Statens digitaliseringschef: Privacy-interesserede bør bekymre sig om Facebook - ikke NemID

INTERVIEW. Der er mange andre steder at tage fat end at diskutere de centralt opbevarede nøgler hos NemID, hvis man er bekymret for privatlivets fred, siger Lars Frelle-Petersen, leder af Digitaliseringsstyrelsen. Man kan stole på staten og statens it-leverandører, når det gælder datasikkerhed, mener han.
Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen. Illustration: Agnete Schlichtkrull

Tillid er godt – kontrol er bedre.

Sådan lyder et gammelt mundheld, og det kunne være overskriften for Digitaliseringsstyrelsens reaktion på de mange afsløringer det seneste års tid om hackerangreb mod CSC’s mainframes og en IBM-ansats misbrug af data om kendte og kongelige fra Nets-databaser.

Version2 besøgte i løbet af sommerens tour Digitaliseringsstyrelsen midt i København i juli og mødte direktør Lars Frelle-Petersen, som står med det overordnede ansvar for digitaliseringen af staten. Han er derfor en nøgleperson at spørge om en af de bekymringer, der fik nyt liv efter dataskandalerne - nemlig om private leverandører er de rette til at passe på borgernes data.

Hvordan vil I håndtere frygten for overvågning? Det er vel reelt nok som borger at være bekymret over for eksempel Digital Post, som ligger outsourcet hos en leverandør, og over NemID, der giver adgang til det hele og også drives af en privat leverandør?

»Det er bestemt en bekymring, vi skal tage alvorligt. Sager som CSC-hackersag og Se og Hør og Snowden-debatten har øget bevidstheden om sikkerheden. Ser vi på it-sikkerheden som sådan, altså, kan vi betryggende sikre, at data er opbevaret på en sikker og hensigtsmæssig måde? Det synes jeg, der er rimeligt gode svar på. Den anden del handler meget om privacy og opbevaring af persondata. Vil amerikanske virksomheder automatisk udlevere data til det amerikanske forsvar? Det er en svær debat, for den er også meget politisk. Det er en diskussion om Patriot Act (amerikansk lov, der giver myndighederne vidtrækkende adgang til data, red.), og hvordan den står i forhold til dansk lov. Vores oplevelse er, at vi i kontrakter med vores leverandører stiller krav om at overholde dansk lov. Forbryder de sig mod den, vil de blive retsforfulgt i Danmark. De private virksomheder har heller ikke interesse i at spille med. Det kan vi også se med den retssag, der kører nu med Microsoft, som nægter at udlevere data fra et datacenter i Irland.«

Læs også: Microsoft dømt til at udlevere data fra Irland til USA’s myndigheder - igen

»Jeg er i dag ret tryg ved, at vi opbevarer data hos de private leverandører – vi har gode mekanismer til at føre tilsyn med, at data bliver opbevaret på en tryg måde. Der er ingen tvivl om, at vi kan have behov for at skærpe tilsynet. Der har måske været en blind tillid til, at leverandøren faktisk gør sådan, som man har aftalt. Staten skal i større omfang gøre brug af de værktøjer, man faktisk har til at føre tilsyn.«

Forsommeren bød også på en hed debat om cpr-numre, hvor aktivister regnede sig frem til ministres cpr-numre og offentliggjorde dem, hvilket er ulovligt, selvom cpr-numre på den anden side ikke må bruges som en hemmelig, fortrolig oplysning.

»Vi har set en diskussion om cpr-nummerets rolle, og vi skal passe på med at overgøre cpr-nummerets betydning. Jeg tror også, at vi i den offentlige sektor har en opgave i at fortælle mere om, hvad cpr-nummeret er for noget, og hvilke data vi egentlig har, og hvad vi mon bruger dem til, hvor meget vi kører data sammen. Jeg oplever også, at der meget hurtigt bliver tænkt meget konspiratorisk om, hvordan den offentlige sektor bruger disse data, og om vi samkører data. Det gør vi jo ikke. Vi overholder jo loven.«

En del af vores læsere er skuffede over, at man for eksempel med NemID har overladt så meget til et privat firma. Den overordnede diskussion her er, om man skal gå væk fra at overlade hvad som helst til et privat firma og fremover skal tænke i worst case hver gang og måske ikke engang bør stole på kommunens ansatte?

