Social- og Indenrigsudvalget 2019-20
SOU Alm.del
Offentligt
2242039_0001.png
Samrådstale (åben del)
Besvarelse af Social- og Indenrigsudvalgsspørgsmål AD og AE af 23. juni 2020
stillet efter ønske fra Preben Bang Henriksen (V)
Samrådsspørgsmål AD
Hvad vil ministeren gøre for at undersøge omfanget af misbrug af identitetsoplysninger, herunder
specielt misbrug af NemID, som bl.a. dokumenteret af Danmarks Radio, Tv-avisen den 14. og
15. juni 2020?
Samrådsspørgsmål AE
Hvad vil ministeren gøre for i højere grad at hindre misbrug af folks identitetsoplysninger, herun-
der NemID?
Samrådsspørgsmål AF
[Besvares af erhvervsministeren]
Hvad vil ministeren gøre for at sikre, at bankerne ikke fejlinformerer kunderne om retsstillingen
i tilfælde af misbrug af deres identitetsoplysninger, således at det sikres, at kunderne bliver gjort
bekendt med, at de sandsynligvis alene hæfter, hvis de selv har handlet groft uforsvarligt i eksem-
pelvis deres omgang med nøglekort?
Det talte ord gælder.
[Indledning]
Tak for ordet og for samrådsspørgsmålene stillet af Preben Bang Henrik-
sen fra Venstre.
Jeg vil først og fremmest gerne understrege, at jeg tager det meget alvor-
ligt, når borgere udsættes for kriminelle gerninger såsom økonomisk svin-
del eller identitetstyveri, da det berører den enkelte borger dybt.
Det også vigtigt at understrege, at NemID er en god og sikker løsning.
Over 5,1 mio. danskere har NemID og der har være 6 mia. transaktioner
siden løsningen blev lanceret i 2010.
Det er dog aldrig vil være muligt at sikre sig 100 procent mod it-kriminelle,
der også udvikler og forfiner deres metoder løbende.
 SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 681: Spm. om oversendelse af talepapir fra åbent samråd den 27/8-20 om misbrug af identitetsoplysninger, til finansministeren
I Finansministeriets koncern følger Digitaliseringsstyrelsen derfor også ud-
viklingen inden for digital svindel tæt.
Det gælder det overordnede trusselsbillede for digital svindel, men særligt
tendenserne i forhold til de løsninger, som stilles til rådighed for borgere
og virksomheder i Danmark. Herunder NemID-løsningen.
Jeg kommer i denne del af samrådet til at præsentere de tiltag, Digitalise-
ringsstyrelsen har iværksat for henholdsvis at afværge misbrug af oplysnin-
ger i NemID og for at hjælpe borgerne med at undgå at blive svindlet.
Hvad angår spørgsmål AF om bankernes rådgivning, hvis man som bor-
ger er offer for svindel, vil erhvervsministeren besvare spørgsmålet.
[Beskrivelse af sagen]
Danmarks Radio viste i et indslag i
21søndag
på den 14. juni 2020, hvordan
en sygeplejerske, Sigrid, var blevet udsat for identitetstyveri.
Udsendelsen viser, hvordan it-kriminelle ved hjælp af teknologiske virke-
midler, og gennem længere tids overvågning er lykkedes med at opsnappe
først hendes bruger-id og adgangskode og sidenhen stjæle hendes nøgle-
kort i hendes fysiske postkasse til brug for økonomisk svindel.
Politiet bekræftede den 18. juni 2020 officielt, at Sigrids sag efterforskes i
forbindelse med en koordineret aktion, som strækker sig over adskillige
politikredse. Det har foreløbigt givet anledning til anholdelse af 11 perso-
ner.
De anholdte i sagen er under anklage for at svindle borgere for deres Ne-
mID-oplysninger med henblik på at begå økonomisk kriminalitet.
Politiet efterforsker en særlig professionel tilgang, da det formodes, at bag-
mændene har gjort brug af såkaldte keyloggere.
En keylogger installeres for at registrere alt, hvad der tastes på et tastatur.
En keylogger kan være installeret i tastaturet, i computeren eller være en
usb-nøgle, som er tilsluttet computeren.
Hvis en borger bruger en computer, hvor der er installeret keyloggere, kan
it-kriminelle opsnappe de oplysninger, som borgeren taster. Fx bruger-id,
adgangskoder, kontonumre og lignende følsomme oplysninger.
 SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 681: Spm. om oversendelse af talepapir fra åbent samråd den 27/8-20 om misbrug af identitetsoplysninger, til finansministeren
De it-kriminelle kan herefter bruge de opsamlede oplysninger, fx til at te-
ste om oplysningerne giver dem adgang til at logge ind med NemID.
For at svindle med NemID er det dog ikke tilstrækkeligt at aflure borger-
nes bruger-id og adgangskode. De it-kriminelle skal også skaffe sig adgang
til borgernes NemID nøglekort.
Når man logger ind med bruger-id og adgangskode i NemID-vinduet, skal
man indtaste en nøgle. Samtidigt bliver man oplyst om, hvor mange nøgler
man har tilbage på nøglekortet.
DR belyste i indslaget om Sigrid fra den 14. juni en svindelssag, hvor de
kriminelle gennem en længere periode har overvåget hendes brug af Ne-
mID.
Det har kunnet lade sig gøre ved, at de kriminelle logger ind med bruger-
id og adgangskode, hvorefter der i NemID-vinduet oplyses om, hvor
mange nøgler der er tilbage på nøglekortet.
