The case against nemID

Jeg har fra starten været skeptisk overfor nemID. Både som borger, men også professionelt bruger.

Jeg vil prøve at forklare problemet ved at gå ned i følgende emner :

  1. top-down approach is udvikling og implementering
  2. hvordan får rådgiver adgang til kundens materiale?

1. top-down approach i udvikling og implementering

Udvikling kan enten komme nedefra og arbejde sig op. Evolution så at sige. Livet på jorden startede med en cellede organismer og idag bruges de selvsamme byggesten til at lave blåhvaler.

På samme måde er det med software og digital sikkerhed. Hidtil er udviklingen kommet nedefra. Softwareudviklere har udviklet digitale løsninger i takt med de er blevet efterspurgt. Og produkterne er løbene blevet tilrettet så de passer til kundens behov. Efterhånden som et produkt har vist sig at være god, har andre taget det til sig, og produkterne har opnået større udbredelse. Sådan er det jo f.eks. med antivirusprogrammer. De er blevet udviklet i takt med der har været behov for dem. På PC platformen findes der 1000 vis af forskellige programmer, mens der til Apple og Linux findes færre og til mobiltelefoner næsten ingen. Efterhånden som vira bliver udbredt på disse platforme vil der kommer værktøjer til at fjerne dem, og med tiden måske noget der er magen til det, vi har på pc’er.

Med nemID har det været anderledes.

nemID blev skabt ved, at nogle embedsmænd et eller andet sted besluttede at vi skulle igang med en offentlig digitaliseringsproces. Man sad dermed på toppen, definerede hvad samtlige institutioner skulle have, og fik en virksomhed til at lave et produkt der kunne nogenlunde det, man havde defineret samtlige offentlige institutioner og banker havde brug for.

Jeg vil antage ud fra en betragtning om at der var stordriftsfordele. Den virksomhed i Danmark der i forvejen var den største leverandør af digital sikkerhed på samme platform til flest mulige var bankernes edb central. Derfor har vi idag et system der i høj grad basserer sig på, hvordan netbank i forvejen var bygget op – bl.a . at man har Java som softwareplatform.

Problemet er, at man sætter udviklingen og konkurrencen ud af spil, når man gør det på denne måde. Det er vanskeligt at forestille sig, at så mange institutioner frivilligt ville have købt den samme platform til sikkerhed – der ville have været adskillige og de ville have været i konkurrence mod hinanden. De ville formegentlig også have været på flere forskellige softwareplatforme, så man ikke kun havde haft Java. Med tiden ville der have været få platforme tilbage. Det ville have været besværligt for nogen brugere, der så skulle have forskellige adgangstyper til de forskellige platforme alt efter hvor mange de havde behov for at kommunikere digitalt med, men de fleste ville stadig kunne nøjes med en.

Pointen med konkurrence er, at man ville konkurrere om ikke alene at være det billigste af alternativerne – man ville også konkurrere om at være det mest sikre. Idag kan medierne påpege de sikkerhedshuller der er i systemet (se bunden af artiklen), og så kan nemID enten tage kritikken til sig og forsøge at lave det bedre, eller de kan trække på skuldrene. For de har et lovbefæstet monopol og kan gøre nogenlunde hvad de har lyst til.

Når man ser på nemID skal man også huske at det er et kommercielt produkt. Det er meningen at de skal sælge ydelsen til virksomheder. De har fået et defacto monopol af staten på at sælge digital sikkerhed til virksomheder der vil lave sikker kommunikation med borgere i Danmark.

For virksomheder, der vil anvende nemID som platform til autentifikation af brugere, koster hvert login virksomheden et sted mellem 1-3 kr.

2. Hvordan får rådgiver adgang til kundens materiale?

Jeg vil tro at omkring halvdelen af de kunder jeg betjener og har betjent har haft den indstilling til regnskabsmaterialet, at det er noget revisoren laver, stiller op og indberetter.

Og hvis de selv, banken eller SKAT har nogen spørgsmål er det kundens indstilling at man skal gå direkte til revisoren. De kunder vil så at sige have en totalløsning, hvor revisor står for alle aspekter af deres moms-, regnskabs-, og skatteforhold. Ofte er det også revisor der tager en snakken med banken. Og for en lille dels vedkommende er det faktisk også revisor der hjælper med at rykke kunder, der ikke betaler.