»Jeg deler ikke den indstilling, at man ikke kan stole på den offentlige sektor eller generelt skal være mistroisk over for firmaer, som har et navn med tre bogstaver. Vi har haft med private virksomheder at gøre i masser af år. Det er jo svært at forestille sig it uden brug af private firmaer. Der er nærmest ikke noget software, vi kan køre i dag, eller styresystemer, der er danske. Så der er en forudsætning, vi bliver nødt til at acceptere. Selvfølgelig skal man være meget opmærksom på det og være kritiske, men vi er underlagt EU’s udbudsregler, så hvis vi holdt op med at konkurrenceudsætte løsninger, ville vi få problemer.«

Det var heller ikke så meget valget af leverandør, men designet af løsningen.

»Vi stillede mange tekniske krav til leverandøren af NemID, så der var en afvejning omkring omkostningsniveau. Så var der en anden afvejning, for det at lade borgerne selv installere nøgler, som i den tidligere digitale signatur, gjorde rigtig mange af dem forvirrede og gav os store problemer. Det var ikke særlig brugervenligt, og det begrænsede mobiliteten, fordi du ikke kunne bruge det på tværs. Dengang, i 2007 og 2008 (da NemID blev designet, red.), var der en stor efterspørgsel på at få gjort det fleksibelt, uden at du skulle have separate nøgler til hver enhed.«

Kontrakten med Nets DanID om NemID udløber endegyldigt i november 2017, og Digitaliseringsstyrelsen er derfor gået i gang med at planlægge udviklingen af en afløser for NemID. I næste generation vil der være langt flere muligheder, siger Lars Frelle-Petersen.

»Nu kan vi kigge ind i en fremtid, hvor vi kan lave det mere differentieret, både i forhold til sikkerhedsniveau og de tekniske løsninger. Der er også kommet muligheder for at skabe konkurrence, hvor forskellige leverandører kan komme med deres løsning, i stedet for at overlade det til én leverandør.«

»Jeg tror, det har været en enorm fordel, at vi har skabt en universel NemID, der også virker i banker. Vi ville ikke kunne få borgerne til at anvende NemID i det omfang, vi ser i dag, alene. Det er særligt benyttelsen hos bankerne, der har drevet interaktion og penetrationsgrad. Det kan vi ikke selv drive, fordi vi har så lav frekvens for benyttelsen. Da den gamle digitale signatur blev udfaset, var der 1,3 million borgere, som havde den, men anvendelsen var meget lav.«

Ikke i centrale NemID-nøgler, man skal lægge sin privacy-bekymring

»Jeg anerkender bestemt, at der er forskellige ønsker og en stor differentiering i, hvad man bruger af udstyr. Særligt jeres læsere har nogle andre forudsætninger og interesser end gennemsnittet. Og vi skal i den næste løsning være i stand til at honorere flere ønsker, men ikke nødvendigvis alle.«

Da NemID blev udviklet, var det et krav fra Datatilsynet, at man også kunne vælge en løsning, hvor man selv havde kontrol over sin private nøgle. Men efterspørgslen har været meget lille for løsningen, der koster 350 kroner til hardwaren.

»I dag kan man købe NemID med decentral nøgle. Jeg vil sige, at det nok er dem, som har skrevet debatindlæg om det, som har købt den, og ikke så mange andre. Man skal betale penge for det, men der er ikke en stor efterspørgsel.«

»I forhold til it-sikkerhed og privacy er det ikke i det hjørne, jeg synes, man skal være bekymret. Der kan være mange andre dele. For eksempel Facebooks omgang med mine oplysninger – der burde man måske som privat forbruger være mere opmærksom i forhold til at gå op i, om nøglerne til NemID bliver opbevaret centralt.«

Spørgsmålet er også, om det er muligt at bruge den traditionelle tilgang med decentrale nøgler bundet til et smartcard eller en USB-token, hvis kravet også er, at næste generation digital signatur skal fungere på alverdens mobile platforme.

»I forhold til mobiltelefoner er spørgsmålet også, hvordan man vil opbevare nøgler på mange forskellige platforme. Det vil i sig selv også være en udfordring i forhold til at få decentrale nøgler.«

Starten på en ny mobil-æra

Netop mobile platforme har været det helt store problem med den nuværende NemID, som blev lanceret i 2010, netop som både tablets og smartphones begyndte at brede sig i befolkningen. Det har Nets og Digitaliseringsstyrelsen nu fået løst med en NemID-applet baseret på Javascript i stedet for Java, og det åbner et væld af nye døre for den offentlige sektor, som ikke ligesom bankerne kunne lave alternative varianter af NemID-login, der kunne køre på en telefon.

