Lollands Bank

Udskrevet fra www.lollandsbank.dk
Den 6. feb 2012

NemID - Spørgsmål og Svar


1. Hvorfor skal man nu til at bruge et papkort – det lyder da som en alt andet end en højteknologisk løsning?
    Nøglekortsløsningen tilføjer en ekstra sikkerhedsdimension i forhold til både digital signatur og de fleste nuværende sikkerhedsløsninger i netbankerne. Det er brugen af nøglekortet, der gør det muligt at bruge NemID fra enhver computer. Og nøglekortet er en velafprøvet model, som både er let at forstå og meget intuitiv at bruge, og som kan tilpasses brugere med specielle behov – eksempelvis synshæmmede, der kan få et nøglekort med ekstra stor skrift.
    I løbet af foråret næste år kommer der mere avancerede løsninger til dem, har brug for mange nøgler.
    Det højteknologiske ved NemID ligger ikke i nøglekortet, men i at man kan bruge den samme løsning til digital selvbetjening i både det offentlige, bankerne samt på private virksomheders hjemmesider. Her er Danmark foran alle andre lande.

2. Hvorfor bliver alle netbankkunder tvunget til at bruge NemID, og hvem har bestemt det?
    Fordi der er enighed blandt bankerne om, at det er vigtigt at øge sikkerheden, for at der også i fremtiden kan være tillid til netbanken. Derfor er sektoren gået sammen om en fælles løsning.

    Beslutningen er truffet af bankerne i fællesskab, dvs. de beslutningsorganer, der har kompetencen i de såkaldte infrastruktur-spørgsmål. Det drejer sig om infrastrukturudvalget under Finansrådet og PBS’ bestyrelse.

3. Er der overhovedet nogle banker, hvor man kan slippe for at skulle bruge NemID i netbanken?
    Nej.

4. Netbankernes eksisterende systemer bliver erstattet af NemID. Er det nuværende sikkerhedsniveau i netbankerne ikke godt nok?
    De nuværende systemer er sikkerhedsmæssigt i orden. Men de kriminelle bliver hele tiden dygtigere, så opgaven er at være et hestehoved foran. Sikkerhed er ikke noget statisk, men noget der skal udvikles hele tiden.

5. Kan DanID, staten eller andre, der tager imod NemID se, hvad man bruger NemID til?
    Nej, det er ikke muligt. Banken kan f.eks. ikke se, hvor brugeren har brugt NemID, og i sagens natur heller ikke se brugerens skatteforhold efter i sømmene. Eneste undtagelse er politiet, som ved mistanke om kriminalitet og med en dommerkendelse i hånden kan få adgang til en oversigt over, fra hvilken IP-adresse brugeren har anvendt sit NemID. Hvis brugeren aktivt har tilvalgt den udvidede lognings-funktionalitet, kan der desuden vises, hvilken hjemmeside brugeren har besøgt, men ikke hvad der er foretaget.
    Teknisk uddybning: DanID registrerer brugerens navn og cpr-nummer. Cpr-nummeret anvendes til opslag i cpr-registeret, hvor DanID henter brugerens adresse. Hvis brugeren har oplyst mobiltelefonnummer og e-mailadresse, registrerer DanID også disse med henblik på at kunne udsende midlertidige adgangskoder pr. telefon eller bekræfte spærring af NemID.
    DanID videregiver oplysninger om brugerens navn sammen med det unikke nummer, som DanID har tildelt brugerens NemID (PID nummeret) til de tjenesteudbydere, hvor brugeren logger på. Herudover oplyser DanID brugerens personnummer til de tjenesteudbydere, som har lov til at se brugerens personnummer (eksempelvis brugerens bank, SKAT og andre offentlige myndigheder).
    Andre tjenesteudbyderne kan abonnere på PID/CPR tjenesten, men brugeren vil blive bedt om at acceptere videregivelsen af sit cpr-nummer i forbindelse med log-in hos pågældende tjenesteudbyder. DanID får på intet tidspunkt adgang til private oplysninger hos tjenesteudbyderne eller om, hvad brugeren foretager sig hos den enkelte tjenesteudbyder. Alle brugernes data ligger som hidtil hos tjenesteudbyderne – dvs. skatteoplysninger hos SKAT, bankoplysninger hos banken osv. Tjenesteudbyderne kan heller ikke udveksle data gennem DanID.

