dims hos slutbrugeren

Hele problemet er i virkeligheden at NemID (samt en del andre løsninger i Danmark) er en genopfindelse af den dybe tallerken - bare dårligere: de løser meget lidt og koster en masse i udvikling og drift.

NemID kunne implementeres på en helt standard CA / LDAP / Radius / OTP kombo løsning (CA til certifikater for de resterende komponenter samt for borgerne) for meget små anskaffelsesomkostninger og med få driftsomkostninger - bevares det skulle skalere til 10 mill. brugere men det er fortsat overkommeligt. Her går jeg naturligvis ud fra at det IKKE skulle være afh. af CPR.

  • 4
  • 0
Log ind eller Opret konto for at kommentere