»Det er starten på en hel ny mobil-æra, og det kommer til at flytte rigtig meget for os. Det er sket i den private sektor, men er først ved at begynde for os nu. Næste trin er at gå 2.000 selvbetjeningsløsninger igennem på borger.dk. Vi har gjort borger.dk egnet til mindre skærme, men et er at gøre det muligt, noget andet er at tænke det i et mobilt univers. Der kan man roligt sige, at den offentlige sektor ikke er klar endnu til at udnytte den mobilitet, det kan give med adgang fra telefoner og tablets.«

Problemet er, at selve processen, som borgerne får digital adgang til, stadig er meget analog i tanke og handling.

»Når vi beskriver det, vi gør, er det stadig tænkt meget ud fra en papirverden. Det er en ansøgning, en blanket, et brev og et svar. I fremtiden kommer det til at se meget anderledes ud, og det er vi meget bevidste om. Det kommer til at ændre måden at planlægge på, og det kommer til at hænge bedre sammen. Det kan være med apps i stedet for blanketter.«

Lige nu er udfordringen dog også at få den nye Javascript-applet til NemID til at køre hurtigt nok, for især telefoner, der ikke er det nyeste skrig, skal bruge noget tid på at tygge sig igennem den obfuskerede Javascript-kode.

»Vi må erkende, at den er for langsom, fordi vi har bygget meget sikkerhed ind. Nogle af brugerne vil mene, at det går for langsomt og vil falde fra. Det skal maksimalt tage 5-10 sekunder, og vi er i øjeblikket oppe på 26 sekunder på nogle enheder,« siger Lars Frelle-Petersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rune Gent

"»I dag kan man købe NemID med decentral nøgle.[snip] Man skal betale penge for det, men der er ikke en stor efterspørgsel."

Eller kunne det være fordi du ikke kan bruge den på din netbank eller din telefon/tablet? Det er mig bekendt kun en håndfuld der understøtter den løsning.

Men det er smart greb. Tilbyd kontrol over egen nøgle, sikre sig at den så ikke kan bruges, hvorefter argumenter i den retning kan skydes ned med at løsningen ikke efterspørges.

I det hele taget har jeg mindre tilid efter at have læst den artikel.

Vh
Rune

  • 54
  • 2
Tommy Bell

»I forhold til it-sikkerhed og privacy er det ikke i det hjørne, jeg synes man skal være bekymret. Der kan være mange andre dele. For eksempel Facebooks omgang med mine oplysninger – der burde man måske som privat forbruger være mere opmærksom, i forhold til at gå op i, om nøglerne til NemID bliver opbevaret centralt.«

Forskellen ligger vel i at min facebook konto, kan andre ikke bruge til at identificere, købe, overfører, ændre oplysninger i forhold til stat, bank osv. med?

Jeg kan slet ikke følge den sammenligning.

Det at jeg bekymrer mig omkring sikkerheden for NemID, gør ikke at jeg er mindre bekymret for hvordan Facebook bruger mine oplysninger. Men der er da en himmel til forskel, og de to ting er slet ikke i samme arena, når det gælder hvad det kan bruges til.

Facebook kan bruge, og bruger, oplysninger til at rette reklamer, irritere mig med alt muligt mærkeligt.

NemID holder mig gidsel ved at binde mig til en bestemt platform, og et bestemt system, alt i mens, at sikkerheden omkring det er, tvivlsom, foruden at NemID er besværligt, ulideligt centraliseret, og generelt noget bras. I forhold til hvad formålet er.

  • 41
  • 3
Jesper Nielsen

Først privatiseres KMD, og så bruger man undskyldningen om at men er nødt til at bruge private firmaer da de er de eneste der kan leverer!

Hvorfor vil de ikke forholde sig til modsætningen mellem amerikansk og dansk lov, og hvor de tror amerikanske topchefer helst vil komme i lovmaskinen!

Det er så sørgeligt at se, ellers veluddannede mennesket blive ved med at klamre sig til virkningsløs dansk signal lov, den Irakiske menister har ikke levet forgæves, han må have mange fan blandt danske politikere og embedsmænd. Kan de virkelig ikke se at de er totalt til grin, eller er hovedparten at den danske befolkning virkelig så dumme?

Det er jo pardoksalt at man fra politisk side tror at man kan binde danskerne hvad som helst ind, og så samtidig tro at vi i fremtiden kan klare os fordi vi er så kloge.

