Artikel top billede

Ingen regler for spærring af NemID-konti

Striden mellem Datatilsynet og NemID om spærring af 27.000 konti er opstået, fordi der ikke er regler for, hvad man skal gøre, når sikkerhedsreglen ikke overholdes.

Datatilsynet og DanID har været i totterne på hinanden i en strid om, hvorvidt 27.000 NemID-konti skulle spærres eller ej.

Ved en fejl er 27.611 certifikater nemlig blevet udstedt, uden at de fastlagte procedurer med forskudt fremsendelse af brevet med nøglekort og brevet med pin-kode har været fulgt.

DanID, der er firmaet bag NemID, har ikke ment, at det var nødvendigt at spærre de mange konti, fordi risikoen for misbrug er lille.

"Vores holdning er, at certifikaterne ikke skal spærres. Vi været helt åbne og skrevet til Datatilsynet, at NemID mener, det er en dårlig ide at spærre certifikaterne, fordi det vil give en masse besvær for borgerne, og ikke er et alvorligt brud på sikkerheden," siger Jette Knudsen, der er pressechef i DanID.

Intet krav om spærring

På trods af, at en sikkerhedsregel er overtrådt, er NemID faktisk i sin gode ret til at undlade at spærre de berørte konti.

Der er nemlig ingen retningslinjer for hvilken sanktion, der skal følge i hælene på et sikkerhedsbrud af denne type.

Det fortalte NemID, da Computerworld spurgte om, hvorfor firmaet ikke havde spærret certifikaterne, så snart man opdagede, at der var sket et sikkerhedsbrud.

"Reglerne er sådan, at forsendelserne med nøglekort og adgangskode skal ske forskudt af hinanden. Men reglerne er ikke sådan, at konsekvensen af en overtrædelse skal udmunde i en spærring af certifikaterne," siger DanID's Jette Knudsen.

Vil det sige, at der er nogle sikkerhedsregler, man kan overtræde uden konsekvenser?

"Nej. Der er nogle sikkerhedsregler, der skal overholdes, men konsekvensen er ikke, at certifikaterne skal spærres per automatik," siger hun.

Gør det samme sig gældende for alle de sikkerhedsregler, der er opstillet for NemID?

"Nej, det kommer helt an på problemstillingen. Det afhænger af hvilken sikkerhedsregel, der er i spil, når vi snakker om hvad konsekvenserne skal være," siger Jette Knudsen.

"Hvis vi i den pågældende sag havde anset det for en stor sikkerhedsmæssig risiko, ville vi selvfølgelig spærre certifikaterne."

DanID har dog bøjet sig for Datatilsynets krav, og spærrer nu de mange konti.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere