Styrelse tilfreds med Nets' håndtering af NemID-angreb

1. maj 2013 kl. 13:0217
Digitaliseringsstyrelsen har ikke noget at udsætte på, at Nets først to år efter lanceringen af NemID begyndte arbejdet på et værn mod DDoS-angreb. Samtidig oplyser styrelsen, at der ikke har været andre angreb mod NemID, som ikke har været ude i offentligheden.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det er helt i orden, at Nets først begynder at sikre NemID mod DDoS-angreb, efter det første angreb har fundet sted - to et halvt år efter, at løsningen blev sat i drift.

Det skriver Digitaliseringsstyrelsen i en mail onsdag morgen, efter at Version2 mandag formiddag kontaktede styrelsen i anledning af de ikke-offentliggjorte DDoS-angreb, som Version2's aktindsigt har afsløret.

Holdningen er i lodret modstrid med en række it-ordføreres, der samstemmende kalder det chokerende, at Nets ikke tidligere har implementeret forholdsregler mod DDoS-angreb, ligesom it-netværkseksperten Henrik Kramshøj betegner Nets' handlinger som 'skadeligt inkompetente'.

Nets oplyser, at de har været i gang med DDoS siden januar – er det tilfredsstillende?

Artiklen fortsætter efter annoncen

»Overordnet set er vi fint tilfredse med DanID’s fokus på risiko og trusler,« skriver Charlotte Jacoby, souschef i Digitaliseringsstyrelsen, til Version2 og fortsætter:

»Der foretages løbende risikovurderinger af aktuelle trusler mod NemID-løsningen, og behovet for at iværksætte supplerende sikkerhedsforanstaltninger afvejes i forhold til brugervenlighed og økonomi. DDoS er i den forbindelse en risiko blandt mange.«

Uddybende skriver Charlotte Jacoby:

»Fra den første hændelse i januar har Nets DanID intensiveret deres fokus på netop DDoS og i takt med intensiveringen af angreb iværksat tiltag med henblik på at gøre infrastrukturen mere robust i forhold til netop DDoS-angreb.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Version2 har også spurgt, om der har været flere angreb, som eksempelvis DDoS, som offentligheden ikke har hørt om. Digitaliseringsstyrelsen oplyser, at der ikke har været andre hændelser eller angreb end de to DDoS-angreb i januar og februar.

At DDoS-angreb i januar og februar ikke blev meldt ud, forklarer Digitaliseringsstyrelsen med, at informationen til borgerne skal være relevant og ikke unødvendig. Derfor prioriterer styrelsen, der står for driftstatussiden på nemid.nu, at informere handlingsorienteret til borgerne. Statusopdateringerne på siderne består af en eller to sætninger, der kort opdaterer om problemer eller en o.k.-melding af driften - noget, Digitaliseringsstyrelsen får direkte fra NemID i en lige så kortfattet mail.

»Når vi har afdækket årsager til hændelsen efter f.eks. dage/uger (f.eks. et DDoS-angreb), er den sjældent konkret anvendelig for den enkelte bruger,« skriver Charlotte Jacoby og fortsætter:

»Vi opsamler løbende informationer og melder bredt ud på NemID’s hjemmeside, nyhedsbrev mv. – her opsummerer vi det, som vi mener er relevant oplysning (og som baserer sig på den viden, som vi har opnået de seneste måneder).«

Fokus
Emner
17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
Finn Aarup Nielsen
4. maj 2013 kl. 11:44

"Security by definition"/"security through definition" :-) Nyt(?) godt begreb

  • more_vert
    • insert_linkKopier link
16
Daniel Udsen
2. maj 2013 kl. 08:40

Problemet her er at nets har levet 110% op til alle de kontraktsforpligtelser de havde lovet, fordi digitaliseringstyrelsen med fuld politisk opbakning fra både regering og oposition valgte at man ikke skulle bruge penge på konventionelle sikkerhedsteknik men basere sikkerheden i signaturdelen primært på jura og burokrati.

Givet den opgave nets blev stillet er det ikke sikkert at nets kunne have leveret andet end hvad der blev leveret. Og der er noget der tyder på at aben skal helt op til folketinget.

  • more_vert
    • insert_linkKopier link
7
Kristian Klausen
1. maj 2013 kl. 16:21

»Vi opsamler løbende informationer og melder bredt ud på NemID’s hjemmeside, nyhedsbrev mv. – her opsummerer vi det, som vi mener er relevant oplysning (og som baserer sig på den viden, som vi har opnået de seneste måneder).«

Men det er stadig utrolig svært for et it-medie som Version2 af få relevante oplysninger til sine læsere...

  • more_vert
    • insert_linkKopier link
6
s_ mejlhede
1. maj 2013 kl. 15:45

"Derfor prioriterer styrelsen, der står for driftstatussiden på nemid.nu, at informere handlingsorienteret til borgerne. Statusopdateringerne på siderne består af en eller to sætninger, der kort opdaterer om problemer eller en o.k.-melding af driften"

  • more_vert
    • insert_linkKopier link
3
Christian Nobel
1. maj 2013 kl. 13:55

Charlotte Jacoby er da vist beviset på at man oven i købet kan komme højere op end Peterprincippet ellers beskriver.

Direkte chokerende at den såkaldte digitaliseringsstyrelse har så manglende forståelse for selv helt elementære trusselsbilleder, hvorfor man kan blive virkelig bange for hvor godt landet er rustet, når de rigtig grimme drenge kommer på banen - det er en lang og sej kamp op ad bakke.

