Skat spænder ben for dig: Følg vores sikkerhedsråd – og gå glip af årsopgørelsen

Illustration: REDPIXEL.PL/Bigstock
Hvis du vil undgå, at andre brugere af pc'en skal snage i din årsopgørelse, skal du ifølge Skat sætte et bestemt flueben. Men så kan du heller ikke selv få din årsopgørelse at se.

Hvis du tjekker du din årsopgørelse på det lokale bibliotek, kan den næste bruger af pc'en få adgang til dine dybt personlige skatteoplysninger.

Det har Skat vidst længe, og når brugere klager over fejlen i systemet, bliver de spist af med en besked om, at man skal sætte et flueben i 'Gem ikke krypterede sider på disk' i browserens avancerede indstillingsmenu.

Læs også: Advarsel: Forkert flueben i browseren giver andre adgang til din årsopgørelse

Men nu viser det sig, at det er et rigtig dårligt råd.

For godt nok er det korrekt, at den næste bruger af pc'en ikke får adgang til din årsopgørelse – men det gør du altså heller ikke selv.

En Version2-læser har gjort opmærksom på, at Adobe Reader-plugin'et til eksempelvis Internet Explorer kræver, at den krypterede pdf-fil af årsopgørelsen lagres i cachen, før den kan vises i browservinduet. Version2 har efterfølgende testet det og kan konstatere, at dette er korrekt - i hvert fald med Windows 7 og Internet Explorer 9.

Læs også: Ekspert om Skats browserbommert: Det er en ommer

Så hvis man følger Skats sikkerhedsråd, får man ikke sin årsopgørelse at se.

Formanden for Rådet for Større IT-Sikkerhed, Christian Wernberg-Tougaard, er pikeret:

Læs også: Skat beder CSC lappe hullet webløsning

»Det er godt nok ikke særlig gennemtænkt. De har fundet et quick fix, som ikke viser sig at holde i virkeligheden. Det understreger, at det offentlige generelt er for meget oppe i elfenbenstårnet i stedet for at lytte til eksperterne,« siger Christian Wernberg-Tougaard til Version2.

Det har ikke været muligt at få en kommentar fra Skat.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Torsdag, 9. marts 2012 - 10:44 Til Fredag, 9. marts 2012 - 10:44 Et døgn klarede man, så var der igen dokumenteret kritik af Skat's online kommunikation med borgerne.

Positivt, at V2 dokumenterer på den måde. Men der må også udvises ansvar fra Skat og andre offentlige instanser, når de sætter noget i drift.

Det er for dårligt, at det skal være V2, der fremstiller den slags dokumentation. Den viden, som V2 dermed sikrer, må det forventes at leverandørerne er i besiddelse af, inden de leverer en løsning. Det er ganske enkelt ikke V2's opgave, at skabe denne viden, det er leverandørens, som jo også får penge for det. Mange penge.

  • 5
  • 3
Sune Fibæk

Det har Skat vidst længe, og når brugere klager over fejlen i systemet, bliver de spist af med en besked om, at man skal sætte et flueben i 'Gem ikke krypterede sider på disk' i browserens avancerede indstillingsmenu.

Jeg har på fornemmelsen, at jeg som almindelige bruger ikke har adgang til at ændre den slags indstillinger på en offentlig tilgængelig computer på mit lokale bibliotek. Det er vel oven i købet langt fra sikekrt, at jeg overhovedet kan se, hvordan opsætningen er lavet så jeg har mulighed for at checke det (jeg har ikke prøvet, så ovenstående er et rent gæt).

At jeg så, hvis jeg havde brugt IE derhjemme, kan sætte fluebenet er en anden sag, men der er problemet ikke så stort da den ofentlige adgang begrænser sig til a) børn under 9 og b) personer, som jeg er gift med.

