Statens NemID-chef: NemID er sikker nok hos Nets

12. maj 2014 kl. 15:2316
Statens NemID-chef: NemID er sikker nok hos Nets
Illustration: Privatfoto.
Selvom ’tys-tys-kilden’ hos IBM havde adgang til en administrationsdatabase for NemID, var der ingen fare for, at NemID kunne misbruges, siger Digitaliseringsstyrelsens chef, som omvendt måske vil følge op med flere undersøgelser af Nets.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Som mainframe-medarbejder hos IBM indtil 2012 kunne tys-tys-kilden, der solgte fortrolige data til Se og Hør, også kigge i en administrativ database over NemID-brugere. Men systemerne til kreditkort og til NemID er to helt forskellige ting, og NemID er stadig et meget sikkert system.

Sådan lyder det fra Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, oven på afsløringen af, at IBM-medarbejderen også havde adgang til NemID-databasen, ifølge en redegørelse fra Nets. Redegørelsen var bestilt af Digitaliseringsstyrelsen, som sammen med bankerne betaler Nets for at drive NemID-systemet.

Beskyttelsen mod, at medarbejdere hos Nets eller IBM misbruger NemID-systemet, består grundlæggende i, at adgangen er beskyttet af det password, som NemID-brugerne selv vælger. Den såkaldte tys-tys-kilde kunne derfor kun se lister over brugerne inklusive CPR-numre og loggede kun ind i NemID-databasen én gang, fremgår det af redegørelsen.

Er I tilfredse med redegørelsen fra Nets, hvor Nets har undersøgt sig selv, eller skal der også være en ekstern undersøgelse af sikkerheden hos Nets?

Artiklen fortsætter efter annoncen

»Vi undersøger løbende Nets med ekstern hjælp, med eksterne revisorer. De har også selv tilknyttet eksterne revisorer i denne her proces. Vi har selv lige modtaget redegørelsen, og det er klart, at sagen gør, at vi vil i nærmere dialog med Nets, som det også fremgår (af pressemeddelelsen om redegørelsen, red.). Det kan også føre til, at vi vurderer, at der er behov for at gå i dybden med nogle områder. Det har vi ikke taget endelig stilling til endnu,« siger Lars Frelle-Petersen til Version2.

»Der er procedurer, der er blevet fulgt, og praksis omkring det, som har været i orden, som har fulgt de aftaler og kontrakter, vi har med Nets. Dem får vi også efterset på forskellige måder gennem de revisionstilsyn, vi har af DanID. Om det skal give anledning til en ekstraordinær gennemgang, vil vi lige vurdere nærmere.«

Har de seneste ugers afsløringer ført til overvejelser om, hvorvidt man stadig skal have et system som NemID liggende hos Nets?

»Nu er diskussionen jo blevet meget bred og omfattende og handler også om mange andre emner. Sagen er jo ganske alvorlig. En medarbejder har tilsyneladende forbrudt sig mod reglerne, og den anden del er, at han ikke er blevet opdaget i de procedurer, der er. Jeg kender ikke meget til kreditkortdelen, men jeg kender til NemID, og det er to meget forskellige områder, som er skruet meget forskelligt sammen. Nu bliver det lidt set som et samlet hele, og det er det ikke.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Du kan ikke som medarbejder hos Nets tilgå informationer i NemID, som gør, at du kan manipulere med eller bruge folks NemID. NemID samles først hos borgeren, og det er i anvendelsen, at du kan bruge den til det, du vil. Det kan du ikke centralt fra.«

»Så det er to forskellige ting – men derfor skal man selvfølgelig bruge denne skandale til at tjekke mange andre områder op. Der er også dukket andre historier op, hvor man måske ikke har fulgt de procedurer, der har været. Derfor har vi også fundet anledning til at få det undersøgt nærmere, fordi det er en sag, der foregår hos Nets, og fordi vi gerne vil have, at man fortsat kan være tryg ved at bruge NemID.«

Konceptet i NemID er, at alle private nøgler er samlet ét sted, så man bliver i sidste ende nødt til at stole på Nets. Har hele dette kompleks af sager gjort, at I har tænkt, at det måske var bedre fremover med en løsning, hvor det hele ikke er samlet hos én aktør?