De it-kriminelle er herefter med jævne mellemrum logget på igen og holdt
øje med, hvor mange nøgler der var tilbage på Sigrids nøglekort.
Ved at vende tilbage, indtil der var præcis 20 nøgler tilbage, og et nyt nøg-
lekort fremsendes, kunne de it-kriminelle indsnævre den periode, hvor et
nyt nøglekort bliver fremsendt til borgerens postkasse.
I denne periode kan de kriminelle overvåge den fysiske postkasse for at
stjæle NemID nøglekortet, når det leveres med posten.
[Omfanget af misbrug]
Den omtalte sag er således et godt eksempel på, hvor professionelle de it-
kriminelle er i deres forsøg på at svindle.
Det er derfor også - i alle tilfælde, hvor en borger er udsat for kriminelle
handlinger, eller der er mistanke om kriminelle handlinger - vigtigt, at poli-
tiet inddrages, så sagen kan efterforskes med henblik på retsforfølgelse af
de skyldige.
Digitaliseringsstyrelsen forholder sig løbende
både reaktivt og proaktivt
til oplysninger fra leverandører og en lang række myndigheder, herunder
politiet, om potentiel svindel med NemID.
 SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 681: Spm. om oversendelse af talepapir fra åbent samråd den 27/8-20 om misbrug af identitetsoplysninger, til finansministeren
Leverandøren af løsningen (Nets) leverer blandt andet kvartalvise analyser
på sikkerheden i forhold til den adfærd og de tendenser, som kan udgøre
en sikkerhedsrisiko.
På baggrund af de afrapporterede risici vurderes det, hvilke tiltag der skal
iværksættes, samt om det giver anledning til en justering af NemID-løsnin-
gen.
Digitaliseringsstyrelsen har derudover løbende drøftelser med blandt andet
Politiets landsdækkende center for it-relateret økonomisk kriminalitet
(LCIK) i forhold til det overordnede trusselsbillede.
På baggrund af de oplysninger som Digitaliseringsstyrelsen indsamler, vur-
deres det, om det giver anledning til tiltag
enten i form af justering af
NemID-løsningen eller oplysningskampagner om brugen af NemID.
[Tiltag som skal begrænse lignende misbrug]
Digitaliseringsstyrelsen har på baggrund af Sigrids sag valgt at fjerne vis-
ningen af, hvor mange nøgler der er tilbage på det eksisterende nøglekort.
Ved at fjerne visningen af antal nøgler ved login sikres det, at denne infor-
mation
ikke
kan benyttes i et lignende angreb med borgernes NemID-op-
lysninger i fremtiden.
Foruden denne ekstra sikkerhedsforanstaltning i NemID-løsningen er sær-
ligt to tiltag vigtige på baggrund af sagen.
For det første skal sikkerheden på offentlige tilgængelige computere skær-
pes.
Der er i den forbindelse i morgen et møde med KL og Rigspolitiet om,
hvordan de offentlige tilgængelige computere sikres yderligere mod it-kri-
minelle.
Hvis borgerne bruger de samme adgangskoder på tværs af de digitale løs-
ninger, er der større risiko for, at it-kriminelle kan opsnappe borgernes ad-
gangskode i anden sammenhæng, fx ved udlån på biblioteket.
Derfor vil Digitaliseringsstyrelsen også øge fokus på borgernes adfærd,
ved at oplyse borgerne om, at de skal bruge en unik adgangskode til deres
NemID. Dette oplysningstiltag skal ske via de allerede etablerede kommu-
nikationskanaler til borgerne, fx i de breve, der bliver sendt til borgerne,
når der sendes et nyt nøglekort eller, hvis deres NemID bliver spærret.
 SOU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 681: Spm. om oversendelse af talepapir fra åbent samråd den 27/8-20 om misbrug af identitetsoplysninger, til finansministeren
Digitaliseringsstyrelsen oplyser derudover løbende offentligheden om de
seneste tendenser inden for it-kriminalitet på
sikkerdigital.dk.
Tiltaget er
iværksat i et samarbejde med blandt andet Politiet, Center for Cybersikker-
hed og Forbrugerrådet Tænk.
Hertil oplyser Digitaliseringsstyrelsen 5 gode råd til brugen af NemID:
o
o
o
o
o
1. Lav et stærkt kodeord
2. Opdater dine programmer
3. Beskyt dine enheder mod virus
4. Tag en sikkerhedskopi
5. Brug trådløse netværk sikkert
[Opsamling]
Jeg håber, at det med disse ord står klart, at vi i nærværende sag har set et
eksempel på svindel af særlig avanceret karakter.
Det er således ikke et udtryk for, at man ikke kan have tillid til NemID-
løsningen. Men at man kan ikke sikre sig 100 procent mod svindel
hver-
ken i den fysiske eller digitale verden.
Vi skal derfor fortsat skal forholde os til den nyeste udvikling og tendenser
inden for it-kriminalitet, så borgerne kan føle sig sikre i deres brug af de
offentlige løsninger.
Foruden tiltag i den nuværende løsning, er Digitaliseringsstyrelsen i fuld
gang med at udvikle arvtageren til NemID -
MitID
- som lanceres i 2021.
I MitID vil nøglekortet udgå og blive erstattet af andre identifikationsmid-
ler, herunder en app, som vi kender det fra NemID nøgleappen. Der vil
derfor fremover ikke være et fysisk nøglekort, som kriminelle kan mis-
bruge.
Jeg vil nu give ordet videre til erhvervsministeren.
Tak for ordet.