6. Hvilke oplysninger om brugerne opbevarer eller registrerer DanID?
    Sammen med NemID opbevarer DanID brugerens navn, adresse og cpr-nummer, som gør det muligt at fastslå, at brugeren er den, han eller hun udgiver sig for. Når brugeren anvender NemID, registrerer DanID som standard tidspunktet, brugeridentiteten og den IP-adresse, NemID er aktiveret fra.
    Brugeren kan desuden tilvælge at få registreret, hvilken hjemmeside vedkommende har været logget ind på med NemID. Denne funktion kan man tilvælge på nemid.nu. Desuden kan brugeren vælge at få registreret e-mail og mobiltelefonnummer, og det giver udvidet mulighed i forbindelse med support (f.eks. kvittering for spærring via e-mail og midlertidig adgangskode via SMS). Oplysningerne er til brugerens egen information, men ved mistanke om kriminalitet kan politiet med en dommerkendelse også få adgang til oversigten.
    Brugeren får selv adgang til sin log-fil på selvbetjeningssiderne på nemid.nu.

7. Hvad hvis man ønsker selv at opbevare NemID som den gamle digitale signatur – kan man så det?
    Ja, der kommer en løsning med NemID på smartcard i foråret 2011. Denne løsning kan dog ikke anvendes i netbanken, og desuden skal man selv betale for smartcard’et.

8. Kan vi være helt sikre på, at ingen uvedkommende får adgang til den centrale server, hvor de fleste danskeres allermest fortrolige oplysninger snart vil være opbevaret?
    Ja, det kan vi være helt sikre på. Den tekniske forklaring er at de private nøgler så at sige bliver skabt i specielle kryptografiske hardware-moduler. Brugerens private nøgle forefindes på intet tidspunkt ukrypteret og kan ikke anvendes uden for det særligt sikrede kryptografiske hardwaremodul.

9. Kan de svindeltyper, der i dag er udbredt i forbindelse med de eksisterende netbanker, betalingskort osv. også forekomme med NemID?
    De traditionelle key-loggerangreb, hvor en svindler via et skjult program (malware) på brugerens computer stjæler nøglefilen og aflurer bruger-id og adgangskode for så senere selv at bruge oplysningerne eller at sælge dem videre, bliver umulige. Der er simpelthen ikke noget at finde på brugerens computer. Det samme gælder ”phishing”, hvor den kriminelle konstruerer en tilforladelig mail, der lokker brugeren til at aflevere sine koder.

    Selv om brugeren er faldet for phisherens mail, phisheren han ikke nøglekortet, og kan derfor ikke komme helt igennem log-in.
    Den mere avancerede svindel via "man-in-the-middle" eller "man-in-browser" er også vanskelig for de IT-kriminelle at gennemføre i praksis. Men man kan ikke udelukke, at der er en risiko. Derfor overvåger DanID alle typer af angreb nøje, og vi opfordrer samtidig brugerne til stadig at være meget opmærksomme på deres IT-sikkerhed. Det handler konkret om at være skeptisk over for e-mails og hjemmesider, hvor man bliver opfordret til at indtaste brugeroplysninger og koder.

    Desuden skal brugerne fortsat sørge for, at deres computere er så lidt udsat som muligt, og det kan man blandt andet gøre ved at opdatere sin firewall, antivirus-indstillinger samt foretage de generelle opdateringer af sine programmer, som man bliver bedt om. Desuden bør man som bruger være meget forsigtig med at køre programmer fra ukendte kilder.

10. Kan man bruge NemID på mobiltelefoner, Iphones og Ipad osv.?
    Nej. Det er en anden teknologi, der bruges i mobiltelefoner, så i første version af NemID er det fravalgt at udvikle adgang fra mobile enheder.

11. Hvornår kommer NemID til mobiltelefoner?
    Det kan jeg ikke sige noget om på nuværende tidspunkt. Der er mange udviklingsprojekter i støbeskeen, f.eks. sikker e-mail til august, nye OTP-devices til brugere med behov for mange nøgler i foråret 2011, osv.