  • 2
  • 0
Rune Juhl Jacobsen

Ét er at Skat selvfølgelig skal sørge for de korrekte headers (no-cache, no-store), men at de skal tage skylden for at en arbitrær plugin ikke virker hvis man piller ved indstillingerne i en browser, det synes jeg alligevel er at gå for langt.

Hvad bliver det næste? Hvis min BonziBuddy 9000-plugin gør at jeg ikke kan læse Skats hjemmeside, skal Skat så også gøre alt for at jeg kan beholde min elskede desktop-abe? Hvad med at brokke sig over Adobe i stedet? ...eller, og nu bliver det vildt, rent faktisk at lade din PDF-læser starte i et seperat vindue, i stedet for at have det i browseren?

  • 0
  • 8
Jesper Svarre

Det er vel ikke ligefrem en eller anden arbitrær plug-in. Skat vælger at offentliggøre i formatet PDF vel vidende, at langt de fleste brugere har samme plug-in fra netop Adobe. Det er muligt at Adobe ikke har gjort sit arbejde godt nok, det skal jeg ikke kunne vurdere, men Skat har da en forpligtigelse til at få tingene til at virke med de værktøjer, man VED befolkningen benytter.

  • 4
  • 0
Anonym

Skat skal selvfølgelig ikke stå til ansvar for, om man bruger den ene eller den anden plugin. BonziBuddy 9000, den bruger jeg også. :D

Der er tale om, at der er et problem omkring gemte data, som Skat ikke har overvejet, når de har sat deres løsning sammen. Det er ikke godt nok, at man ikke overvejer den slags. Det er jo ikke noget de gør for sjov, når de vælger løsninger, det er noget de får penge for.

En lille smule omtanke, og så havde de problemer slet ikke eksisteret. Men det må de jo selv rode med, V2 eller andre, skal ikke levere løsninger, som andre bliver betalt for at levere.

Og nej, jeg mener ikke, at selvangivelser, eller andre private persondata, skal være offentligt tilgængeligt. Det har vi lov, der beskriver at det ikke må være. Heller ikke for den næste, der benytter en offentlig PC.

  • 2
  • 1
Jesper Svarre

Jeg mener du lever i en verden, hvor virkeligheden ikke har den store betydning.

Jeg tror du principielt har fuldstændigt ret, men i virkelighedens verden skal Skat altså servicere borgerne og i øvrigt behandle et utal af supporthenvendelser når skidtet ikke virker. Det er derfor de, og de fleste andre kunderettede organisationer og virksomheder i denne verden, skal eller bør forsøge at få deres skidt til at virke i den virkelighed, vi andre lever i.

  • 2
  • 0
Vagn Kjær-Hansen

Der er så mange browsere og plugins og andet på en computer, at det i praksis er en umulig opgave at sikre at alting virker 100%. Derfor giver jeg ikke meget for den højpandede forargelse over Skat.

Jeg er omvendt ikke i tvivl om, at Skat bestræber sig på at løsningen virker for alle - det er jo i det hele taget derfor, at Skat er en af de rigtig store succeser indenfor digitalisering til Danmarks befolkning.

Tænk så også lige på, hvad det er vi taler om: At hvis du bruger en offentlig computer, så er det muligt for andre at se din årsopgørelse. Og hvor mange af de andre biblioteksgæster tror I prøver at lede efter gemte filer?

Alt i alt er den praktiske betydning lille. Jeg har ikke set mange artikler om personer, som har fået afsløret noget som helst fordi de var på biblioteket og glemte at slette filer.

  • 4
  • 2
Anonym

Hvorfor ikke bare undlade at have en løsning, som anvender et sådant plugin. Det er jo helt unødvendigt. Man kan bare lave det ordentligt, så er der ikke noget problem.

Som du selv beskriver, er problemet ikke så stort på biblioteker, for de fleste anvender en anden mulighed, f.eks. deres arbejdsgiver. I den forbindelse, så er det jo helt lovligt, at arbejdsgiveren overvåger brugerne, og det er også helt almindeligt.

