Årsopgørelsen og sikkerhed

En ting jeg aldrig helt har forstået ved det offentliges systemer er, at de så gerne vil have vi får PDF’er hver gang vi vil have oplysninger. Det gælder både ved registrering af virksomhed hos Erhvervs- og Selskabsstyrelsen (Nu kun Erhvervsstyrelsen), og navnlig hos SKAT. Erhvervsstyrelsen har vidst efterhånden fået fjernet alle de forskellige PDF indberetninger og man kan for det meste også få sine informationer direkte i browservinduet uden at skulle downloade i word eller pdf format.

Men hos SKAT er det fortsat sådan at du ikke kan se din forskudsopgørelse eller din årsopgørelse uden det er i en PDF fil. Og det giver nogle sikkerhedsproblemer hvis du sidder på en computer du deler med andre eller på et bibliotek. For PDF filen bliver gemt lokalt på computerens harddisk.

Som det fremgår af en artikel i Version 2 så er status følgende:

Det har Skat vidst længe, og når brugere klager over fejlen i systemet, bliver de spist af med en besked om, at man skal sætte et flueben i ‘Gem ikke krypterede sider på disk’ i browserens avancerede indstillingsmenu.

Men nu viser det sig, at det er et rigtig dårligt råd.

For godt nok er det korrekt, at den næste bruger af pc’en ikke får adgang til din årsopgørelse – men det gør du altså heller ikke selv.

En Version2-læser har gjort opmærksom på, at Adobe Reader-plugin’et til eksempelvis Internet Explorer kræver, at den krypterede pdf-fil af årsopgørelsen lagres i cachen, før den kan vises i browservinduet. Version2 har efterfølgende testet det og kan konstatere, at dette er korrekt – i hvert fald med Windows 7 og Internet Explorer 9.

Så hvis man følger Skats sikkerhedsråd, får man ikke sin årsopgørelse at se.

Version2 har ikke kunne få en kommentar fra SKAT.

Til min ønskeliste: hvorfor skal alting åbnes i PDF filer? Hvorfor kan man ikke bare trykke på skærmen og få oplysningen?

The case against nemID

Jeg har fra starten været skeptisk overfor nemID. Både som borger, men også professionelt bruger.

Jeg vil prøve at forklare problemet ved at gå ned i følgende emner :

  1. top-down approach is udvikling og implementering
  2. hvordan får rådgiver adgang til kundens materiale?

1. top-down approach i udvikling og implementering

Udvikling kan enten komme nedefra og arbejde sig op. Evolution så at sige. Livet på jorden startede med en cellede organismer og idag bruges de selvsamme byggesten til at lave blåhvaler.

På samme måde er det med software og digital sikkerhed. Hidtil er udviklingen kommet nedefra. Softwareudviklere har udviklet digitale løsninger i takt med de er blevet efterspurgt. Og produkterne er løbene blevet tilrettet så de passer til kundens behov. Efterhånden som et produkt har vist sig at være god, har andre taget det til sig, og produkterne har opnået større udbredelse. Sådan er det jo f.eks. med antivirusprogrammer. De er blevet udviklet i takt med der har været behov for dem. På PC platformen findes der 1000 vis af forskellige programmer, mens der til Apple og Linux findes færre og til mobiltelefoner næsten ingen. Efterhånden som vira bliver udbredt på disse platforme vil der kommer værktøjer til at fjerne dem, og med tiden måske noget der er magen til det, vi har på pc’er.

Med nemID har det været anderledes.

nemID blev skabt ved, at nogle embedsmænd et eller andet sted besluttede at vi skulle igang med en offentlig digitaliseringsproces. Man sad dermed på toppen, definerede hvad samtlige institutioner skulle have, og fik en virksomhed til at lave et produkt der kunne nogenlunde det, man havde defineret samtlige offentlige institutioner og banker havde brug for.

Jeg vil antage ud fra en betragtning om at der var stordriftsfordele. Den virksomhed i Danmark der i forvejen var den største leverandør af digital sikkerhed på samme platform til flest mulige var bankernes edb central. Derfor har vi idag et system der i høj grad basserer sig på, hvordan netbank i forvejen var bygget op – bl.a . at man har Java som softwareplatform.

Problemet er, at man sætter udviklingen og konkurrencen ud af spil, når man gør det på denne måde. Det er vanskeligt at forestille sig, at så mange institutioner frivilligt ville have købt den samme platform til sikkerhed – der ville have været adskillige og de ville have været i konkurrence mod hinanden. De ville formegentlig også have været på flere forskellige softwareplatforme, så man ikke kun havde haft Java. Med tiden ville der have været få platforme tilbage. Det ville have været besværligt for nogen brugere, der så skulle have forskellige adgangstyper til de forskellige platforme alt efter hvor mange de havde behov for at kommunikere digitalt med, men de fleste ville stadig kunne nøjes med en.

Pointen med konkurrence er, at man ville konkurrere om ikke alene at være det billigste af alternativerne – man ville også konkurrere om at være det mest sikre. Idag kan medierne påpege de sikkerhedshuller der er i systemet (se bunden af artiklen), og så kan nemID enten tage kritikken til sig og forsøge at lave det bedre, eller de kan trække på skuldrene. For de har et lovbefæstet monopol og kan gøre nogenlunde hvad de har lyst til.

Når man ser på nemID skal man også huske at det er et kommercielt produkt. Det er meningen at de skal sælge ydelsen til virksomheder. De har fået et defacto monopol af staten på at sælge digital sikkerhed til virksomheder der vil lave sikker kommunikation med borgere i Danmark.

