Hvad er Danmarks digitale infrastruktur?

I sidste uge gjorde Andreas Steenberg, IT-ordfører for Radikale Venstre, sig bemærket i mit twitter-feed ved at påstå at NemID ikke er kritisk
infrastruktur
. Betyder det mon at NemID ikke er kritisk eller at det ikke er infrastruktur?

Jeg er bange for at det er begrebet infrastruktur vi er uenige om. Det vil gøre det meget svært at have en ordentlig diskussion om NemID's fremtid.

Den Danske Ordbog siger følgende om ordet infrastruktur: »et samfunds fysiske og organisatoriske anlæg til transport og kommunikation, fx veje, jernbaner, el- og vandforsyning samt telefonforbindelser, der er nødvendige for at samfundet kan fungere.«

Efter min opfattelse kan Danmarks digitale infrastuktur deles op i 3 elementer:

Det fysiske netværk

Den helt klassiske infrastruktur er det fysiske netværkslag. I gamle dage bestod det primært af teleselskabernes kobber, men i dag består det også af forskellige trådløse teknologier.

Der er i høj grad monopol på denne del af infrastrukturen. Kabler er meget dyre at grave ned og frekvenser til trådløst netværk er en meget begrænset resurse og selskabernen betaler derfor i dyre domme til Staten for at få lov til at bruge dem.

Internetudbyderne

Internetudbyderen udgør en andne del af infrastrukturen. Uden en udbyder kan man kun signalere til den anden ende af ens kabel, for at tale med hele internettet skal der et organisatoriske lag til at lede trafik den rigtige vej gennem det fysiske netværk.

Før internettet var denne del uadskillelig fra det fysiske netværk. Det var teleselskaberne der drev begge dele, men på internettet har det altid været en privat ydelse der har været konkurrence på. Dette kræver dog adgang til det fysiske netværk og derfor har TDC som monopol-ejer af kobberet kunne begrænse konkurrencen.

Sålænge der er en sund konkurrence er der efter min mening ikke noget problem med at infrastruktur drives af private aktøre med indtjening som formål.

Identitetsstyring

Digitaliseringen af det offentlige kræver at der er styr på at folk er hvem de udgiver sig for at være. Hvis man ikke har mulighed for digitalt at afgøre hvem folk er kan det digitaliserede samfund ikke fungere. Derfor kan det opfattes som infrastruktur der let kan dækkes af ordbogens definition.

Identitetsstyring kan have mange former. For services er domænenavne (dvs. DNS) og SSL-certifikater en form for identitet og for personer har vi forskellige former for brugerdatabaser. En brugerdatabase kan enten bruges af en enkel service eller også kan man lave en fælles database der anvendes af flere forskellige offentlige services.

CPR-nummeret og sygesikringsbeviset, den gamle digitale signatur og NemID er alle elsempler på offentlig infrastruktur til at styre identitet. De to sidste er ydelser som Staten har købt af private udbydere og dermed udstedt et monopol på ydelsen.

Private monopoler er ikke nødvendigvis et onde, men de kræver at man stiller sig kritisk til hvordan monopolerne bliver forvaltet. For at kunne gøre dette skal man først og fremmest indse hvor kritisk et monopol er og uden NemID kan vores nuværende digitaliserede samfund ikke længere fungere (uden at man udvikler et alternativ).

Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenneth Østrup

Hej Peter,

Hvor synes du, at bankernes rolle passer ind i den digitale infrastruktur? Er penge overhovedet en del af infrastrukturen?

Med al den fokus der har været på kriminalisering af kontanter og foretag der har skulle fremme brugen af betalingskort, synes jeg det er vigtigt at stille sig kritisk for hvordan dette system forvaltes og i hvis interesse.

  • 4
  • 0
Peter Makholm Blogger

Hvor synes du, at bankernes rolle passer ind i den digitale infrastruktur? Er penge overhovedet en del af infrastrukturen?

Jeg vil gerne skelne mellem den digitale infrastruktur og den økonomisk/finansielle infrastruktur. Det første er mit fagområde, mens jeg kun har overfladisk viden om sidstnævnte. Jeg betragter ikke penge som en del af den digitale infrastruktur. Bare fordi noget administreres med IT er det efter min mening ikke en del af den digitale infrastruktur som sådan.

Ud over NemID, som jeg først og fremmest opfatter som digital infrastruktur, driver Nets også en række systemer jeg betragter som kritisk økonomisk infrastruktur. Blandt andet nogle clearingssystemer som de driver for Nationalbanken i deres rolle som centralbank.

