DanID, der driver den omdiskuterede fælles logonløsning NemID, vil ikke politianmelde it-aktivisten Rasmus Porsager, som i sidste uge fra hjemmesiden nejtilnemid.dk iværksatte en opstillet demonstration af et phishing-angreb mod nemid.dk.
Alligevel vil DanID endnu ikke afskrive sig muligheden for på et tidspunkt at politianmelde it-aktivisten.
Det fortæller Søren Winge, der er pressechef i Nets, som ejer DanID.
Rasmus Porsager udførte onsdag morgen en demonstration af et phishing forsøg, hvor han med en falsk NemID-side undersøgte, hvor mange af 30 bekendte, der ville hoppe på en phishing-mail, som lokkede ofrene til at indtaste deres brugernavn og kodeord på den falske internetside.
Meningen med aktionen var ifølge Rasmus Porsager at sætte fokus på sikkerheden ved NemID og manglen på information til brugerne om de sikkerhedsrisici, der er ved løsningen.
Ingen politianmeldese nu
Hos Nets fortæller Søren Winge, at Rasmus Porsager som udgangspunkt har reageret positivt på henvendelserne fra DanID.
"Sådan som vi ser situationen nu, ønsker vi ikke at gå videre med en politianmeldelse, også fordi Rasmus har givet udtryk for, at han ikke har logget de her data. Og der er ikke noget, som tyder på, at det her kan medføre en sikkerhedsbrist," siger Søren Winge.
Alligevel vil Nets og DanID gerne holde muligheden åben for senere at kunne tage sagen op og melde Rasmus Porsager til politiet.
Selvom DanID ikke i øjeblikket kan se tegn på, at onsdagens phishing-demonstration har haft konsekvenser, så kan der nemlig senere dukke nye oplysninger op, fortæller Søren Winge.
"Skulle det vise sig, at der kommer noget nyt frem i sagen, om at nogen har fået forsøgt deres signatur misbrugt, eller at det har ledt til sikkerhedsbrister, så er det klart, at vi vil gå videre med sagen," siger Søren Winge.
Holder øje med nye krumspring
Men også nye happenings fra Rasmus Porsagers internetside nejtilnemid.dk kan spille ind i afgørelsen om at genoptage sagen, fortæller Søren Winge.
"Eksempelvis hvis man fra det her site begynder på nogle nye krumspring, som - vi vurderer - har en eller anden form for sikkerhedsmæssig karakter," siger Søren Winge.
Selvom Nets og DanID gennem dialog med Rasmus Porsager er blevet klar over, at demonstrationen ikke havde til hensigt at introducere en decideret sikkerhedsrisiko, så ser firmaerne phishing-demonstrationen som en aktion, der kan medføre sikkerhedsmæssige risici, fortæller Søren Winge.
"Og skulle der komme andre tiltag på denne hjemmeside af samme art, så er det klart, at vi vil tage overvejelsen om en politianmeldelse op igen," siger Søren Winge.
Ikke nervøs for sag
Ifølge Søren Winge mener firmaerne, at sandsynligheden for, at brugerne har fået komprimeret deres sikkerhed som følge af phishing-demonstrationen. er lav.
"Hvis vi vurderede, at nogen var i overhængende fare for at få kompromitteret deres data, så havde vi allerede truffet beslutning om at politianmelde sitet," siger han.
Imidlertid er den manglede politianmeldelse ikke udtryk for manglende juridisk grundlag i sagen, fortæller Søren Winge.
"Vi mener, at vi har en sag. Der er tale om brud på ophavsretten, både på vores logo og appletten. Vi ville ikke, hvis det endelig var, være nervøse for at gøre en sag ud af det," siger Søren Winge.
Lige nu og her ser det dog for Nets og DanID ikke ud til, at demonstrationen har haft andet formål end at understrege en pointe, siger pressechefen.
Har lært af Sten Nets
Har sagen om "Sten Nets" spillet ind på jeres vurdering og ageren i denne sag?
"Der er ingen tvivl om, at det er en erfaring, vi har gjort os generelt, men det har ikke spillet ind i netop denne sag.
Bortset fra billedet med David og Goliat, som jeg fornemmer du vil tegne, ser vi det som to helt forskellige ting. Men generelt set synes jeg, vi har draget læring af den sag, som kørte tidligere på året.
Hvis vi følte, at sikkerheden i systemet ville kunne beklikkes, så var vi skredet til handling med det samme. Den eneste grund til, at vi ikke gør det, er, at vi føler, at Rasmus Porsager har været åben om, hvad han har gjort, har reageret promte på vores henvendelser, og ikke virker til at have forsøgt at bringe sikkerheden i fare."
Hvor længe vil I opretholde retten til eventuelt i fremtiden at politianmelde Rasmus Porsager?
"Det kan jeg ikke give en bagkant på. Det handler ikke om, at vi sidder og overvåger sitet minutiøst. Det handler om, at vi skal have et klarere billeder af, om det har haft nogle konsekvenser. Og før vi klart kan afvise det, vil vi heller ikke helt afvise ideen om, at vi kan gå videre med sagen. Men det kan jeg ikke sætte nogen tidshorisont på," siger Søren Winge.
Trussel stopper ikke kritikken
Rasmus Porsager fortæller, at han endnu ikke er blevet præsenteret for, hvilke konkrete bestemmelser han har overtrådt med onsdagens phishing-happening.
Alligevel frygter han ikke, at DanID nu holder ekstra øje med ham. Han har ikke tænkt sig at drosle ned på kritikken af NemID fra hjemmesiden nejtilnemid.dk. Tværtimod, fortæller han.
"Jeg har - i positiv retning - tænkt mig at gøre noget mere ved det. Jeg synes da, det er lidt kikset, hvis man skal skræmmes, blot fordi man prøver at få et budskab ud. Det ved jeg ikke rigtigt, om jeg bryder mig om," siger Rasmus Porsager.