For virksomheder, der vil anvende nemID som platform til autentifikation af brugere, koster hvert login virksomheden et sted mellem 1-3 kr.

2. Hvordan får rådgiver adgang til kundens materiale?

Jeg vil tro at omkring halvdelen af de kunder jeg betjener og har betjent har haft den indstilling til regnskabsmaterialet, at det er noget revisoren laver, stiller op og indberetter.

Og hvis de selv, banken eller SKAT har nogen spørgsmål er det kundens indstilling at man skal gå direkte til revisoren. De kunder vil så at sige have en totalløsning, hvor revisor står for alle aspekter af deres moms-, regnskabs-, og skatteforhold. Ofte er det også revisor der tager en snakken med banken. Og for en lille dels vedkommende er det faktisk også revisor der hjælper med at rykke kunder, der ikke betaler.

Så når det rent praktisk kommer til deres personlige skattemappe på TastSelv så har mange af klienterne aldrig set den. Hvis der er noget de gerne vil vide ringer de. De har ofte ikke engang selv koden så de kan logge ind ind og se deres årsopgørelser eller selv lave nye forskudsopgørelser.

Det kan for udenforstående måske lyde som om, revisoren gør det på den måde, for at få flest muligt fakturerbare timer. Men, det er sådan, fordi kunden ønsker det.

Min indgangsvinkel til både regnskab og også IT er, at jeg altid glødende har ønsket at kunden ikke alene fik løst sit problem – jeg har også altid ønsket at kunden forstod hvorfor en løsning ser ud, som den gør. Fra de tidligere teenageår har jeg altid været fascineret af tesen om, at hvis man giver en mand en fisk, kan han blive mæt en dag. Hvis man lærer en mand at fiske, kan han brødføde sig selv resten af sit liv.

Når det kommer til skatter og regnskabet har jeg dog ændret holdning. Ofte et det alt for teknisk og selvom kunden får en god forklaring har jeg ikke gjort livet bedre eller nemmere for kunden. For selvom kunden efter en forklaring forstår hvad det handler om, vil han ikke selv efterfølgende kunne gøre det selv i en anden situation.

Så derfor er det faktisk meget rationelt af kunden ikke at give sætte sig ind i de mange aspekter der er ved at lave en forskudsopgørelse, indberette en årsopgørelse, lave en lønseddel osv. I stedet for han skal sætte sig ind i disse meget teknisk vanskelige områder, er det mere rationelt at han bruger sin tid på at lave noget fakturerbart arbejde overfor sine egne kunder.

Derfor er nemID irriterende. For hidtil har vi fået aktiveringskoder til de offentlige myndigheder direkte af kunderne. Så har vi selv aktiveret dem, og lavet nye koder, og straks kunne anvende systemerne. Men for alle de kunder, der er skiftet over til den digitale platform skal de nu til at autorisere. De skal tage stilling til, hvad for nogle områder revisor må dykke ned i, og hvor længe han skal være autoriseret.

I en ideel verden ville jeg gå ind for det. I en ideel verden, interesserer borgeren sig for alle aspekter af sine skatteforhold, og vil gerne styre nogle af tingene selv. F.eks. forskudsopgørelsen, fordi borgeren selv har fuldstændigt styr på sine budgetter. Men vi lever ikke i en ideel verden.

Hvis det var adgangen til klientens netbank synes jeg også det er en rigtig god ide, at skille det ad, så man skal vælge om en person gerne må se, om de må lægge betalingerne ind, og om de må godkende betalinger. På den måde sikrer man at man ikke får lukket nogen mennesker ind, der kan stjæle ens penge. Men i relation til SKAT giver det ikke mening. Vores fuldmagt dækker alle forhold omkring skat. Vi har ikke adgang til at overføre penge i SKATS’s systemer. Derfor skal vi nu til at lave vejledninger og guider til at give os selv adgang til systemerne.

Som det hedder på amerikansk – if it aint broke don’t try to fix it.

Nylige kritiske artikler om nemID:

Newz.dk: Rudersdal kommune dropper NemID til skolenet

Skole-hjem-samarbejdet er utrolig vigtigt, og vi må erkende, at udfordringerne med ForældreIntra og NemID har været langt større end forventet. Vi har fået mange henvendelser fra forældre og skolebestyrelser og har de seneste måneder forsøgt at løse de udfordringer, der har været. Men det fungerer ikke godt nok. Det tager vi nu konsekvensen af.

Ingeniøren/Version 2 har netop haft en artikelserie om, hvor relativt let det er at franarre brugere deres nemID:

Pærelet at narre NemID fra dig med klonede hjemmesider

En vilkårlig hjemmeside kan bruges til at franarre dig dine NemID-oplysninger – og dermed få adgang til din netbank. Det afslører Ingeniøren og Version2 i dag i en videodokumentar. Sikkerheden i NemID bør øges, mener eksperter.

Så let kan kriminelle franarre dig dit NemID

Med frit tilgængelige værktøjer og en smule eksperimenteren lykkedes det Ingeniøren at konstruere en test-opstilling, der viser, hvor let det er at narre NemID fra en bruger.

DanID afviser kritikken: »Et teoretisk scenarie«

NemID kan hackes med et teknisk ret simpelt angreb. Her bringer vi DanID’s kommentar til Ingeniørens videodemonstration og til kritikken fra eksperter.