Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del Bilag 4
Offentligt
899106_0001.png
899106_0002.png
899106_0003.png
899106_0004.png
899106_0005.png
899106_0006.png
899106_0007.png
899106_0008.png
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
./.
Til udvalgets orientering fremsendes hermed mit talepapir fra samrådet i Viden-skabsudvalget torsdag den 7. oktober 2010 vedr. NemID.
7. oktober 2010
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefax3392 97003332 3501[email protected]www.vtu.dk1680 5408
Med venlig hilsen
E-postNetstedCVR-nr.
Charlotte Sahl-MadsenSagsnr.Dok nr.Side10-07668915472141/1

Samråd (åbent) i Folketingets Udvalg for Videnskab og Teknologi torsdag

den 7. oktober 2010 vedr. NemID – UVT – alm. del. Spørgsmål A, B, C og D

DET TALTE ORD GÆLDER

Da de tre første spørgsmål, A, B og C omhandler samme emne, og da besvarelsenaf spørgsmålene hænger sammen, vil jeg svare på disse spørgsmål under et.

Spørgsmål A

Hvornår blev ministeren bekendt med den sikkerhedsbrist på NemID, som Politi-ken beskriver d. 14/9-10 i artiklen: ”Nyt sikkerhedshul i den gamle digitale signa-tur er afsløret”.

Spørgsmål B

Ministeren bedes forklare, hvorfor man ikke tidligere har skredet ind overfor densikkerhedsbrist som DanID og IT- og Telestyrelsen ifølge artikel i Politiken d.14/9-10 ”Nyt sikkerhedshul i den gamle digitale signatur er afsløret”, har kendtsiden før sommerferien?

Spørgsmål C

Ministeren bedes forklare, hvorfor man ikke har advaret brugerne af NemID, omden sikkerhedsbrist Politiken beskriver i artikel d. 14/9-10 ”Nyt sikkerhedshul iden gamle digitale signatur er afsløret”, når man kendt til den siden før sommer-ferien?Jeg vil gerne indledningsvis komme med en række overordnede betragtninger omNemID.På fredag er det 100 dage siden, at vi lancerede NemID.NemID blev etableret med det formål at etablere en sikker, fælles digital indgangtil bl.a. de offentlige hjemmesider.NemID er resultatet af en ny form for fællesoffenligt/privat samarbejde, der giverborgeren ét fælles login til både netbank, offentlige og private hjemmesider.Dags dato er der totalt set udrullet 1.6 millioner NemID. Heraf har 795.000 bor-gere valgt at bruge deres NemID til offentlig forvaltning. Samlet set er der sidenlanceringen foretaget 14 millioner transaktioner med NemID.Så vi er godt i gang med udbredelsen af NemID.NemID giver adgang til et bredt udvalg af offentlige og private tjenester, herun-der netbank, som naturligvis fordrer et højt sikkerhedsniveau. Det kan komplice-re løsningen for borgeren, men sikkerheden er vigtigst.Vi vil ikke gå på kompromis med sikkerheden.NemID spiller en central rolle i at fremme den digitale forvaltning og den fremti-dige digitalisering af Danmark.
Ministeriet for VidenskabTeknologi og Udvikling
Side
2/2
Netop fordi det er så centralt, er det vigtigt også at være yderst opmærksom påindkøringsvanskeligheder, som der naturligt vil være i et omfattende infrastruk-turprojekt.Dankortet blev fx også mødt med en vis skepsis, men i dag vil ingen jo undværedet.Det er vigtigt nøje at sikre at disse indkøringsvanskeligheder ikke skaber utryg-hed i befolkningen omkring NemID.Jeg sætter derfor pris på den opmærksomhed, der er blandt borgere, politikere ogpresse om NemID, og som spørgsmålene i dag er udtryk for, og jeg er glad for atder er indkaldt til dette samråd, så jeg kan få anledning til at drøfte NemID.

