SOU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 326: MFU spm. om ministeren vil redegøre for det sagsforløb, der har ligget til grund for, at Digitaliseringsstyrelsen har ignoreret 30 advarsler fra 14 forskellige steder, til finansministeren

Social- og Ældreudvalget 2020-21
SOU Alm.del
Offentligt

Social- og Indenrigsudvalget

Christiansborg

25. februar 2021

Svar på Social- og Indenrigsudvalgets spørgsmål nr. 326) af 8.

februar 2021 stillet efter ønske fra Karina Lorentzen Dehnhardt

(SF)

Spørgsmål 326

Vil ministeren redegøre for det sagsforløb, der har ligget til grund for, at Digitali-

seringsstyrelsen har ignoreret 30 advarsler fra 14 forskellige steder, jf. artiklen

”Svindlere

omdirigerede Hans Henriks pension - brugte pengene i Louis Vuitton i

Hamborg” bragt på dr.dk den 8. februar 2021 og artiklen

”NemKonto

misbrugt i

årevis: Hård kritik af ansvarlig styrelse” dr.dk, den 7. februar 2021, herunder op-

lyse, hvilke tiltag ministeren vil tage for at genoprette tilliden til Digitaliseringssty-

relsen?

Svar på spørgsmål

Jeg har bedt Digitaliseringsstyrelsen om et redegøre for den konkrete sag. De op-

lyser følgende:

”I

de refererede artikler fremføres det, at Digitaliseringsstyrelsen ikke har fulgt op

på henvendelser om sikkerhedsudfordringer. Artiklerne giver ikke et fyldestgø-

rende billede af, hvordan Digitaliseringsstyrelsen har forholdt sig til henvendel-

serne. Sikkerheden i de offentlige digitale løsninger, såsom NemID og Nem-

Konto, er et centralt fokusområde for regeringen, men ingen løsninger er 100 pro-

cent sikre

–

hverken i den fysiske eller digitale verden.

Digitaliseringsstyrelsen vurderer og håndterer henvendelser om misbrug og sikker-

hed ift. de løsninger, som er styrelsens ansvar. De 30 henvendelser, som DR refe-

rerer til

som ”advarsler”,

er udtryk for henvendelser over en flerårig periode og

flere af henvendelserne er del af en samlet dialog. I den forbindelse er forskellige

forslag ligeledes blevet overvejet, og baseret på en konkret vurdering er relevante

problemstillinger drøftet videre i dialog med leverandør og samarbejdsparter.

Det er således på ingen måde korrekt, når der gives indtryk af, at Digitaliserings-

styrelsen ikke har svaret på de pågældende henvendelser eller fulgt op på spørgs-

mål vedr. sikkerhed og risiko for svindel. Der findes imidlertid ikke enkeltstående

ændringer, som kan fjerne risikoen for svindel fuldstændigt.

SOU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 326: MFU spm. om ministeren vil redegøre for det sagsforløb, der har ligget til grund for, at Digitaliseringsstyrelsen har ignoreret 30 advarsler fra 14 forskellige steder, til finansministeren

Side 2 af 3

I de omtalte sager har kriminelle først afluret eller tiltvunget sig adgang til borge-

rens NemID-oplysninger, dvs. brugernavn, adgangskode og nøglekort, og derefter

misbrugt borgerens NemKonto ved at ændre kontoen til en konto, som den kri-

minelle selv har kontrol over.

Digitaliseringsstyrelsen har i de seneste år gennemført flere ændringer i såvel

NemKonto som NemID, som har øget sikkerheden og gjort det vanskeligere for

kriminelle at misbruge løsningerne.

For NemKonto omfatter ændringerne bl.a. tiltag, der beskytter mod phishing,

hvor kriminelle udnytter afsenderadresser til at lokke oplysninger ud af borgere,

samt mere sikre procedurer for anvisning af konti.

For NemID er der ligeledes gennemført en lang række ændringer, der forbedrer

sikkerheden i løsningen og således hindrer forskellige misbrugsscenarier. Ændrin-

gerne er både foranlediget af konkrete misbrugssager, herunder sagerne om mis-

brug ved hjælp af keyloggere i 2017 og 2020, samt sikkerhedsopdateringer som led

i generel og løbende vedligehold og udvikling af løsningen. Ændringerne omfatter

bl.a.



fjernelse af visning af resterende nøgler på en borgers nøglekort, så kriminelle

ikke kan udnytte oplysningen til at gætte, hvornår et nyt nøglekort sendes til

borgeren,



anvendelse af pas eller kørekort ved bestilling af nye nøglekort, så identiteten

valideres i forbindelse med bestilling af nyt nøglekort



mere sikre registrerings- og udstedelsesprocesser, som bl.a. betyder, at bor-

gerne ved førstegangsudstedelse i det offentlige skal henvende sig fysisk på

borgerservice



indførelse af nøgleapp’en,

der gør det vanskeligt for kriminelle at kontrollere

begge faktorer, der er nødvendige for at bruge NemID.

Det bemærkes i den forbindelse, at forslag om fx at indføre adviseringer til bor-

gerne, når der sker ændringer i fx en NemKonto, vil være følsomt over for identi-

tetstyveri og vil således ikke fjerne risikoen for svindel.

Digitaliseringsstyrelsens indsats mod svindel og identitetstyveri består således dels

i sikring af de tekniske løsninger, som styrelsen er ansvarlige for,

jf. ovenfor,

og dels

oplysning og vejledning om digitale fælder og de kriminelles metoder. Styrelsen ar-

bejder løbende på at imødegå og forebygge svindel i forhold til de digitale løsnin-

ger, i tæt samarbejde med leverandører, andre myndigheder, politiet og den finan-

sielle sektor.”

Side 3 af 3

Det er vigtigt at understrege, at ingen løsning er 100 procent sikker. Men med de

løbende tilpasninger er sikkerheden i de offentlige digitale løsninger, herunder Ne-

mID og NemKonto, meget høj. Og det er vigtigt. Tillid til de offentlige digitale

løsninger er således afgørende for, at borgerne føler sig trygge, når de færdes digi-

talt.

Med venlig hilsen

Nicolai Wammen

Finansminister