Digitaliseringsstyrelsen: Danmarks Radios historier om identitetstyveri og misbrug af NemID er misvisende og skaber utryghed på fejlagtigt grundlag

12-02-2021
Sikkerhed It-løsninger

I en række historier har Danmarks Radio beskrevet sager om identitetstyveri, hvor ofre er blevet udsat for misbrug af deres personlige oplysninger, blandt andet NemID. Det er grov kriminalitet, som myndighederne tager yderst alvorligt. Derfor er det problematisk, at DR’s historier på fejlagtigt grundlag forsøger at skabe utryghed og rejse tvivl om den generelle sikkerhed i NemID.

Danmarks Radio har søndag den 7. februar i 21 Søndag på DR1 og mandag den 8. februar i TV-aviserne kl. 18.30 og kl. 21.00 bragt indslag om sikkerheden i NemKonto og NemID-løsningerne. Det er tale om sager om identitetstyveri, hvor ofre er blevet udsat for overvågning, hvorefter kriminelle har misbrugt ofrets NemID til at svindle med blandt andet NemKonto.

Identitetstyveri er en alvorlig kriminel handling, der påvirker dem, der bliver ofre for de kriminelles handlinger dybt. Digitaliseringsstyrelsen kan ikke genkende det billede, som Danmarks Radio tegner af sikkerheden i NemKonto og NemID eller af styrelsens faglige ageren i den forbindelse. Digitaliseringsstyrelsen følger aktivt op på svindelsager og henvendelser om mulighed for svindel og foretager løbende ændringer i løsningerne for at imødegå udviklingen i kriminelles metoder.

Fokus på identitetstyveri

I indslaget den 7. februar 2021 blev der bragt eksempler på, at borgere har oplevet identitetstyveri og misbrug af NemKonto. Det er en meget ubehagelig situation at blive udsat for. Ofrene oplever et voldsomt tab af kontrol, at blive bestjålet og indgreb i deres private forhold.

I eksemplerne har kriminelle begået flere strafbare handlinger, som altid er startet med tyveri af borgerens brugernavn, adgangskode og nøglekort til NemID. Med disse oplysninger kan kriminelle foretage mange ulovlige handlinger – fx at bestille kreditkort eller optage kviklån i borgerens navn, eller at ændre borgerens NemKonto til en konto, som den kriminelle selv har kontrol over. Derfor er et centralt fokus i styrelsens arbejde at forhindre identitetstyveri og gøre det endnu mere vanskeligt for kriminelle at tiltvinge sig adgang til et NemID.

NemKonto og NemID er sikre løsninger

Sikkerheden i de offentlige digitale løsninger, herunder NemID og NemKonto, er meget høj – det er afgørende for, at danskerne fortsat trygt kan færdes digitalt. Der findes dog ikke 100 pct. sikre løsninger – hverken i den fysiske eller den digitale verden. Dette gælder desværre også i forhold til identitetstyveri.

Misbrug af NemKonto-løsningen, som det er beskrevet i DR’s dækning, er sket som følge af et identitetstyveri og forudgående misbrug af NemID, hvor den kriminelle har adgang til en lang række af offerets personlige oplysninger. Det er ikke korrekt, når DR i indslaget giver indtryk af, at NemKonto-løsningen ikke er sikker. Det er heller ikke korrekt, når det anføres, at Digitaliseringsstyrelsen ikke har fulgt op på henvendelser vedrørende sikkerheden i NemKonto.

Digitaliseringsstyrelsen følger for både NemID og NemKonto aktivt op på trusselsbilledet, konkrete tilfælde af misbrug og beretninger om mulighed for svindel og har løbende foretaget ændringer i NemID.

Digitaliseringsstyrelsen har gennemgået de henvendelser om NemKonto, som DR har refereret i sin dækning. Styrelsen kan ved gennemgangen ikke umiddelbart genkende, at der skulle være tale om 30 henvendelser, som refereret af DR, da flere henvendelser indgår i fx mailtråde om samme sag eller møde, ligesom nogle af henvendelserne er spørgsmål til egne muligheder fra banker. Digitaliseringsstyrelsen har ikke kunnet finde henvendelser, der ikke er besvaret, vurderet og håndteret.

