SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 554: MFU spm. om kommentar til artiklen Forbrugerrådet efter misbrug: 'NemID er ikke så sikkert, som vi gik og troede, bragt på dr.dk den 15. juni 2020, til finansministeren

Social- og Indenrigsudvalget 2019-20
SOU Alm.del
Offentligt

Folketingets Social- og Indenrigsudvalg

Christiansborg

26. august 2020

Svar på Social- og Indenrigsudvalgets spørgsmål spørgsmål nr.

554 (SOU alm. del) af 15. juni 2020 stillet efter ønske fra (MFU)

Karina Lorentzen Dehnhardt (SF)

Spørgsmål

Vil ministeren kommentere artiklen ”Forbrugerrådet efter misbrug: 'NemID er

ikke så sikkert, som vi gik og troede”, bragt på dr.dk den 15. juni 2020, og

redegøre for, hvad Nets har foretaget sig af konkrete ændringer på baggrund af

Sigrids udfordringer med NemId, herunder om man fortsat vil vise, hvor mange

nøgler, der er tilbage på det eksisterende nøglekort?

Svar

Jeg vil først og fremmest gerne understrege, at jeg tager det meget alvorligt, når

borgere udsættes for kriminelle gerninger såsom økonomisk svindel eller identi-

tetstyveri, da det berører den enkelte borger dybt. I alle tilfælde, hvor en borger er

udsat for kriminelle handlinger, eller der er mistanke herom, skal politiet selvsagt

inddrages.

Når det er sagt, så er det selvfølgelig væsentligt løbende at forholde sig til potenti-

elle forbedringsmuligheder for de løsninger, som stilles til rådighed for borgerne.

Jeg har derfor bedt Digitaliseringsstyrelsen, som er ansvarlig myndighed for Ne-

mID-løsningen, om at forholde sig til den kritik, som Forbrugerrådet fremsætter

efter nærværende sag om misbrug af NemID. Digitaliseringsstyrelsen har oplyst

følgende:

”Omtalte artikel kommer på baggrund af et indslag i

21søndag

bragt på Danmarks

Radio søndag den 14. juni 2020. Politiet har den 18. juni 2020 officielt bekræftet,

at Sigrids sag efterforskes i forbindelse med en koordineret aktion, som strækker

sig over adskillige politikredse. Det har foreløbigt givet anledning til anholdelse af

11 personer.

Politiet vurderer, at de sigtede i en lang række tilfælde har skaffet sig adgang til de

forurettedes NemID og nøglekort med henblik på at få adgang til deres konti. Po-

litiet efterforsker i den forbindelse, om de sigtede har installeret såkaldte

keyloggere

Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K · T 33 92 33 33 · E [email protected] · www.fm.dk

SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 554: MFU spm. om kommentar til artiklen Forbrugerrådet efter misbrug: 'NemID er ikke så sikkert, som vi gik og troede, bragt på dr.dk den 15. juni 2020, til finansministeren

Side 2 af 3

på offentlige bibliotekscomputere og derigennem fået fat i ofres bruger-id og ad-

gangskoder.

Kompromittering af bruger-id og adgangskode giver ikke uden nøglekortet den it-

kriminelle adgang til den forurettedes konto. Man kan dog ved NemID login med

korrekt bruger-id og kodeord blive oplyst om antallet af nøgler, der er tilbage på

nøglekortet. Ved jævnlige forsøg af denne karakter, hvis kompromitteringen af

bruger-id og kodeord ikke opdages af offeret, er det derfor muligt at se, hvornår

man er nået grænseværdien for antallet af nøgler, hvorefter der udsendes et nyt

nøglekort. Dette giver den it-kriminelle mulighed for at få indsnævret den periode,

hvor offerets postkasse skal overvåges, så nøglekortet kan stjæles, når det ankom-

mer i postkassen.

