Styrelse om Nets’ NemID-problemer: To ærgerlige eksempler

Selvom Nets først ikke var forberedt på DDoS-angreb og senest fik problemer, fordi Java-opdateringer ikke blev testet, er Digitaliseringsstyrelsen stadig generelt tilfreds med NemID-leverancen.

I midten af oktober var der ballade med NemID, som ikke virkede med den nye opdatering af Java. Problemet blev opdaget hos Nets DanID, der driver NemID, samtidigt som hos alle andre NemID-brugere - for Nets testede ikke Java-opdateringerne på forhånd.

Det bliver der lavet om på nu, for det er ikke godt nok, lyder det fra Digitaliseringsstyrelsen, som modtog en redegørelse fra Nets i slutningen af sidste uge om forløbet.

»Vi tager den forklaring, vi har fået fra Nets, til efterretning. Vi finder ikke den praksis (med manglende test, red.) tilfredsstillende, og derfor har vi taget initiativ til nye tiltag, der i fremtiden skal sikre, at der bliver testet. Vi er ikke tilfredse med den måde, det er blevet håndteret på, og Nets har også selv lovet at gøre det bedre fremadrettet,« siger Cecile Christensen, kontorchef i Digitaliseringsstyrelsen, til Version2.

Det har ikke været defineret i detaljer i kontrakten mellem Nets og Digitaliseringsstyrelsen, hvordan der skulle testes.

»Vi har haft en forventning om, at der var styr på det. Der står ikke præcist beskrevet i kontrakten, hvordan det skulle foregå,« siger Cecile Christensen.

I begyndelsen af 2013 blev NemID ramt af flere denial-of-service-angreb, som lagde NemID ned i timevis. Version2 kunne afsløre, at det ikke krævede mere end et indkøb på ti dollars på det sorte marked at sende et angreb afsted, som Nets og NemID ikke kunne stå imod. Siden har Nets så fået installeret beskyttelse mod DDoS-angreb, der gør det væsentligt sværere at lamme Danmarks digitale infrastruktur med den slags angreb.

Læs også: Nets: Vi begyndte først på DDoS-beskyttelse for NemID i januar

Hvordan ser Digitaliseringsstyrelsen på, at Nets nu to gange på et år er blevet overrasket over, hvordan NemID kunne blive ramt af problemer?

»Det var et andet slags problem dengang, og det kom også bag på os, at man kunne lægge løsningen ned på den måde. Nu er der også sket ændringer, så NemID kan modstå langt større angreb,« siger Cecile Christensen.

Men er det godt nok, at der for anden gang ikke er taget højde for et muligt problem med NemID på forhånd?

»Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan. Vi har generelt tiltro til den måde, Nets løser opgaven på. Det her var så to ærgerlige eksempler,« siger Cecile Christensen.

Herunder kan du læse redegørelsen fra Nets til Digitaliseringsstyrelsen, som Version2 har fået aktindsigt i.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Korsgaard

Det har ikke været defineret i detaljer i kontrakten mellem Nets og Digitaliseringsstyrelsen, hvordan der skulle testes.

Det var da en interessant tilgang til udvikling og arbejde med IT. Jeg har altid tænkt, at det at teste, var en integreret del af den faglige tilgang til udvikling. Tænk hvis håndværkeren ikke lavede dampspær, isolering eller fald i badeværelsesgulvet, bare fordi det ikke stod i kontrakten.

Jeg kan godt se, at de der laver IT for det offentlige har det nemt, når man kan påkalde sig detaljegraden i kontrakten som undskyldning.

  • 11
  • 0
Christian Nobel

Digitaliseringsstyrelsen er stadig generelt tilfreds med NemID-leverancen.

Ja, så er det bare ærgerligt at hovedparten af dem der er tvunget til at bruge NemID ikke er helt så tilfredse.

Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan.

Være på forkant, har hun fuldstændig tabt sutten?

Det har intet med "ret stor udvikling" at gøre at man har en så amatøragtig tilgang til tingene at man ikke en gang følger med i hvad der kommer fra en leverandører, og laver test i henhold til det.

Men hvad kan man også forvente for en milliard?

Vi har generelt tiltro til den måde, Nets løser opgaven på.

Og det er digitaliseringsstyrelsen så nok ret alene om.

  • 22
  • 2
Henrik Korsgaard

Ja, det er ret sjovt at Nets og Digitaliseringstyrelsen kan komme til mindelighed om forløbet omkring og tilstanden for NemID. Fuldstændig som når DSB og Banedanmark er enige om, at de gør hvad de kan ;)

Måske man skulle starte vurderingen ude hos brugeren. Nedbruddet omkrig NemID ramte ret hårdt for de offentlige ansatte der bruger NemID til at logge ind, som flere fx gør i kommunerne. Jeg tror "prisen" for et nedbrud er ret stort - det kunne man lave en analyse af til en start.

