I løbet af de seneste fire år er en lang række danskere ifølge politiet blevet udsat for NemID-svindel efter stort set samme metode.
Svindlerne har installeret overvågningsudstyr på offentlige bibliotekscomputere og har på den måde fået fat på ofrenes bruger-id og adgangskode til NemID, og når ofrene har fået nyt nøglekort, har svindlerne stjålet nøglekortet fra postkassen.
Nu viser aktindsigter, at den ansvarlige myndighed, Digitaliseringsstyrelsen, har lavet to mindre systemændringer i NemID som reaktion på svindlen, vel vidende at ændringerne ikke fjernede muligheden for svindel, og selvom der også var mere sikre løsninger.
- Det ligner et tilbagevendende omfattende svigt i styrelsens systemer, siger Frederik Waage, der er professor i forvaltningsret på Syddansk Universitet.
Styrelse: Vi har ageret på risici
Digitaliseringsstyrelsen vil ikke stille op til interview om sagen, men skriver til DR:
- Ved de to sager fra henholdsvis 2017 og 2020 har Digitaliseringsstyrelsen ageret på de kendte risici og svindelscenarier, skriver Digitaliseringsstyrelsen til DR.
Men sådan ser forvaltningsretsprofessoren ikke på det.
- De oplysninger, som I har fremlagt her, de gør, at man må stille spørgsmål ved, om NemID er sikkert, og om styrelsen har handlet, som den skulle, siger Frederik Waage fra Syddansk Universitet.
Digitaliseringsstyrelsen har også fået voldsom kritik for sin manglende reaktion på den årelange svindel med NemKonto, hvor svindlere ændrer en persons NemKonto til en anden bankkonto, der ikke tilhører offeret.
DR afslørede i går, at NemKonto-svindlen har stået på i mindst fem år, og at Digitaliseringsstyrelsen er blevet gjort opmærksom på svindlen mere end 30 gange siden starten af 2016.
Alligevel har Digitaliseringsstyrelsen ikke ændret NemKonto-systemet, så svindlen kan forhindres.
Nu får Digitaliseringsstyrelsen altså også kritik for sin håndtering af svindel med NemID.
Ændrede systemet ”en smule” i 2017
Den første af de to ændringer i NemID-systemet skete i 2017.
Digitaliseringsstyrelsen blev advaret om, at der blev svindlet med NemID ved brug af såkaldte keyloggere på offentlige bibliotekscomputere.
Digitaliseringsstyrelsen endte med at ændre systemet ”en smule”, som styrelsen selv formulerer det i en mail.
Men styrelsen vidste godt, at ændringen fortsat efterlod risiko for samme type svindel, fremgår det af aktindsigterne.
- Der er dog stadig mulighed for misbrug fra offentlige computere, skrev Digitaliseringsstyrelsen således til Kommunernes Landsforening i forbindelse med ændringen i 2017.
Droppede ide om fysisk afhentning af nøglekort
Dokumenterne viser, at der var overvejelser om at droppe at sende nye nøglekort med posten og i stedet kun udlevere nye nøglekort personligt på for eksempel Borgerservice.
Men i stedet valgte Digitaliseringsstyrelsen en mindre omfattende ændring, så man fortsat kunne få tilsendt nøglekort med posten, men at man fremover skulle bruge pas- eller kørekortnummer for at bestille et nyt nøglekort, hvis man har spærret sit nøglekort.
I dag er Digitaliseringsstyrelsen tilfreds med ændringen, fremgår det af styrelsens skriftlige svar til DR.
- Digitaliseringsstyrelsen fik effektivt lukket for den fremgangsmåde, der blev anvendt til svindel i 2017, skriver Digitaliseringsstyrelsen til DR.
Efterfølgende skulle det dog vise sig, at svindlerne fandt en anden vej igennem sikkerheden, hvor de igen stjal nøglekort fra ofrenes postkasser.
Svindlere fandt ny vej igennem sikkerheden
I forsommeren 2020 går det op for Digitaliseringsstyrelsen, at der igen er blevet svindlet med en lang række danskeres NemID ved brug af keyloggere på bibliotekscomputere.
Det sker ved hjælp af en metode, som DR afdækkede i midten af juni.
Igen foregår det ved, at svindlerne har fået fat på ofrenes bruger-id og adgangskode ved at installere keyloggere på offentlige bibliotekscomputere.
