Statens NemID-chef: NemID er sikker nok hos Nets

Selvom ’tys-tys-kilden’ hos IBM havde adgang til en administrationsdatabase for NemID, var der ingen fare for, at NemID kunne misbruges, siger Digitaliseringsstyrelsens chef, som omvendt måske vil følge op med flere undersøgelser af Nets.

Som mainframe-medarbejder hos IBM indtil 2012 kunne tys-tys-kilden, der solgte fortrolige data til Se og Hør, også kigge i en administrativ database over NemID-brugere. Men systemerne til kreditkort og til NemID er to helt forskellige ting, og NemID er stadig et meget sikkert system.

Sådan lyder det fra Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, oven på afsløringen af, at IBM-medarbejderen også havde adgang til NemID-databasen, ifølge en redegørelse fra Nets. Redegørelsen var bestilt af Digitaliseringsstyrelsen, som sammen med bankerne betaler Nets for at drive NemID-systemet.

Læs også: Se og Hør-kilde havde administratoradgang til NemID: Styrelse kræver strammere sikkerhed

Beskyttelsen mod, at medarbejdere hos Nets eller IBM misbruger NemID-systemet, består grundlæggende i, at adgangen er beskyttet af det password, som NemID-brugerne selv vælger. Den såkaldte tys-tys-kilde kunne derfor kun se lister over brugerne inklusive CPR-numre og loggede kun ind i NemID-databasen én gang, fremgår det af redegørelsen.

Er I tilfredse med redegørelsen fra Nets, hvor Nets har undersøgt sig selv, eller skal der også være en ekstern undersøgelse af sikkerheden hos Nets?

»Vi undersøger løbende Nets med ekstern hjælp, med eksterne revisorer. De har også selv tilknyttet eksterne revisorer i denne her proces. Vi har selv lige modtaget redegørelsen, og det er klart, at sagen gør, at vi vil i nærmere dialog med Nets, som det også fremgår (af pressemeddelelsen om redegørelsen, red.). Det kan også føre til, at vi vurderer, at der er behov for at gå i dybden med nogle områder. Det har vi ikke taget endelig stilling til endnu,« siger Lars Frelle-Petersen til Version2.

»Der er procedurer, der er blevet fulgt, og praksis omkring det, som har været i orden, som har fulgt de aftaler og kontrakter, vi har med Nets. Dem får vi også efterset på forskellige måder gennem de revisionstilsyn, vi har af DanID. Om det skal give anledning til en ekstraordinær gennemgang, vil vi lige vurdere nærmere.«

Har de seneste ugers afsløringer ført til overvejelser om, hvorvidt man stadig skal have et system som NemID liggende hos Nets?

»Nu er diskussionen jo blevet meget bred og omfattende og handler også om mange andre emner. Sagen er jo ganske alvorlig. En medarbejder har tilsyneladende forbrudt sig mod reglerne, og den anden del er, at han ikke er blevet opdaget i de procedurer, der er. Jeg kender ikke meget til kreditkortdelen, men jeg kender til NemID, og det er to meget forskellige områder, som er skruet meget forskelligt sammen. Nu bliver det lidt set som et samlet hele, og det er det ikke.«

»Du kan ikke som medarbejder hos Nets tilgå informationer i NemID, som gør, at du kan manipulere med eller bruge folks NemID. NemID samles først hos borgeren, og det er i anvendelsen, at du kan bruge den til det, du vil. Det kan du ikke centralt fra.«

»Så det er to forskellige ting – men derfor skal man selvfølgelig bruge denne skandale til at tjekke mange andre områder op. Der er også dukket andre historier op, hvor man måske ikke har fulgt de procedurer, der har været. Derfor har vi også fundet anledning til at få det undersøgt nærmere, fordi det er en sag, der foregår hos Nets, og fordi vi gerne vil have, at man fortsat kan være tryg ved at bruge NemID.«

Konceptet i NemID er, at alle private nøgler er samlet ét sted, så man bliver i sidste ende nødt til at stole på Nets. Har hele dette kompleks af sager gjort, at I har tænkt, at det måske var bedre fremover med en løsning, hvor det hele ikke er samlet hos én aktør?

