I sommers måtte jeg mægle ved et potentielt familie-skænderi hos gode venner. Med kølige øl-dåser i hånden nød vi sensommeren, mens vi ventede vi på, at maden på grillen blev færdig. Den hyggelige snak fik pludselig en anden tone, da emnet blev NemID – den nye digitale signatur fra det Nets-ejede DanID.
De fleste mænd i forsamlingen syntes at en digital signatur, som baserer sig på et plastiklamineret pap-kort, er helt til grin. Den eneste kvinde i gruppen arbejder hos Nets (eller PBS som det hed dengang), og blev sur, fordi de skråsikre mænd aldrig selv havde prøvet NemID. Som nybagt NemID-bruger måtte jeg skynde mig at indskyde, at det faktisk virker glimrende. Både for mig, og min – ikke særligt it-kyndige – hustru. Og at sikkerheden i NemID er langt bedre end i de løsninger, de fleste ellers anvender i til deres hjemmebank.
DanID har siden haft held til at overtale et meget stort antal danskere: I skrivende stund har mere end 1.4 millioner danskere aktiveret deres NemID, 2.2 millioner har enten allerede fået det tilsendt eller får det snart. Dermed er DanID tæt på at nå deres ambition om at 3 millioner danskere har fået tilbudt NemID i løbet af 2010, og at resten får det i starten af 2011.
NemID kan ikke kun anvendes til hjemmebank-systemer. Hele idéen bag løsningen er, at den skal kunne anvendes til alle danske hjemmesider på internettet, som har behov for en sikker identifikation af deres brugere.
En udbredt og sikker digital signatur har stor betydning for den offentlige sektor. Ellers kan mange af de tunge administrative arbejdsgange ikke automatiseres i samme grad. Og den helt nødvendige effektivisering af den offentlige forvaltning får dermed ikke et tilstrækkeligt omfang.
Heldigvis er NemID-brugere villige til – også – at anvende den samme signatur til offentlige hjemmesider. 75 % svarer ”ja” til dette allerede første gang, de aktiverer deres digitale underskrift i netbanken, fortæller DanID. Borgerne er klar. Men er myndighederne?
Forleden skulle min søn og hans kæreste underskrive skødet på den lejlighed, de lige har købt. Jeg følte mig som et oldfund, efter jeg havde spurgt dem, hvornår de skulle ned til advokaten. De kiggede hovedrystende på mig og svarede, at de naturligvis havde fået tilsendt en mail fra ham med et link til det sted på tinglysning.dk, hvor de begge skulle gå ind og underskrive med deres NemID. Anmeldelse af flytning og alle de andre administrative ting skete naturligvis på lignende måde. Effektivt for alle parter i transaktionerne.
Den hurtige udbredelse af den nye digitale signatur er kommet på trods adskillige bekymringer om sikkerheden i NemID. It-sikkerhed er kompliceret stof, som de færreste journalister og ingen redaktører helt kan gennemskue. Samtidig er der masser af selverklærede eksperter indenfor området. Bunden blev nået, da Børsen d. 10. august havde som forsidehistorie, at der er “store huller i ny digital signatur”. Artiklen var ganske enkelt en tyndt funderet and, som hurtigt blev skudt ned af folk, som har forstand på it-sikkerhed.
Sandsynligvis er der et eller flere sikkerhedshuller i NemID-løsningen. Det er der i alle it-systemer. Men den største sikkerhedsrisiko er de mennesker, der betjener løsningen. Især brugerne. Et enkelt, illustrativt – men helt fiktivt – eksempel fra mit privat-liv:
Min hustru har ikke fået sin NemID endnu. Derfor anvender hun min, da vi har fælles bankkonti. Når hun en dag får sin egen signatur, kan hun derfor gøre følgende, mens jeg er bortrejst, og hun er rigtigt sur på mig: Først sælger hun vores hus til højestbydende. Derefter underskriver hun vores skilsmisse på mine vegne – begge dele med min egen digitale signatur. Hun kender koden, og nøglekortet ligger derhjemme. Til sidst donerer hun min del af vores bo til godgørende formål.
Men igen: En almindelig underskrift er meget let at forfalske og er derfor ingen reel sikkerhed. Den reelle beskyttelse kommer gennem regler og lovgivning, som forbyder misbrug.
Er alt så idel lykke med NemID?.Ikke helt:
Det er kun få private virksomheder, der tilbyder deres kunder, at de kan anvende NemID på deres hjemmeside. Under 100 til dato og mest indenfor brancher, hvor der kun er danske kunder, og hvor der er få transaktioner om året. Eksempelvis ejendomsmæglere, forsikringsselskaber eller pensionskasser
Dette afspejler svaghederne i NemID: Den kan kun bruges af personer, som har et dansk cpr-nummer. Samtidig skal virksomhederne betale en lille klik-afgift hver gang deres kunder bruger deres NemID på virksomhedens hjemmeside.
Endelig har NemID haft svært ved at holde den høre tilgængelighed på 99.9 % om måneden, de er forpligtet til.
Men samlet set er det små krusninger på et ellers smukt hav. NemID ser ud til at blive den digitale signatur, som hurtigst når tilstrækkelig national udbredelse – i hele verdenen. Ikke så ringe endda.
Bragt som kommentar i Morgenavisen Jyllands-Posten d. 9. november 2010
Skriv et svar