Der var ikke meget begejstring hos Nets DanID, som driver NemID, da datalogen Christian Panton spurgte om firmaets holdning til hans hjemmelavede NemID-klient. Faktisk var svaret til ham en direkte advarsel om retslige skridt, hvis han på nogen måde tog klienten i brug eller offentliggjorde koden.
Argumentet var, at en hjemmeudviklet klient, baseret på reverse-engineering af NemID’s officielle klient, ville være en krænkelse af både Nets DanID’s ophavsret og af patenter, som beskytter noget af teknologien i løsningen.
Hvordan det hænger sammen ville Version2 meget gerne høre Nets fortælle mere om, men bortset fra en kort, skriftlig kommentar, vil firmaet ikke længere kommentere svaret til Christian Panton.
Nets har ’ikke yderligere kommentarer til den konkrete sag, og ønsker heller ikke at medvirke i interview,’ skriver firmaets kommunikationsmedarbejder Ulrik Marschall til Version2.
I svaret kommer Nets med korte skriftlige forklaringer på, hvorfor NemID-klienten er beskyttet af ophavsret og patenter, uanset om Christian Panton har kopieret kode eller skrevet sin egen, der bare bruger samme protokol.
Hvordan kan jeres ophavsret forhindre andre i at kode en klient, der bruger samme protokol som jeres løsning? Ophavsret dækker vel kun direkte kopi af kode.
»Specifikke produkter udviklet af Nets er omfattet af ophavsrettigheder. Det er imidlertid ikke kun én til én kopiering af koden, der er omfattet af ophavsret. Hvis nogen dekompilerer vores klient og på baggrund heraf koder en ny klient, der er identisk med vores, betragter vi det som en ophavsretskrænkelse.«
Hvordan kan I henvise til brud på patenter, når man netop ikke kan tage patent på software?
»Det er korrekt, at man ikke kan patentere software ”as such” i Europa. Det er imidlertid ikke korrekt, at man slet ikke kan tage patent på software. Det kan man, når en række krav er opfyldt, men det er for vidtgående at gøre rede for dette her. Nets DanID har licens til at benytte patenter fra forskellige 3. parter i NemID.«
Hvordan kan det være at sidestille med hacking, hvis man bruger sin egen software til at kommunikere med jeres servere via NemID-protokollen – er det en trussel mod sikkerheden i NemID, hvis alle ikke bruger jeres lukkede, obfuskerede løsning?
»NemID-løsningen er designet således, at den centrale server kun må acceptere adgang via den af Nets DanID udviklede klient, adgang med andre klienter betragtes som uautoriseret og vil blive afvist.«
Styrelse vil ikke kommentere NemID-klient
Version2 har også bedt om en kommentar fra Digitaliseringsstyrelsen, som har bestilt NemID-løsningen hos Nets, men her ønsker man ikke at kommentere enkelte dele af løsningen, da man har bestilt en samlet løsning hos Nets DanID. Ansvaret for NemID som samlet løsning ligger dermed hos Nets, lyder det skriftlige svar fra souschef Charlotte Jacoby:
»Digitaliseringsstyrelsen kan ikke kommentere eller vurdere forskellige alternative delkomponenter til NemID-løsningen – heller ikke den klient, Christian Panton har udviklet. Frem til 2017 har vi en kontrakt med Nets DanID om en samlet løsning, der inkluderer alle elementer inden for udvikling og drift, herunder udvikling, implementering og integration i den samlede infrastruktur, sikkerhed, test, support, drift og løbende vedligehold. Nets DanID ejer løsningen og har ansvaret for den samlede sikkerhed i løsningen,« skriver hun.
I stedet peger styrelsen på muligheden for at påvirke NemID’s afløser, som i løbet af 2014 skal begynde at tage form som koncept.
»Før vi går i udbud med næste generation af NemID, skal den eksisterende løsning evalueres, og det skal analyseres, hvilke behov der er til en kommende løsning. Verden udvikler sig og ser meget anderledes ud i forhold til teknologi og sikkerhed i dag, end den gjorde i 2008. Arbejdet med næste generation af NemID vil derfor naturligvis omfatte høring og inddragelse af relevante interessenter, og i den proces vil der være rig mulighed for at bidrage med input af både overordnet og konkret karakter,« lyder den skriftlige melding.
Leave a Reply