Flere aktører vil gavne NemID

Nets alene skal ikke stå for driften af tjenester som NemID, da det gør systemet sårbart, mener flere eksperter. I stedet bør flere udbydere sikre, at systemet ikke går i sort.

I 2013 måtte danskerne slås med at logge på med NemID i over 70 timer - i mange tilfælde var det helt umuligt. Ifølge eksperter vil flere aktører gøre driften sikrere. Foto: Jonas Vandall Ørtvig Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

I kølvandet på de problemer, der har været med nedbrud på NemID og Dankortet, peger eksperter nu på, at flere aktører bør drive NemID, når statens kontrakt med Nets ud­løber i 2015.

Berlingske fik tidligere på året aktindsigt i de interne rapporter, som Nets hver måned afleverer til Digitaliseringsstyrelsen. Heraf fremgik, at det i over 70 timer i 2013 var problematisk eller umuligt at logge ind med NemID. Samlet levede Nets i otte ud af 12 måneder i 2013 ikke op til de driftsmål, som Digitaliseringsstyrelsen havde opsat.

I sidste uge fik DR aktindsigt i system­revisionsrapporter fra Nets foretaget af revisionsselskabet PriceWaterhouse­Coopers om IBMs drift af NemID-systemet. Her kom det frem, at Nets i 2010 var advaret om et sikkerheds­hul hos underleverandøren IBM. I revisionsrapporten stod der, at »der eksisterer flere enkeltstående svagheder vedrørende adgangs- og rettigheds­håndtering samt systemopsætning i relation til den infrastruktur, der er outsourcet til IBM.«

Kritik af monopol

Samlet set peger Nets’ håndtering og drift af NemID på, at der er behov for en løsning, hvor ikke bare én virksomhed står for driften, men derimod flere, peger flere eksperter på. Herunder Torben Mogensen, lektor i datalogi på Københavns Universitet.

»Ideelt set bør man ved næste udbud have flere udbydere, så man ikke erstatter ét monopol med et andet, når Nets’ kontrakt udløber. Det vil betyde, at hvis et af systemerne går ned, så kan man bruge et andet.«

En af Torben Mogensens pointer er, at en sådan ordning vil give konkurrence på prisen. Dermed vil staten formentlig kunne få en billigere løsning. Samtidig fremhæver Torben Mogensen, at der ikke skal meget til for at lave en ordentlig løsning.

»En digital login-løsning er ikke raket­videnskab. Det kan selv forholdsvis små selskaber godt håndtere. Det er ikke voldsomt kompliceret, selv om Nets gerne vil give det indtryk. Deres løsning med en Java-klient er ikke specielt god, og det viste sig, at en person kunne lave en JavaScript-klient, der virkede, og som gjorde det muligt at logge ind på sin telefon. Det brød Nets sig ikke om, formentlig fordi de følte, at det var en trussel mod deres monopol,« siger Torben Mogensen.

»Normalt ved en udbudsrunde søger man én leverandør, der skal opfylde visse krav. Men man kunne overlade det til det private marked, hvor man siger, at for at staten accepterer et digitalt login, er der visse krav, der skal være opfyldt. Og opfylder man de krav, kan man søge om at udføre den service i konkurrence med de andre aktører.«

Vi bliver mindre sårbare

Jan Damsgaard, der er professor og leder af afdelingen for IT-ledelse ved CBS, peger også på, at flere aktører vil højne driftsstabiliteten.

»Staten skal komme med nogle krav i forhold til NemID, som en række aktører kan lave en løsning ud fra. Fra statens side er det vigtigt, at autoriseringen er i orden, og mindre vigtigt, hvem der står bag løsningerne,« siger Jan Damsgaard og fortsætter:

»Man skal kunne autentificere de brugere, der logger på. Her håber vi på, at der kommer en række aktører, som hver især kan tilbyde en løsning. Det betyder, at selv om ét system går ned, så går hele Danmark ikke ned, som vi har set tilfælde af. Var det organiseret sådan, ville man ikke være sårbar på den måde,« siger Jan Damsgaard.

Udbud forberedes

Cecilie Christensen, kontorchef i Digitaliseringsstyrelsen, skriver i en mail til Berlingske følgende:

»Digitaliseringsstyrelsens kontrakt med Nets om drift af NemID løber til november 2015. Digitaliseringsstyrelsen har allerede igangsat arbejdet med at forberede et udbud, der skal lede til valget af den kommende løsning. I den forbindelse analyseres mulig­heden for anden organisering og opdeling af en kommende løsning.«

Det har ikke været muligt at få uddybet svaret yderligere i et mundtligt interview.

Birgitte Kofod, direktør i Rådet for Digital Sikkerhed, mener også, at flere aktører er den rigtige løsning: »Jeg synes bestemt, det er positivt, at politikerne har fået øjnene op for fordelene ved at bryde monopolet i forbindelse med det nye udbud. Det, som er sket i de seneste dage, bekræfter, at der er behov for at sætte yderligere fokus på sikkerhedsniveauet. En måde at gøre det på er blandt andet at få flere aktører på banen.«

Søren Winge, kommunikationschef i Nets, oplyser, at Nets vil kigge på udbudsmaterialet, når det foreligger, men har ikke yderligere kommentarer.