Denne gang kan svindlerne ikke uden videre bestille nye nøglekort til ofrene med deres bruger-id og adgangskode.
Til gengæld udnytter svindlerne, at de løbende kan følge med i, hvor mange nøgler der er tilbage på offerets nøglekort. Det får man som bruger nemlig oplyst ved at forsøge at logge på NemID med bruger-id og adgangskode.
Her kan du se, hvordan NemID-systemet fungerede, før ændringen i 2020:
Ved løbende at følge med i, hvornår et offer er ved at løbe tør for nøgler, har svindlerne kunnet regne ud, hvornår et nyt nøglekort har været på vej til offerets postkasse, og derfra har de stjålet det nye nøglekort.
Nets: Det er ikke en dækkende løsning
Efter DR’s afsløring af sikkerhedsbristen vælger Digitaliseringsstyrelsen i august 2020 at fjerne oplysningen om resterende antal nøgler.
Men aktindsigterne viser, at virksomheden Nets, som driver NemID på vegne af Digitaliseringsstyrelsen, har gjort det klart for styrelsen, at det ikke er nok til at fjerne risikoen for svindel.
- Her er vores umiddelbare svar, at det ikke er en dækkende løsning i forhold til det skitserede scenario, skriver Nets til Digitaliseringsstyrelsen i juni 2020 i en mail, som DR har fået aktindsigt i.
De andre ”elementer” i en dækkende løsning på svindlen er ifølge mailen fra Nets blandt andet, at de fysiske nøglekort skal udfases, at der skal indføres ”notifikationer i forbindelse med udvalgte hændelser i NemID”, og at man skal ”sætte brugere i karantæne/spærre/notificere bankerne”, hvis der sker et vist antal fejlslagne login-forsøg med et NemID.
Men de tiltag bliver ifølge aktindsigterne ikke gennemført.
Det møder kritik fra Jan Pries-Heje, der er professor i digitalisering og datalogi.
- Det er sådan lidt en lappeløsning. Man vælger at hoppe over, hvor gærdet er lavest, tænker jeg, siger Jan Pries-Heje fra Roskilde Universitet.
Ekspert: Svært at forsvare
Digitaliseringsstyrelsens skriftlige svar til DR giver ikke nogen uddybende forklaring på, hvorfor styrelsen fravalgte de øvrige løsningsforslag, som Nets anså som en del af en ”dækkende løsning”, der ville kunne stoppe den svindel, der var i gang.
- I samarbejde med bankerne og Nets har Digitaliseringsstyrelsen ved både sagen fra 2017 og ved sagen i 2020 implementeret løsninger i NemID-systemet, der har rettet op på de konkrete udfordringer, vi er blevet gjort bekendt med i de to tilfælde, skriver Digitaliseringsstyrelsen til DR.
Digitaliseringsstyrelsens håndtering af NemID-svindlen er forvaltningsmæssigt problematisk, vurderer professor Frederik Waage.
- I har dokumenteret rigtig mange fejl ved NemID og NemKonto, som gør, at man må sige, at det er svært at forsvare. Som offentlig myndighed er man forpligtet til at rette op på fejl og mangler, hvis man bliver gjort bekendt med dem. Det har man tilsyneladende valgt ikke at gøre her, siger Frederik Waage.
Professor: Tilliden til digitalisering er på spil
Digitaliseringsprofesor Jan Pries-Heje understreger, at befolkningens tillid til NemID og dermed hele den offentlige digitalisering er afgørende.
- Tillid tager utrolig lang tid at bygge op, og det tager meget kort tid at miste. Og jeg kunne da godt stille spørgsmålstegn ved, om man har været villig til at betale nok for at bevare tilliden til systemet. Man skal måske vise, at man gør noget, men man har ikke råd til at gøre det hele og vil helst vente til et nyt udbud, siger Jan Pries-Heje med henvisning til, at NemID efter planen bliver afløst af et nyt system senere i år.
Men det, at der kommer et nyt system på et tidspunkt, er ifølge forvaltningsretsprofessor Frederik Waage ikke grund nok til ikke at stoppe de sikkerhedsbrud, der er.
- Man venter tilsyneladende på, at hele systemet skal ændres. Og der må man jo nok sige, at det er ikke godt nok. Hvis du som offentlig myndighed bliver ved med at modtage oplysninger om fejl i de her systemer, så skal man handle på det, siger Frederik Waage.