Åbent samråd om NemID

Det talte ord gælder.

Da de tre første spørgsmål, A, B og C, omhandler samme emne, og da besvarelsen af spørgsmålene hænger sammen, vil jeg svare på disse spørgsmål under et.

Spørgsmål A

Hvornår blev ministeren bekendt med den sikkerhedsbrist på NemID, som Politiken beskriver den 14/9-10 i artiklen "Nyt sikkerhedshul i den gamle digitale signatur er afsløret".

Spørgsmål B

Ministeren bedes forklare, hvorfor man ikke tidligere har skredet ind over for den sikkerhedsbrist, som DanID og IT- og Telestyrelsen ifølge artikel i Politiken den 14/9-10 "Nyt sikkerhedshul i den gamle digitale signatur er afsløret" har kendt siden før sommerferien?

Spørgsmål C

Ministeren bedes forklare, hvorfor man ikke har advaret brugerne af NemID om den sikkerhedsbrist, Politiken beskriver i artikel den 14/9-10 "Nyt sikkerhedshul i den gamle digitale signatur er afsløret", når man kendt til den siden før sommerferien?

Jeg vil gerne indledningsvis komme med en række overordnede betragtninger om NemID.

På fredag er det 100 dage siden, at vi lancerede NemID. NemID blev etableret med det formål at etablere en sikker, fælles digital indgang til blandt andet de offentlige hjemmesider.

NemID er resultatet af en ny form for fællesoffenligt/privat samarbejde, der giver borgeren ét fælles login til både netbank, offentlige og private hjemmesider.

Dags dato er der totalt set udrullet 1.6 millioner NemID. Heraf har 795.000 borgere valgt at bruge deres NemID til offentlig forvaltning. Samlet set er der siden lanceringen foretaget 14 millioner transaktioner med NemID.

Så vi er godt i gang med udbredelsen af NemID.

NemID giver adgang til et bredt udvalg af offentlige og private tjenester, herunder netbank, som naturligvis fordrer et højt sikkerhedsniveau. Det kan komplicere løsningen for borgeren, men sikkerheden er vigtigst.

Vi vil ikke gå på kompromis med sikkerheden.

NemID spiller en central rolle i at fremme den digitale forvaltning og den fremtidige digitalisering af Danmark. Netop fordi det er så centralt, er det vigtigt også at være yderst opmærksom på indkøringsvanskeligheder, som der naturligt vil være i et omfattende infrastrukturprojekt. Dankortet blev for eksempel også mødt med en vis skepsis, men i dag vil ingen jo undvære det.

Det er vigtigt nøje at sikre, at disse indkøringsvanskeligheder ikke skaber utryghed i befolkningen omkring NemID. Jeg sætter derfor pris på den opmærksomhed, der er blandt borgere, politikere og presse om NemID, og som spørgsmålene i dag er udtryk for, og jeg er glad for, at der er indkaldt til dette samråd, så jeg kan få anledning til at drøfte NemID.

Svar på spørgsmål A, B og C

De bekymringer, der er opstået omkring sikkerheden ved anvendelse af NemId, tager jeg meget alvorligt. Sikkerheden i den digitale forvaltning skal være i orden. Det er den også. Borgerne skal kunne have tillid til den offentlige forvaltnings it-systemer. Det kan de roligt have.

Men vi har nogle udfordringer.

De rejste sikkerhedsproblemer, der refereres til i Politiken den 14. september, vedrører ikke NemID direkte, men it-systemer, der knyttes til NemID. Men det er altså ikke selve NemID.

Men tvivl om tilknyttede it-systemer smitter af på tilliden til selve NemID. Det er naturligvis ikke tilfredsstillende. Det er meget vigtigt at understrege, at der ikke her har været tale om en sikkerhedsbrist i selve NemID-systemet.

IT- og Telestyrelsen kender ikke til én eneste borger, der direkte har oplevet et misbrug af personlige data som følge af sikkerhedsbristen.

Men da NemID og de relaterede it-systemer skaber en indbyrdes afhængighed på tværs af alle sektorer, som ikke er synlig for borgerne, er jeg helt opmærksom på, at det kan være svært at adskille.

Det udfordrer i særlig grad kommunikationsindsatsen i forhold til borgerne, hvis der opstår sikkerhedsproblemer i tilknyttede it-systemer, og det er noget, vi skal tage meget alvorligt.

