27.01.10   |   kl. 11:04   |   Aktuelt

Ny digital signatur i startvanskeligheder

Afløseren til den digitale signatur, NemID, kom ikke som planlagt inden årsskiftet. Besparelser, bedre sikkerhed og flere brugere er målet for den nye løsning, som er planlagt til sommeren 2010.

Bedre sikkerhed og flere anvendelsesmuligheder. Det er intentionen med NemID, som skulle have været klar allerede i slutningen af sidste år. Men senest måtte det PBS-ejede DanID, som står bag løsningen, melde ud, at man først er klar i sommeren 2010.
De besparelser, man vil kunne opnå i det offentlige, er dermed også udskudt. Besparelserne ligger i, at borgerne benytter de digitale selvbetjeningsløsninger, hvilket sparer ressourcer.
– Det er ganske ærgerligt. Forsinkelsen giver kommunerne den udfordring, at man skal vente med at lave investeringer, som man havde budgetteret med at foretage allerede i år. Nu skal man ikke gøre problemet større, end det er, men vi har haft store forventninger til, at det ville blive rullet ud sidst i 09. Det er selvfølgelig skuffende, at det først kommer et halvt år senere. Bliver det yderligere forsinket, vil man udsætte de mulige besparelser i endnu længere tid, siger Ken Rindsig, der er konsulent i Center for Borgerbetjening og It-politik i Kommunernes Landsforening.

Ingen garantier

NemID spås en stor udbredelse, fordi den kombinerer login til offentlige myndigheder med login til de netbankløsninger, som de fleste danskere allerede bruger, i én og samme løsning. I forhold til de 1,3 millioner brugere, som den eksisterende digitale signatur har, vil afløseren få over dobbelt så mange, når næsten tre millioner netbank-kunder kommer med i NemID. Det åbner op for, at langt flere danskere vil være i elektronisk kontakt med kommunerne. Håbet er, at det på længere sigt vil betyde besparelser, samtidig med at man kommer længere mod den totale digitale forvaltning, hvor al kommunikation med borgerne foregår digitalt.
Hos IT- og Telestyrelsen ærgrer Palle H. Sørensen, der er leder af Center for Digital Signatur, sig også over, at NemID-lanceringen er blevet udskudt, men han understreger, at det hele tiden har været meningen, at der skulle ske en løbende migrering af det nye system i 2010.
– Ud over at vi har brugt tid på omprioriteringer, koordination og kommunikation i projektet, giver det ikke umiddelbart problemer. Vi starter nu migreringen lidt senere end planlagt, men målsætningen om, at alle netbank-kunder skal have en NemID inden udgangen af 2010, fastholdes. Myndigheder kan allerede nu begynde tilretningen af deres systemer, så de er klar til at modtage NemID, når den sættes i drift, siger han og afviser at give nogle garantier for, at NemID ikke bliver yderligere forsinket.
– Det er et komplekst system, og der kan naturligvis ikke udstedes garantier. DanID har udarbejdet en revideret plan, som vi har tillid til, siger Palle H. Sørensen.

Risiko for fiasko

Hos Fort Consult, der er et uafhængigt it-sikkerhedsfirma, ser direktør Ulf Munkedal med spænding frem til lanceringen. Han vurderer, at NemID er et stort skridt sikkerhedsmæssigt, fordi løsningen bygger på to-faktor-sikkerhed og er mere brugervenligt end den tidligere digitale signatur.
– Den største forskel er det fysiske nøglekort, hvor man ud over et brugernavn og kodeord også skal benytte en række engangskodeord. Det betyder, at hvis ens brugernavn og kodeord skulle falde i hænderne på de forkerte personer, så er informationerne i praksis ubrugelige uden fysisk adgang til nøglekortet, som jo indeholder det engangskodeord, man skal bruge. Med NemID skal man ikke installere software på sin egen pc og kan benytte den fra forskellige maskiner, uanset hvor man er, siger Ulf Munkedal.
Han tror ikke, at der med NemID er lagt op til en ny offentlig it-fiasko, fordi systemet er blevet forsinket.
– Med store it-tiltag er der jo altid en risiko for fiasko. Det ved vi af bitter erfaring, siger Munkedal og forklarer:
– I værste fald betyder mange forsinkelser, at folk mister tiltro til projektet, og at opbakningen vil smuldre. Jeg tror dog ikke, at det sker for NemID, for der er så meget at vinde for alle parter. På den anden side kan en for hurtig lancering, med tydelige børnesygdomme, resultere i, at projektet mister opbakning. Derfor skal de bevare en balancegang mellem først at gå i luften, når det er stabilt og sikkert, og samtidig ikke vente så længe, at folk søger andre løsninger. Der er allerede stor opbakning, så i praksis vil de nok vælge ikke at forhaste sig.

• Digital signatur i Danmark
  

  Den eksisterende digitale signatur blev lanceret i 2004.

  I sommeren 2007 var der udstedt 1 million digitale signaturer i Danmark.

  I nogle kommuner kan man få udstedt en såkaldt strakssignatur ved at henvende sig i borgerservicecentret. Det gælder blandt andet i København, Århus, Odder, Slagelse og Gentofte.

  I 2007 og frem til begyndelsen af 2008 udstedte Holbæk og Slagelse en digital signatur til alle kommunens borgere. Den procedure blev ændret, da Datatilsynet mente, at den stred mod persondataloven. I stedet skal borgeren selv bestille den digitale signatur.

  Den nuværende digitale signatur har efterhånden fem år bag sig og skal udfases til fordel for NemID, der lanceres til sommer 2010. Den nye digitale signatur har en adgangskode, men herudover er adgangen til den private nøgle beskyttet af en engangskode. Ved oprettelse af NemID modtager brugeren et plastickort med engangskoder. Når de er brugt, fremsendes et nyt automatisk. Det vil gøre det muligt for brugeren at anvende den digitale signatur fra en hvilken som helst computer uden at skulle installere sin private nøgle først.

• Sikrere løsning
  

  Den digitale personsignatur bliver i NemID ikke en softwarebaseret løsning, hvor sikkerheden alene er afhængig af brugerens pc. Løsningen vil basere sig på en ægte to-faktor-sikkerhedsløsning, hvor adgangen til signaturen vil være beskyttet af en personlig kode og en engangskode på et nøglekort. Brugerens digitale signatur er ikke længere på brugerens pc, men er opbevaret i kryptografiske moduler på en central server.

  Samtidig er registreringsprocedurerne udformet for at øge sikkerheden og opfylde kravene til identifikation i Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. DanID følger internationale standarder inden for algoritmer og sikkerhed. Kravene til algoritmer er beskrevet i Certifikatpolitikkerne, som administreres af IT- og Telestyrelsen.

PRINT