»Vi gør os rigtig mange overvejelser i denne her periode. Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning. Der er fordele og ulemper ved alle konstruktioner, og der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.).«

»Den ene model er en central løsning, og da vi valgte den, gjorde vi os mange overvejelser, fordi vi havde haft en decentral løsning før, som viste sig at have meget store support-udfordringer og gav mange borgere vanskeligheder ved at anvende løsningen. Den anden del var et stort ønske om, at den skulle være så mobil som muligt, og der skal man lige huske, at vi lavede aftalen i 2007. Der var et stort ønske om, at borgeren kunne bruge løsningen fra forskellige computere uden at skulle kopiere en nøgle eller gøre andre krævende ting. Så vi har fået en høj brugervenlighed og meget høj udbredelse, fordi NemID er så nem at anvende.«

»Så kan man rejse spørgsmålet, om der er forøget risiko ved at placere det hele centralt. Som det fremgår af redegørelsen, så er det hele skruet sammen på en måde, som er så sikker, som de internationale standarder på området kræver, at det skal være. Det har jo vist sig at være et meget sikkert system, og det er det fortsat.«

Så I vil ikke have noget problem ved at have en central løsning igen, når I skal vælge en afløser for NemID?

»Det vil jeg hverken sige ja eller nej til, for det er vi ikke færdige med analyser af. Der er fordele ved en centralisering i form af brugervenlighed og fleksibilitet, og at man skal installere så lidt software som muligt på borgerens pc, eller at borgeren selv skal have en token. Der er stadig et meget stort ønske fra danskerne om, at det skal være så nemt at bruge som muligt, og det er et meget væsentligt hensyn.«

»Så er der samtidig et hensyn, som betyder rigtig meget, nemlig at det skal være så sikkert som muligt. Og der skal vi overveje forskellige løsninger. Ligesom man også har muligheden for at få sin nøgle på et medie med NemID. Så der findes forskellige udgaver af den eksisterende løsning, og det er også noget af det, vi skal se på, om der fortsat skal være,« siger Lars Frelle-Petersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

...og at man skal installere så lidt software som muligt på borgerens pc,

Gør han grin med os?
Er hele den føljeton vi har set om problemer med Java virkelig "så lidt software som muligt" ?

Før de fandt på NemID erindrer jeg ikke at gud og hvermand var tvunget til at have installeret og holde java opdateret ... og ligefrem give en applet priviligeret adgang til disken, hvor den så kunne gennem "gif filer".

Så lidt software som muligt?

Thue Kristensen

Før de fandt på NemID erindrer jeg ikke at gud og hvermand var tvunget til at have installeret og holde java opdateret ...

Med undtagelse af Jyske Bank, så virkede de fleste banker vist på samme måde, tror jeg nok. Og det var vist også kørt af DanID.

Ikke at det er nogen god undskyldning for at Nets kørte videre med Java i NemID, i stedet for den åbenlyse standardløsning bare at bruge HTML+JavaScript.

s_ mejlhede

Så tror vi også på julemanden, og nemid er sikkert til andet er bevist.

Men hvorfor er Gottfrid Svartholm Warg så stadig i varetægtsfængslet.
Han har jo også kun haft administrator adgang en gang. Måske kun over 1 måneder ikke 4 år.

Han har bagefter jo ikke mulighed for at give sig andre rettigheder, lave nye bruger, og slette logfiler.
Eller mener de bare, at da det er en af deres ansatte, så har han ikke haft kompetance til at finde ud af det ?

Ole Kofoed Hansen

Udover Jyske Bank, BEC og SDC var der mindst en udbyder af netbank, nemlig Bankdata. Jeg vil tro at Danske Bank og Nordea også var, men dem ved jeg ikke med sikkerhed.