  • 22
  • 3
Simon Mikkelsen

Jeg er i dag ret tryg ved, at vi opbevarer data hos de private leverandører – vi har gode mekanismer til at føre tilsyn med, at data bliver opbevaret på en tryg måde.

Vi har ellers set masser af beviser på det stik modsatte i år.

Jeg oplever også, at der meget hurtigt bliver tænkt meget konspiratorisk om, hvordan den offentlige sektor bruger disse data, og om vi samkører data. Det gør vi jo ikke. Vi overholder jo loven.

Én ting er hvad man gør nu, noget andet er hvad man overhovedet kan gøre og hvad man kunne finde på i fremtiden.

Det klassiske eksempel er nazisternes forfølgelse af jøder, hvor medlemsregistre i jødiske foreninger blev brugt til at finde mange. Et nyere eksempel er, da ejeren af NemID gennem mange år lækkede kendte, kongelige og folk med beskyttet adresses lokation og indkøb til et sladderblad. I øvrigt tog de ikke anmeldelser af det alvorligt, hvilket mildest talt fjerner enhver form for tillid til dem.

I dag har vi langt flere registre som er meget mere tilgængelige. Jo mere data vi deler og jo mere vi acceptere andre kontrollerer og sammenkører, jo nemmere vil det være at bruge vores data til skade eller gene for os.

  • 37
  • 2
Martin Bøgelund

Statens digitaliseringschef: Privacy-interesserede bør bekymre sig om Facebook - ikke NemID

Kære Lars!
Skal vi ikke lige have det rettet til:
"Privacy-interesserede bør bekymre sig om Facebook OG NemID"

?

... Bare for at holde niveauet i debatten?

  • 36
  • 2
Thomas Larsen

»Nu kan vi kigge ind i en fremtid, hvor vi kan lave det mere differentieret, både i forhold til sikkerhedsniveau og de tekniske løsninger. Der er også kommet muligheder for at skabe konkurrence, hvor forskellige leverandører kan komme med deres løsning, i stedet for at overlade det til én leverandør.«

Ros til Lars og Digst for at komme med den udmelding. Konkurrence og differentiering i næste generation af NemID er i dén grad tiltrængt. Man kan så godt fristes til at spørge, hvad Digst konkret vil gøre for at sikre konkurrencen idet markedet jo ikke just er stort og spørgsmålet er, om det vil være attraktivt for andre kommercielle aktører at gå ind på det nu hvor DanID har defacto og dejure monopol?

»Jeg er i dag ret tryg ved, at vi opbevarer data hos de private leverandører – vi har gode mekanismer til at føre tilsyn med, at data bliver opbevaret på en tryg måde. Der er ingen tvivl om, at vi kan have behov for at skærpe tilsynet. Der har måske været en blind tillid til, at leverandøren faktisk gør sådan, man har aftalt. Staten skal i større omfang gøre brug af de værktøjer, man faktisk har til at føre tilsyn.«

Dejligt at der her udtrykkes opmærksomhed på at forårets massive it-skandaler faktisk har ført til ændringer i borgernes og politikernes holdning til sikkerheden i centrale registre.

Man kunne dog godt ønske sig at journalisten havde spurgt lidt mere ind til den konkrete sikkerhedspraksis der udvises af offentlige hjemmesider i dag når man logger ind på dem. Hvordan kan det eksempelvis være at store offentlige flagskibhjemmesider som borger.dk, skat.dk, eboks.dk og sundhed.dk får så uhyggeligt ringe sikkerhedsbedømmelser i testen på ssllabs.com?

En stor del af forklaringen er at det af uransagelige årsager er dem tilladt at anvende den oldgamle RC4-kryptering og i flere tilfælde insistere på at der ikke bruges noget stærkere end dette. Stort set ingen offentlige selvbetjenings-hjemmesider anvender noget så sikkerhedsmæssigt elementært som understøttelse af "Forward Secrecy" der er en garant for at tidligere opsnappet kommunikation (som vi ved at NSA har om os) ikke kan dekrypteres selv om fjenden på et tidspunkt får adgang til master-nøglen.

Jeg efterlyser svar fra Lars Frelle og alle politikere med digitalisering som speciale hvorfor man ikke øjeblikkeligt har gjort det til et ufravigeligt krav at offentlige selvbetjenings-hjemmesider anvender den højeste form for kryptering og hvorfor man ikke er begyndt at uddanne offentlige digitaliseringsansvarlige i begreber inden for elementær teknisk it-sikkerhed i praksis?

