Chokerende: positiv omtale af NemID
Forleden skete der noget temmeligt uventet: jeg læste en artikel, som roste Nem-ID.
Det er vist ikke nogen overdrivelse af sige, at Nem-ID har haft megen dårlig presseomtale. Noget af det er lige til højrebenet som at sende de to breve ud samme dag og at koble en andens person identitet til en Nem-ID.
En del af kritikken har gået på den grundlæggende virkemåde, hvor brugeren ikke længere har en del af nøglen liggende på egen computer, men derimod centralt. Det er vel fair at observere, for de fleste brugere er det mere sikkert at der ikke ligger noget på egen harddisk, men det er omvendt klart, at hvis der sker dataindbrud hos Nem-ID, vil det være katastrofalt.
Endvidere er Nem-ID blevet anklaget for at være baseret på java-script og derfor ikke brugbar på en række dimser, heriblandt mange smart-phones. Dette er erkendt af ITST, og der arbejdes på at fikse det. Mon ikke dette snart løses - Danske Bank har jo vist vejen med sin iPad-app?
Men faktum er, at der har været megen dårlig presseomtale. Det virker som om, at man fra (fag-)pressens side har besluttet sig for at jorde signaturen, inden den er kommet i gang. Der er selvfølgeligt noget David mod Goliat over det, idet både banker og det offentlige er inde over, men det var jo netop anken mod den tidligere signatur, at den IKKE gav mulighed for bank-login. Jeg vil også mene, at ministeren/ITST været tememligt passiv, det skyldes muligvist, at man har haft tralvt med at få alting på plads og ikke har haft ressourcerne til at besvare pressekritik.
Jeg hævder ikke, at der ikke er problemer med Nem-ID, men jeg må ærligt talt sige, at jeg er forbløffet over mængden af kritik og også ensidig presseomtale. Er der nogle blandt denne blogs læsere, der har nogen mening om, hvorfor det gik sådan?
Kommentarer
af Morten - torsdag 14. oktober 2010 kl. 15:42
NemID er pr definition kedeligt.
Skandaler sælger bedre end succeshistorier.
Aktører med interesse i positiv omtale/rette op på misforståelser er dårlige til at kommunikere.
Det måtte gå sådan.af Tobias - onsdag 10. november 2010 kl. 19:17
Jeg er ikke forbløffet over mængden af kritik. Folkene bag Nem-ID har ofret sikkerhed for at gøre det let at bruge. Dermed har de bragt sig selv i en situation hvor det er utroligt let at kritisere dem på sikkerheden.
Mange af svarene fra Dan-ID ikke har været overbevisende det har bare givet endnu mere brænde til bålet.
af Stephan Engberg - mandag 17. oktober 2011 kl. 18:00
Det er en alt for snæver forståelse af sikkerhed. Nøglen er hverken sikker i en ren softwareimplmentering på borgerens klient eller hos DanId - begge dele er forkert.
Den sidste er bare meget mere forkert end den første fordi den koncentrerer risikoen og - værre - giver bankerne monopolkontrol med alle samfundets transaktioner.
Nøglen hører hjemme i et mobil tamperresistent rum med revokability af både nøgler og devices samt backup i tilfænde af at du mister din nøgledevice. End-to-end security er den eneste måde at forebygge angreb.
Desuden er det rablende galt at genbruge nøgler til forskellige formål både for det gør borgeren transparant for kommerciel, kriminel, bureaukratisk og anden misbrug og fordi det gør systemerne sårbare overfor angreb.
De nylige successfulde angreb mod Nordea-kunder var en forudsigelig konsekvens af NemId, ikke på trods af NemId.
Men det er den mindste del af problemet - det er langt, langt værre at man nu hardkoder sikkerheden i alle applikationer op mod et totalt forældet mainframekoncept.
Investeringen i NemId er ikke bare spildt - den har stærkt negativ sikkerheds- og samfundsøkonomisk værdi. Tilgangen underminerer dynamikken i den offentlige sektor og blokerer for de tiltag som burde sættes i gang for at øge effektiviteten over tid.
Problemet er når denne slags naive sikkerhedsbetragtninger, som hverken ser reelt på sikkerheden eller forstår skaden på samfundets konkurrenceevne, får lov til at ødelægge diskussionen.