Så når det rent praktisk kommer til deres personlige skattemappe på TastSelv så har mange af klienterne aldrig set den. Hvis der er noget de gerne vil vide ringer de. De har ofte ikke engang selv koden så de kan logge ind ind og se deres årsopgørelser eller selv lave nye forskudsopgørelser.

Det kan for udenforstående måske lyde som om, revisoren gør det på den måde, for at få flest muligt fakturerbare timer. Men, det er sådan, fordi kunden ønsker det.

Min indgangsvinkel til både regnskab og også IT er, at jeg altid glødende har ønsket at kunden ikke alene fik løst sit problem – jeg har også altid ønsket at kunden forstod hvorfor en løsning ser ud, som den gør. Fra de tidligere teenageår har jeg altid været fascineret af tesen om, at hvis man giver en mand en fisk, kan han blive mæt en dag. Hvis man lærer en mand at fiske, kan han brødføde sig selv resten af sit liv.

Når det kommer til skatter og regnskabet har jeg dog ændret holdning. Ofte et det alt for teknisk og selvom kunden får en god forklaring har jeg ikke gjort livet bedre eller nemmere for kunden. For selvom kunden efter en forklaring forstår hvad det handler om, vil han ikke selv efterfølgende kunne gøre det selv i en anden situation.

Så derfor er det faktisk meget rationelt af kunden ikke at give sætte sig ind i de mange aspekter der er ved at lave en forskudsopgørelse, indberette en årsopgørelse, lave en lønseddel osv. I stedet for han skal sætte sig ind i disse meget teknisk vanskelige områder, er det mere rationelt at han bruger sin tid på at lave noget fakturerbart arbejde overfor sine egne kunder.

Derfor er nemID irriterende. For hidtil har vi fået aktiveringskoder til de offentlige myndigheder direkte af kunderne. Så har vi selv aktiveret dem, og lavet nye koder, og straks kunne anvende systemerne. Men for alle de kunder, der er skiftet over til den digitale platform skal de nu til at autorisere. De skal tage stilling til, hvad for nogle områder revisor må dykke ned i, og hvor længe han skal være autoriseret.

I en ideel verden ville jeg gå ind for det. I en ideel verden, interesserer borgeren sig for alle aspekter af sine skatteforhold, og vil gerne styre nogle af tingene selv. F.eks. forskudsopgørelsen, fordi borgeren selv har fuldstændigt styr på sine budgetter. Men vi lever ikke i en ideel verden.

Hvis det var adgangen til klientens netbank synes jeg også det er en rigtig god ide, at skille det ad, så man skal vælge om en person gerne må se, om de må lægge betalingerne ind, og om de må godkende betalinger. På den måde sikrer man at man ikke får lukket nogen mennesker ind, der kan stjæle ens penge. Men i relation til SKAT giver det ikke mening. Vores fuldmagt dækker alle forhold omkring skat. Vi har ikke adgang til at overføre penge i SKATS’s systemer. Derfor skal vi nu til at lave vejledninger og guider til at give os selv adgang til systemerne.

Som det hedder på amerikansk – if it aint broke don’t try to fix it.

Nylige kritiske artikler om nemID:

Newz.dk: Rudersdal kommune dropper NemID til skolenet

Skole-hjem-samarbejdet er utrolig vigtigt, og vi må erkende, at udfordringerne med ForældreIntra og NemID har været langt større end forventet. Vi har fået mange henvendelser fra forældre og skolebestyrelser og har de seneste måneder forsøgt at løse de udfordringer, der har været. Men det fungerer ikke godt nok. Det tager vi nu konsekvensen af.

Ingeniøren/Version 2 har netop haft en artikelserie om, hvor relativt let det er at franarre brugere deres nemID:

Pærelet at narre NemID fra dig med klonede hjemmesider

En vilkårlig hjemmeside kan bruges til at franarre dig dine NemID-oplysninger – og dermed få adgang til din netbank. Det afslører Ingeniøren og Version2 i dag i en videodokumentar. Sikkerheden i NemID bør øges, mener eksperter.

Så let kan kriminelle franarre dig dit NemID

Med frit tilgængelige værktøjer og en smule eksperimenteren lykkedes det Ingeniøren at konstruere en test-opstilling, der viser, hvor let det er at narre NemID fra en bruger.

DanID afviser kritikken: »Et teoretisk scenarie«

NemID kan hackes med et teknisk ret simpelt angreb. Her bringer vi DanID’s kommentar til Ingeniørens videodemonstration og til kritikken fra eksperter.