Teknologien bag danskernes fælles login-løsning, NemID, er alt for sårbar. Det mener it- forskere og fagfolk ifølge avisen Ingeniøren.
NemID har siden marts været plaget af såkaldte DDoS-angreb, der har sendt tjenesten i knæ flere gange.
Professor Joseph Kiniry, sektionsleder ved Institut for Matematik og Computer Science på DTU, ser grundlæggende problemer i designet af både NemID og NemLogin.
- Begge systemer bør udskiftes og baseres på et helt nyt grundlag, fastslår professoren, der har et forskningsprojekt i gang, som omhandler netop dette.
Resultatet af angrebene har været, at den login-løsning, der spiller en stadigt mere central rolle i samfundet med den stigende brug af digital selvbetjening i det offentlige, har været utilgængelig i timevis.
Et af de grundlæggende problemer ved NemID-strukturen er, at den beror på en enkelt leverandør, nemlig DanID, som er ejet af Nets.
- Det gør man ikke andre steder. Man betror ikke en enkelt virksomhed alle sine æg, siger Joseph Kiniry.
Angrebene, som NemID er blevet udsat for, går kort fortalt ud på at oversvømme systemet med et hav af forespørgsler, hvorefter systemet ikke kan håndtere legitim trafik. Det gør det svært eller umuligt at logge ind med NemID i en periode - og dermed at komme ind på en bred vifte af både offentlige og private tjenester.
- Blandt it-sikkerhedsprofessionelle betragter vi ikke den form for angreb som særlig sofistikerede. De kan udføres af uvaskede teenagere i forældrenes kælder, siger Joseph Kiniry til Ingeniøren.
Han bakkes op af It-sikkerhedsekspert og direktør i Solido Networks Henrik Kramshøj, der heller ikke mener, at en samfundskritisk login-løsning som NemID bør ligge hos en enkelt leverandør. Bl.a. fordi netop dét gør løsningen mere sårbar over for angreb og nedbrud:
I Dansk IT - en interesseorganisation for it-professionelle - mener formand Klaus Kvorning Hansen, at der i hvert fald bør være en fallback-løsning, hvis NemID fejler. Det er ikke tilfældet i dag
- Det undrer mig, at beredskabet i forhold til sådan et angreb ikke har været bedre. Vil man det digitale Danmark for alvor, bør man sikre, at løsningerne ikke bare falder til jorden, siger han til Ingeniøren.
Pressechef i Nets, Søren Winge, ønsker ikke at kommentere kritikken fra eksperterne direkte.
- Vi ønsker ikke at kommentere arkitekturen eller sikkerhedsforanstaltninger, da vi ellers risikerer at give hackerne oplysninger, de kan misbruge, siger han, men fortæller, at DanID har iværksat flere tiltag siden de første angreb.
/ritzau/