Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del
Offentligt
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Hermed fremsendes svar på spørgsmål nr. 15, 16, 17 og 18 (Alm. del) stillet afUdvalget for Videnskab og Teknologi den 14. oktober 2010. Spørgsmålene erstillet efter ønske fra Yildiz Akdogan (S).
11. november 2010
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København K
Med venlig hilsen
TelefonTelefaxE-post
Charlotte Sahl-Madsen
NetstedCVR-nr.
Sagsnr.Dok nr.Side
10-09625115820551/1
Spørgsmål nr. 15, 16, 17 og 18 stillet af Udvalget for Videnskab og Teknologi
den 14. oktober 2010 til Ministeren for videnskab, teknologi og udvikling
(Alm. del).
Spørgsmål 15
Ministeren bedes udarbejde en opgørelse over de tilfælde, hvor banker har lavet ifejl i sikkerhedsprocedurer omkring NemID?Svar
Til brug for besvarelse af spørgsmålet har jeg indhentet en udtalelse fra IT- ogTelestyrelsen, som oplyser, at styrelsen ikke har kendskab til tilfælde, hvor ban-ker har lavet fejl i sikkerhedsprocedurer udover de tilfælde, som har været omtalti medierne. Konkret drejer det sig om tre tilfælde. IT- og Telestyrelsen har desu-den indhentet information fra DanID, der over for IT- og Telestyrelsen har op-lyst, at udover de sager, der har været omtalt i medierne, har DanID konkretkendskab til tre andre tilfælde, hvor medarbejdere i en banks supportfunktion ik-ke har overholdt kravene til autentifikation i forbindelse med telefoniske henven-delser. Autentifikation betyder måden medarbejderen i banken skal identificereborgeren på. Alle tre tilfælde handler om, at en supportmedarbejder ikke har levetop til kravet om stærk autentifikation i forbindelse med telefonisk henvendelse.Stærk autentifikation stiller flere krav til legitimering af borgeren, som fx supple-rende spørgsmål om kundens konti.Herudover har jeg indhentet følgende udtalelse fra Økonomi- og Erhvervsmini-steriet, som er ansvarlig for tilsyn med finanssektoren:”Økonomi- og Erhvervsministeriet har oplyst, at Finanstilsynet har kendskab tilenkelte tilfælde, hvor en bank fejlagtigt har udleveret nøglekort og pinkode til enforkert person. Udleveringen var sket i strid med gældende fælles procedurer forudlevering, hvilket banken har erkendt over for tilsynet. Banken har endvideremeddelt Finanstilsynet, at den har indskærpet de gældende procedurer overfor si-ne medarbejdere.”Jeg henholder mig til oplysningerne fra IT- og Telestyrelsen og udtalelsen fraØkonomi- og Erhvervsministeriet.Spørgsmål 16
Er ministeren tryg ved bankernes praksis i forbindelse med udlevering af kodertil NemID?Svar
For at kunne udstede OCES-certifikater skal udbyderen DanID indgå en OCES-standardaftale med Videnskabsministeriet. I denne aftale forpligter certifikatud-steder (CA) sig bl.a. til at overholde kravene i OCES-certifikatpolitik for person-certifikater for udstedelse og udlevering af NemID til borgerne og at underlægge
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Sagsnr.Dok nr.Side
10-09625115820551/1
sig IT- og Telestyrelsens kontrol af, at kravene opfyldes, herunder at gennemføreekstern systemrevision af en statsautoriseret revisor. DanID har indgået OCES-standardaftale med Videnskabsministeriet.DanID har desuden indgået den kontrakt om indførelse og drift af NemID, somVidenskabsministeriet har været i EU-udbud med. I denne kontrakt forpligterDanID sig til at have en OCES-standardaftale med Videnskabsministeriet ogoverholde kravene heri i hele kontraktperioden.I forbindelse med udstedelse af certifikater kan DanID ifølge certifikatpolitikkenbenytte sig af eksterne registreringsenheder, som bankerne er at betragte som idenne sammenhæng. Det fremgår af certifikatpolitikken, at”Registreringsenhe-den (RA) kan enten være nøje knyttet til CA, eller den kan være en selvstændigfunktion. CA hæfter under alle omstændigheder for RA’s opfyldelse af de stilledekrav og forpligtelser på ganske samme måde som for sine egne forhold”.DanIDer således ansvarlig for registreringsenhedens virke og bankernes funktion somregistreringsenhed er således underlagt samme kontrol og revisionskrav som Da-nID selv. DanID har indgået aftaler med registreringsenhederne (RA-aftaler),hvoraf bl.a. fremgår, at udover, at DanID selv fører kontrol med bankernes regi-streringsenheder, revideres den samlede udstedelsesprocedure ligeledes af eksternstatsautoriseret revision, og der rapporteres til IT- og Telestyrelsen, som påser, atkravene i certifikatpolitikken overholdes.Herudover har jeg indhentet følgende udtalelse fra Økonomi- og Erhvervsmini-steriet, som er ansvarlig for tilsyn med finanssektoren:”Finanstilsynet kan alene forholde sig til pengeinstitutternes anvendelse af Ne-mID i forbindelse med brug af netbank m.m. I disse tilfælde skal pengeinstitut-terne leve op til høje krav om identifikation af den pågældende kunde, inden en-gangskoder og nøglekort udleveres. På denne baggrund og på baggrund af at mi-nisteriet kun har kendskab til enkelte tilfælde, hvor der er begået fejl, finder mi-nisteriet, at pengeinstitutternes udleveringsprocedure må kunne anses for betryg-gende.Hovedparten af tilmeldingerne sker imidlertid igennem DanID, som er et selskabi NETS-koncernen, hvor identifikationen sker ved en eksisterende ”netbank-kontakt”.Det er på denne baggrund min opfattelse, at det samlede kontrolsystem, som eretableret i forbindelse med udlevering af koder til NemID, er indrettet, så detfungerer og skaber den nødvendige sikkerhed omkring NemID.
