Kommunaludvalget 2011-12
L 160
Offentligt
1122855_0001.png
1122855_0002.png
1122855_0003.png
1122855_0004.png
NotatBilag til svar på Kommunaludvalgets spørgsmål nr. 1 (L159) ogspørgsmål 2 (L160) af 24. april 2012 - ”Appendiks IT-PolitiskForenings kritik af NemID”IT-Politisk Forenings appendiks opsummerer en række tidligere kritikpunktervedrørende NemID. Svarene på de enkelte kritikpunkter opsummeres nedenfor.Ad: ”Sårbar overfor man-in-the-middle-angreb”Der har været to vellykkede phishing henholdsvis man-in-the-middle angreb, somanført af IT-Politisk Forening, hvor få bankkunder blev franarret deres personligekoder til NemID. Svindlere misbrugte herefter koderne til at overføre penge tilegne konti. Disse få angreb skal ses i forhold til et samlet meget stort antal dagligetransaktioner. Siden lanceringen af NemID den 1. juli 2010 har der været mereend 700 mio. transaktioner med NemID. Hverken Nets DanID ellerDigitaliseringsstyrelsen har kendskab til, at der skulle være sket angreb modoffentlige selvbetjeningsløsninger, hvor NemID er blevet misbrugt.Der er således ingen tvivl om, at indførelsen af NemID generelt har gjort detvanskeligere for de it-kriminelle, som går efter en hurtig økonomisk gevinst pånettet, set i forhold til netbankernes tidligere sikkerhedsløsninger og den tidligeredigitale signatur. Det er dog samtidig nødvendigt at anerkende, at uanset hvilkensikkerhedsløsning man anvender, vil den altid være forbundet med risici ogsårbarheder, som løbende skal vurderes og imødegås. NemID er valgt ud fra ennøje afbalanceret afvejning mellem et tilstrækkeligt højt sikkerhedsniveau, højmobilitet og behovet for stor udbredelse, anvendelse og forståelighed af løsningeni den brede befolkning.Sikkerhed er således ikke en absolut størrelse. Trusselsbilledet ændrer sig konstant,og det er ikke praktisk muligt at etablere it-systemer, der over tid er 100 % sikre.Risiko for misbrug og svindel eksisterer i den digitale såvel som i denpapirbaserede verden, og ligesom i den papirbaserede verden er det nødvendigt atforholde sig til og minimere risici løbende. Identitetstyveri eller økonomiske tabsom følge af svindel og misbrug er alvorlige lovovertrædelser, såvel i den digitalesom den analoge verden. Sådanne lovovertrædelser er reguleret af og skalretsforfølges efter dansk rets almindelige regler, herunder straffeloven ogbetalingstjenesteloven.Der har fra starten været stort fokus på sikkerheden i NemID, og Nets DanIDovervåger løbende systemet og iværksætter fornødne sikkerhedsforanstaltninger,hvis det vurderes at blive aktuelt. Desuden foretager bankerne, Nets DanID og
Side 1 af 414. maj 2012
Side 2 af 4Digitaliseringsstyrelsen løbende risikovurderinger af de aktuelle trusler og afvejerbehovet for supplerende sikkerhedsforanstaltninger i forhold til brugervenlighedog økonomi.De aktuelle få eksempler på vellykkede angreb på netbanker bliver naturligvistaget meget alvorligt, og Digitaliseringsstyrelsen, bankerne og Nets DanIDvurderer fortsat, at risikoen for svindel på nuværende tidspunkt er minimal.Borgerne kan derfor fortsat have tillid til NemID.Ad: ”Brugen af Java er en IT-sikkerhedsrisiko”Valget af Java som det teknologiske grundlag for NemID løsningen blev truffettilbage i 2008/2009, hvor løsningen blev specificeret. Valget af Java som platformblev truffet på baggrund af erfaringer fra netbankernes tidligeresikkerhedsløsninger og fra den tidligere digitale signatur. Java teknologien passededesuden bedst til den specificerede arkitektur for NemID og tilgodeså samtidigbankernes og den tidligere IT- og Telestyrelses krav til platformuafhængighed ogsikkerhed af den samlede løsning.NemID baseret på Java anses fortsat som sikker, forudsat at brugerne - som vedal anden software - sikrer løbende opdatering med seneste versioner.Ligesom trusselsbilledet på sikkerhedsområdet ændres, ændrer det teknologiskelandskab sig også konstant. Det er derfor vigtigt og nødvendigt at it-løsninger somNemID vurderes løbende, både i forhold til sikkerheden og deres teknologiskerobusthed. Digitaliseringsstyrelsen, bankerne og Nets DanID vurderer løbende,om der er grundlag for at ændre den teknologiske platform for NemID.Ad ”NemID snager i din computer”I NemID løsningen anvendes en såkaldt Java-applet, som afvikles på brugerenspc. Appletten gemmer kode lokalt (cache) på brugerens computer, bl.a. som filer,der ender med ”gif”. Disse filer benyttes til at beregne en såkaldt pc-checksum,som kan anvendes både præventivt og opklaringsmæssigt i forhold til visse angrebmod brugeren. Nets DanID har ved flere lejligheder beskrevet disse forhold.Dette tiltag er ét blandt mange sikkerhedstiltag, der skal besværliggøre misbrug ogudnyttelse af systemet for it-kriminelle. Nets DanIDs privatlivspolitik beskriver, atdenne information bliver indsamlet, og at formålet med indsamlingen erefterforskning af misbrug eller forsøg på misbrug af NemID. Nets DanIDsNemID-applet har ikke funktionalitet, der indsamler data fra brugerens pc udoverdet, der er beskrevet i privatlivspolitikken.