Bankerne har selvfølgelig en selvstændig interesse i en digital infrastruktur og der er et vist overlap mellem bankernes digitale infrastruktur og Danmarks digitale infrastruktur. Specielt kan jeg godt se et behov for at identitetsdelen af de to infrastrukturer i et vist omfang kan arbejde sammen. Jeg mener dog det er stærkt bekymrende hvis dele af den danske infrastruktur bliver specificeret ud fra først og fremmest bankernes behov.

Specielt i forhold til identitet er der meget stor forskel på den risikoanalyse som henholdsvis bankerne og Staten bør gennemføre. Bankernes risikovurdering er et ret simpelt regnestykke hvor tabet og prisen for en bedre infrastruktur kan sammenlignes. Statens behov for at håndtere identiteter er ofte meget svært at gøre op i penge og derfor er risikovurderingen ikke ligetil.

Så mens der kan være god ide i at forsøge at udnytte overlappet mellem interesser, så kræver det at man ser meget kritisk på om løsningen opfylder Statens behov.

  • 8
  • 0
bent madsen

Læs venligst denne strategi:

http://www.digst.dk/Home/Digitaliseringsstrategi/~/media/Files/Digitalis...

NemID har været et afgørende element i de sidste 10 års offentlige digitalisering.
Der er og vil forsat blive investeret milliarder af kroner i at bygge services baseret på den strategi. Så hvis NemID ikke er en del af en samfundsmæssig vigtig Infrastruktur, så ved jeg ikke hvad det er.

  • 0
  • 0
Finn Christensen

I sidste uge gjorde Andreas Steenberg, IT-ordfører for Radikale Venstre, sig bemærket i mit twitter-feed ved at påstå at NemID ikke er kritisk infrastruktur..

Tænk på Margrethe Vestager & Co med eValg etc., samt Trine Bramsen - suk - her den næste[1] i enfoldighedens trygge favn.

Cand.scient.pol., Gymnasielærer + nu IT-ordfører, og er så de radikales version af Trine Bramsen. Hans mål i livet ligger åbenbart et andet sted.

Med nuværende hastighed i udviklinger, så har vi vel alle 179 MF'er som stensikre it-analfabeter om ~5 år.

Lige nu er der trods alt endnu en lille håndfuld, der bruger it-ordførerskabet.

[1]..14/09/2013 - Uffe Elbæk overtager som sidste del i rokaden it-ordførerskabet... 26/11/2013 - Andreas Steenberg bliver ny klima- og energiordfører og afgiver IT-ordførerskabet til Jeppe Mikkelsen... moderløst hittebarn flyttes igen og igen.

  • 1
  • 0
Henrik Biering Blogger

Jeg vil give Andreas Steenberg ret i at NemID, som situationen er nu, hverken er "kritisk" eller "infrastruktur". NemID er blot en applikation, som det er en dum idé at gøre brugen af andre kritiske tjenester afhængig af.

Om Infrastruktur
Infrastruktur betyder "underliggende struktur" og definitionerne i både Wikipedia og den danske ordbog går på "forbindelserne" mellem et større antal knudepunkter.

Rejsekortet ikke er ikke en del af den infrastruktur, der udgøres af den offentlige transportinfrastruktur (herunder tog- og vejnet), men en blot en ovenpå liggende applikation til indbyrdes afregning mellem deltagerne i systemet. På samme måde er NemID blot en applikation, der udnytter de kommunikations muligheder, der ligger i det underliggende datatransportnet.

Grænsen mellem hvad der kan betegnes som infrastruktur og hvad der kan betegnes som tjenester, der benytter sig af infrastrukturen er nok lidt mere udflydende for digitale systemer end for rent fysiske systemer. Som situationen har været med internettet indtil nu synes jeg Ciscos fortolkning af OSI-modellen er en passende måde at skelne mellem infrastruktur ("Transport Services") og tjenester ("Upper Layers", herunder authentication).

Om Kritisk
For at noget skal kunne betegnes som kritisk, må det være en betingelse at det ikke er let at erstatte eller omgå. Det betragtes som samfundskritisk at folk kan komme til og fra arbejde. Derfor så vi ved det nylige nedbrud af rejsekortapplikationen at man lynhurtigt skiftede til en nødprocedure for ikke at obstruere det egentlige kritiske formål: trafikken.