  • more_vert
    • insert_linkKopier link
4
Ove Andersen
1. maj 2013 kl. 14:37

Det er vel det samme i næsten alt offentligt, når du kommer op i de højere luftlag. Det er kun jurister og økonomer der bestemmer her i landet, og de har så magten til at bestemme alt og mene de har viden om alt, ligefra landbrug til IT sikkerhed og infrastruktur.

F.eks. er Charlotte Jacoby "Master of law with IT as an area of specialization at The Agency for Digitisation, Ministry of Finance", så hvordan skal man forvente at en jurist ved særligt meget om IT sikkerhed, når det begynder at blive lidt avanceret?

http://www.linkedin.com/pub/charlotte-jacoby/3/896/392

  • more_vert
    • insert_linkKopier link
13
Finn Christensen
1. maj 2013 kl. 20:43

...så hvordan skal man forvente at en jurist ved særligt meget om IT sikkerhed..

En jurist tager (om nødvendigt) kun det det står sort på hvidt virkelig seriøst.

Hvis det, der står i love/regler, ikke er det samme, som det der foregår i virkeligheden, så der det virkeligheden, der er forkert på den. Det er ikke love, regler eller administrationen af love/regler.

Charlotte Jacoby udtrykker da ovennævnte på fineste vis, og de kan da kun være stolt af deres souschef i Digitaliseringsstyrelsen.

At Charlotte Jacoby snakker om jura og regler og V2 snakker om IT og sikkerhed, er en helt anden sag og enhver jurist uvedkommende.

  • more_vert
    • insert_linkKopier link
15
Kenn Nielsen
1. maj 2013 kl. 22:35

Det er ret snedigt. Der står i tvangsdigitialiseringslovgivningen at NemID er sikkert. Og så må NemID jo være... sikkert.

Security by..definition ?

Og når de så ikke registrerer nedetid... ; tryllerylle - påstået ustabillitet kan afvises med 'dokumentation' fra statistikkerne.

Og når statistikkerne viser der er særligt standhaftige områder som ikke bruger E-fuldmagt/NemID, fjernes disse med begrundelse om at den er fejlagtig.

K

  • more_vert
    • insert_linkKopier link
9
Slettet bruger
1. maj 2013 kl. 16:29

Jeg vil gerne henstille til, at der bliver gået efter bolden, og ikke manden.

Let's stay on topic, guys!

Mvh Christian, Version2

  • more_vert
    • insert_linkKopier link
12
Kenn Nielsen
1. maj 2013 kl. 18:58

Jeg vil gerne henstille til, at der bliver gået efter bolden, og ikke manden.

Jo mere man følger med i debatten, jo mere sandsynligt forekommer det at problemerne ikke skyldes 'bolden', selvom den er pyramideformet. Mændene M/K har bestilt den med hjørner og en klausul om at både fabrikant og kunde herefter er enige om at den kan rulle.

Skal vi så undlade at kalde en spade for en spade i den politiske korrektheds navn ?

  • Nej, vel ?

K

  • more_vert
    • insert_linkKopier link
10
Christian Nobel
1. maj 2013 kl. 16:57

Jeg vil gerne henstille til, at der bliver gået efter bolden, og ikke manden.</p>
<p>Let's stay on topic, guys!

Sagen er jo så er bare at det det desværre er manden, eller rettere digitaliseringsstyrelsen der er problemet her.

Vi kan godt tale teknik, men når sagens kerne er magtarrogance, så flytter tekniksnak intet - og jeg mener faktisk at for noget så vigtig som dette her, så skal det ikke drukne i politisk korrekthed, for enten er det inkompetence der ligger bag, eller også er det så uhyggeligt at det virkelig er skræmmende.

Og topic er, at dette her ikke er et demokrati værdigt, at man har den holdning til et så kritisk system.

  • more_vert
    • insert_linkKopier link
11
Thue Kristensen
1. maj 2013 kl. 18:37

Sagen er jo så er bare at det det desværre er manden, eller rettere digitaliseringsstyrelsen der er problemet her.

Jeps. Jeg mener det burde være uden for diskussion at det ikke var godt nok, at NemID ikke blev født med DOS-beskyttelse.

Hvis vi accepterer det (og jeg har ikke hørt nogle argumenter imod), så har vi en højtplaceret embedskvinde som udviser teknisk inkompetence. Det er da så et validt kritikpunkt.

Jeg vil stærk gå ud fra at Charlotte Jacoby ikke er teknisk kompetent. Men udtaler sig alligevel. Det er da en vigtig sag i sig selv.

  • more_vert
    • insert_linkKopier link
2
Allan S. Hansen
1. maj 2013 kl. 13:25

Må indrømme - jeg kommer umiddelbart til at tænke på at en eller anden form for nepotisme gør sig gældende efterhånden.

  • more_vert
    • insert_linkKopier link
1
Jesper Mørch
1. maj 2013 kl. 13:18

Når jeg læser den udmelding, kommer jeg til at tænke på barnet med hånden dybt begravet i kagedåsen, imens der bedyres at det er absolut første gang man har prøvet at stjæle småkager ...

Men, når man udviser så stor teknisk indsigt og forståelse som tilfældet er med f.eks. de eksekverbare .gif-filer, kan det vel ikke komme som nogen overraskelse.

Hvis man skal undersøge sin egen totale inkompetence efter man gentagne gange har lukket øjnene når den er blevet bevist, er det da nærliggende at konkludere at tingene er i skønneste orden.

Alternativt må man jo påtage sig ansvaret og lade det få konsekvenser. Det er bare ikke normalt at dårlige ledere udskifter sig selv når det går galt, ikke engang selvom det er helt tydeligt at strategien har fejlet fra første færd ... Hvis det var tilfældet, sad der nok kun et par stykker tilbage af de nuværende politikere på Christiansborg.

  • more_vert
    • insert_linkKopier link