Ikke mindst, så beskriver persondataloven, at man skal gøre tingene, så det ikke er muligt. Med respekt for, at der kan opstå en svipser, så skal det jo rettes, når man bliver gjort opmærksom på det. At vente flere år, og samtidigt helt undlade at forholde sig til en sikkerhedsbrist man er opmærksom på, er det samme som at man bevist overtræder loven. Vi kan ikke have myndigheder i et retssamfund, der bevist overtræder loven, for så er det ikke et retssamfund længere. ( Uden at der skal lægges mere i det, end en opfordring til at udvise ansvar for fællesskabet. )

For at sige det på godt Dansk. Hvis det ikke virker, så fjern lortet. Der sker jo ikke noget ved at fjerne det, så hvorfor beholde det. Det må være grundlaget for proportioner i sagen.

  • 0
  • 0
Jørgen Halland

Løsninger bør kunne anvendes af udbredte browsere med standardindstillinger, så supporten kan bede brugere om at resette til standardindstillingerne.

I al beskedenhed har jeg selv lavet en af løsningerne på tastselv og i den forbindelse var CSC meget obs på no-cache, no-store og expire immediate. Det fungerer problemfrit i andre browsere, men lige netop i IE fungerer det ikke. Løsningen var at sætte expire til 1 minut ved pdf og vupti.

I øvrigt åbner jeg pdf i egne vinduer og tvinger med et tilfældigt tal i parameterlisten browseren til altid at hente data fra serveren.

  • 1
  • 0
Jørgen Halland

Det er selvfølgelig ikke godt nok. Jeg har ingen indsigt i af hvem og hvordan de andre løsninger i tastselv er lavet og testet. Man kunne evt. forsøge sig med fiddler og tamper.

Som skrevet, var mine samarbejdspartnere på CSC meget, meget opmærksom på, at der ikke måtte gemmes ting og sager på brugernes maskiner og at navigation skulle foregå fremad. De kender dog ikke til min lille, men nødvendige omgåelse.

Nogen - et andet sted i organisationen og/eller hos kunden - har tilsyneladende ikke testet godt nok.

Jeg har sendt en mail til den ansvarlige hos Skat.

  • 1
  • 0
Jørgen Halland

En lidt polemisk kommentar til formanden for Rådet for Større IT-Sikkerhed, Christian Wernberg-Tougaard.

Det er i dag meget få styrelser, der har egen it-ekspertise - desværre. Stort set al it-ekspertise er samlet i Statens IT, som, efter min erfaring, med få udmærkede undtagelser, hverken har det nødvendige overblik eller den nødvendige ekspertise. Derudover tager alting meget lang tid af førnævnte årsager og det ekstraordinære papirnusseri.

I dagligdagen er styrelserne overladt til deres leverandøres ekspertise, og i dette tilfælde har Skat fået et rigtigt dårligt råd.

Det er meget skidt, at staten stort har sparet forretnings- og it-kompetente medarbejdere væk i styrelser mv., for det betyder bl.a. at ingen for alvor kan vurdere leverandørers tilbud og agere som sagkyndige mod- og medspillere. Sådanne holdt tidligere mig i meget stram snor - også økonomisk. Et par store statslige it-projekter er i øjeblikket akut i fare for kuldsejle, bl.a. af denne grund.

Skat har jo netop lyttet til ekspertene (leverandøren). Formandens skråsikre udfald har derfor meget lidt at gøre med virkelighedens Danmark.

  • 2
  • 0
Jørgen Halland

Sådant et billede vil jeg slet ikke tilslutte mig.

Hvis ikke styrelser har personale med relevant fagligt og teknisk indsigt, står de meget svagt både mht. udarbejdelse af kravsspec. og vurdering af tilbud. De bliver så enten nødt til at hyre et meget dyrt konsulentfirma, som nok ikke altid helt forstår forretningen, eller at forlade sig på, at tilbudsgivere har forstået forretningen bedre og dybere end de selv.