På samme måde har alle kritiske tjenester der normalt benytter NemID også umiddelbar mulighed for på simpel vis at etablere alternativer eller nødprocedurer. Det har man f.eks. på Skat ("TastSelv kode" som det tager under 5 sekunder at få) og hos de fleste banker. De tjenester hvor man ikke har udnyttet infrastrukturens muligheder for at etablere alternativer eller nødprocedurer, må man gå ud fra er tjenester hvor udbyderen ikke selv finder det kritisk at undgå nedetider af nogle få dages varighed. Ellers er det blot udtryk for manglende rettidig omhu.

Om Fremtiden
Jeg hører selv til den gruppe, der mener at identitetshåndtering bør bages langt mere direkte ind i de grundlæggende strukturer for digitale systemer. Så vi som borgere, forbrugere og venner kan omgås ligeså let med myndigheder, virksomheder, hinanden og med vores ting som i den fysiske verden. Og i det scenarie vil identitetshåndtering formentlig kunne betragtes som både kritisk og som en del af den digitale infrastruktur. Men der er vi langt fra endnu. Hvis du gerne vil derhen, så Støt BedreID

  • 0
  • 4
Maciej Szeliga

Nu er det sådan at selv om dit indlæg er fuldkommen korrekt så passer det ikke en meter fordi nogen inkompetente politikere har blandet sig ind i det.

  1. Der er en overordnet plan fra DK's øverste ledelse om at gøre alt afh. af NemID (kommunikation men offentlige myndigheder, banker, pensionskasser mv.) ergo bliver NemID til infrastruktur.

  2. Den samme plan forbyder nærmest alternativer til NemID hvilket opgraderer NemID til kritisk infrastruktur.

Vi har tilnærmelsesvis samme problem med Rejsekortet.

Politikere kan fucke den mest simple ting op til (ubrugelig) ukendelighed og gør det hele tiden.

  • 5
  • 1
Henrik Biering Blogger

Der er en overordnet plan fra DK's øverste ledelse om at gøre alt afh. af NemID (kommunikation men offentlige myndigheder, banker, pensionskasser mv.) ergo bliver NemID til infrastruktur.

Nej, det er og bliver blot en dum idé og ceremoni, man skal udføre for at komme ind på en hjemmeside.

Hvis politikerne tilsvarende indfører krav om morgensang for at komme ind på en skole eller arbejdsplads (det gøres faktisk nogen steder) bliver morgensang heller ikke til kritisk infrastruktur selvom skolevæsenet og arbejdsmarkedet som sådan er det.

Medmindre man da introducerer begrebet "politisk infrastruktur" - og det er formentlig det du gør. Det har bare ikke noget med fysisk eller digital infrastruktur at gøre.

  • 1
  • 6
Nils Bøjden

Nej, det er og bliver blot en dum idé og ceremoni, man skal udføre for at komme ind på en hjemmeside.

Det er vist ikke helt korrekt. NemID er indgangen til at benytte den private nøgle som staten har gaflet fra os borgere.

Uanset om det "kun" er en applikation bliver denne funktion derved ubetinget en del af borgernes verifikation over for stort set alle man skal i kontakt med i Danmark, det være sig banker, forsikringsselæskaber, SKAT, kommunale myndigheder, staten osv.

Hvis Nets derefter er i stand til at optræde som samtlige borgere i Danmark (og firmaer for den sags skyld), må man vel sige at det har andet end ceremoniel betydning.

Og uanset om andre får denne mulighed (f.eks en konkurrent til Nets) betyder det jo bare at så er der flere som er i stand til at udgive sig for at være dig. Og så øges forvirringsniveauet betragteligt.

  • 1
  • 0
Peter Makholm Blogger

NemID er blot en applikation, som det er en dum idé at gøre brugen af andre kritiske tjenester afhængig af.

Efter min opfattelse skal man være involveret i at viklle udbyde authentifikation som et produkt, for at opfatte NemID som 'blot en applikation'. For alle andre er NemID (og andre login-systemer) bare de forudgående besværgelser for at få adgang til den egentlige ydelse. På den måde svare NemID ganske godt til transport-infrastrukturen der heller ikke er den egentlige ydelse, men bare et middel til at nå den egentlige ydelse (hvad end det er ens arbejdsplads, sundhedsvæsnet eller underholdning).

Jeg er enig i at det er en dum ide at gøre kritiske tjenester afhængige af NemID. Men det er et faktum at flere og flere offentlige ydelser blvier afhængig af at borgeren kan identificere sig med NemID. Skat, som du selv nævner, er den store undtagelse i og med at de har beholdt deres preæ-NemID system som alternativ. For eksempel fraskriver jeg mig tilsyneladende det offentlige sundhedsssystem under rejser i EU ved ikke at have NemID.