Svar på spørgsmål A, B og C

De bekymringer, der er opstået omkring sikkerheden ved anvendelse af NemId,tager jeg meget alvorligt.Sikkerheden i den digitale forvaltning skal være i orden. Det er den også. Bor-gerne skal kunne have tillid til den offentlige forvaltnings it-systemer. Det kan deroligt have.Men vi har nogle udfordringer.De rejste sikkerhedsproblemer, der refereres til i Politiken den 14. septembervedrører ikke NemID direkte, men it-systemer, der knyttes til NemID. Men det eraltså ikke selve NemID. Men tvivl om tilknyttede it-systemer, smitter af på tilli-den til selve NemID. Det er naturligvis ikke tilfredsstillende. Det er meget vigtigtat understrege, at der ikke har været tale om en sikkerhedsbrist i selve NemID-systemet.IT- og Telestyrelsen kender ikke til én eneste borger, der direkte har oplevet etmisbrug af personlige data som følge af sikkerhedsbristen.Men da NemID og de relaterede it-systemer skaber en indbyrdes afhængighed påtværs af alle sektorer, som ikke er synlig for borgerne, er jeg helt opmærksom på,at det kan være svært at adskille.Det udfordrer i særlig grad kommunikationsindsatsen i forhold til borgerne, hvisder opstår sikkerhedsproblemer i tilknyttede it-systemer, og det er noget, vi skaltage meget alvorligt.Problemstillingen, som rejses i spørgsmålene, er oprindeligt opstået, fordi derfindes to hjemmesider med et meget ensartet navn, nemlig www.nemid.dk ogwww.nemid.nu. Www.nemid.nu er den offentlige hjemmeside, hvor borgernekan bestille og administrere deres NemID.Www.nemid.dker en privat hjemme-side, der desværre nemt kan forveksles med den offentlige hjemmeside og des-værre skabe tvivl hos borgerne.Ministeriet for VidenskabTeknologi og Udvikling
Side
3/3
Det forhold, at to domænenavne ligger tæt på hinanden er ofte forekommende påinternettet og er ikke i sig selv et sikkerhedsproblem, men i dette tilfælde, har detskabt forvirring.IT- og Telestyrelsen har haft kendskab til, at det privatejede domænenavnwww.nemid.dk har været tilsluttet NemLog-in siden maj 2009, og at Økonomi-styrelsen i december 2009 henvendte sig til Assemble om Assembles uberettige-de brug af NemLog-in.Jeg har over for IT- og Telestyrelsen påtalt, at der tidligere burde have været gi-vet bedre oplysning omkring risikoen for forveksling mellem de to domænenav-ne.Fejlen, som artiklen i Politiken beskriver, handler imidlertid om, at der har væretet sikkerhedshul på siden www.nemid.dk, som ejes af det private firma As-semble, og som ikke har noget med NemID at gøre.Ministeriet for Videnskab
Måske kan jeg med følgende eksempel forklare, hvorledes NemID er benyttet iforhold til nemid.dk, altså den private side.NemID kan sammenlignes med et elektronisk identitetskort, der giver indehave-ren af kortet fysisk adgang til en virksomhed. Virksomheden svarer i dette ek-sempel til de it-systemer, som NemID giver adgang til.Det elektroniske identitetskort sikrer, at kun de rigtige personer kan kom ind ivirksomheden, men det er virksomhedens ansvar at sikre, at dørlåsen i dørensmækker i, når personerne forlader virksomheden.Kort fortalt bestod det omtalte sikkerhedshul på www.nemid.dk i, at Assembleikke havde implementeret den fællesoffentlige log-in-løsning (”NemLog-in”) ioverensstemmelse med Økonomistyrelsens retningslinier. Ifølge min analogi vildet sige, at døren hos NemLog-in ikke smækkede ordentligt efter at være blevetåbnet.Denne fejl gjorde, at borgeren forblev logget på, med mindre borgeren lukkedealle vinduer i browseren efter sig. Dette bevirkede, at en efterfølgende bruger afcomputeren ville kunne få adgang til den forrige brugers personlige oplysninger.Vi er ikke bekendt med, at et misbrug heraf har fundet sted.IT- og Telestyrelsen blev den 24. august af en borger gjort opmærksom på detomtalte sikkerhedshul på www.nemid.dk. IT- og Telestyrelsen konstaterede hur-tigt, at der var et problem og informerede den 25. august Økonomistyrelsen omsikkerhedshullet, og de gik straks i gang med at undersøge fejlen.Jeg har selv ikke været bekendt med sagen, før artiklen blev bragt i Politiken den14. september.