Problemstillingen, som rejses i spørgsmålene, er oprindeligt opstået, fordi der findes to hjemmesider med et meget ensartet navn, nemlig www.nemid.dk og www.nemid.nu.

Www.nemid.nu er den offentlige hjemmeside, hvor borgerne kan bestille og administrere deres NemID. Www.nemid.dk er en privat hjemmeside, der desværre nemt kan forveksles med den offentlige hjemmeside og desværre skabe tvivl hos borgerne.

Det forhold, at to domænenavne ligger tæt på hinanden, er ofte forekommende på internettet og er ikke i sig selv et sikkerhedsproblem, men i dette tilfælde har det skabt forvirring.

IT- og Telestyrelsen har haft kendskab til, at det privatejede domænenavn www.nemid.dk har været tilsluttet NemLog-in siden maj 2009, og at Økonomistyrelsen i december 2009 henvendte sig til Assemble om Assembles uberettigede brug af NemLog-in.

Jeg har over for IT- og Telestyrelsen påtalt, at der tidligere burde have været givet bedre oplysning omkring risikoen for forveksling mellem de to domænenavne.

Fejlen, som artiklen i Politiken beskriver, handler imidlertid om, at der har været et sikkerhedshul på siden www.nemid.dk, som ejes af det private firma Assemble, og som ikke har noget med NemID at gøre.

Måske kan jeg med følgende eksempel forklare, hvorledes NemID er benyttet i forhold til nemid.dk, altså den private side.

NemID kan sammenlignes med et elektronisk identitetskort, der giver indehaveren af kortet fysisk adgang til en virksomhed. Virksomheden svarer i dette eksempel til de it-systemer, som NemID giver adgang til.

Det elektroniske identitetskort sikrer, at kun de rigtige personer kan komme ind i virksomheden, men det er virksomhedens ansvar at sikre, at dørlåsen i døren smækker i, når personerne forlader virksomheden.

Kort fortalt bestod det omtalte sikkerhedshul på www.nemid.dk i, at Assemble ikke havde implementeret den fællesoffentlige log-in-løsning ("NemLog-in") i overensstemmelse med Økonomistyrelsens retningslinier. Ifølge min analogi vil det sige, at døren hos Nem-Log-in ikke smækkede ordentligt efter at være blevet åbnet.

Denne fejl gjorde, at borgeren forblev logget på, med mindre borgeren lukkede alle vinduer i browseren efter sig. Dette bevirkede, at en efterfølgende bruger af computeren ville kunne få adgang til den forrige brugers personlige oplysninger. Vi er ikke bekendt med, at et misbrug heraf har fundet sted.

IT- og Telestyrelsen blev den 24. august af en borger gjort opmærksom på det omtalte sikkerhedshul på www.nemid.dk. IT- og Telestyrelsen konstaterede hurtigt, at der var et problem og informerede den 25. august Økonomistyrelsen om sikkerhedshullet, og de gik straks i gang med at undersøge fejlen.

Jeg har selv ikke været bekendt med sagen, før artiklen blev bragt i Politiken den 14. september. Økonomistyrelsen har i den forbindelse oplyst følgende, og jeg citerer:

"Økonomistyrelsen blev gjort opmærksom på en mulig sikkerhedsbrist på nemid.dk den 25. august 2010 af IT- og Telestyrelsen. Økonomistyrelsen iværksatte en undersøgelse af alle tilsluttede løsninger for at afdække, om der var en sikkerhedsbrist, og hvori det i givet fald bestod. Økonomistyrelsen kunne den 13. september konkludere, at der var en sikkerhedssvaghed hos enkelte it-leverandører, som ikke havde implementeret den fællesoffentlige NemLog-in løsning korrekt. Økonomistyrelsen har derefter kontaktet disse med krav om, at de omgående tilretter deres løsning, hvilket efter Økonomistyrelsens oplysninger nu er sket. Økonomistyrelsen har endvidere oplyst, at hændelserne giver anledning til at kræve stærkere kontrol med fremtidige brugere af løsningen."

Citat slut.

Omkring den 20. september 2010 ændrede Assemble opsætningen af domænet www.nemid.dk, så det ikke længere sender borgeren direkte til Assembles postløsning via NemLog-in, men i stedet tydeligt viser, at man besøger Assembles hjemmeside.