Med denne trend ser jeg det ikke som en overdrivelse at vi er på vej til et samfund der ikke længere vil fungere i det tilfælde at det offentlige digitale identifikationssystem holder op med at virke. Dermed at det klart dækket af ordbogens definition.

Infrastruktur betyder "underliggende struktur" og definitionerne i både Wikipedia og den danske ordbog går på "forbindelserne" mellem et større antal knudepunkter.

Nu har jeg været så venklig at citere ordbogsdefinitionen i mit indlæg. Jeg kan ikke se hvor du har "forbindelser mellem et større antal knudepunkter" fra. Det fremgår også helt klart at infrastruktur kan være af organisatorisk karakter, for nu at tage din bemærkning om 'politisk infrastruktur' med.

Infrastruktur er ganske rigtig den 'underliggende struktur' der muliggører den egentlige ydelse. Da min påstand er at ingen borgere egentlig er interesseret i identifikation som ydelse, må NemID og andre login-systemer selvfølgelig betragtes som et underliggende system.

For at noget skal kunne betegnes som kritisk, må det være en betingelse at det ikke er let at erstatte eller omgå.

Bortset fra Skat ser jeg det ikke som særligt udbredt at det er let at omgå kravet om at anvende NemID som digital identifikation for at opnå adgang til offentlige ydelser. Derfor mener jeg ikke at det er en overdrivelse at vi går imod et samfund hvor det bliver mere og mere problematisk at undvære NemID såfrem man ønsker adgang til offentlige ydelser.

Offentlige ydelser er her ikke kun overførelsesindkomster og sundhedsydelser som man bare kan undvære, men også ydelser som tinglysning af rettigheder og opdatering af folkeregisteradresse.

Rent faktisk har jeg muligvis i øjeblikket ikke ret til at flytte til en anden kommune da jeg ikek har NemID med adgang til offentlig service eller falder ind under de dokumenterede undtagelser for at kunne få foretaget ændring af folkeregisteradresse ved personlig service. Dette er muligvis ikke en tidskritisk ydelse, men efter min mening en ret basal menneskeret der fratages mig uden at have NemID.

  • 5
  • 0
Allan S. Hansen

Nej, det er og bliver blot en dum idé og ceremoni, man skal udføre for at komme ind på en hjemmeside.

Hvis politikerne tilsvarende indfører krav om morgensang for at komme ind på en skole eller arbejdsplads (det gøres faktisk nogen steder) bliver morgensang heller ikke til kritisk infrastruktur selvom skolevæsenet og arbejdsmarkedet som sådan er det.

Medmindre man da introducerer begrebet "politisk infrastruktur" - og det er formentlig det du gør. Det har bare ikke noget med fysisk eller digital infrastruktur at gøre.

Det gør den netop kritisk fordi uden den ceremoni kommer man ikke ind.
Så kan det godt være det er det bagved liggende der reelt er det kritiske, men det ændre ikke på at hvis man ikke har adgang til det bagvedliggende, så er det foranliggende også kritisk.

Hvis "noget" er en forudsætning for "noget andet kritisk", så bliver "noget" også kritisk i og med det er en forudsætning.

  • 2
  • 0
Henrik Biering Blogger

Hvis "noget" er en forudsætning for "noget andet kritisk", så bliver "noget" også kritisk i og med det er en forudsætning.

Det er så her vi er fundamentalt uenige.

Der har både i Danmark og udlandet gennem tiderne været talrige eksempler på at lokalsamfund er blevet forurenet af fabrikker, med billigelse fra de lokale polikere fordi fabrikken af beskæftigelsesmæssige årsager har været anset for kritisk for det lokale arbejdsmarked, herunder såvel lønmodtagere som netværket af underleverandører.

Selvom forureningen i mange tilfælde har været et nødvendigt onde for at opretholde arbejdsmarkedet, mener jeg det er forkert blot at acceptere forureningen som en del af den kritiske infrastruktur. Ved en sådan accept cementerer man jo netop situationen istedetfor at skille den kritiske infrastruktur fra dens kritisable følgevirkninger

Kritisk infrastruktur er ting vi som samfund er overvejende enige om at værne om for at vores samfund kan fungere.

Obligatorisk morgensang, livsfarlig forurening og usikre/upålidelige identifikationsmekanisner er derimod kritisable følgevirkninger som vi som samfund må arbejde sammen for at begrænse. Vi er nu på anden generation af offentlig digital identitetshåndtering. Den første kunne meget få benytte, den nuværende er bredt anvendt på trods af flere kritisable egenskaber. Og nu har digitaliseringsstyrelsen budt op til en åben dans om den næste generation.

