Sådan arbejder staten med dit næste NemID til nettet

Dit næste NemID skal være klart om få år. Læs her om mulighederne med blandt andet konto-kig, et opgør med papkortet og one-size-fits-all-løsningerne.

Sikker og brugervenlig.

Sådan lyder overskrifterne på næste generation af NemID, der senest skal være ude hos 4,3 millioner danskere og i 1,1 millioner eksemplarer i virksomhederne i slutningen af 2018.

For om godt tre et halvt år udløber den nuværende kontrakt og alle medfølgende forlængelsesmuligheder endegyldigt med leverandøren, Nets' DanID. 

Arbejdet med den næste NemID-løsning - eller hvad løsningen til adgang på offentlige og private websites kommer til at hedde i 2018 - har været i gang i et halvt års tid hos Digitaliseringsstyrelsen, og projektets foranalyse nærmer sig sin afslutning.

"Lige nu er der mange ønsker og muligheder i luften. Det mest sikre, vi kan sige på nuværende tidspunkt, er, at der skal strammes op på virksomheds-delen, og at løsningen skal være fremtidssikret," forklarer kontorchef Marianne Sørensen hos Digitaliseringsstyrelsen, som er ansvarlig for næste generation af NemID.

Behøver vi overhovedet NemID?
Efter sommerens høringssvar og et analyse-forløb har styrelsen i disse dage indkaldt en lang række parter, der blandt andre tæller Ældresagen, IT-Branchen, Center for Cybersikkerhed, Finansrådet og IT-Politisk Forening til to workshops om muligheder og stopklodser i løsningen.

Computerworld har deltaget på en af disse workshops, hvor det fremgår, at der ikke kan rykkes synderligt på byggeklodser som åbne standarder, et modulært opbygget system og en kommende EU-forordning inden for eID.

Derudover er ordet frit i diskussion af muligheder og bekymringer omkring NemID's to deleelementer, der består i at kunne logge på offentlige og private hjemmesider og skriver under på online-aftaler med en elektronisk signatur.

I nogle tilfælde kan NemID's to-faktor-autentifikation dog vise sig at være ganske overflødig.

Det skyldes, at en af grundtankerne i diskussionerne er, at det offentlige kan stille informationer til rådighed på både 1-faktor-niveau, som det blandt andet kendes fra netbankens 'kontokig', og det fuldfede 2-faktor-niveau, som vi kender i dag fra eksempelvis selvangivelsen hos Skat.dk. 

Det betyder i praksis, at forældre kan logge på Itslearning (tidligere Skoleintra) med brugernavn og password (1-faktor) for at se lille Oles skoleskema, mens en psykologi-rapport kræver NemID (2-faktor).

Ikke en one-size-fits-all-løsning
Dermed kan du i mange tilfælde slippe for at hive papkortet frem, der ved introduktionen af NemID i 2010 vel nok var det mest kritiserede element ved hele løsningen.

Hvis papkortet overhovedet overlever til 2018.

"Det kan godt være, at papkortet er forvundet til den tid, men det er ligesom med alle andre elementer slet ikke blevet besluttet endnu," siger Marianne Sørensen til Computerworld.

En anden grundtanke i diskussionerne er, at næste version af NemID ikke nødvendigvis skal være en one-size-fits-all-løsning, hvor man kun skelner mellem borger og virksomheder.

For eksempel kan virksomheders håndtering af medarbejdernøgler helt jordnært forbedres, hvis der kommer en arbitrær opdeling mellem stor og lille, så medlemmer i foreninger og enkeltmands- eller mindre virksomheder kan benytte det almindelige NemID.

Et andet eksempel på et differentieret NemID er, at en borger selv kan dele sine data på forskellige sites mere eller mindre anonymt, som det nu passer i situationen. Hvis man er kunde hos et teleselskab kunne man således oplyse navn og adresse, mens man lukker af for køn og alder.

Et tredje eksempel på diskussioner, der gør op med one-size-fits-all-NemID'et, er, at du med den modulære opbygning skal kunne logge på en hjemmeside med dit password og en to-faktor-autentifikationsmulighed, som passer til dit behov.

For med brug af åbne standarder skal eksterne leverandører i fri konkurrence kunne tilbyde login-faktorer som eksempelvis en iris-scanner, en fingeraftryks-aflæser, voice-response eller sågar en hjernebølgescanner.

Flere bump på vejen
Det hele er dog ikke så ligetil, inden første udkast til et egentligt udbud kommer på plads i løbet af det næste års tid.

For erfaringer med NemID's nøglegenerator har vist, at efterspørgslen har ligget nede på omkring 181.000 solgte enheder, hvilket svarer til, at blot fire procent af NemID-brugerne har punget ud for en alternativ løsning. 