Styrkelse af it-sikkerheden i kommunerne

I indslaget den 8. februar citerede DR en mail sendt fra Digitaliseringsstyrelsen til KL (Kommunernes Landsforening).

I mailen fra 2017 skrev Digitaliseringsstyrelsen til KL for at orientere om ændringerne i NemID som opfølgning på en sag om kriminelle, der havde svindlet ved brug af såkaldte med keyloggere på biblioteker i et forsøg på at franarre borgerne personlige oplysninger. I mailen gjorde styrelsen kommunerne opmærksomme på, at der altid vil være en risiko for misbrug på offentlige computere, hvis sikkerheden på computeren er kompromitteret, og borgeren benytter pas, kørekort og NemID oplysninger.

Ingen ændringer i NemID-løsningen vil kunne give 100 pct. sikkerhed for, at svindel ikke kan forekomme, når kriminelle ved brug af fx overvågning og tyveri forsøger at få adgang til ofrets personlige oplysninger. Men den konkrete ændring, som blev foretaget i 2017, har højnet sikkerheden og reduceret risikoen for den type af svindel.

I DR’s indslag den 8. februar indgår desuden et uddrag af en korrespondance mellem Digitaliseringsstyrelsen og Nets, der er leverandør af NemID.

I korrespondancen stiller Digitaliseringsstyrelsen faglige spørgsmål til Nets for at afsøge en dækkende løsning i forhold til keylogger-svindlen i 2020. I den efterfølgende korrespondance – som ikke omtales i DR’s indslag – bliver Digitaliseringsstyrelsen imidlertid betrygget i, at løsningen vil afværge den metode, som de kriminelle har anvendt til at indsnævre den tidsmæssige periode for forsendelsestidspunktet for nyt nøglekort til en borgers fysiske postkasse.

Digitaliseringsstyrelsen har derudover løbende skærpet sikkerheden i NemID i samarbejde med Nets og bankerne. Der er blandt andet implementeret en såkaldt DMARC-beskyttelse på flere NemID-domæner. Det medvirker til at sikre et domænenavn fra at blive misbrugt til phishing og beskytter derved både modtagerens sikkerhed og afsenderens troværdighed. Det sker ved blandt andet at tilføje et certifikat til afsenderadressen, som er vanskeligt at manipulere.

Et andet eksempel er NemID nøgleappen, der har en række sikkerhedsmæssige fordele. Nøgleappen gør det tydeligere for brugeren, hvilken transaktion man er ved at foretage, fx på hvilken hjemmeside man er ved at logge ind, eller om man er ved at overføre penge.

Ingen nemme løsninger

I indslagene fremstår det som om, at Digitaliseringsstyrelsen ikke har foretaget ændringer i NemKonto-systemet for at højne sikkerheden, selvom det angiveligt skulle være enkelt. I indslaget den 7. februar 2021 blev der omtalt en svindelsag, hvor 100 CPR-numre er blevet knyttet til samme konto. Digitaliseringsstyrelsen har ikke kendskab til en sådan sag.

Digitaliseringsstyrelsen har på baggrund af henvendelser om mulig svindel i 2018 foretaget en række stikprøver fra NemKonto-systemet for konti med flere end fem borgere tilknyttet. I gennemgangen blev der ikke fundet ulovligheder.

Hvis NemKonto-systemet ændres, så borgerne ikke selv kan vælge sin NemKonto, eller så ægtefæller fx ikke kan have samme NemKonto, vil det påvirke mange lovlydige borgere og gøre løsningen langt mindre fleksibel i forhold til borgernes forskellige behov. Der har ligeledes været forslag om indføre adviseringer, så borgerne bliver orienteret, hvis deres NemKonto ændres. Det vil i sig selv imidlertid ikke forhindre misbrug af NemKonto, for ved identitetstyveri vil en kriminel også have adgang til den digitale postkasse eller kunne ændre kontaktoplysninger.

Digitaliseringsstyrelsen samarbejder med både myndigheder og leverandører på området. Digitaliseringsstyrelsen fører et aktivt tilsyn med både NemID og NemKonto-løsningen i form af fx risikovurderinger og auditering og har derigennem fokus på løbende at vurdere og tage stilling til sikkerhed, risici og mulige ændringsbehov i NemID- og NemKonto-løsningerne.