Teknologi og Udvikling
Side
4/4
Økonomistyrelsen har i den forbindelse oplyst følgende, og jeg citerer:”Økono-mistyrelsen blev gjort opmærksom på en mulig sikkerhedsbrist på nemid.dk den25. august 2010 af IT- og Telestyrelsen. Økonomistyrelsen iværksatte en under-søgelse af alle tilsluttede løsninger for at afdække, om der var en sikkerhedsbrist,og hvori det i givet fald bestod. Økonomistyrelsen kunne den 13. september kon-kludere, at der var en sikkerhedssvaghed hos enkelte IT-leverandører, som ikkehavde implementeret den fællesoffentlige NemLog-in løsning korrekt. Økonomi-styrelsen har derefter kontaktet disse med krav om, at de omgående tilretter deresløsning, hvilket efter Økonomistyrelsens oplysninger nu er sket. Økonomistyrel-sen har endvidere oplyst at hændelserne giver anledning til at kræve stærkerekontrol med fremtidige brugere af løsningen.”Citat slut.Omkring den 20. september 2010 ændrede Assemble opsætningen af domænetwww.nemid.dk, så det ikke længere sender borgeren direkte til Assembles post-løsning via NemLog-in, men i stedet tydeligt viser, at man besøger Assembleshjemmeside.Jeg vil gerne gentage, at der ikke er modtaget henvendelser fra borgere om muligmisbrug som følge af sikkerhedshullet.NemID er i sin funktion nøglen til mange forskellige it-løsninger. Derfor skabesder en afhængighed mellem NemID og de tilhørende it-løsninger (herunderNemLog-in, borger.dk, SKAT, netbankerne og øvrige private aktører). Men deter vigtigt at understrege, at ansvaret for sikkerheden i disse løsninger ligger hosde enkelte løsningsejere. SKAT – og ikke det fællesoffentlige samarbejde omNemID - har ansvaret for SKAT’s hjemmeside. NemID er blot ”nøglen”. Det erden enkelte løsningsejers ansvar at foretage de konkrete og korrekte foranstalt-ninger i deres egne systemer i forbindelse med anvendelsen af NemID.På baggrund af den konkrete sag har jeg taget initiativ til,at der er blevet nedsat en NemID beredskabsgruppe, der vil sikre omgå-ende reaktion, hvis der opstår fejl, tvivl og spørgsmål om sikkerheden.Beredskabsgruppen, der består af IT- og Telestyrelsen, Økonomistyrel-sen, Finansministeriet, Økonomi- og Erhvervsministeriet, Erhvervs- ogSelskabsstyrelsen, Skat, KL og Danske Regioner, vil også koordinere enhurtig og målrettet kommunikation til alle parter, ikke mindst borgerne.at IT- og Telestyrelsen i deres vejledning indskærper over for myndighe-der og løsningsejere, som fx SKAT, Økonomistyrelsen og SU-styrelsen,at de selv har et selvstændigt ansvar for sikkerheden i forbindelse egnetjenester, der anvender NemID.Sammen med finanssektoren og DanID har IT- og Telestyrelsen alleredenedsat en taskforce, som hurtigst muligt igen vil gennemgå de henvendel-ser, der allerede er modtaget med kritik af NemID for at se, om der er etmønster, der giver grundlag for yderligere justeringer og ændringer ikommunikationen af implementeringen af NemID.Det er endvidere allerede aftalt med finanssektoren, at denne taskforce vil mødesmed en række interesseorganisationer for eksempel Ældresagen, Danske Handi-caporganisationer og Forbrugerrådet med henblik på at informere og betrygge or-ganisationerne om anvendelsen af NemID.
Ministeriet for VidenskabTeknologi og Udvikling
Side
5/5