12. Så vidt jeg er orienteret, så er findes NemID (velkomstbrev, spærrebrev, nøglekort osv.) i hhv. en dansk, engelsk og grønlandsk version. I Danmark er der dog mange mennesker med arabisk baggrund. Hvorfor har man ikke gjort noget for at tilgodese dem?
    NemID er udviklet i en dansk, en engelsk og en grønlandsk version. Hvis man kigger ud over det danske hjemmesidelandskab, så finder man ikke arabisksprogede hjemmesider, hverken hos bankerne eller i den offentlige sektor. Derfor giver det ikke så meget mening, at log-in funktionen er i mange sprogvarianter, når det indhold, man logger ind til, er på dansk.

    Vi har desuden, i så stor udstrækning som muligt, forsøgt at bruge symboler i stedet for skrift, når man logger på med NemID. Fx på nøglekortet, hvor symbolerne # og et nøglesymbol anvendes i stedet for at skrive ”nøglenummer” og ”nøgle”.

13. Har I kendskab til, at en lignende løsning er blevet fravalgt i et eller flere andre lande?
    Nej, det har vi ikke kendskab til. Men vi ved, at bl.a. Luxembourg har en løsning svarende til NemID.

14. Hvorfor har man valgt at centralisere og samle alle de personfølsomme data ét sted? Og hvem har truffet den beslutning?
    Man må skelne imellem opbevaring af personfølsomme data og den centrale opbevaring af NemID (den private nøgle). Central opbevaring af data (navn, personnummer, evt. e-mail-adresse) er nødvendig og sker også i den nuværende digitale signatur. Den centrale opbevaring af NemID (den private nøgle) er en designbeslutning, som er truffet af Videnskabsministeriet og DanID for at imødekomme ønskerne om en mere sikker, mere mobil og mere brugervenlig løsning.

15. Hvorfor er kampagnen udformet, som den er? Hvad er pointen/budskabet?
    Kampagnen skal forberede danskerne på NemID og give dem en forståelse for de fordele, NemID giver. Samtidig skal den lette kommunikationsopgaven i forbindelse med udrulningen af NemID gennem bankerne, så kunderne f.eks. ikke smider brevet med nøglekortet ud.

16. Er NemID ikke bare en ny ’cash cow’ for bankerne/PBS?
    DanID er som udbyder af NemID underlagt konkurrencemyndighedernes kontrol, som sikrer, at DanID ikke misbruger sin dominerende stilling.

17. Mange har flere forskellige banker. Når NemID implementeres i den ene bank – betyder det så, at den bank, hvor der endnu ikke er implementeret NemID, er mere udsat/usikker?
    De nuværende sikkerhedsløsninger er gode nok, men opgaven er at være et hestehoved foran de IT-kriminelle, og det er overgangen til NemID et udtryk for. Desuden erstattes private kunders tab som følge af netbankindbrud fuldt ud, så der er ingen grund til at skifte bank for at få NemID.

18. Hvorfor har man ikke valgt token i stedet for/som supplement til papkort-løsningen?
    I de tidlige faser af udviklingen af NemID blev alle de mulige løsninger på 2-faktorproblematikken evalueret og brugertestet, og nøglekortet blev valgt på baggrund af denne evaluering. Nøglekortet er en kendt teknologi, der ikke kræver batterier eller brugsanvisning, og det gør den let at udbrede i stor skala. På længere sigt kommer flere alternativer, i en eller anden elektronisk form.

19. I Jyske Bank var der på et tidspunkt en sag, hvor banken skulle dække tabet hos en person, hvis bofælle benyttede personens nøglekort, fordi han fik fingre i brevet fra Jyske Bank. Vil den sag danne præcedens i forhold til NemID?
    Det er der ingen der ved endnu, eftersom der ikke har været andre sager. Sagen viser, at det er vigtigt, at man holder sin personlige adgangskode for sig selv. Nøglekortet har jo ingen værdi uden den.

20. Mange – fx kærester, ægtefæller mv. – deler i dag deres log-in til netbanken. Det kan de ikke gøre fremadrettet. Har I tænkt på det? Og er der en mulighed for, at sådanne par kan gøre som hidtil?
    Fremover må man ikke dele sin adgangskode eller nøglekort i familien. Man kan dog sagtens have fælles konti, man logger bare ind med hver sit NemID.


Denne tekst er sidst opdateret den 28. juni 2010 · Lollands Bank