Det beskrevne svindelnummer er således kun muligt at gennemføre over for bor-

gere som primært eller i større omfang benytter sig af NemID nøglekortet. Bor-

gere som primært benytter sig af NemID nøgleappen eller NemID nøgleviseren er

ikke eksponeret for dette scenarie, da det kræver et vellykket login med nøglekort,

før et nyt nøglekort automatisk fremsendes til borgers registrerede adresse.

Digitaliseringsstyrelsen har på baggrund af nærværende sag udarbejdet en risiko-

vurdering og på baggrund af denne, vurderer Digitaliseringsstyrelsen ikke, at vis-

ningsfunktionen kan betragtes som et sikkerhedshul. Det begrundes med, at vis-

ningsfunktionen er en service i løsningen, som oplyser brugeren om, hvor mange

nøgler, der er tilbage. Sikkerheden for løsningen kan således ikke kompromitteres

alene ved, at man skaffer sig adgang til antallet af tilbageværende nøgler, men kan

kun udnyttes af kriminelle i kombination med et fysisk tyveri,

Digitaliseringsstyrelsen har dog på baggrund af nærværende sag, og efter drøftel-

ser med Nets og bankerne, valgt at fjerne visningen af, hvor mange nøgler der er

tilbage på det eksisterende nøglekort, når man er logget ind med bruger-id og

password og bliver bedt om at indtaste nøglen fra nøglekortet. Det betyder, at

man først oplyses om antallet af nøgler, når man har nået grænseværdien for antal-

let af nøgler og dermed får tilsendt et nyt nøglekort, og først efter man er logget

succesfuldt ind med bruger-id, password og nøglekort. Efter login vil borgerne

som hidtil blive adviseret om, at Nets fremsender et nyt nøglekort. På den måde

gøres borgerne fortsat opmærksom på, at et nøglekort er på vej til deres postkasse.

Ved at fjerne visningsfunktionen ved login sikres det, at denne information ikke

kan benyttes i et lignende angreb med borgernes NemID-oplysninger i fremtiden.

Det vurderes herudover ikke nødvendigt med yderligere tiltag i forhold til det be-

skrevne scenarie ud fra den information, Digitaliseringsstyrelsen har til rådighed

på nuværende tidspunkt. Det forventes, at yderligere information om efterforsk-

ningen vil blive gjort tilgængelig for Digitaliseringsstyrelsen i takt med, at Politiet

offentliggør flere detaljer om de aktive sager.

Side 3 af 3

Det er i alle tilfælde utrygt og ubehageligt for den enkelte borger, der udsættes for

identitetstyveri og svindel. Digitaliseringsstyrelsen følger derfor også udviklingen

tæt og har løbende fokus på at oplyse borgerne om sikker digital adfærd, så der

understøttes en løsning med højest muligt grad af sikkerhed. I samarbejde med

blandt andet Det Kriminalpræventive Råd, Center for Cybersikkerhed, Politiet og

Forbrugerrådet har Digitaliseringsstyrelsen lavet informationssiden www.sikkerdi-

gital.dk. Her kan borgere, virksomheder og myndigheder finde viden, vejledning

og konkrete værktøjer til en sikker digital hverdag, herunder at borgere bør be-

nytte en unik adgangskode til NemID.

Digitaliseringsstyrelsen har herudover løbende dialog med kommunerne om sik-

kerheden på de offentlig tilgængelige computere, herunder også i forhold til krimi-

nelles anskaffelse af informationer via

keylogging.”

På baggrund af oplysningerne fra Digitaliseringsstyrelsens, finder jeg, at Digitalise-

ringsstyrelsen, som ansvarlig myndighed, tager de nødvendige skridt for at sikre, at

borgerne i Danmark fortsat kan have tillid til NemID.

Jeg vil i øvrigt til enhver tid anbefale, at man følger Digitaliseringsstyrelsen og øv-

rige myndigheders anbefalinger, når det kommer til sikker digital adfærd.

Med venlig hilsen

Nicolai Wammen

Finansminister