Jeg vil gerne gentage, at der ikke er modtaget henvendelser fra borgere om mulig misbrug som følge af sikkerhedshullet.

NemID er i sin funktion nøglen til mange forskellige it-løsninger. Derfor skabes der en afhængighed mellem NemID og de tilhørende it-løsninger (herunder Nem-Log-in, borger.dk, SKAT, netbankerne og øvrige private aktører). Men det er vigtigt at understrege, at ansvaret for sikkerheden i disse løsninger ligger hos de enkelte løsningsejere. SKAT – og ikke det fællesoffentlige samarbejde om NemID – har ansvaret for SKATs hjemmeside.

NemID er blot "nøglen". Det er den enkelte løsningsejers ansvar at foretage de konkrete og korrekte foranstaltninger i deres egne systemer i forbindelse med anvendelsen af NemID.

På baggrund af den konkrete sag har jeg taget initiativ til:

• At der er blevet nedsat en NemID beredskabsgruppe, der vil sikre omgående reaktion, hvis der opstår fejl, tvivl og spørgsmål om sikkerheden. Beredskabsgruppen, der består af IT- og Telestyrelsen, Økonomistyrelsen, Finansministeriet, Økonomi- og Erhvervsministeriet, Erhvervs- og Selskabsstyrelsen, Skat, KL og Danske Regioner, vil også koordinere en hurtig og målrettet kommunikation til alle parter, ikke mindst borgerne.
• At IT- og Telestyrelsen i deres vejledning indskærper over for myndigheder og løsningsejere, som for eksempel SKAT, Økonomistyrelsen og SU-styrelsen, at de selv har et selvstændigt ansvar for sikkerheden i forbindelse med egne tjenester, der anvender NemID.
• Sammen med finanssektoren og DanID har IT- og Telestyrelsen allerede nedsat en taskforce, som hurtigst muligt igen vil gennemgå de henvendelser, der allerede er modtaget med kritik af NemID for at se, om der er et mønster, der giver grundlag for yderligere justeringer og ændringer i kommunikationen af implementeringen af NemID.

Det er endvidere allerede aftalt med finanssektoren, at denne taskforce vil mødes med en række interesseorganisationer, for eksempel Ældresagen, Danske Handicaporganisationer og Forbrugerrådet, med henblik på at informere og betrygge organisationerne om anvendelsen af NemID.

Spørgsmål D

Kan ministeren fremlægge en ny plan for, hvordan ministeren får styr på sikkerheden omkring NemID, og hvordan tilliden til NemID sikres i befolkningen?

Svar på spørgsmål D

Spørgsmål D indeholder to spørgsmål om henholdsvis sikkerhed og tillid.

Til spørgsmålet om sikkerhed vil jeg understrege, at vi med NemID har fået en sikkerhedsmæssig forbedring. Det gælder både i forhold til den gamle digitale signatur og i forhold til flere af de tidligere netbankløsninger.

Sikkerheden er forbedret, ved at NemID er baseret på såkaldt to-faktor-sikkerhed, hvilket vil sige, at man både skal anvende en personlig adgangskode (noget man ved) og et fysisk nøglekort med engangsnøgler (noget man har). Denne kombination er en sikkerhedsmæssig forbedring.

I NemID skal man bruge en ny kode fra nøglekortet, hver gang man anvender løsningen. Det vil sige, at selvom en hacker skulle opsnappe den kode, man anvender, så kan hackeren ikke misbruge koden, fordi NemID kræver en ny kode fra nøglekortet, næste gang den skal anvendes.

En forbedring af sikkerheden har som tidligere nævnt været et af de overordnede formål med at etablere en fælles digital signatur for det offentlige og finanssektoren.

I den tidligere digitale signatur og i de fleste netbankløsninger var sikkerheden alene baseret på, at borgeren kunne opretholde et fornuftigt sikkerhedsniveau på egen computer.

Det nye med NemID er, at sikkerhedsniveauet er øget i forhold til den gamle løsning, samtidig med at brugeren er uafhængig af sin pc – man kan altså bruge sin netbank eller en offentlig hjemmeside fra enhver computer. Det synes jeg er en meget betydelig forøgelse af brugervenligheden.