Så lad nu venligst være med at cementere den nuværende NemID som kritisk infrastruktur, men deltag istedet i opgaven med at bekæmpe den digitale forurening ligesom vi i vid udstrækning er lykkedes med at bekæmpe den fysiske forurening.

  • 0
  • 2
Jens Minnet

Fin artikel og til dels gode kommentarer.

Men hvor er det egentlig dumt at teoretisere om noget er infrastruktur, applikation, service eller noget helt andet og dermed udvande snakken om, hvorvidt det er en samfundsvigtig funktion eller ej - og igen dermed om det er noget, vi som samfund bør gøre noget for at sikre.

Efter min mening er noget samfundsvigtigt (kritisk), når det en forudsætning for, at vores dagligdag fungerer, og dermed når det vil være af en katastrofe, hvis det pludseligt ikke længere var tilgængeligt.

Så kan vi spørge os selv, om NemId falder i denne kategori. Er det f.eks. lige meget, om vi kan tilgå vores netbank, e-boks, offentlige services m.v.?

Nogen i diskussionen mener åbenbart, at en pålidelig identifikation og autentificering er en overflødig besværlighed, og at man kan lade hvem som helst sige god for identifikationen. Det mener jeg ikke.

I disse digitale tider, hvor man kan udføre en pokkers masse ting ved at logge ind en lige så pokkers mange steder, er det vigtigt at være helt sikker på, at det er det rigtige sted, at man er inde, og omvendt er det vigtigt for stedet at være sikker på, hvem der inde. Der er rigtig mange it-kriminelle, der har fundet ud af at udnytte brister i sikkerheden, og der er rigtig mange forretningsdrivende og borgere, der har mærket det på den hårde måde.

Man (jeg og mange andre) kan altså konstatere, at det er vigtigt at fastslå med meget stor sikkerhed, hvem der er hvem i en transaktion. Og da det flere og flere transaktioner i dagligdagen foregår (og kun kan foregå) digitalt, bliver det samfundsvigtigt at foretage identifikation og autentificering digitalt.

Spørgsmålet er så, hvordan det foregår, og i hvilken grad det sker ved frie markedskræfter og/eller kræver myndighedskontrol.

Både den nuværende NemID-løsning og løsningen til den tidligere Digital Signatur er baseret på en central service, som brugerne bliver omdirigeret til og identificerer sig overfor (med nøglekort eller certifikat) og som autentificerer identifikationen overfor det system, som brugeren vil tilgå.

Opgaven er i dag "koncessioneret" til en privat leverandør (nu Nets, tidligere TDC). Jeg ved ikke, om aftalen formelt er en koncession, men leverandøren udfører de facto en monopoliseret myndighedsopgave. Som en del af opgaven varetager leverandøren således autentificeringen ved udstedelsen af det "digitale pas" (nøglekort eller certifikat) i form af fremsendelse til folkeregisteradressen for det opgivne CPR-nummer.

De frie markedskræfter er, som jeg ser det, kun i spil ved udbuddet af opgaven. Herefter er der ingen konkurrence. Da der efterhånden er tale om en samfundsvigtig service, er der behov for en samfundskontrol som sikrer, at servicen altid virker optimalt i forhold til mulighederne og er fri for kommercielle interesser (ud over betaling for løsning af opgaven).

Naturligvis skal der også være styr på, at data opbevares betryggende, så ingen uvedkommende (f.eks. NSA og/eller kommercielle interesser á la Facebook m.v.) får eller kan tiltvinge sig adgang til personhenførbare data eller anden "brugbar information". Det dog gælder uanset, om der er tale frie markedskræfter eller ej. Om det forudsætter opbevaring af data i Danmark er en anden diskussion.

Aftalen skal altså have reguleringer, der sikrer alle ovenstående forhold (funktion, datasikkerhed og kommercielle begrænsninger).

Jeg kender som sagt ikke indholdet af aftalen med Nets, men jeg kan forestille mig, at den i høj grad er baseret på en tillid til det daværende PBS og derfor ikke helt har sådanne reguleringer.

Og så kan jeg godt forstå, at det giver anledning til panderynker hos de ansvarlige politikere, at PBS først fusionerer med sin norske tilsvarende, og at bankerne nu helt vil frasælge til en kapitalfond. En egentlig koncession(udlicitering af myndighedsopgave) ville normalt begrænse en sådan handel.