»Vi gør os rigtig mange overvejelser i denne her periode. Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning. Der er fordele og ulemper ved alle konstruktioner, og der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.).«

»Den ene model er en central løsning, og da vi valgte den, gjorde vi os mange overvejelser, fordi vi havde haft en decentral løsning før, som viste sig at have meget store support-udfordringer og gav mange borgere vanskeligheder ved at anvende løsningen. Den anden del var et stort ønske om, at den skulle være så mobil som muligt, og der skal man lige huske, at vi lavede aftalen i 2007. Der var et stort ønske om, at borgeren kunne bruge løsningen fra forskellige computere uden at skulle kopiere en nøgle eller gøre andre krævende ting. Så vi har fået en høj brugervenlighed og meget høj udbredelse, fordi NemID er så nem at anvende.«

»Så kan man rejse spørgsmålet, om der er forøget risiko ved at placere det hele centralt. Som det fremgår af redegørelsen, så er det hele skruet sammen på en måde, som er så sikker, som de internationale standarder på området kræver, at det skal være. Det har jo vist sig at være et meget sikkert system, og det er det fortsat.«

Så I vil ikke have noget problem ved at have en central løsning igen, når I skal vælge en afløser for NemID?

»Det vil jeg hverken sige ja eller nej til, for det er vi ikke færdige med analyser af. Der er fordele ved en centralisering i form af brugervenlighed og fleksibilitet, og at man skal installere så lidt software som muligt på borgerens pc, eller at borgeren selv skal have en token. Der er stadig et meget stort ønske fra danskerne om, at det skal være så nemt at bruge som muligt, og det er et meget væsentligt hensyn.«

»Så er der samtidig et hensyn, som betyder rigtig meget, nemlig at det skal være så sikkert som muligt. Og der skal vi overveje forskellige løsninger. Ligesom man også har muligheden for at få sin nøgle på et medie med NemID. Så der findes forskellige udgaver af den eksisterende løsning, og det er også noget af det, vi skal se på, om der fortsat skal være,« siger Lars Frelle-Petersen.

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
Klavs Klavsen
13. maj 2014 kl. 11:04

der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)

Jeg har en sådan NemID på hardware, og jeg har bevidst fravalgt at få OCES på mit bankid, da jeg fik tvunget NemID til min bank på mig.

Efter jeg har fået NemID på hardware, skulle jeg lige sikre mig at man faktisk IKKE kunne logge ind vha. mit bank NemID+papkort på en offentlig service (som jo kræver OCES) - og derved omgå at jeg har valgt at have hardware.

Det viser sig at systemet så bare skriver "udsteder nøgle" eller noget den dur, og logger en ind - ganske uden at man skal bruge hardware nøglen.

Hvad dur det så at vælge NemID på hardware - når de bare udsteder en og ligger den hos NETS - selvom jeg specifikt har fravalgt dette og dermed IKKE har givet dem lov til det?

Det gør jo NemID på hardware ganske meningsløs.

Er jeg juridisk bedre stillet, hvis mit NemID hos Nets bliver misbrugt, fordi jeg har NemID på hardware? Jeg tvivler :(

  • more_vert
    • insert_linkKopier link
13
Andreas Bach Aaen
13. maj 2014 kl. 10:19

(man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)

Dette har redaktionen forstået helt rigtigt.

Jeg har NemID på hardware og ikke standard OCES version, hvor nøglerne er gemt centralt. Det betyder at jeg ikke kan tilgå nogensomhelst af de private aktøres NemID løsninger.

Jeg har f.eks. fravalgt Telia som teleselskab, de de tvang brugerne over på OCES NemID. Det er staks sværre at skifte pensionsselskab, da det er en del af min ansættelskontrakt - og at firmaet på alle medarbejderes vegne har skiftet selskab. Så jeg kan ikke se hvor mange penge jeg har gemt til pension, da jeg simpelthen ikke stoler på Nets's centrale nøgle løsning.

Hvad forhindrer egentlig NemID på hardware i at blive brugt af private firmaer?

  • more_vert
    • insert_linkKopier link
16
Thomas Alexander Frederiksen
14. maj 2014 kl. 12:59

Jeg havde en længere samtale med en A-Kasse for nylig, og essensen i svaret var at DanID havde anbefalet dem at fravælge support for NemID på hardware "Fordi det var forældet, og snart ville blive afskaffet...".

