Følgetonen fortsætter:
Første afsnit var om gammel historie.
Andet afsnit om CPRs historie.
Tredje afsnit om Digtal Signatur.
Nu er vi nået til NemID som vi kender den idag og hvorfor den endte som den gjorde.
Lad os tage det gode først:
Man indså at der skulle en eller anden tofaktor authentikator til og lavede det berømte papkort.
Papkortet deler vandene men jeg har endnu ikke mødt nogen der ikke synes det var den rigtige løsning til bedsteforældre og andre IT-analfabeter.
Papkortet er til at forstå, til at forklare, relativt billigt i drift og derfor meget, meget sikkert.
Den absolut største sikkerhedstrussel er nemlig altid at brugerne ikke forstår sikkerhedsdesignet og derfor tager forkerte valg som åbner ladeporte.
Hat-tip for papkortet, men æres den som æres bør: Mig bekendt var Jyske Bank de første med den løsning til “almindelige mennesker” i Danmark.
Men der er også en masse dårlige valg i den nuværende NemID.
F.eks at papkortet er eneste løsning. Det er f.eks ikke ret smart til blinde, forskere på indlandsisen og mange andre små men ikke derfor ligegyldige befolkningsgrupper.
Efter lang tid kom der et alternativ, en “nøgleviser” man kunne betale for i dyre domme, primært sigtet imod erhvervsanvendelse hvor man kunne løbe igennem et nøglekort på få dage, men den var dyr, dårlig og alt, alt for sent ude.
Valget af Java for at lave en obfuskeret formular i browsere gik præcis som kloge folk i branchen forudsage: Et helvede af kompabilitets og vedligeholdelsesproblemer.
Den største fejl var imidlertid at man udliciterede opgaven til en privat virksomhed, frem for at køre den som en intern statslig service.
Et EU-udbud gør alting dyrere, mindre flexibelt og mindre sikkert: Hver gang der er den mindste sten på vejen ender det i forhandlinger om kontraktens ordlyd og mening, frem for den bedste løsning af problemet.
Nets/NemID har til overflod bevist alle tre dele igen og igen.
Som konsekvense af at EU-udbudet og privatiseringen gjorde det hele dyrere måtte man gå på kompromis: Single-point-of-failure, brugerbetaling for “avanceret brug” osv. osv. osv.
Single-point-of-failure valget er klart det mest katastrofale og det var meget tæt på at være fatalt for NemID da Java begyndte at falde fra hinanden.
I hele verden lød advarslen “Bare afinstaller Java!” men ikke i Danmark, endelig ikke i Danmark, for vi havde, trods advarslerne, puttet alle vores æg i den kurv.
At en javascript løsning skulle tage måneder og millioner kan kun have sin basis i kontrakturelle idiotier, det blev gjort på uger af en udenforstående.
Brugerbetalingen var også katastrofalt, for det holdt alle iværksættere og IT-nørder udenfor. Danskere er allergiske overfor alt hvad der hedder forbrugsbetaling, Internet forbruget i Danmark blev f.eks næsten fordoblet da Cybercity i sin tid introducerede “flat-rate”.
At holde nørderne udenfor, i det hele taget at gøre alt hvad man kunne for at stryge dem imod hårene, gav en frygtelig masse larm ved introduktionen og i stedet for at anbefale den forbedrede to-faktor sikkerhed advarede mange IT-folk imod NemID pga. af lukketheden, hemmelighede og usikkerheden.
Helt ærlig: Hvor meget anderledes havde holdningen ikke været hvis NemID kunne bruges sammen med PGP ?
For papkort brugerene er der ingen vej udenom at lagre certifikaterne centralt, men at tvinge alle til at gøre det på en måde der stank langt væk af overvågningssamfund var ikke noget smart træk rent salgsmæssigt.
Tvangsrudrullningen via bankerne kan man diskutere visdommen i: Det er altid bedre at lave noget godt nok til at folk selv beder om det, end at presse det ned i halsen på dem med magt.
Her kommer hele projektmodellen ind i billedet: Når man kun laver en løsning for få år ad gangen skal der naturligvis bruges tvang for at kunne nå at kalde det en success. Hvis man i stedet havde valgt at lave en “evighedsløsning” og drevet den selv, kunne man lade indfasningen ske mere naturligt og få rettet børnsygdommene inden der er for mange brugere på.
Datamodellen er heller ikke smart: For hver rolle man spiller skal man have en forskellig NemID konto. Blandt professionelle bestyrelsesmedlemmer er der folk der snart kan spille mausel med papkort og selv mit enmandsfirma har resulteret i at jeg har modtaget fem papkort, et af hvilke jeg aldrig rigtig har fundet ud af hvad jeg egentlig skal bruge til.
Og sidst men ikke mindst, en detalje jeg ikke havde hørt før: Varemærket “NemID” ejes 50/50 af Digitaliseringsstyrelsen og Nets. Hvordan nogen overhovedet kan gøre noget så tåbeligt når man ved at der er en migrering om ganske få år er hindsides min fatteevne. Lur mig om det ikke kommer til at koste en mindre formue at få lov til at kalde efterløseren “NemID” hvis Nets ikke vinder kontrakten. (Guderne forbyde at dét sker.)
Rigtig mange af disse dumheder var allerede blevet afsløret under Digital Signatur forløbet, men fortsat med stor entusiasme under NemID, med helt forudsigelige resultater.
Et meget stort problem her er at det tilsyneladende er en naturlov at staten ikke kan lave IT-drift om så deres liv afhang af det. Indtil mødet hos V2 havde Digitaliseringsstyrelsen tilsyneladende end ikke overvejet muligheden for bare at lave NEMID2 selv og slippe for EU-udbudshelvedet.
Det er gået helt hen over hovedet på de fleste at den primære grund til at de åbne grunddata blev en kanon-success for geodatastyrelsen, er at de har en ualmindelig kompetent IT afdeling der er kendt i den store verden for den Open Source software de står bag.
Hvor meget det end kunne være gjort bedre, skal det retfærdigvis slås fast at NemID var en god og rettidig forbedring af sikkerheden for danske borgere.
Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der “tager forskud på arven” og startskudet til skilsmissesager.
Men det kunne være gjort så meget bedre og billigere.
Det må og skal være målet for NEMID2 og jeg er glad for at de fire fra Digitaliseringsstyrelsen virkede som om de havde samme mål.
Men de arbejder under et politisk system og en lovgivning som kan kræve at borgerne og særligt vælgerne giver dem en hjælpende hånd (eller kryds) hvis det skal blive realiteter.
Specielt skal vi ud over “alt skal udliciteres til private virksomheder” idiotien.
fortsættes…
phk
Leave a Reply