Vanskeligheder for it-nybegyndere i håndtering af data-deling kan også blive et forvirringsproblem, hvis borgerne overhovedet gider at sidde og åbne og lukke for forskellige myndigheder og virksomheders adgang til ens data.

Dertil kommer en lang række andre problemstillinger, som blandt andre næstformand Jesper Lund fra IT-Politisk Forening er kommet hos Digitaliseringsstyrelsen for at diskutere.

"Vi er her, fordi vi mener, at den nuværende løsning med centralt placerede nøgler er for usikker, og fordi vi ønsker, at borgerne får mere kontrol over sine nøgler," forklarer Jesper Lund til Computerworld.

Om placeringen af nøglerne siger Marianne Sørensen hos Digitaliseringsstyrelsen til Computerworld:

"Vi tager alle input med i vores endelige rapport fra foranalysen, men det er umiddelbart svært at forestille sig, at alle brugerne skal til at installere nøgler på deres egne computer-enheder."

NemID til børn kan være på vej
I arkitektur-diskussionerne er NemID til børn under 15 også i spil.

Det sker ud fra tanken om, at ungerne kan logge på offentlige sider, med uddannelses- og sundhedsinformationer, men endnu ikke kan skrive under på noget.

Den tilgang kan blive mulig, hvis Digitaliseringsstyrelsens splitter autentifikations- og signaturendelen op i to del-løsninger, som styrelsen selv lægger op til diskussion i workshoppen.

Overordnet har styrelsen syv hovedområder i spil (se faktaboks til højre for denne artikel), som deltagerne diskuterer og myndigheden inddrager i sit analysearbejde, inden anskaffelsesfasen tager over i slutningen af året.

Forinden skal Digitaliseringsstyrelsen dog have sat sig sammen med en lang række private aktører som for eksempel bankerne, forsikringsselskaber og teleselskaber, da staten ønsker at knytte disse parter tættere til NemID-samarbejdet.

Herefter bliver politikerne inddraget, hvorefter mange af endelige grundsten til den næste generation af NemID bliver støbt i ind i det endelige udbud.

Hvem, der ender med at skulle udvikle hele eller dele af løsningen, er på nuværende tidspunkt helt uvist.

Én aktør kan Marianne Sørensen dog så godt som sikkert udelukke på forhånd.

"Jeg har svært ved at se, at det bliver staten selv, der bygger og vedligeholder det næste NemID, fordi der er mange virksomheder, der har bedre kompetencer til den slags end os."

Læs også:

Danskernes tillid til NemID dykker - sådan skal den uheldige tendens vendes

Nu skal du bruge NemID hvis du vil skilles - se de nye løsninger her




Premium
Fremtiden har aldrig set mere usikker ud for Intel: Her er det, der kan redde – og dødsdømme chip-kæmpen
Computerviews: Intels nyslåede topchef Pat Gelsinger står overfor en stribe rigtig svære beslutninger. Hvis han ikke træder varsomt, vil chip-giganten sandsynligvis sygne hen.
Computerworld
Denne malware er den største trussel mod din virksomhed lige nu
Den mest aktive malware i verden sniger sig ind, og at svært at gøre nøget ved. Se her hvordan du tager dine forholdsregler.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Microsoft i kæmpe dansk satsning - åbner tre store datacentre i Danmark
Microsoft lancerer kæmpe satsning fra hovedkvarteret i Lyngby. Selskabet åbner tre store bæredygtige datacentre på Sjælland.
White paper
Digital transformation tvinger organisationer til at nå deres digitale mål på nye måder
Allerede for to år siden hævdede nordiske virksomheder, at virksomhedernes konkurrenceevne og sågar overlevelse var afhængig af en vellykket digitalisering. De var klar, fulde af håb og på vej mod det digitale paradis. Hvordan gik det så? Hvor er de nu? For at finde ud af det, interviewede DigiPlex og Norstat 377 forretningsledere og IT-beslutningstagere fra organisationer fordelt over hele Danmark, Sverige og Norge om deres digitaliseringsfremskridt, om hvordan de har håndteret pandemien, og om hvordan IT understøtter eller står i vejen for indfrielsen af deres bæredygtighedsmål. DigiPlex kan nu dele en rapport med resultaterne fra undersøgelsen samt tanker om, hvordan man håndterer dem. De deler også nogle nyttige tips til, hvordan man skaber en pålidelig infrastruktur, der kan tilskynde til og understøtte ambitioner i den digitale økonomi. Læs mere i rapporten Nordic Data Center Trends 2020: Riding out the Storm.