Styrelse om Nets’ NemID-problemer: To ærgerlige eksempler

12. november 2013 kl. 15:5813
Selvom Nets først ikke var forberedt på DDoS-angreb og senest fik problemer, fordi Java-opdateringer ikke blev testet, er Digitaliseringsstyrelsen stadig generelt tilfreds med NemID-leverancen.
Artiklen er ældre end 30 dage

I midten af oktober var der ballade med NemID, som ikke virkede med den nye opdatering af Java. Problemet blev opdaget hos Nets DanID, der driver NemID, samtidigt som hos alle andre NemID-brugere - for Nets testede ikke Java-opdateringerne på forhånd.

Det bliver der lavet om på nu, for det er ikke godt nok, lyder det fra Digitaliseringsstyrelsen, som modtog en redegørelse fra Nets i slutningen af sidste uge om forløbet.

»Vi tager den forklaring, vi har fået fra Nets, til efterretning. Vi finder ikke den praksis (med manglende test, red.) tilfredsstillende, og derfor har vi taget initiativ til nye tiltag, der i fremtiden skal sikre, at der bliver testet. Vi er ikke tilfredse med den måde, det er blevet håndteret på, og Nets har også selv lovet at gøre det bedre fremadrettet,« siger Cecile Christensen, kontorchef i Digitaliseringsstyrelsen, til Version2.

Det har ikke været defineret i detaljer i kontrakten mellem Nets og Digitaliseringsstyrelsen, hvordan der skulle testes.

Artiklen fortsætter efter annoncen

»Vi har haft en forventning om, at der var styr på det. Der står ikke præcist beskrevet i kontrakten, hvordan det skulle foregå,« siger Cecile Christensen.

I begyndelsen af 2013 blev NemID ramt af flere denial-of-service-angreb, som lagde NemID ned i timevis. Version2 kunne afsløre, at det ikke krævede mere end et indkøb på ti dollars på det sorte marked at sende et angreb afsted, som Nets og NemID ikke kunne stå imod. Siden har Nets så fået installeret beskyttelse mod DDoS-angreb, der gør det væsentligt sværere at lamme Danmarks digitale infrastruktur med den slags angreb.

Hvordan ser Digitaliseringsstyrelsen på, at Nets nu to gange på et år er blevet overrasket over, hvordan NemID kunne blive ramt af problemer?

»Det var et andet slags problem dengang, og det kom også bag på os, at man kunne lægge løsningen ned på den måde. Nu er der også sket ændringer, så NemID kan modstå langt større angreb,« siger Cecile Christensen.

Artiklen fortsætter efter annoncen

Men er det godt nok, at der for anden gang ikke er taget højde for et muligt problem med NemID på forhånd?

»Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan. Vi har generelt tiltro til den måde, Nets løser opgaven på. Det her var så to ærgerlige eksempler,« siger Cecile Christensen.

Herunder kan du læse redegørelsen fra Nets til Digitaliseringsstyrelsen, som Version2 har fået aktindsigt i.

Remote video URL

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
13. november 2013 kl. 11:25

Nu nævnes det at, er det er to ærgerlige eksempler. Hvordan defineres det så, at der her på version2 d.5 november blev beskrevet at NemId ikke virker med IE11 som kommer med Windows 8.1, og at dette fortsat er tilfældet. Det eneste som er ændret siden er at IE11 i øjeblikket også udrullet via automatisk opdatering til Windows 7, hvilket jo så gør at flere og flere bliver udelukket fra at kunne benytte NemId til feks skat.dk. Det ville jeg da som udgangspunkt og som minimum også også definere som en "ærgerlig" sag, men det er måske bare mig der tæller dårligt, når jeg tæller i Nets portefølje af fantastiske sager ;)

9
13. november 2013 kl. 07:06

Jens Beltofte Sørensen, Nets burde teste, fordi de er IT leverandør. Digitaliseringsstyrelsen er kunden, så Nets burde rådgive om test.

13
13. november 2013 kl. 12:02

Det er jeg enig med dig i, men Digitaliseringsstyrelsen burde stadig stille krav om hvordan der testes i kontrakten. Ligeledes burde de også selv (eller deres leverandør) teste NemLogin mod nye browsere inden de bliver frigivet. Alt andet er amatøragtigt af både leverandør og kunde.

5
12. november 2013 kl. 17:24

Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan.

Nåååh ja, jeg havde lige glemt at DDOS er et helt nyt fænomen, og man på ingen måde kunne have forudset, at en central infrastruktur med et single-point-of-failure ville være et oplagt mål. I det lys kan jeg godt se at det var fjollet at tænke, at DanID havde opført sig amatøragtigt på grænsen til det uansvarlige. Nu er jeg igen tryg ved at en central brik i Danmarks digitale infrastruktur ligger hos dem...