På Bankdatas løsning var der to forskellige login-metoder:

  • nøglefil. Denne metode brugte Java.
  • nøglekort (meget i stil med NemID). Denne metode brugte kun JavaScript.

Idag kører Jyske Bank deres netbank på Bankdata.

Jørgen Elgaard Larsen

Det lyder flot med løbende ekstern revision. Men denne eksterne revision har tydeligvis ikke selv kunnet afsløre de grove sikkerhedsbrud, der har fundet sted.

Om det skyldes inkompetence, manglende adgang, korruption eller andet kan jeg ikke sige, men man må konkludere, at den eksterne revision ikke har været tilstrækkelig.

Hvis nogen nogensinde har troet på Nets/DanID's forsikringer om at vores private nøgle er vel forvaret og beskyttet af procedurer og revision - så er det tid til omsider at se virkeligheden i øjnene.

Lars Brandi Jensen

Nu bliver jeg tvunget til digital post fra november. Med lovning om at det er meget sikrere end selv papirpost. Men med de her strukturelle problemer på sikkerheden, på cpr og nemid, føler jeg mig ikke tryg ved at anvende digital post. Hvem kan læse min kommunikation med bank, forsikring, kommune og stat ?. Jeg kan sagtens forestille mig en avis der får adgang til et kontoudtog fra en borger etc etc. Det er et single point of attack. Det er en meget høj pris at betale for magisk it-sovs.

Christian Nobel
Henrik Madsen

"Vi er jo også på vej ud i nyt udbud omkring en digital signaturløsning."

Med den udtalelse har han jo ligesom diskvalificeret NemID i dens nuværende form og lovet at det bliver en løsning hvor vi som brugere selv får kontrol over vores digitale signatur.

Ja for vi er vel enige om at NemID i sin nuværende form hvor alle private nøgler ligger centralt ALDRIG kan blive en digital signatur løsning, da kravet for at kalde det en digital signatur netop er at man selv har kontrollen over sin signatur og ikke som med den nuværende NemID kun har en SSO løsning.

Andreas Bach Aaen

(man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)

Dette har redaktionen forstået helt rigtigt.

Jeg har NemID på hardware og ikke standard OCES version, hvor nøglerne er gemt centralt. Det betyder at jeg ikke kan tilgå nogensomhelst af de private aktøres NemID løsninger.

Jeg har f.eks. fravalgt Telia som teleselskab, de de tvang brugerne over på OCES NemID.
Det er staks sværre at skifte pensionsselskab, da det er en del af min ansættelskontrakt - og at firmaet på alle medarbejderes vegne har skiftet selskab.
Så jeg kan ikke se hvor mange penge jeg har gemt til pension, da jeg simpelthen ikke stoler på Nets's centrale nøgle løsning.

Hvad forhindrer egentlig NemID på hardware i at blive brugt af private firmaer?

Klavs Klavsen

der er i øvrigt med NemID både mulighed for det ene og det andet (man kan få sin private NemID-nøgle til offentlige websider på hardware, mod betaling, red.)

Jeg har en sådan NemID på hardware, og jeg har bevidst fravalgt at få OCES på mit bankid, da jeg fik tvunget NemID til min bank på mig.

Efter jeg har fået NemID på hardware, skulle jeg lige sikre mig at man faktisk IKKE kunne logge ind vha. mit bank NemID+papkort på en offentlig service (som jo kræver OCES) - og derved omgå at jeg har valgt at have hardware.

Det viser sig at systemet så bare skriver "udsteder nøgle" eller noget den dur, og logger en ind - ganske uden at man skal bruge hardware nøglen.

Hvad dur det så at vælge NemID på hardware - når de bare udsteder en og ligger den hos NETS - selvom jeg specifikt har fravalgt dette og dermed IKKE har givet dem lov til det?

Det gør jo NemID på hardware ganske meningsløs.

Er jeg juridisk bedre stillet, hvis mit NemID hos Nets bliver misbrugt, fordi jeg har NemID på hardware? Jeg tvivler :(

Log ind eller Opret konto for at kommentere