Jeg savner også en mere informeret dansk politik i relation til cpr og legitimering. Det gule sygesikringsbevis har i dag de facto mistet al værdi idet det hverken kan bruges i udlandet eller har et billede påhæftet som garanterer at jeg faktisk er den jeg er. I praksis er det intet andet end en sikkerhedsrisiko for den enkelte borger i dag.

Det er en sikkerhedsrisiko fordi ethvert lommetyveri i dag fører til at borgerens cpr-nummer bliver kendt. Det er et problem fordi det som bekendt er utroligt let at ringe til banker, forsikringsselskaber, praktiserende læger, hospitaler, kommuner, teleselskaber og lignende og give sig ud for at være den pågældende person og alene henvise til cpr-nummeret på det ellers ubrugelige gule kort man lige har opsnappet.

Hvis du vil vide noget om en person skal du altså bare fiske hans/hendes sygesikringsbevis ud af tegnebogen i et ubevogtet øjeblik og så begynde at ringe rundt til alle de institutioner.

Hvorfor har vi ikke en ordning med et offentligt selvvalgt password der skal fremsiges ved telefonisk kontakt hvor cpr-nummeret anvendes som identifikation? Hvorfor ser cpr-registeret ikke indførelsen af dette som sin fornemeste opgave?

Hvorfor mener cpr-registeret at de kan tillade sig at fortælle borgere der er berørt af et massivt identitetstyveri som er forårsaget af deres egen leverandør at borgerne ikke kan få nyt cpr-nummer før skaden er sket og nummeret er blevet misbrugt? Er dette ikke topmålet af offentlig myndigheds-arrogance? Er det myndighederne der er til for borgerne eller er det borgerne der er til for myndighederne?

  • 30
  • 0
Henrik Madsen

"Man kan stole på staten og statens it-leverandører, når det gælder datasikkerhed, mener han."

Jamen for dælen da en tåbelig udtalelse.

Har han da SLET ikke fulgt med i medierne de sidste måneder hvor det blev afsløret at en ansat i de her firmaer man kan "stole på" har solgt informationer til et sladderblad.

Har han slet ikke fattet at der fandtes sikkerhedssystemer som kunne have afsløret dette med det samme, men leverandøren tilsyneladende ikke brugte produktet, til trods for at det var et de selv havde udviklet.

Har han da slet ikke fattet at firmaet blev advaret om at der var en alvorlig læk, uden at de reagerede på det.

Hvordan kan man gå ud, ganske få måneder efter disse grove læk og svigt og sige at man bør have tillid til disse firmaer.

Min tillid kan ihvertfald ligge på hjørnet af et rundt frimærke.

  • 32
  • 2
Peter Mogensen

... har ikke og har aldrig haft en facebook konto. Ønsker ikke at have det. - kan vælge at lade være.

Så det der bekymrer mig er sådanset ikke Facebook.
Til gengæld bekymrer magtfuldkommenhed mig en del. Er det et ord Lars Frelle har slået op?
Hvad er det præcis, der giver mig grund til at stole på Lars Frelle ud over at han siger man skal?
Der blev rejst en hel del kritik af NemID konstruktionen fra starten og den blev afvist bl.a. med argumentet at det jo var fuldstændig frivilligt om man ville bruge OCES delen.
Hvordan gik det med det?
Giver det os grund til at have tillid til systemet?

  • 32
  • 2
Tommy Bell

Udfordringen ligger vel i at vi sidder her og siger det her, men det gør ikke at Lars eller nogen af de andre der ret faktisk træffer beslutninger og kan gøre noget ved det, får den viden.

Magten får deres vilje, og vi andre kan løbe og gemme os indtil de kommer efter en.

  • 12
  • 1
Martin Kofoed

Det var dog et interview af en anden verden. Men alligevel dejligt at få løftet sløret for de mærkelige holdninger, som åbenbart gennemsyrer det statslige magtapparat hele vejen gennem systemet. Det er ganske enkelt skræmmende, at man kan finde på at sammenligne sin egen monopolistiske, tvangsordinerede, forsinkede, dyre login-løsning med et privat socialt netværk, som man selv vælger til.

Jeg orker ikke at begynde at splitte Lars Frelles mange stråmandsargumenter og letkøbte analogier fra hinanden. Det er også til dels gjort ovenfor. Men lige et enkelt eksempel:

Jeg deler ikke den indstilling, at man ikke kan stole på den offentlige sektor eller generelt skal være mistroisk over for firmaer, som har et navn med tre bogstaver.

