NemID
NemID er en god ide, eller rettere sagt, et nationalt loginsystem er en god ide, og et nationalt loginsystem med multifaktor autentificering er endda en rigtig god ide.
Der er egentlig ikke grund til at bruge tid på en diskussion om hvorvidt NemID er sikkert eller ej, det er et loginsystem med multifaktor autentificering næmest pr. definition, og det endda på trods af NemIDs mindre optimale implementering der ikke gør forskel på store/små bogstaver i kodeord.
Så langt så godt, og så er der vel egentlig hellere ikke meget mere positivt at sige om NemID og virksomhederne bag implementeringen, siden den gode ide er det gået støt ned af bakke.
NemID har haft en hård fødsel, og har siden nedkomsten været et interessant studie i negativ omtale. Man plejer at sige dårlig omtale er bedre end ingen omtale, om det også gør sig gældende for et sikkerhedssystem tvivler jeg lidt på. Jeg tror en del almindelige virksomheder kunne have følt sig fristet til nogle risikable hovsa løsninger for at lappe lidt på tingene, men her kan vi nok prise os lykkelige over at virksomhederne bag NemID er kendt for at handle ekstremt langsomt, eller velovervejet om man vil 🙂
Nå, lad os kigge på nogle af de ting der peger på vi måske alligevel ikke kan føle os helt trygge ved løsningen som den er.
På fødselsdagen bragede NemID systemet ned. Som man kan læse i en artiklen på Computerworld skyldes nedbruddet at NemID lavede flere CPR opslag end CPR systemets maskineri kunne klare. Det er mig lidt en gåde hvordan man kunne havne i den situation, umiddelbart kan jeg komme i tanke om følgende muligheder
- Måske har man ikke foretaget loadtest inden idriftsættelsen, hvis det er tilfældet er man ikke ikke særlig god til sit arbejde.
- Måske har man foretaget loadtest, men grundet den massive omtale forregnet sig totalt ? Det er aldrig en god ide at lade marketingfolk og politikere styre udrulning af store IT systemer !
- Måske har man foretaget loadtest og indset der kunne blive et kapacitetsproblem når det kom til opslag i CPR, men tænkt at “det går nok”, i dette tilfælde er man sgu en torsk.
Alt i alt er det ret bekymrende at man hos NemID ikke forudser den slags problemer og tager sine forholdsregler, det er nok ikke sidste gang NemID får mange besøgende. Man bliver nødt til at spørge sig selv om der er andre situationer de heller ikke har taget højde for.
Nærmest siden dag 1 (jeg var ihvertfald hurtig til at ringe og fejlmelde) har man hos NemID været klar over at det ikke er muligt at bestille NemID såfremt man har hemmelig adresse og ønsker at identificere sig med Digital Signatur. At fejlen ikke er rettet her næsten 3 måneder senere skyldes nok den førnævnte, og i dette tilfælde meget udtalte, træghed hos virksomhederne bag NemID. Men at muligheden fortsat er tilgængelig på NemIDs hjemmeside, uden så meget som en note om at den ikke virker, ja det begriber jeg ganske enkelt ikke, og pessimist som jeg jo, synes jeg det vidner om en stor grad af ligegyldighed fra NemIDs side.
Jeg synes ikke rigtig der er nogen god undskyldning for at gå i luften med en funktionalitet der ikke virker, hvis ikke det er blevet testet inden idriftsættelsen nærmer vi os punktet hvor vi kan tillade os at kalde NemID nogle amatører, og har de kendt til problemet er de da godt nok kedeligt arrogante. 🙂
Jeg har opgivet at få mig et NemID via hjemmesiden, og venter i stedet på at min bank sender mig et en dag, og håber så iøvrigt på det er mit eget NemID, og ikke en andens som det skete for en gymnasieelev der er kunde hos Danske Bank.
Danske Banks udtalelse i artiklen om at de ikke agter at gøre noget for at den slags ikke gentager sig vidner iøvrigt om fornævnte arrogance fra virksomhederne bag NemID systemet. Jeg synes Danske Bank skulle skamme sig over sådan en udtalelse, og så iøvrigt skynde sig at indføre dobbeltkontrol i forbindelse med udlevering af NemID, sådan lidt i med det man ser på apotekerne hvor mindst 2 personer kontrollerer at man får den rigtige medicin udleveret.