  • more_vert
    • insert_linkKopier link
12
Slettet bruger
13. maj 2014 kl. 10:19

"Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning."

Med den udtalelse har han jo ligesom diskvalificeret NemID i dens nuværende form og lovet at det bliver en løsning hvor vi som brugere selv får kontrol over vores digitale signatur.

Ja for vi er vel enige om at NemID i sin nuværende form hvor alle private nøgler ligger centralt ALDRIG kan blive en digital signatur løsning, da kravet for at kalde det en digital signatur netop er at man selv har kontrollen over sin signatur og ikke som med den nuværende NemID kun har en SSO løsning.

  • more_vert
    • insert_linkKopier link
9
Lars Brandi Jensen
13. maj 2014 kl. 08:10

Nu bliver jeg tvunget til digital post fra november. Med lovning om at det er meget sikrere end selv papirpost. Men med de her strukturelle problemer på sikkerheden, på cpr og nemid, føler jeg mig ikke tryg ved at anvende digital post. Hvem kan læse min kommunikation med bank, forsikring, kommune og stat ?. Jeg kan sagtens forestille mig en avis der får adgang til et kontoudtog fra en borger etc etc. Det er et single point of attack. Det er en meget høj pris at betale for magisk it-sovs.

  • more_vert
    • insert_linkKopier link
10
Christian Nobel
13. maj 2014 kl. 08:31
  • more_vert
    • insert_linkKopier link
8
Jørgen Elgaard Larsen
13. maj 2014 kl. 04:41

Det lyder flot med løbende ekstern revision. Men denne eksterne revision har tydeligvis ikke selv kunnet afsløre de grove sikkerhedsbrud, der har fundet sted.

Om det skyldes inkompetence, manglende adgang, korruption eller andet kan jeg ikke sige, men man må konkludere, at den eksterne revision ikke har været tilstrækkelig.

Hvis nogen nogensinde har troet på Nets/DanID's forsikringer om at vores private nøgle er vel forvaret og beskyttet af procedurer og revision - så er det tid til omsider at se virkeligheden i øjnene.

  • more_vert
    • insert_linkKopier link
7
Ole Kofoed Hansen
12. maj 2014 kl. 22:20

Udover Jyske Bank, BEC og SDC var der mindst en udbyder af netbank, nemlig Bankdata. Jeg vil tro at Danske Bank og Nordea også var, men dem ved jeg ikke med sikkerhed.

På Bankdatas løsning var der to forskellige login-metoder:

  • nøglefil. Denne metode brugte Java.
  • nøglekort (meget i stil med NemID). Denne metode brugte kun JavaScript.

Idag kører Jyske Bank deres netbank på Bankdata.

  • more_vert
    • insert_linkKopier link
6
s_ mejlhede
12. maj 2014 kl. 19:22

Så tror vi også på julemanden, og nemid er sikkert til andet er bevist.

Men hvorfor er Gottfrid Svartholm Warg så stadig i varetægtsfængslet. Han har jo også kun haft administrator adgang en gang. Måske kun over 1 måneder ikke 4 år.

Han har bagefter jo ikke mulighed for at give sig andre rettigheder, lave nye bruger, og slette logfiler. Eller mener de bare, at da det er en af deres ansatte, så har han ikke haft kompetance til at finde ud af det ?

  • more_vert
    • insert_linkKopier link
2
Peter Mogensen
12. maj 2014 kl. 15:34

...og at man skal installere så lidt software som muligt på borgerens pc,

Gør han grin med os? Er hele den føljeton vi har set om problemer med Java virkelig "så lidt software som muligt" ?

Før de fandt på NemID erindrer jeg ikke at gud og hvermand var tvunget til at have installeret og holde java opdateret ... og ligefrem give en applet priviligeret adgang til disken, hvor den så kunne gennem "gif filer".

Så lidt software som muligt?

  • more_vert
    • insert_linkKopier link
4
Peter Mogensen
12. maj 2014 kl. 16:58

Nu var jeg så tilfældigvis Jyske Bank kunde ... dengang.

  • more_vert
    • insert_linkKopier link
1
Henrik K. Jensen
12. maj 2014 kl. 15:34

... meget høj udbredelse, fordi NemID er så nem at anvende

Jeg troede at det var fordi det var tvunget, at vi havde høj udbredelse.

  • more_vert
    • insert_linkKopier link