For det første: hvem har udtalt sig så kategorisk? (svar: ingen)

For det andet: jeg gætter på, at dele af staten selv nærer ret stor mistro til amerikanske virksomheder, om end man nok mest farer rundt som høns uden hoveder, idet man jo mere eller mindre friskt udleverer danskeres data til selsamme udenlandske myndigheder.

  • 24
  • 1
Christian Nobel

Men det er smart greb. Tilbyd kontrol over egen nøgle, sikre sig at den så ikke kan bruges, hvorefter argumenter i den retning kan skydes ned med at løsningen ikke efterspørges.

Det er en meget klassisk manøvre - i sin tid brugte Birkerød kommune en tilsvarende på børnepasningsområdet:

Der er færre børn som skal passes om sommeren, så vi slår nogle institutioner sammen, og så skal man i øvrigt lige betale separat for denne pasning på ugebasis, som selvfølgelig ligger i den anden ende af kommunen.

Folk begynder så at trække på bedsteforældre og den slags, fordi det andet er drønbesværligt og dyrt (for noget der allerede er betalt), hvorefter ordningen til sidst nedlægges, da der jo ikke er noget behov!

  • 23
  • 2
Jens Jönsson

Er manden dybt naiv eller har han taget skade af alt den varme som sommeren har budt på i år ?
Som David Askirk Fotel er inde på. Facebook giver ikke adgang til banken....

Han skulle hellere koncentrere sig om at få højnet sikkerheden i NemID, og det inkluderer at nøglen bliver privat, ikke som nu privat mellem dig og NemID, som opbevarer den....

Det er en ommer!

  • 19
  • 1
Christian Nobel

Han skulle hellere koncentrere sig om at få højnet sikkerheden i NemID, og det inkluderer at nøglen bliver privat, ikke som nu privat mellem dig og NemID, som opbevarer den....

Og meget, meget vigtigt, en total adskillelse af stat og kirke ^^^^^ bank.

Endvidere skal der ikke kun være tale om en privat nøgle, men en nøgle som borgeren genererer, og med mulighed for at generere afledte nøgler, eksempelvis til alderverificering uden personhenførbarhed.

Der er så en anden ting Danmarks farligste mand glemte at nævne, nu han havde travlt med at lave røgslør omkring Facebook - den af ham påtvungne Facebook pendant, hvor alle borgeres mail kun skal være tilgængelig gennem en af et amerikansk ejet firmas webmail.

Men et alternativ til det fordrer jo en rigtig digital signatur, men der er nok feset over djØF hovedet på ham - og at private og firmaer også kunne have glæde af digital signering, det er slet ikke feset ind hos en betoncentralist, der udelukkende fokuserer på hvordan borgerne kan tjene Engsoc.

  • 18
  • 0
Michael Nielsen

Præcist.

Forskellen (som den kære Lars Frelle-Petersen) ignorere i hans svar er.

I facebook bestemmer JEG hvilken oplysninger jeg vil dele - jeg kan lade være med at skrive hvad jeg ikke vil havde andre skal havde adgang til.

I NemID har jeg ingen valg, det er 100% kontrolleret af magthavende, som jeg desværre ikke tror vil mit bedste, og er kun interesseret i at kontrollere mig.

Så jeg er langt mere bekymeret om NemID, fordi det er en elendig sikkerhedsløsning, som åbner ALT information om mig, og jeg har ingen kontrol over hvilken information NemID åbner.

Hvor på facebook styre jeg hvad jeg vil offentliggøre - jeg bruger facebook med tankerne at alt hvad jeg ligger der er 100% offentlig, også selvom jeg specificere kun mine venner må set det.. Men Jeg vælger hvad jeg ligger ud.

  • 18
  • 0
Peter Helms

Hej Lars

Der er sørgeligt at en person i din stilling ikke kan se det uheldige i, at vore CPR numre spredes af NETS via PID/SID systemet. Den sidste skandale er TRYG Forsikring, hvor der er login med NEM-ID og bagefter en NETS AP, hvor der står, at systemet kræver CPR. Hvem kræver? TRYG? Fordi de ikke har adgang til CPR registeret. Jeg håber du tænker om igen. Tillid til det offentlige er en ilusion :-(

  • 16
  • 1
Peter Warholm

Det alt afgørende forskel er at:
Facebook er noget jeg bruger frivilligt, som jeg kan vælge fra eller vælge andre løsninger, og hvor det mest info er noget jeg har selv valgt (med noget hjælp fra venner)
Nem-ID er obligatorisk, og bruges til at styre /styre adgang til, meget følsom info. jeg ikke selv bestemmer over, og Jeg har INGEN mulighed for at vælge andre løsninger ej heller dele løsninger...

