Digitaliseringsstyrelsen vil igangsætte initiativer, som skal sikre bedre overblik over omfanget af svindel som følge af identitetstyveri

16-09-2021
Sikkerhed

Digitaliseringsstyrelsen vil nu invitere relevante parter til en drøftelse af digitalt identitetstyveri af NemID og svindel med NemKonto med henblik på at sikre bedre og bredere overblik over omfanget af svindel som følge af identitetstyveri. Endvidere vil Digitaliseringsstyrelsen udarbejde en rapport om omfanget af svindel på området.

Danmarks Radio har ad flere omgange bragt en række indslag om svindel med NemKonto som følge af identitetstyveri og har for nyligt sat spørgsmålstegn ved Digitaliseringsstyrelsens gengivelse af omfanget af denne type svindel i en redegørelse, som Digitaliseringsstyrelsen har udarbejdet.

I Digitaliseringsstyrelsen tager vi svindel med NemID og NemKonto meget alvorligt. Vi arbejder løbende på at gøre vores løsninger så sikre som overhovedet muligt, så vi kan minimere omfanget af svindel og være på forkant med de kriminelles nyeste svindelmetoder.

Det er blandt andet noget af det, som fremgår af den omtalte redegørelse, som er retvisende, idet redegørelsen havde til formål at redegøre for en række henvendelser, Digitaliseringsstyrelsen tidligere har modtaget om svindel med NemKonto, og styrelsens håndtering af disse henvendelser. Redegørelsen viser blandt andet, at Digitaliseringsstyrelsen har handlet på alle de indkomne henvendelser og aktivt er gået i dialog og har afsøgt mulighederne for at forebygge sådanne former for svindel.

Der er i dag ikke krav om, at svindel med NemKonto og NemID skal indberettes til Digitaliseringsstyrelsen, hvorfor styrelsen generelt i vurderinger af omfang af svindelsager henviser til eller indhenter bidrag fra Rigspolitiet. I forbindelse med Digitaliseringsstyrelsens bidrag til finansministerens svar på et spørgsmål (REU spm. 718), som blev oversendt til Retsudvalget i juni 2021, har Digitaliseringsstyrelsen således indhentet og videregivet oplysninger fra Rigspolitiet.

De indhentede bidrag fra Rigspolitiet til REU spm. 718 indgår ikke i Digitaliseringsstyrelsens redegørelse, da både den oprindelig redegørelse og den reviderede redegørelse, som blev oversendt til Folketinget i august 2021, har til formål at beskrive håndteringen af henvendelser modtaget i styrelsen i perioden medio 2015 til februar 2021.

Nye initiativer skal skabe bedre overblik over omfang af svindel

I Digitaliseringsstyrelsen har vi en klar interesse i et fyldestgørende overblik over omfanget af svindel med NemKonto og NemID for at kunne sikre brugerne af løsningerne bedst muligt. Det er dog blevet tydeligt for Digitaliseringsstyrelsen i denne proces, at der generelt er behov for et bedre og bredere overblik over omfanget af svindel som følge af identitetstyveri i Danmark. Noget som DRs indslag om svindel med NemKonto også har illustreret. I den sammenhæng kan samarbejdet mellem Digitaliseringsstyrelsen og Rigspolitiet samt med de øvrige interessenter på området med fordel styrkes.

Omfanget af svindel er generelt svært at fastlægge. Derfor vil Digitaliseringsstyrelsen nu invitere relevante parter, herunder bl.a. Rigspolitiet, Finans Danmark og Finans og Leasing, til en drøftelse, hvor vi i fællesskab kan få klarlagt, hvad vi i dag ved om omfanget af digitalt identitetstyveri af NemID og svindel med NemKonto, og hvordan vi fremadrettet kan sikre et bedre overblik på området.

Derudover vil vi følge op på dette arbejde med udarbejdelsen af en rapport omkring omfanget af svindel på området. Det styrkede overblik skal bidrage til, at man også fremadrettet kan udvikle løsninger og træffe beslutninger, der øger borgernes sikkerhed.

I den forbindelse kan det bemærkes, at der inden for kort tid ventes offentliggjort en temarapport fra Rigspolitiet om uretmæssig adgang til NemID.

Digital svindel med en borgers NemKonto kan alene ske som følge af identitetstyveri af NemID. Derfor har det været særligt vigtigt for Digitaliseringsstyrelsen ikke kun at fokusere på håndtering i NemKonto-løsningen, men over årene at sætte ind med tilretninger og udvikling af NemID-løsningen (se faktaboks).

Faktaboks: Udvalgte sikkerhedstiltag i NemKonto og NemID de seneste år

NemKonto

  • Sikkerhedsgennemgang af tekniske kommunikationsformer mellem NemKonto-løsningen og udbetaleres systemer
  • Audit med fokus på håndteringen af persondata (GDPR) og kontrolområder i ISO-27001-standarden for informationssikkerhed
  • Stikprøvekontrol på situationer, hvor flere borgere angiver samme bankkonto som deres NemKonto
  • Udsendelse af fysiske aktiveringsbreve ved ændringer af NemKonto i selvbetjeningsløsningen
  • Penetrationstest af NemKonto
  • Sikkerhedsanalyse af NemKonto om 3. mands bankkonto (i gang)

NemID

  • Ændring på nemid.nu således, at et nyt nøglekort ikke automatisk blev fremsendt, når borgere spærrer deres nøglekort.
  • Fjernelse af visningen af nøgler, så det blev sværere for kriminelle at udregne, hvornår et nøglekort ville blive fremsendt til borgerne.
  • Lancering af NemID nøgleapp, som i dag bruges af 4 mio. danskere
  • Ændring i krav og processer i forbindelse med udstedelse af NemID - øget validering af identitet inden udstedelse af NemID samt styrket identifikationskrav
  • Etablering af en hotline til hjælp ved identitetstyveri