4
12. november 2013 kl. 17:20

" »Vi har haft en forventning om, at der var styr på det. Der står ikke præcist beskrevet i kontrakten, hvordan det skulle foregå,« siger Cecile Christensen."

Så Nets stoler på Oracle, og Digitaliseringsstyrelsen stoler på Nets...

Hvem har kunnet og har faktisk stolet på Digitaliseringsstyrelsen, og hvem stoler på vedkommende?

Og hvilke sanktionsmuligheder har vi?

7
12. november 2013 kl. 17:44

...og hvis vi ser bort fra, at oppositionen med al sandsynlighed er lige så inkompetente, så kan man naturligvis svare, at den (ir)relevante minister har stolet på Digitaliseringsstyrelsen, og at statsministeren har stolet på vedkommende, og at vi derfor blot skal stemme på nogen andre, når den tid kommer.

Jeg kan dog ikke lade være med at tænke, at det blot svarer til ikke at forny en kontrakt efter dens timelige udløb, hvilket ikke rigtigt står mål med fadæsens omfang.

Er det juridisk baggrund for mistillidsvotum?

Rigsretssag?

Omstrukturering?

?

6
12. november 2013 kl. 17:44

...og hvis vi ser bort fra, at oppositionen med al sandsynlighed er lige så inkompetente, så kan man naturligvis svare, at den (ir)relevante minister har stolet på Digitaliseringsstyrelsen, og at statsministeren har stolet på vedkommende, og at vi derfor blot skal stemme på nogen andre, når den tid kommer.

Jeg kan dog ikke lade være med at tænke, at det blot svarer til ikke at forny en kontrakt efter dens timelige udløb, hvilket ikke rigtigt står mål med fadæsens omfang.

Er det juridisk baggrund for mistillidsvotum?

Rigsretssag?

Omstrukturering?

?

2
12. november 2013 kl. 16:50

Digitaliseringsstyrelsen er stadig generelt tilfreds med NemID-leverancen.

Ja, så er det bare ærgerligt at hovedparten af dem der er tvunget til at bruge NemID ikke er helt så tilfredse.

Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan.

Være på forkant, har hun fuldstændig tabt sutten?

Det har intet med "ret stor udvikling" at gøre at man har en så amatøragtig tilgang til tingene at man ikke en gang følger med i hvad der kommer fra en leverandører, og laver test i henhold til det.

Men hvad kan man også forvente for en milliard?

Vi har generelt tiltro til den måde, Nets løser opgaven på.

Og det er digitaliseringsstyrelsen så nok ret alene om.

3
12. november 2013 kl. 17:00

Ja, det er ret sjovt at Nets og Digitaliseringstyrelsen kan komme til mindelighed om forløbet omkring og tilstanden for NemID. Fuldstændig som når DSB og Banedanmark er enige om, at de gør hvad de kan ;)

Måske man skulle starte vurderingen ude hos brugeren. Nedbruddet omkrig NemID ramte ret hårdt for de offentlige ansatte der bruger NemID til at logge ind, som flere fx gør i kommunerne. Jeg tror "prisen" for et nedbrud er ret stort - det kunne man lave en analyse af til en start.

1
12. november 2013 kl. 16:49

Det har ikke været defineret i detaljer i kontrakten mellem Nets og Digitaliseringsstyrelsen, hvordan der skulle testes.

Det var da en interessant tilgang til udvikling og arbejde med IT. Jeg har altid tænkt, at det at teste, var en integreret del af den faglige tilgang til udvikling. Tænk hvis håndværkeren ikke lavede dampspær, isolering eller fald i badeværelsesgulvet, bare fordi det ikke stod i kontrakten.

Jeg kan godt se, at de der laver IT for det offentlige har det nemt, når man kan påkalde sig detaljegraden i kontrakten som undskyldning.

10
13. november 2013 kl. 07:14

Henrik Korsgaard, jeg er ikke helt enig i dine sammenligninger. Men jeg er enig med dig i, at det er Nets, som burde have rådgivet sin kunde(Digitaliseringsstyrelsen) om vigtigheden af test. Dog kan der testes på mange niveauer indenfor IT. På det niveau, hvor du tester mest, svare til at man kontrollere at alle mursten er sat rigtigt i en mur. Og ikke bare at muren står rigtigt, er lodret og vandret.

Dette er ikke et forsvar af Nets. Jeg syntes bestemt at niveauet for test er sat forkert. Man burde da teste om ens applikation kan køre med nye opdateringer.