Spørgsmål 248

Ministeren bedes redegøre for, hvorfor DanID ikke har oplyst borgerne om risi-koen for at andre brugere af den samme computer har kunnet få adgang til deresprivate oplysninger, hvis de indtastede NemID.dk i stedet for NemID.nu?

Svar

Indledningsvist vil jeg understrege, at jeg gerne så, at borgerne var blevet oriente-ret hurtigere om risikoen for en sikkerhedsbrist vedrørende domænet nemid.dk.Det har jeg bedt IT- og Telestyrelsen og DanID om at være opmærksomme påfremover.IT- og Telestyrelsen og Økonomistyrelsen blev opmærksomme på den omtaltesikkerhedsbrist i slutningen af august.Økonomistyrelsen gik herefter i gang med at få sikkerhedsbristen lukket.Det skal bemærkes, at sikkerhedsbristen kun kan skabe problemer i de særlige til-fælde, hvor en person bruger en offentlig computer og ikke lukker browservindu-et efter brug. Det er i øvrigt anbefalingen fra IT- og Telestyrelsen, at man altidlukker browservinduet efter brug i forbindelse med NemID. Jeg vil gerne under-strege, at der ikke er modtaget henvendelser fra borgere om mulig misbrug somfølge af sikkerhedshullet.Til brug for besvarelsen har Ministeriet for Videnskab, Teknologi og Udviklingindhentet en redegørelse fra Økonomistyrelsen, der har oplyst følgende:”Økonomistyrelsen blev gjort opmærksom på en mulig sikkerhedsbrist på ne-mid.dk den 25. august 2010 af IT- og Telestyrelsen. Økonomistyrelsen iværksatteen undersøgelse af alle tilsluttede løsninger for at afdække, om der var en sikker-hedsbrist, og hvori det i givet fald bestod. Økonomistyrelsen kunne den 13. sep-tember konkludere, at der var en sikkerhedssvaghed hos enkelte IT-leverandører,som ikke havde implementeret den fællesoffentlige NemLog-in løsning korrekt.Økonomistyrelsen har derefter kontaktet disse med krav om at de omgående til-retter deres løsning, hvilket efter Økonomistyrelsens oplysninger nu er sket.Økonomistyrelsen har endvidere oplyst at hændelserne giver anledning til at kræ-ve stærkere kontrol med fremtidige brugere af løsningen.”IT- og Telestyrelsen informerede på deres hjemmeside om sikkerhedsbristen pånemid.dk den 14. september 2010.På baggrund af den konkrete sag har jeg i øvrigt sørget for, at der straks blevnedsat en NemID beredskabsgruppe, der vil sikre omgående reaktion, når der op-Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408

Spørgsmål 249

Ministeren bedes redegøre for, hvordan det kunne gå til, at hullet i NemIDs sik-kerhed i forbindelse med en fejlagtig indtastning af NemId.dk i stedet for NemIDførst blev lukket, da man i IT- og Telestyrelsen blev opmærksom på, at Politikenville afsløre sagen.

Svar

Jeg vil gerne indledningsvis understrege, at denne sag ikke omhandler en sikker-hedsbrist i selve NemID, men en sikkerhedsbrist på den private hjemmeside ne-mid.dk, som jeg også redegjorde for i samråd i Udvalget for Videnskab Teknolo-gi og Udvikling den 7. oktober 2010.Som det fremgår at mit svar på spørgsmål 248, blev IT- og Telestyrelsen ogØkonomistyrelsen opmærksomme på den omtalte sikkerhedsbrist på nemid.dk islutningen af august.Økonomistyrelsen gik herefter omgående i gang med at få sikkerhedsbristen luk-ket.For en nærmere beskrivelse af den omtalte sikkerhedsbrist henviser jeg i øvrigt tilmit svar på spørgsmål 248, hvor Økonomistyrelsens redegørelse for sagen ergengivet.

Spørgsmål nr. 248 og 249 stillet af Udvalget for Videnskab og Teknologi den

15. september 2010 til Ministeren for videnskab, teknologi og udvikling

(Alm. del).

Spørgsmål 248

Svar

Spørgsmål 249

Svar