At en vigtig person i Danmarks IT strategi ikke kan se dette eller vælger at 'tal udenom' er enten -henholdsvis - inkompetence eller bevist omgørelse af sandheden.

  • 17
  • 0
Jan Petersen

Minder mig om Glarmesteren som giver sin søn en slangebøsse i gave.
Jeg ville være bange, meget bange for en karakter som Lars Trelle-Petersen.
Man skaber et problem for borgerne og tilbyder samtidigt en løsning!
Hele digitaliseringen af det danske samfund, bliver solgt som en løsning som skulle være nemt ie NemID, men i virkeligheden skaber et kæmpe problem som er enorm besværligt.

Samfundet (staten) har en træg-hed på tredive år og når de kommer med noget "nyt" er det allerede forældet. Derfor var det med stor begejstring at man introducerede en Java løsning hvor alle andre var på vej væk fra java løsninger. Og det bliver være endnu!

Computermongoler som Lars Trelle, er ekstrem farlige for vores velfærd i dens oprindelige betydning. Den dag hvor en kriminel høster nøgletabellen fra deres database (som med garanti) findes i flere sammenkørte kopier, bliver der meget travlt ved håndvasken. Men bare rolig - staten dækker ethvert tab som følge deraf. Det er dig som kommer til at dække tabet eller os alle sammen i fællesskab!

Jeg kunne blive ved, men jeg tror i har fattet det.

  • 8
  • 1
Albert Nielsen

Forskellen ligger vel i at min facebook konto, kan andre ikke bruge til at identificere, købe, overfører, ændre oplysninger i forhold til stat, bank osv. med?

Jeg kan slet ikke følge den sammenligning.

Som enhver kan forstå, er problemerne med nem-id det rene vand i forhold til ... (indsæt noget, der er værre, fx facebook eller 'mere end 100.000 døde i Syrien', ...)

Metoden kaldes Whataboutery eller Whataboutism.
http://en.wikipedia.org/wiki/Whataboutism

  • 8
  • 0
Lars Helbro

Jeg fik en email fra SKAT i dag umiddelbart efter at have læst denne tråd.
Nederst i emailen skriver de:

"Pas på falske mails
Der er ofte falske mails i omløb, hvor afsenderen udgiver sig for at være SKAT i håbet om at lokke
personlige oplysninger ud af dig. SKAT vil i en mail aldrig henvise direkte til en side, hvor du skal
indtaste kontooplysninger. På skat.dk finder du flere gode råd om, hvordan du håndterer falske
mails."

Ikke desdomindre indeholdt emailen 2 links som leder direkte til log-in på borger.dk med Slem-ID.
Og den var god nok. Den var fra SKAT.

Jeg ved snart ikke hvad jeg skal mene.

  • 12
  • 2
Finn Christensen

..Der er ingen tvivl om, at vi kan have behov for at skærpe tilsynet. Der har måske været en blind tillid til, at leverandøren faktisk gør sådan, som man har aftalt. Staten skal i større omfang gøre brug af de værktøjer, man faktisk har til at føre tilsyn.«

Stakkels Frelle-Pedersen siger..

  • "Vi skal kontroller det vi er ansvarlige for, men gør det endnu ikke"
  • "Vi har blind tillid til vores $'er, vejledninger og underskrevne dit og dat, så det er enestående tilfælde folket så - "uhensigtsmæssigheder"
  • "Jeg og andre gad ikke bruge det værktøj vi har, og det gør vi stadig ikke"

[= dokumentation eksister ikke, da ingen laver seriøs uafhængig kontrol, så hvem som helst kan påstå hvad som helst]

Summa summarum, jeg snakker stadig og har indtil nu ikke ændret en pind. Jeg og andre med mig håber snart at hysteriet går over. Men skal der ændres noget, så send flere penge og mandskab, for vi er allerede fuldt optaget med andre mere væsentlige opgaver.

..hvor meget vi kører data sammen. Jeg oplever også, at der meget hurtigt bliver tænkt meget konspiratorisk om, hvordan den offentlige sektor bruger disse data, og om vi samkører data. Det gør vi jo ikke. Vi overholder jo loven.«

Sniksnak..