Side 3 af 4Ad: ”NemID bryder med gængse sikkerhedsprincipper”NemID baseret på OCES-standarden bygger på en teknologi kaldet Public KeyInfrastructure (PKI). Det indebærer, at brugeren får udstedt en digital signatur,der består af en privat nøgle og et certifikat med en offentlig nøgle. PKI er enanerkendt sikkerhedsmodel.I PKI er det afgørende, at kun brugeren selv har kontrol over den private nøgle.I NemID sikres denne kontrol ved, at det alene er brugeren, der – via to-faktorsikkerhed har adgang til den private nøgle, som ligger på specielle sikredekryptografiske hardware-moduler. Disse moduler er forsvarligt aflåst, og driftes ogvedligeholdes af Nets DanID A/S.Den private nøgle kan ikke anvendes i hardwaremodulet uden anvendelse af datadannet på baggrund af brugerens personlige adgangskode. DanID har på intettidspunkt brugerens personlige adgangskode.Tilgangen til brugerens private nøgle er baseret på en sikker protokol, der harværet gennemgået af førende internationale sikkerhedseksperter.I forhold til IT-Politisk Forenings reference til Lov om elektroniske signaturerbemærkes, at NemID udstedes på baggrund af OCES-standarden, som er fastlagti OCES-certifikatpolitik for personcertifikater og er således ikke omfattet af Lovom elektroniske signaturer. Det skal dog også bemærkes, at den beskrevneteknologiske løsning for NemID efter Digitaliseringsstyrelsens opfattelse ikkestrider mod § 10, stk. 3 i loven, idet løsningen sikrer, at brugeren har den fuldekontrol over sin egen private nøgle.Ad: ”DanID overholder ikke sine forpligtelser”DanIDs forpligtelser fremgår dels af OCES-certifikatpolitikken, dels af kontraktindgået med staten den 21. august 2008 på baggrund af et EU-udbud. Denhardwareløsning, som omtales i appendikset, er ikke et krav i OCES-certifikatpolitikken, men stammer fra kontrakten med Digitaliseringsstyrelsen.Det er forventningen, at den hardwarebaserede løsning vil blive lanceret ultimonovember 2012. Det er kontraktligt aftalt, at denne løsning vil blive tilbudt til deborgere, der er interesseret i denne løsning og ønsker at betale herfor.I forhold til henvisning til Datatilsynets udtalelse om privacy, skal det bemærkes,at Digitaliseringsstyrelsen tidligere har besvaret denne og meddelt, at beslutningenom at tilbyde en løsning med opbevaring af nøgler på hardware ikke er begrundethverken i sikkerhedsmæssige eller privacymæssige hensyn, idet den eksisterendeløsning med central opbevaring af den private nøgle fuldt og helt sikrer brugerens
Side 4 af 4enekontrol. For yderligere detaljer henvises til besvarelsen af it-politiskforeningens kritikpunkt ”NemID bryder med gængse sikkerhedsprincipper”.
Ad: ”DanID's interesser tilgodeser ikke borgernes sikkerhed”Opgaven om at udvikle, implementere og drive den offentlige digitale signaturinfrastruktur på vegne af den offentlige sektor har været konkurrenceudsat ved etEU-udbud. DanID varetager således i forhold til udstedelse af den offentligedigitale signatur en opgave på vegne af den offentlige sektor reguleret ihenholdsvis OCES-certifikatpolitikken og den mellem parterne indgåede kontrakt.Alle hensyn og krav i relation til certifikatpolitik og kontrakt relaterer sig til denopgave, der leveres til den offentlige sektor, herunder også sikkerhedsmæssigespørgsmål, og medvirker til, at borgerne kan være trygge ved, at Nets DanIDvaretager hensynet til borgernes sikkerhed.Det er helt sædvanligt, at private virksomheder har ansvaret for implementering,drift og vedligeholdelse af sikkerhedsløsninger for den offentlige sektor.Nets DanID er desuden underlagt Digitaliseringsstyrelsens tilsyn, herunderekstern systemrevision ved statsautoriseret systemrevisor, som en gang årligtafgiver systemrevisionserklæring til Digitaliseringsstyrelsen om, hvorvidt NetsDanID har overholdt kravene i OCES-certifikatpolitikken.Endelig er Nets DanID naturligvis, lige som enhver anden virksomhed forpligtettil at leve op til gældende lovgivning, herunder persondataloven.Ad: ”DanID bliver et tvunget monopol”Som anført i svarene på spørgsmål 159 og 160 er den til enhver tid gældendestandard for offentlig digital signatur den identifikationsløsning, som denoffentlige sektor har valgt at basere sig på. Det er således korrekt opfattet, at i detomfang obligatoriske digitale selvbetjeningsløsninger kræver, at borgerenidentificerer sig selv, vil de borgere, som kan, være nødt til at få NemID.Det skal endvidere bemærkes, at forudsætningen for at kunne udstede digitalesignaturer efter OCES-standarden er, at udsteder har indgået aftale medDigitaliseringsstyrelsen, bl.a. om at overholde OCES-certifikatpolitikken ogunderlægge sig Digitaliseringsstyrelsens tilsyn.Med hensyn til IT-politisk foreningens kritik af lovforslagenes konsekvenserhenvises til hovedsvarene.