Spørgsmål D

Kan ministeren fremlægge en ny plan for, hvordan ministeren får styr på sikker-heden omkring NemID, og hvordan tilliden til NemID sikres i befolkningen?

Svar på spørgsmål D

Spørgsmål D indeholder to spørgsmål om henholdsvis sikkerhed og tillid.Til spørgsmålet om sikkerhed vil jeg understrege, at vi med NemID har fået ensikkerhedsmæssig forbedring. Det gælder både i forhold til den gamle digitalesignatur og i forhold til flere af de tidligere netbankløsninger.Sikkerheden er forbedret ved, at NemID er baseret på såkaldt to-faktor-sikkerhed,hvilket vil sige, at man både skal anvende en personlig adgangskode (noget manved) og et fysisk nøglekortet med engangsnøgler (noget man har). Denne kombi-nation er en sikkerhedsmæssig forbedring.I NemID skal man bruge en ny kode fra nøglekortet, hver gang man anvenderløsningen. Det vil sige, at selvom en hacker skulle opsnappe den kode man an-vender, så kan hackeren ikke misbruge koden, fordi NemID kræver en ny kodefra nøglekortet, næste gang den skal anvendes.En forbedring af sikkerheden har som tidligere nævnt været et af de overordnedeformål med at etablere en fælles digital signatur for det offentlige og finanssekto-ren.I den tidligere digitale signatur og i de fleste netbankløsninger var sikkerhedenalene baseret på, at borgeren kunne opretholde et fornuftigt sikkerhedsniveau påegen computer.Det nye med NemID er, at sikkerhedsniveauet er øget i forhold til den gamle løs-ning samtidig med at brugeren er uafhængig af sin PC – man kan altså bruge sinnetbank eller en offentlig hjemmeside fra enhver computer. Det synes jeg er enmeget betydelig forøgelse af brugervenligheden.Selvom sikkerheden således er forøget væsentligt, er det ikke muligt med nogetsom helst it-system at skabe 100 % sikkerhed. Trusselsbilledet udvikler sig nem-lig hele tiden og nye farer og sikkerhedsrisici opstår hver dag. Desuden skal manikke glemme den menneskelige faktor idet alle it-systemer i sidste ende baserersig på menneskelig adfærd, som vi ved ikke er helt ufejlbarlig. Det gælder også irelation til NemID. Sikkerhed er derfor en opgave, som vi tager meget alvorligt.Der har allerede før opstarten af udviklingsprojektet været etableret et tæt samar-bejde mellem Videnskabsministeriet, DanID og finanssektoren om sikkerhedenved NemID. Samarbejdet indebærer, at sikkerheden overvåges, og at der løbendeudarbejdes risikovurderinger, og at det aktuelle trusselsbillede, fx i form af kon-staterede sikkerhedsrisici og hackingmetoder, analyseres, således at der kan rea-geres i forhold til ændringer heri.Men vi skal altid være opmærksomme på, at sikkerheden ved al anvendelse af iter afhængig af brugerens adfærd.Ministeriet for VidenskabTeknologi og Udvikling
Side
6/6
I mit arbejdsprogram ’Digitale veje til vækst’ er der syv initiativer, der er direkterettet mod en styrkelse af it-færdighederne bredt i befolkningen, herunder de it-svage grupper:Formulere et sæt af e-borgerkompetencerIværksætte en borger-til-borger undervisningskampagne,Igangsætte et forskningsprojekt, der vil belyse behov, motivation og god pæ-dagogik på IKT-færdighedsområdet.Styrke indsatsen for at gøre offentlige hjemmesider mere brugerorienteredeog brugervenlige.Iværksætte initiativer for at give borgere tilbud om udvikling af digitalekompetencerSondere mulighederne for at etablere et Seniornet for derved at styrke IKT-færdighederne hos den ældre andel af befolkningen.Styrke kompetenceudviklingen af medarbejdere i SMV’er.Disse initiativer er vi nu i gang med at udmønte, og et af dem skal blandt andetafdække brugerens barrierer i forhold til at begynde at anvende digitale tilbud, fxbrug af offentlig selvbetjening eller netbank. Dermed kan vi afklare, hvad der kanmotivere brugeren til at lære baseret på den viden, så vi kan målrette de øvrigeinitiativer, så de giver den størst mulige effekt.Herudover har vi omfattende undervisningsaktiviteter i Lær mere om it-netværket, der er med til at løfte befolkningens it-færdigheder.Ud over DanID’s hjælpe-hotline, styrker vi udbuddet af gratis kurser og udarbej-der undervisningsmateriale i brugen af NemID. Det sker i et meget tæt og rigtigvelfungerende samarbejde med Lær mere om it-netværkets samarbejdspartnere -ældreorganisationerne, bibliotekerne, borgerservicecentrene og folkeoplysnings-forbundene, som står for den konkrete undervisning af borgerne rundt om i lan-det.Hertil skal man lægge den informationsindsats, som bankerne hver især yder iforhold til deres netbankkunder, efterhånden som de går over til NemID.Samlet set er der tale om en meget massiv indsats.Det er afgørende, at borgerne fortsat kan have tillid til den digitale forvaltning,hvor NemID er en central del.Oplysningskampagner fra både det offentlige og finanssektoren er vigtige for atsikre, at der skabes tillid til NemID hos borgerne. Jeg kan i øvrigt oplyse, at detoffentlige i uge 41 gennemfører den årlige Netsikker.nu ! kampagne, som viladressere borgerens anvendelse af NemID.Den aktuelle sag har også haft konsekvenser i IT- og Telestyrelsen. Jeg har påtalt,at jeg finder det meget utilfredsstillende, at IT- og Telestyrelsen ikke tidligere harinformeret borgerne om den eventuelle risiko, der er ved at benytte nemid.dk.Jeg er tilfreds med, at IT- og Telestyrelsen har taget min kritik til efterretningsamt allerede har justeret bl.a. kommunikationsplan og tidsfrister.Ministeriet for VidenskabTeknologi og Udvikling
Side
7/7
Det er vigtigt, at vi lærer af denne sag!Afslutningsvis vil jeg gerne igen understrege, at NemID fremover vil være til storgavn for den enkelte borger, der med et enkelt login får sikker adgang til bådenetbank og digital forvaltning.Jeg er rigtig glad for at høre jeres opbakning til NemIDs betydning. NemID er enforudsætning for den fortsatte digitalisering af Danmark.
Ministeriet for VidenskabTeknologi og Udvikling
Side
8/8