Nu er det jo ikke kun NemID, der er i spil; det er også Dankortet.

Javist, Dankort er "bare" et betalingskort, men det har efterhånden for en stor del erstattet kontanter, som af samfundshensyn jo ikke kan udstedes af enhver.

Så længe Dankort er et samarbejde på tværs af bankerne, for at hver bank ikke skal have deres eget betalingssystem, er det ikke et samfundsmæssigt problem. Men er det ligegyldigt, at det bliver frasolgt til en kapitalfond?

Man kan argumentere for, at "man kan jo bare vælge en anden udbyder, hvis man ikke kan lide lugten i bageriet". For borgerne vil det dog kræve et skift i adfærd svarende til det lange seje træk ved indførslen af Dankort. Butikkerne er i en anden situation, da en ny ejer umiddelbart "kun" vil betyde risiko for ændrede kommercielle vilkår - hvilket igen måske åbner for konkurrence på "trusted third party" markedet.

Under alle omstændigheder falder mine tanker i retning af det gennem tiderne ofte omtalte borgerkort, som klart skal kunne identificere indehaveren, og som de forskellige offentlige og private services kan benytte sig af, så borgeren med ét kort har adgang til alle de ønskede services (sundhed, finans, transport m.v.). Det ville da være dejligt, hvis det blev den næste generation af løsning, når NemID og Dankort pludseligt er i spil.

  • 0
  • 0
Peter Makholm Blogger

Obligatorisk morgensang, livsfarlig forurening og usikre/upålidelige identifikationsmekanisner er derimod kritisable følgevirkninger som vi som samfund må arbejde sammen for at begrænse

Jeg er lidt i tvivl om du læser mit indlæg efter hensigten. Det er ikke min hensigt at diskutere sikkerheden eller pålideligheden ved NemID. Min pointe er at identifikation er infrastruktur og et fælles offentligt identitetssystem derfor er en del af Danmarks samlede digitale infrastruktur.

Denne pointe er uafhængig af NemID's kvaliteter eller hvilken struktur Digitaliseringsstyrelsen måtte vælge til næste generation af et offentligt login-system.

Infrastruktur er noget som vi som samfund skal værne om. Ligeledes håber jeg at vi kan blive enige om at et fælles-offentligt login-system er det. Derfor håber jeg meget at man i Digitaliseringsstyrelsen kan indse at det de er i gang med at definere er en del af Danmarks fremtidige infrastruktur. For hvis de tror at de er igang med at skrive specifikationen til 'blot en applikation' så tror jeg løsningen vil blive lige så kritisable og pensionsmoden som NemID er det.

  • 0
  • 0
Jens Minnet

Jeg er helt på linje med dig.

Men hensigt var da heller ikke at diskutere sikkerheden m.v. omkring den nuværende løsning, kun at og hvorfor det var samfundsvigtigt med en stensikker service, og derfor også vigtigheden at have den under samfundskontrol, uanset om den blev betragtet som infrastruktur eller noget andet.

Og så gik jeg et skridt videre i håbet til Digitaliseringsstyrelsens indfaldsvinkel til fremtidig infrastruktur, nemlig skridtet i retning af borgerkort.

Det kan godt være, at budskabet blev mudret :)

  • 0
  • 0
Christian Nobel

Det har man f.eks. på Skat ("TastSelv kode" som det tager under 5 sekunder at få) og hos de fleste banker.

Jeg er helt på det rene med Skats Tastselv (og frygter den dag det bliver slagtet), men kunne du ikke løfte sløret for hvordan man finder en ikke NemID inficeret bank - umiddelbart kan jeg kun finde Oikos, JAK og Stadil?

BTW, er der nogen der ved om der egentlig har været nogen sikkerhedsproblemer med Skats Tastselv kode - jeg har aldrig hørt der skulle have været nogen, hvilket burde demontere myten om at username/password paradigmet skulle være specielt usikkert?

  • 0
  • 0
Jens Minnet

BTW, er der nogen der ved om der egentlig har været nogen sikkerhedsproblemer med Skats Tastselv kode - jeg har aldrig hørt der skulle have været nogen, hvilket burde demontere myten om at username/password paradigmet skulle være specielt usikkert?

Man kan vende spørgsmålet om og se på, hvad man kan vinde ved at bryde ind og lave noget i en andens tast-selv hos Skat.

Det siger sig selv, at sikkerheden er begrænset til kendskabet til brugerens CPR-nummer og tast-selv kode.