  • samtlige kommuner har etableret "dyneløftergrupper"
  • dyneløftergrupper-, skat- og politi-razzia vises tilmed i DR
  • Udbetaling Danmark foretager samkøring af data (registre) - direkte deres formål, + skal sende 'undringslister' til kommuner
  • Politi
  • Efterretningsvæsen
  • Forsvarets 'blå briller og blød hat'

.. det mm. har Frelle-Pedersen så heller ikke opdaget.

Utroligt hvad man kan få for pengene hos en kgl. udnævnt tjenestemand.

  • 7
  • 0
Kristian Sørensen

Det her katastrofale tvangsdigitaliserings projekt har stået på i et årti eller mere.

Vi må som IT folk være elendige til formidling, undervisning, PR og mediestyring når vi på trods af alvoren og omfanget ikke formår at få vort budskab ud til en bredere kreds end fagmedier som version2.

Det er uhyggeligt at sammenligne hvor mange hvor saglige velunderbyggede argumenter der her fremlægges på version2 og andre fagmedier, med de spæde pip der når frem til folk udenfor it branchen.

Sagen er alt for alvorlig til ikke at gøre en indsats for folkeoplysning.

  • 10
  • 0
Henrik Bøgh

Vi må som IT folk være elendige til formidling, undervisning, PR og mediestyring når vi på trods af alvoren og omfanget ikke formår at få vort budskab ud til en bredere kreds end fagmedier som version2.


Mon ikke i er? Mange af kommentarerne ovenfor er jo ret nøgterne, og indeholder ikke ret mange følelser (bekymring, betryggende, tillid eller mistro for blot at tage nogle af dem Frelle-Petersen anvender), men mere faktuelle pointer (udbredelse af anvendelse af decentral nøgle, anvendelse af Facebook som login til bank, frivilligt valg af Facebook). Tidens trend er mainstream medier og hos politikere, er måske bare mere følelser end fakta?

  • 5
  • 0
Klavs Klavsen

Jeg har NemID på hardware og har specifikt fravalgt OCES på mit bank-NemID.

Alligevel, så udstedte NemID automatisk et OCES certifikat til mit Bank-NemID - da jeg lige testede om jeg nu var sikret at man KUN kunne bruge OCES med min hardware nøgle.

Så den sikkerhed jeg troede jeg tilvalgte med NemID på hardware eksisterer jo slet ikke :(

Nu har jeg åbenbart bare 2 nøgler som kan udgive sig for mig.

At det er accepteret som en gyldig løsning er jeg meget uforstående overfor - det ødelægger jo fuldstændig formålet med NemID på hardware.

  • 8
  • 0
Hans-Christian Mose Jehg

»I forhold til it-sikkerhed og privacy er det ikke i det hjørne, jeg synes, man skal være bekymret. Der kan være mange andre dele. For eksempel Facebooks omgang med mine oplysninger – der burde man måske som privat forbruger være mere opmærksom i forhold til at gå op i, om nøglerne til NemID bliver opbevaret centralt.«

Hvis an forestiller sig at befinde sig i et område hvor der er både udbredt pest og kolera.

Er det mon korrekt forstået at Hr. Lars Frelle-Petersen mener at, fordi der i området findes pest, så behøver vi (som privat forbruger) ikke at bekymre os om kolera?

HC

  • 2
  • 0
Kristian Sørensen

Nemid "på hardware" er et klassisk eksempel på mediestyring.

Det kan bruges af NemId og deres bagmænd til at tilbagevise anklagen om at man ikke selv kan opbevare sin private nøgle.

At det er absurd, idet NemId også har en kopi, og hele formålet dermed er væk, er ligemeget rent mediemæssigt.

For i pressen, i den historie de fleste hører, der findes det du beder om - "se siger nemid manden og holder brikken op foran kameraet" - og du ses derfor som et brokkehovede når du fortsætter.

Sådan styrer man den offentlige mening. Det er en disciplin der ligger milevidt fra den oplysende og uddannende tilgang.

1-0 til spindoktoren over den kryptokyndige borger.

  • 2
  • 0
Albert Nielsen

Nu skal det lige nævnes at verified by Visa er (ganske unødvendigt) pivåbent over for MitM, i det spørgsmål og svar foregår på en side som brugeren ikke har mulighed for at verificere er reel.

Det er korrekt at implementeringen er kompromiteret, men princippet om at man har selv opstillet et spørgsmål og skal kunne give det korrekte svar på det, er jo ikke en del af defekten.

  • 0
  • 0
Log ind eller Opret konto for at kommentere