Efter min opfattelse er det opskriften til betydelige meromkostninger - dels til indhyrede (ofte ansvarsfri) konsulenter og dels til risikodækning hos tilbudsgivere. Tillige stiger risikoen for at styrelsens behov ikke er korrekt forstået af tilbudsgivere, og projekter dermed bliver endnu dyrere og forsinkede og/eller at de til slut må opgives.

Dog skal man være opmærksom på, at der også er projekter, der gennemføres til tiden og til prisen. I nogle tilfælde kan der være gået lidt på kompromis mht. faciliteter og kvalitet. Men sådan er det også med projekter i privat regi.

  • 1
  • 0
Anonym

Det lyder som en vel gennemtænkt og formuleret analyse.

Det ligner til forveksling lidt problematikken, der bl.a. skabte baggrunden for systemet omkring AB ( f.eks. AB92 ).

Vi er helt enige om, at der også er projekter der gennemføres tilfredsstillende.

Det virker dog som om, der er alt for mange projekter er ikke kommer tilfredsstillende igennem, og at den samlede masse af dårlige projekter vender den tunge ende ned. Det skaber i sig selv utroværdighed omkring alle projekter, gode som dårlige. Det er ikke tilfredsstillende vilkår, for hverken kunde eller leverandører. Alle er jo under luppen (kikkerten).

  • 0
  • 0
Jørgen Halland

Jeg kender ikke til statistiske eller andre opgørelser af resultaterne vedr. gennemførelse af statslige it-projekter, men jeg vil gerne vide om andre har. Bonnerup-udvalget lavede nogle analyser for en del år siden, men det vil være gavnligt, såfremt der fandtes analyser af situationen efter Bonnerup-rapporten.

Naturligvis - og med fuld rimelighed - er der fokus på offentlige projekter, der fejler. Men uden opgørelser og analyser er der dog ikke belæg for konklusioner. Ligeledes burde resultaterne sammenlignes med private projekter, før offentlige projekter generelt dømmes ude.

Endelig bør man ikke glemme, at lovgiverne ikke sjældent ændrer præmisserne undervejs og sjældent tænker på de it-mæssige konsekvenser, som kan være overordentligt vanskellige at indpasse. Selv et godt planlagt projekt kan dermed blive forældet undervejs. Man skal være mere end almindeligt dygtig, hvis man skal kunne forudse, at der billedligt talt pludselig skal være 65 felter på et skakbræt.

  • 0
  • 0
Anonym

Endelig bør man ikke glemme, at lovgiverne ikke sjældent ændrer præmisserne undervejs og sjældent tænker på de it-mæssige konsekvenser, som kan være overordentligt vanskellige at indpasse. Selv et godt planlagt projekt kan dermed blive forældet undervejs. Man skal være mere end almindeligt dygtig, hvis man skal kunne forudse, at der billedligt talt pludselig skal være 65 felter på et skakbræt.

Lige i det, ser jeg, at man skal være langt dygtigere til at trække stikket. Det må være "embedsmanden" der har forpligtigelse til, indledningsvis at informerer lovgiverne og efterfølgende at trække stikket. Jeg har forståelse for, at man ikke har den fornødne tekniske indsigt, men jeg har ikke forståelse for, at man ikke har den fornødne juridiske indsigt. Det må dreje sig om, at man som embedsmand, og lovgiver, sætter sig ordentligt ind i de facetter en given lov har, og tager det i betragtning. Jeg ved, at det også kan være en monster-opgave, men det er jo så hvad det er. En fejl i den forbindelse, kan fjerne hele grundlaget, for selv meget store projekter, ikke kun inden for IT, men også i andre sammenhænge.

  • 0
  • 0
Log ind eller Opret konto for at kommentere