  • 0
  • 0
Henrik Biering Blogger

Peter M: Jeg er også lidt i tvivl om du læser mine indlæg efter hensigten.

Jeg tror den tilsyneladende uenighed i denne tråd skyldes at jeg skelner mellem den nuværende NemID og et generelt identitetslag i protokolstakken, mens du snarere ??? anvender NemID som et generelt tidsløst synonym for fælles-offentligt login ???

Vi er tilsyneladende helt enige om at:

Infrastruktur er noget som vi som samfund skal værne om.

Min tilgang - jf. sidste afsnit i mit første indlæg - er blot at vi lige nu digitalt er på et tilsvarende stade, som man var i starten af industrialderen, hvor man måtte leve med at landskabet omkring fabrikkerne var sort af kulos. Heldigvis valgte man dengang ikke at se kulosen som en del af industrialiseringens infrastruktur, men i stedet at udvikle processer, filtre og rensningsanlæg m.m., som idag må siges at være en del af den industrielle infrastruktur.

De fleste kommentatorer her på Version2 forholder sig kritisk overfor tekniske og privatlivsmæssige aspekter ved NemID. Og både e-handels- og forbrugerorganisationer forholder sig kritisk ud fra flere andre aspekter.

NemID i sin nuværende udgave er derfor IKKE noget vi skal værne om (infrastruktur), men tværtimod noget vi skal arbejde på at erstatte med andre og bedre løsninger, som jeg også skriver.

Heldigvis er NemID som vi kender den idag implementeret som en løst koblet front-end til Nemlog-In (som via sin integration til samtlige offentlige tjenesteudbydere med rette kan betegnes som infrastruktur). NemID kan derfor relativt let kan udskiftes eller suppleres med alternativer. Blandt andet bliver der jo EU krav om at andre landes identitetsløsninger skal kunne kobles på Nemlog-In. Ud fra det kan man da ikke kritisere Andreas Steenbergs udsagn: "Nemid er en ydelse vi har købt. Før Nemid var det dig. signatur fra TDC". Man fristes snarere til at tilføje: "... og fungerer det ikke optimalt, finder vi en bedre løsning næste gang vi køber ind"

Jeg tror dog ikke statens rolle i kommende generationer bliver ny proprietære mammut-udbudsprojekter, men derimod at fastlægge standardiserede snitflader, minimumskrav til sikkerhed samt krav til certificering af løsninger. Så det offentlige kan levere en minimumsløsning hvor "fru Jensen" efter ønske og behov kan tilkøbe sig ekstra sikkerhed/fleksibilitet til brug i andre sammenhænge. Det må bl.a. også være op til "fru Jensen" om hun vil benytte samme eller forskellige nøgler til offentlige og diverse private anvendelser. "One size fits all" løsninger tror jeg ikke på i et modent marked, som vi er på vej imod.

P.S. til Info: Jeg gætter på at du med

For eksempel fraskriver jeg mig tilsyneladende det offentlige sundhedsssystem under rejser i EU ved ikke at have NemID.

refererer til det blå EU-sygesikringsbevis. Jeg har lige fået et sådant - og situationen er faktisk sådan (jf. min kommune) at sygesikringskort udstedt via NemID kun er valide, hvis man har afsværget sig retten til at arbejde i udlandet (f.eks. læse emails, deltage i møder m.m.). Så efter en telefonisk forespørgsel om reglerne blev jeg henvist til udstedelse via email-korrespondance).

  • 0
  • 0
Christian Nobel

Man kan vende spørgsmålet om og se på, hvad man kan vinde ved at bryde ind og lave noget i en andens tast-selv hos Skat.

Man kan altid vende et spørgsmål så det passer til ens kram, og jeg kan sagtens se at der kunne være en interesse for kedelige personagerer til at foretage hærværk via Skats Tastselv service.

Derfor efterlyste jeg ikke et retorisk spørgsmål på spørgsmålet, men om der er nogle konkrete erfaringer med Skats implementering af username/password, når nu det i andre sammenhænge på det nærmest er udråbt til en sikkerhedsmæssig katastrofe at bruge username/password i selv sammenhænge hvor der er meget ringe behov for sikkerhed.

  • 0
  • 0
Henrik Biering Blogger

Jeg er helt på det rene med Skats Tastselv (og frygter den dag det bliver slagtet), men kunne du ikke løfte sløret for hvordan man finder en ikke NemID inficeret bank - umiddelbart kan jeg kun finde Oikos, JAK og Stadil?