Ministeriet for VidenskabTeknologi og Udvikling
Side
2/2
Spørgsmål 17
Ser ministeren noget problem i, at banker kan udlevere koder til NemID, nårNemID samtidig bruges som adgang til personlige oplysninger i offentlig regi?
Svar
Indledningsvist vil jeg gerne understrege, at hele baggrunden for NemID netophar været at skabe et samarbejde mellem finanssektoren og det fællesoffentligefor at opnå de synergifordele, der er ved et fælles og bredt dækkende system.Men for forståelsens skyld vil jeg gerne kort forklare sammenhængen mellemNemID og adgang til henholdsvis netbank og offentlig digital signatur. NemID eren fælles sikkerhedsinfrastruktur, der på sikker vis autentificerer borgeren og gi-ver borgeren adgang til netbank eller offentlig digital signatur eller begge dele.For at få adgang til netbank, skal kunden indgå en netbankaftale med en bank, oghave denne knyttet til sit NemID. For at NemID skal kunne anvendes til offentli-ge it-systemer, skal kunden eksplicit acceptere vilkårene for offentlig digital sig-natur.Som jeg har redegjort for i mit svar på spørgsmål 16 agerer bankerne som regi-streringsenhed for DanID, når de udleverer NemID til offentlig digital signatur. Ideres egenskab af registreringsenhed er bankerne som nævnt underlagt kravene iOCES-certifikatpolitik for personcertifikater, altså nøjagtig de samme krav ogden samme kontrol som DanID ville være underlagt, hvis de selv foretog udleve-ringen.I relation til bankens identifikation af deres kunder har bankerne naturligvis her-udover et selvstændigt ansvar for at leve op til reglerne i Lov om forebyggendeforanstaltninger mod hvidvask af udbytte og finansiering af terrorisme. Finanstil-synet fører tilsyn med bankerne i relation til hvidvaskningsloven.For at opretholde et ensartet sikkerhedsniveau er der mellem bankerne og den of-fentlige sektor udarbejdet fælles krav til legitimering af personer i forbindelsemed udstedelse af NemID. Disse fælles legitimationskrav opfylder kravene i Lovom forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af ter-rorisme. Legitimationskravene fremgår bl.a. af DanIDs såkaldte RA-aftaler medregistreringsenhederne (borgerservicecentre, skattecentre og banker).Jeg ser derfor ikke noget problem i, at bankerne optræder som registreringsenhedfor DanID i forhold til udlevering af NemID.Ministeriet for VidenskabTeknologi og Udvikling
Side
3/3
Spørgsmål 18
Laver ministeren løbende overvågning af bankernes håndtering af sikkerhedenomkring NemID?Svar
Jeg tillader mig at referere til min redegørelse i spørgsmål 16 og 17 om banker-nes rolle som registreringsenhed for NemID og kontrollen hermed.IT- og Telestyrelsen har desuden indhentet nedenstående udtalelse fra DanID omderes løbende overvågning og kontrol med bankerne som registreringsenhed forDanID:
”I bankernes aftale vedrørende NemID er beskrevet hvilke krav bankerne skal ef-terleve i forhold til håndtering af kunderne. Kravene falder i 3 hovedområder:1) Legitimering af kunderne jævnfør gældende lov om forebyggende foran-staltninger mod hvidvask af udbytte og finansiering af terrorisme og defælles vedtagne legitimationskrav for NemID infrastrukturen.2) Krav til henholdsvis svag og stærk autentifikation (identificering) af bru-gerne i forbindelse med support på betryggende vis afspejles i Bankens for-retningsgange for brugersupport.3) Krav i forbindelse med opbevaring og udlevering af nøglekort og midlerti-dig adgangskode hos en registreringsenhed (bank).Inden lanceringen af NemID er der udarbejdet instruks til bankerne, der beskriverpunkt 2 og 3 ovenfor. Endvidere er der udarbejdet materiale, der kan dannegrundlag for den interne uddannelse af de medarbejdere, der skal håndtere Ne-mID fx kunderådgivere og supportmedarbejdere.De konkrete sager DanID har kendskab til er blevet forelagt bankernes ledelse oghar desuden været fremhævet som opmærksomhedspunkter i den fælles gruppe tilvaretagelse af support.I forbindelse med bankernes håndtering af rollen som registreringsenhed – såvelsom det offentliges – er DanID berettiget til selv eller ved at anvende en uvildigtredjemand (fx DanID’s egen eksterne systemrevisor) at foretage inspektion hosregistreringsenheden med henblik på at kontrollere, om registreringsenhedenoverholder kravene i RA-aftalen.Såfremt en registreringsenhed ikke lever op til sine forpligtelser og ikke gennem-fører de nødvendige tiltag til atter at kunne gøre det, vil DanID kunne begrænseregistreringsenheden i sine muligheder for at udstede NemID”.Jeg kan tilføje, at DanIDs RA-aftaler med registreringsenhederne (borgerservice-centre, skattecentre og banker) kan ophæves af DanID, såfremt registreringsen-hederne ikke lever op til kravene heri.Jeg henholder mig således til min besvarelse af spørgsmål 16 og 17 samt den afIT- og Telestyrelsen indhentede udtalelse fra DanID om praksis i forhold til kon-trol med bankerne som registreringsenheder.Ministeriet for VidenskabTeknologi og Udvikling
Side
4/4