Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
Først lidt om NemID, som jeg skrev om i min klumme i juli, som du kan læse her: NemID fylder 10 år: Dette jubilæum er virkelig værd at fejre
Betydningen af NemID kan ikke undervurderes. Det har gjort, at vi har bryste os af at have en statsanerkendt digital identitet, som stort set alle kan finde ud af at bruge, og som – efter at man kan begyndte at NemID-app’en på mobilen som to-faktorautentifikation – faktisk lever op til nemdelen af sit navn.
Jeg tror ikke, der kan være tvivl om, at det har gjort de offentlige systemer væsentlig mere effektive og langt billigere. Som et lille eksempel fra mit eget område – uddannelsessektoren – skulle alle brugere på et dansk universitet for nylig skifte password til universitetets loginsystem efter et hackerangreb. Det var muligt - nemt og i øvrigt gratis for universitetet ved anvendelsen af NemLog-In at gøre dette på ganske kort tid. Tænk, hvordan det ville være gået, hvis de skulle have etableret en manuel papirbaseret proces for at identificere deres tusindevis af brugere.
Sverige har et NemLog-In lignende system, men da det der er bankerne, der står for identifikationen af brugerne og bliver betalt per transaktion, er det ikke tilladt for svenske universiteter at etablere eller vedligeholde en universitetsidentitet - altså at oprette ny bruger eller skifte password i et universitetssystem, på baggrund af den "offentlige" identitet. Så selvom teknikken virker ligesom i Danmark, sætter den økonomiske model grænser for den effektivisering, vi har set på de danske universiteter mht. digital identitetshåndtering.
Denne forskel er efter min opfattelse en af de væsentligste årsager til, at NemID – i en verden der er så lidt forudsigelig og hurtigt udviklende – kunne fejre sit 10 års jubilæum og givetvis når at runde de 11 år, før udfasningen sættes i gang.
Hvordan fungerer MitID?
MitID er bygget organisatorisk og teknisk på samme model som NemID. Det udvikles i et partnerskab mellem bankerne og staten, og teknisk set er det en tjeneste, som kun er tilgængelig via en såkaldt broker - det vil sige en tjeneste, der kan oversætte fra MitID's specielle virkemåde til en standardprotokol. NemLog-In3 er en sådan broker, som staten stiller til rådighed - gratis for offentlige tjenester og med en transaktionsgebyr på to øre for private tjenester.
Derudover er der anmeldt tre kommercielle brokere, der er certificeret til opgaven. Broker-konceptet er ifølge Digitaliseringsstyrelsens hjemmeside introduceret for at øge sikkerheden i MitID og for at gøre integrationen nemmere for tjenesteudbyderne.
Det er gratis for offentlige tjenester at anvende NemLog-In3, fordi staten har "frikøbt" anvendelsen, og det giver god mening, al den stund at offentlige tjenester skal bruge NemLog-In3, når en borger skal logge ind.
Bankerne deltager via partnerskabet med staten i udviklingen og driften af MitID, så vi må gå ud fra, at de er tilfredse med omkostningerne ved brugen.
Hensyn taget til bankerne
Det er i øvrigt min formodning, at den lidt komplicerede arkitektur, der er valgt til MitID / NemLog-In3 med en selvstændig loginkomponent, som kan anvendes forskellige steder, er designet af hensyn til bankerne. En såkaldt fødereret single sign-on løsning, som den vi anvender i universitetsverdenen (WAYF)og for eksempel i NemLog-In i dag, betyder nemlig, at en bruger, der ønsker at logge ind i en tjeneste bliver sendt til en login-tjeneste på en anden adresse.
Dér sker selve indlogningen, og brugeren bliver så sendt tilbage til den oprindelige tjeneste med en såkaldt loginbillet, der fortæller tjenesten, hvem vedkommende er. Jeg tror ikke, at bankerne vil acceptere, at deres kunder skal sendes et andet sted hen for login; heraf kommer den arkitektur, hvor loginkomponenten kan anvendes for eksempel på en banks egen side.
Det har jo tidligere givet anledning til kritik, fordi det muliggør phishing, idet man kan ”embedde” javascript-loginkompontenten, men den nye arkitektur er det kun bankernes og de ganske få brokeres sider, man kan logge ind på, så muligheden for phishing er stærkt reduceret.
Hvad koster’n?
Så på den måde er den offentlige sektor og bankernes login-behov klaret, men hvad med resten af samfundet - resten af erhvervslivet, organisationer og alle andre, der allerede i dag har brug for et sikkert login fra kunder, medlemmer, ansatte ...?
Ja, de skal betale en endnu ukendt pris til Nets, for at de kan anvende MitID til deres tjenester. Mens vi kan glæde os over, at det nu faktisk er muligt for private ”ikke-banker” at anvende en standard grænseflade imod NemLog-In3, så er min mulighed for at anvende MItID ikke op til mig, men til de vilkår Nets vil sælge muligheden for. Vi kender som sagt ikke prisen for MitID endnu, men den gældende pris for NemID er tilgængelig på Nets hjemmeside - enten en transaktionspris på kr. 1,06 eller en pris per bruger per år på kr. 3,30. Det er i øvrigt ikke sådan, at når en bruger har logget ind tre gange overgår man automatisk til årspris. Nej, man skal vælge en model for alle ens brugere på forhånd.
Vi kan selvfølgelig ikke vide endnu, hvordan Nets vil prissætte MitID, og mit ærinde her er heller ikke at sætte spørgsmålstegn ved en privat virksomheds forretningsmodel.
Men man kan godt spørge, hvorfor staten ikke har "frikøbt" anvendelsen af MitID til resten af samfundet, når det giver en så betragtelig gevinst? Staten ville sikkert kunne få en betragtelig rabat, al den stund at den dyre variable del af omkostningerne, nemlig sikringen af, at min digitale identitet faktisk er mig, allerede er dækket. Samtidig ville det sikre, at private brugere af MitID rent faktisk blev ved med at bruge – eller i højere grad ville bruge – MitID, fremfor blive tvunget ud i billigere løsninger og måske også mindre sikre løsninger. Hvis den lokale fitness-klub eksempelvis ikke vil gøre brug af MitID i fremtiden, for eksempel på grund af prisen, så skal den finde en anden login-løsning.
Så har vi problemet med, at brugerne skal huske endnu et brugernavn og kodeord, og en logindatabase med alle brugernavne og kodeord, som fitness-klubben skal passe på. Og dermed højere risiko for identitetstyveri på den lokale side, genbrug af kodeord hos brugerne og datatab hos fitness-klubben.
Den debat kunne være interessant at rejse. Ikke mindst, når jeg sammenligner med andre typer identitetsdokumenter, fx mit pas eller kørekort.
Når jeg har betalt for det, kan jeg jo bruge det til at identificere mig over for dem, jeg ønsker - uden at de skal betale en afgift til Nets eller andre. Hvorfor gælder det samme ikke for MitID? Med NemID har vi set, hvordan en nem og gratis - ganske vist tvungen - adgang til borgernes digitale identitet har medført en fremskreden digitalisering af de offentlige systemer. Og som Bjarke Alling skrev på dette sted for nylig, vil det være et tigerspring for bedre cybersikkerhed, hvis MitID bliver udbredt i hele samfundet.
Spørgsmålet er, om man ikke burde justere lidt på præmisserne bag MitID? Eller er fundamentet under MitID stærkt nok til også at holde 10 år?