Til privatbrug har jeg affundet mig med NemID, men til firmabrug har jeg valgt Handelsbanken med svensk BankID. Og jeg må indrømme at firmakontoen logger jeg ind på hver gang der er en specifik anledning til det, mens jeg forsøger at samle mine aktiviteter på privatkontoen til færrest mulige antal nødvendige logins.

NemID til e-boks er jeg sluppet udenom ved at viderestille min private e-boks til min papkortløse medarbejdersignatur. Hvis man ikke har en medarbejdersignatur, kan man oprette en administrationsforening og få en derigennem.

  • 0
  • 0
Maciej Szeliga

Man kan vende spørgsmålet om og se på, hvad man kan vinde ved at bryde ind og lave noget i en andens tast-selv hos Skat.


Du kan lave masser af ravage og få ikke så få oplysninger som folk egentligt gerne ville forbeholde sig selv og Skat.
Mere end 50% af alle sikkerhedsbrister kommer netop af holdningen "Hvad vil nogen dog kunne bruge det til?" jf. "hvorfor vil nogen dog hacke lille mig, jeg har jo ikke noget."
Informationer fra Skat kan bruges til planlægning af forsk. andre forbrydelser, så som indbrud, røverier, pengeafpresning og kidnapning. De kan bruges direkte til at ramme en person økonomisk ved at rette lidt i oplysningerne så personen lige pludseligt skylder en formue i skat eller så personen kan hives ind for skattebedrageri... det vil så typisk være hævnaktioner.
I de her "særejetider" er skatteoplysninger også værdifulde for ægtefæller, børn mv.

  • 0
  • 0
Henrik Biering Blogger

Man kan vende spørgsmålet om og se på, hvad man kan vinde ved at bryde ind og lave noget i en andens tast-selv hos Skat.

Ja, en af fordelene ved at anvende forskellige nøgler til forskellige services er helt klart at sprede risikoen og nedsætte konsekvenserne i forhold til angreb. Hvilket omvendt gør angreb mindre attraktivt for angriberen. Det gør det derimod mere kompliceret at (med vilje) give én tjeneste adgang til at benytte data fra en anden, hvilket kan være hensigtsmæssigt i mange sammenhænge.

  • 0
  • 0
Henrik Biering Blogger

I de her "særejetider" er skatteoplysninger også værdifulde for ægtefæller, børn mv.

Her er vi så ved ét af problemerne med NemID - altså at det for kernefamilier ofte er en familiesignatur mere end en personlig signatur - lige indtil den ene part HAR svigtet den andens tillid. Familiefraud er faktisk én af de mest udbredte former for svindel. Så i forbindelse med handel mellem samlevende giver NemID ingen praktisk sikkerhed.

Så én af de ting, jeg håber på - om ikke andet som et frivilligt tilvalg - er at få koblet en biometrisk faktor på næste generation af det fællesoffentlige login - eller evt. en kobling til et personligt "social login", som parterne naturligt holder hver for sig - også før det går skævt med forholdet.

Men det er i sig selv et muligt emne for en hel debat.

  • 0
  • 0
Christian Nobel

til firmabrug har jeg valgt Handelsbanken med svensk BankID.

Den må du godt lige uddybe, for når jeg spørger i min bank (Handelsbanken) om ikke jeg kan få en NemID fri adgang til min firmakonto, så begynder øjnene bare at flakke.

Så fordrer det noget specielt, eller er der et magisk sesam-luk-dig-op ord jeg skal fortælle de umælende får?

  • 0
  • 0
Henrik Biering Blogger

Den må du godt lige uddybe, for når jeg spørger i min bank (Handelsbanken) om ikke jeg kan få en NemID fri adgang til min firmakonto, så begynder øjnene bare at flakke.

Så fordrer det noget specielt, eller er der et magisk sesam-luk-dig-op ord jeg skal fortælle de umælende får?

Efter diverse møder med Danske Bank, Nordea og andre danske banker, hvor bare ordet API gør at man bliver sendt rundt fra Herodes til Pilatus, fandt jeg dette prospekt for Handelsbankens FTP tjeneste som er et tillæg til GlobalOn-line

GlobalOn-line er dyrere end en normal webbank, men vi valgte den pga fleksibiliteten og ekspansionsmulighederne. Men det krævede lidt dialog med en fra hovedkontoret at finde ud af præcis hvordan systemerne fungerer. Skriv evt. til mig på hb@peercraft.com for mere info.

  • 0
  • 0
Log ind eller Opret konto for at kommentere