Selvom sikkerheden således er forøget væsentligt, er det ikke muligt med noget som helst it-system at skabe 100 procents sikkerhed. Trusselsbilledet udvikler sig nemlig hele tiden, og nye farer og sikkerhedsrisici opstår hver dag. Desuden skal man ikke glemme den menneskelige faktor, idet alle it-systemer i sidste ende baserer sig på menneskelig adfærd, som vi ved ikke er helt ufejlbarlig. Det gælder også i relation til NemID.

Sikkerhed er derfor en opgave, som vi tager meget alvorligt. Der har allerede før opstarten af udviklingsprojektet været etableret et tæt samarbejde mellem Videnskabsministeriet, DanID og finanssektoren om sikkerheden ved NemID.

Samarbejdet indebærer, at sikkerheden overvåges, og at der løbende udarbejdes risikovurderinger, og at det aktuelle trusselsbillede, for eksempel i form af konstaterede sikkerhedsrisici og hackingmetoder, analyseres, således at der kan reageres i forhold til ændringer heri.

Men vi skal altid være opmærksomme på, at sikkerheden ved al anvendelse af it er afhængig af brugerens adfærd.

I mit arbejdsprogram "Digitale veje til vækst" er der syv initiativer, der er direkte rettet mod en styrkelse af it-færdighederne bredt i befolkningen, herunder de it-svage grupper:

• Formulere et sæt af e-borgerkompetencer
• Iværksætte en borger-til-borger undervisningskampagne
• Igangsætte et forskningsprojekt, der vil belyse behov, motivation og god pædagogik på IKT-færdighedsområdet
• Styrke indsatsen for at gøre offentlige hjemmesider mere brugerorienterede og brugervenlige
• Iværksætte initiativer for at give borgere tilbud om udvikling af digitale kompetencer
• Sondere mulighederne for at etablere et Seniornet for derved at styrke IKT-færdighederne hos den ældre andel af befolkningen
• Styrke kompetenceudviklingen af medarbejdere i SMV'er

Disse initiativer er vi nu i gang med at udmønte, og et af dem skal blandt andet afdække brugerens barrierer i forhold til at begynde at anvende digitale tilbud, for eksempel brug af offentlig selvbetjening eller netbank. Dermed kan vi afklare, hvad der kan motivere brugeren til at lære baseret på den viden, så vi kan målrette de øvrige initiativer, så de giver den størst mulige effekt.

Herudover har vi omfattende undervisningsaktiviteter i Lær mere om it-netværket, der er med til at løfte befolkningens it-færdigheder.

Ud over DanID's hjælpe-hotline styrker vi udbudet af gratis kurser og udarbejder undervisningsmateriale i brugen af NemID. Det sker i et meget tæt og rigtigt velfungerende samarbejde med Lær mere om it-netværkets samarbejdspartnere –ældreorganisationerne, bibliotekerne, borgerservicecentrene og folkeoplysningsforbundene, som står for den konkrete undervisning af borgerne rundt om i landet.

Hertil skal man lægge den informationsindsats, som bankerne hver især yder i forhold til deres netbankkunder, efterhånden som de går over til NemID.

Samlet set er der tale om en meget massiv indsats.

Det er afgørende, at borgerne fortsat kan have tillid til den digitale forvaltning, hvor NemID er en central del. Oplysningskampagner fra både det offentlige og finanssektoren er vigtige for at sikre, at der skabes tillid til NemID hos borgerne. Jeg kan i øvrigt oplyse, at det offentlige i uge 41 gennemfører den årlige Netsikker.nu! kampagne, som vil adressere borgerens anvendelse af NemID.

Den aktuelle sag har også haft konsekvenser i IT- og Telestyrelsen. Jeg har påtalt, at jeg finder det meget utilfredsstillende, at IT- og Telestyrelsen ikke tidligere har informeret borgerne om den eventuelle risiko, der er ved at benytte nemid.dk. Jeg er tilfreds med, at IT- og Telestyrelsen har taget min kritik til efterretning samt allerede har justeret blandt andet kommunikationsplan og tidsfrister.

Det er vigtigt, at vi lærer af denne sag!

Afslutningsvis vil jeg gerne igen understrege, at NemID fremover vil være til stor gavn for den enkelte borger, der med et enkelt login får sikker adgang til både netbank og digital forvaltning.

Jeg er rigtig glad for at høre jeres opbakning til NemIDs betydning. NemID er en forudsætning for den fortsatte digitalisering af Danmark.