Mange danske computere lever slet ikke op til de sikkerhedskrav, der stilles af bankerne, for at benytte NemID.
DanID, der er firmaet bag login-platformen, har netop ændret ordlyden af punkt 3.3 i "Regler for NemID til netbank og offentlig signatur".
Ændringen trådte i kraft 8. november 2010 for nye NemID-brugere og tre måneder senere for eksisterende NemID-brugere.
Den nye ordlyd for punkt 3.3 er:
Du skal sikre, at:
- dit bruger-id, din adgangskode og dit nøglekort kun bruges af dig selv og i overensstemmelse med reglerne.
- andre ikke får mulighed for at aflure din adgangskode, når du indtaster den.
- du bruger NemID på en computer, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer.
Samtidig skal brugeren løbende kontrollere, at vedkommende ikke har mistet sit nøglekort og at NemID ikke er blevet misbrugt.
Hele regelsættet kan læses her.
Ekspert: Det bliver svært
Kravene til brugerne rummer flere praktiske problemstillinger, siger en sikkerhedsekspert.
"Det er vist det, man kalder 'best effort'," siger Peter Kruse fra sikkerhedsfirmaet CSIS.
"Faktisk vil hovedparten af computerbrugerne ikke kunne opfylde kravet om, at andre ikke aflurer et password, da det vil ske uden brugerens viden," vurderer han.
Desuden er manglende opdateringer af applikationer en akilleshæl, både blandt almindelige brugere og i virksomheder.
"Hovedparten af almindelige brugere ved ikke hvilke programmer, der er i risiko for angreb. Faktisk er mange brugere slet ikke bekendte med alle de programmer, der er installeret, da mange har købt en pc med Windows, som er præinstalleret. Med en sådan installation følger typisk alle de programmer, man bruger i det daglige, herunder Adobe Reader og Flash, Java og Quicktime," siger Peter Kruse.
Han anser dog regelsættet for at være relevant.
"Bankerne gør brugerne opmærksomme på, at opdateringer er vigtige. Opdateringer er både en forudsætning for en god oplevelse med NemID, og for et privatliv på internettet," siger Peter Kruse.
50 procent er ikke gode nok til NemID
En solid portion af danskerne har da også fokus på sikkerheden på hjemmecomputeren, men der er stadig en gruppe på over 50 procent, der ikke opdaterer deres maskiner, når der kommer rettelser fra software-producenterne.
Det viser en rundspørge blandt danskerne.
Undersøgelsen er udført af analyseinstituttet Userneeds, der har spurgt 1.335 personer, hvilket udgør et repræsentativt udsnit af den danske befolkning i alderen 18-65 år, om sikkerheden.
Sikkerhedsundersøgelsen er gennemført i september 2009 på vegne af Microsoft Danmark.
Her oplyser 46,9 procent af danskerne, at de opdaterer deres maskiner, når opdateringer bliver sendt ud. Resten er længere tid om det, eller gør det slet ikke.
"Hertil skal man lægge den gruppe af brugere, der ikke ved, at de har installeret et eller flere programmer, som kræver opdatering," siger Peter Kruse.
Opdatering af programmer på computeren er ellers det vigtigste værn mod it-kriminelle, der typisk går efter huller i ældre applikationer.
Samtidig er det altså også et krav, at maskinen er opdateret, hvis man vil benytte NemID.
Konsekvensen ved overtrædelse
Konsekvenserne ved en overtrædelse i form af en ikke opdateret computer er ikke en fast størrelse, men skal baseres på et skøn.
"Det afhænger af den enkelte sag," siger Jette Knudsen, der er kommunikationschef i DanID.
"Tolkningen i en svindelsag er et mellemværende mellem den enkelte bank og kunden," siger hun.