  • 10
  • 0
Sune Mølgaard

" »Vi har haft en forventning om, at der var styr på det. Der står ikke præcist beskrevet i kontrakten, hvordan det skulle foregå,« siger Cecile Christensen."

Så Nets stoler på Oracle, og Digitaliseringsstyrelsen stoler på Nets...

Hvem har kunnet og har faktisk stolet på Digitaliseringsstyrelsen, og hvem stoler på vedkommende?

Og hvilke sanktionsmuligheder har vi?

  • 9
  • 2
Jarnis Bertelsen

Det her er et område med en ret stor udvikling. Nogle gange kan man ikke være på forkant med udviklingen, selvom vi forsøger alt, hvad vi kan.

Nåååh ja, jeg havde lige glemt at DDOS er et helt nyt fænomen, og man på ingen måde kunne have forudset, at en central infrastruktur med et single-point-of-failure ville være et oplagt mål. I det lys kan jeg godt se at det var fjollet at tænke, at DanID havde opført sig amatøragtigt på grænsen til det uansvarlige. Nu er jeg igen tryg ved at en central brik i Danmarks digitale infrastruktur ligger hos dem...

  • 14
  • 0
Sune Mølgaard

...og hvis vi ser bort fra, at oppositionen med al sandsynlighed er lige så inkompetente, så kan man naturligvis svare, at den (ir)relevante minister har stolet på Digitaliseringsstyrelsen, og at statsministeren har stolet på vedkommende, og at vi derfor blot skal stemme på nogen andre, når den tid kommer.

Jeg kan dog ikke lade være med at tænke, at det blot svarer til ikke at forny en kontrakt efter dens timelige udløb, hvilket ikke rigtigt står mål med fadæsens omfang.

Er det juridisk baggrund for mistillidsvotum?

Rigsretssag?

Omstrukturering?

?

  • 8
  • 1
Sune Mølgaard

...og hvis vi ser bort fra, at oppositionen med al sandsynlighed er lige så inkompetente, så kan man naturligvis svare, at den (ir)relevante minister har stolet på Digitaliseringsstyrelsen, og at statsministeren har stolet på vedkommende, og at vi derfor blot skal stemme på nogen andre, når den tid kommer.

Jeg kan dog ikke lade være med at tænke, at det blot svarer til ikke at forny en kontrakt efter dens timelige udløb, hvilket ikke rigtigt står mål med fadæsens omfang.

Er det juridisk baggrund for mistillidsvotum?

Rigsretssag?

Omstrukturering?

?

  • 0
  • 1
Kim Rasmussen

Henrik Korsgaard, jeg er ikke helt enig i dine sammenligninger. Men jeg er enig med dig i, at det er Nets, som burde have rådgivet sin kunde(Digitaliseringsstyrelsen) om vigtigheden af test. Dog kan der testes på mange niveauer indenfor IT. På det niveau, hvor du tester mest, svare til at man kontrollere at alle mursten er sat rigtigt i en mur. Og ikke bare at muren står rigtigt, er lodret og vandret.

Dette er ikke et forsvar af Nets. Jeg syntes bestemt at niveauet for test er sat forkert. Man burde da teste om ens applikation kan køre med nye opdateringer.

  • 1
  • 0
Martin Nielsen

Nu nævnes det at, er det er to ærgerlige eksempler. Hvordan defineres det så, at der her på version2 d.5 november blev beskrevet at NemId ikke virker med IE11 som kommer med Windows 8.1, og at dette fortsat er tilfældet. Det eneste som er ændret siden er at IE11 i øjeblikket også udrullet via automatisk opdatering til Windows 7, hvilket jo så gør at flere og flere bliver udelukket fra at kunne benytte NemId til feks skat.dk. Det ville jeg da som udgangspunkt og som minimum også også definere som en "ærgerlig" sag, men det er måske bare mig der tæller dårligt, når jeg tæller i Nets portefølje af fantastiske sager ;)

  • 4
  • 0
Jens Beltofte

Det er jeg enig med dig i, men Digitaliseringsstyrelsen burde stadig stille krav om hvordan der testes i kontrakten. Ligeledes burde de også selv (eller deres leverandør) teste NemLogin mod nye browsere inden de bliver frigivet. Alt andet er amatøragtigt af både leverandør og kunde.

  • 1
  • 0
Log ind eller Opret konto for at kommentere