Kommunaludvalget 2012-13
KOU Alm.del
Offentligt
FolketingetChristiansborg
Finansministeren
13. maj 2013
Endeligt svar på spørgsmål nr. 94 stillet af Michael Aastrup Jensen (V)den 22. april 2013.Spørgsmål 94Vil ministeren kommentere kritikken i Version2 artiklen den 19. april (af JakobMøllerhøj, Morten K. Thomsen), link: http://www.version2.dk/artikel/it-folk-efter-angreb-lav-nemid-om-nu-51608) mod NemID fra en række IT-folk, herun-der efterlysningen af en fallback-løsning, der skal tage over, hvis det nuværendeNemID lammes af ondsindede angreb, som det er sket adskillige gange inden forden seneste tid?Svar:Til besvarelse af spørgsmålet har jeg indhentet en udtalelse fra Digitaliseringssty-relsen, som oplyser:”Denfællesoffentlige it-infrastruktur, som NemID er en del af, er af stor vigtighed og bliverendnu mere central i de kommende år, og derfor tages angreb på infrastrukturen meget alvorligt.Hvad enten man implementerer én eller flere centrale log-in-løsninger, vil der være en risiko for,at disse løsninger også kan angribes og lægges ned. NemID-løsningen er valgt ud fra en afvejningaf forskellige forhold, herunder et højt sikkerhedsniveau, økonomi og behovet for en stor udbre-delse, anvendelse og forståelse af løsningen i den brede befolkning. En central løsning som Ne-mID giver desuden mulighed for at koncentrere ressourcerne og skabe større sikkerhed end denenkelte bruger og de enkelte systemansvarlige er i stand til, blandt andet fordi sikkerheden kanstyres via en robust og professionel it-infrastruktur.Digitaliseringsstyrelsen er naturligvis opmærksom på, at NemIDs centrale placering tillige udgøren risiko, hvorfor der er stillet en lang række krav til Nets DanID om drift af NemID-løsningen, der skal begrænse trusler og risici. Nets DanID foretager sammen med bankerne ogDigitaliseringsstyrelsen løbende risikovurderinger af de aktuelle trusler i NemID-løsningen ogvurderer på den baggrund behovet for supplerende sikkerhedsforanstaltninger. Som et led i deteksisterende beredskab har Nets DanID allerede implementeret tiltag i infrastrukturen for atforebygge og minimere konsekvenser af de typer angreb, der for nylig er blevet gennemført modNemID-infrastrukturen. Det er desuden besluttet at ændre i infrastrukturens opbygning for atgøre den endnu mere robust over for DDoS-angreb.Endelig kan det oplyses, at Digitaliseringsstyrelsen har igangsat et initiativ om øget it-sikkerhedi offentlige it-løsninger, herunder vedrørende NemID. Udover en analyse af en mulig offentlig
Finansministeriet • Christiansborg Slotsplads 1 • 1218 København K • T 33 92 33 33 • E [email protected] • www.fm.dk
2
central overvågningsfunktion, intensiveres samarbejdet med GovCert om overvågning og afdæk-ning af kriminel aktivitet i forhold til NemID-løsningen og andre offentlige løsninger.I forhold til valg af leverandør og udskiftning af løsningen kan det oplyses, at den eksisterendekontrakt har været konkurrenceudsat i overensstemmelse med reglerne om EU-udbud.Kontrakten løber frem til ultimo 2015 med option på forlængelse i to gange et år, hvorefteropgaven skal konkurrenceudsættes igen.I forhold til spørgsmålet om en eventuel fallback skal det bemærkes, at det er nødvendigt, at deenkelte løsnings- og systemejere har etableret en beredskabsplan, der beskriver, hvordanekstraordinære hændelser, fx i form af utilgængelighed, skal håndteres.I tilfælde af, at NemID ikke er tilgængelig, fx på grund af nedbrud, er der fortsat mulighed for,at borgerne kan henvende sig via alternative kanaler – telefon, e-mail, brev eller personlighenvendelse på fx rådhuset, i borgerservice eller på bibliotekerne.”Jeg henholder mig til Digitaliseringsstyrelsens udtalelse.
Med venlig hilsenBjarne Corydon