L 160 - 2011-12 - Bilag 3: Henvendelse af 24/4-12 fra IT-Politisk Forening

Henvendelse fra IT-Politisk Forening omlovforslag L 160 om Offentlig Digital PostLovforslag L 160 indfører i § 3 stk 1 en pligt for borgerne til atvære tilsluttet Offentlig Digital Post. Pligten indtræder på etfremtidigt tidspunkt som Finansministeren fastsætter, ogbemærkningerne til lovforslaget nævner november 2014.Samtidig giver lovforslaget Finansministeren bemyndigelse til atvælge en (enkelt) digital postløsning og udpege ensystemansvarlig som kan være et privat firma.Offentlig Digital Post eksisterer allerede i dag med frivilligtilslutning, og firmaet e-Boks A/S varetager driften af systemet viawebportalenwww.borger.dkog integration med det ”private” e-Boks system påwww.e-boks.dk.

Borgerne skal fremover afgive samtykke tilprivate firmaer for at læse deres egen postLovforslag L 160 forholder sig generelt ikke til hvordan borgerenskal kunne læse den post som fra november 2014 afleveres i dendigitale postløsning, uanset om borgeren ønsker dette eller ej.Efter § 10 er brevene i juridisk forstand kommet frem til borgerennår de er afleveret til den digitale postløsning (hvilket ibemærkningerne benævnes ”tilgængelige for borgeren”), og deter borgerens eget ansvar at skaffe sig adgang til at læse dissebreve, ligesom det er borgerens eget ansvar løbende at holde øjemed om der er nye breve i den digitale postkasse.For at bruge den nuværende offentlige digitale postløsning skalborgeren indgå en aftale med firmaet e-Boks A/S. Borgeren skal iden forbindelse acceptere de betingelser som e-Boks har fastsatfor den digitale postløsning, for eksempel at borgeren ikke kan1

holde e-Boks ansvarlig for manglende tilgængelighed veddriftsforstyrrelser. E-Boks kan i øvrigt frit ændre disse betingelserpå et senere tidspunkt. Borgeren skal også acceptere at væredataansvarlig for egne breve når de opbevares hos e-Boks, og ate-Boks er databehandler for borgeren i den henseende.For overhovedet at komme så langt skal borgeren have OCESNemID, hvilket kræver en aftale med firmaet DanID A/S og ettemmelig vidtgående samtykke til dette firma. Borgeren skalacceptere de betingelser som DanID har fastsat for brugen afNemID tjenesten, og borgeren skal konkret acceptere at denprivate PKI nøgle (borgerens ”digitale underskrift”) opbevares påDanIDs servere. Der er desuden en række sikkerhedsproblemerved NemID, og dem accepterer borgeren ved at afgive etsamtykke til DanID. IT-Politisk Forening har tidligere kritiseretNemID som vi mener er en meget dårlig teknisk løsning. Vi harlavet en opsummering af denne kritik i et appendiks til dette brev(samme appendiks som i vores henvendelse om lovforslag L 159).

Problematisk at der er tvungne samtykker tilprivate monopolfirmaerPå Datatilsynets hjemmeside er der under ”ordbog” en definitionaf begrebet ”samtykke” i forbindelse med persondataloven.Centrale elementer i denne definition er at et samtykke efterpersondataloven skal være frivilligt, og at det skal være muligt attrække samtykket tilbage. Hvis der er en lov (for eksempel L 160)som i praksis pålægger borgeren at bruge OCES NemID, er dennefrivillighed og mulighed for at trække samtykket tilbage enillusion. Der bliver tale om et ”afpresset” samtykke til en privattredjepart.IT-Politisk Forening er ikke bekendt med anden dansk lovgivningsom på samme eksplicitte måde pålægger borgeren at afgive etvidtgående samtykke til et bestemt privat firma. I dette tilfælde erder endda tale om ”afpressede” samtykker til to forskelligefirmaer (DanID A/S og e-Boks A/S).Formelt giver L 160 måske ikke borgeren en pligt til at accepterebetingelserne for brugen af Offentlig Digital Post (e-Boks) og OCESNemID, men det er alligevel den praktiske realitet af loven. Det vilvære umuligt for borgeren at læse sin egen post fra det offentligemedmindre der indgås aftaler med de private firmaer, som afFinansministeren har fået opgaven med at administrere borgerensdigitale post (e-Boks) og borgerens digitale underskrift (DanID).

Det fremgår også af bemærkningerne (side 19 i lovforslaget) atOffentlig Digital Post kan omfatte stort set alle henvendelser fradet offentlige, hvis den offentlige myndighed vælger at brugesystemet (der er ikke noget krav om dette, idet L 160 kundefinerer nye pligter for borgeren). Der kan altså være tale ombreve med væsentlig information til borgerne, eller breve sompålægger borgerne en konkret handlepligt efter lovgivningen. Derkan i øvrigt også være tale om breve med følsomt indhold somborgeren ikke ønsker opbevaret hos et privat firma.Men borgeren har ikke noget valg. Finansministeren (oprindeligtITST) har først givet et privat firma monopol på at opbevareborgernes digitale post fra det offentlige, og derefter vilFinansministeriet tvinge alle borgere til at blive ”kunder” hosdette firma. Hvis der skal indføres en pligt for borgerne til atmodtage post digitalt, bør ordningen være baseret på frikonkurrence så borgeren frit kan vælge postudbyder. I Danmarkkan borgerne frit skifte bank eller teleselskab (og beholde derestelefonnummer), og den samme valgfrihed bør gælde formodtagelse og opbevaring af digital post.

Misvisende sammenligning med fysiskepostkasser bruges som begrundelseBemærkningerne til lovforslaget forholder sig stort set ikke tilovenstående problemer, og ordet ”samtykke” nævnes ikke eneneste gang i bemærkningerne. Brevene er afleveret til borgerennår de er i den digitale postløsning, og det er fuldstændigtunderordnet om borgeren er i stand til at læse brevene eller ej(medmindre borgeren kan blive fritaget for den digitalepostordning, hvilket der ikke er noget retskrav om). På side 10 ibemærkningerne står der såledesDet vil ikke være til hinder for offentlige afsenderesmulighed for at sende digital post til fysiske personer ogjuridiske enheder, der omfattes af obligatorisk tilslutning, atdisse ikke har været logget ind i postløsningen og såledesikke i praksis anvender postløsningen. Det er således op tilde pågældende fysiske personer og juridiske enheder selvat skaffe sig adgang til de dokumenter, som sendes tildem, ved at logge på postløsningen.Dette svarer på mange punkter til den praksis ogretstilstand, der gælder ved levering af papirbreve i fysiskepostkasser tilhørende fysiske personer og juridiskeenheder, hvor det tilsvarende er modtagerens eget ansvar3

at tømme postkassen og gøre sig bekendt med indholdet afmeddelelser, der er kommet frem til den pågældende, jf.bemærkningerne til lovforslagets § 10.Sammenligningen med borgerens fysiske postkasse er efter voresmening en meget dårlig analogi. Det kræver ikke et samtykke tilprivat(e) tredjepart(er) at opsætte en fysisk postkasse, og der eringen problematikker i forhold til borgerens privatlivsbeskyttelsenår posten er afleveret i den fysiske postkasse.Borgeren har også selv mulighed for at bestemme sikkerheden foropbevaring af sin egen post når den er afleveret i den fysiskepostkasse. Med Offentlig Digital Post skal borgeren acceptere densikkerhed som e-Boks og NemID tilbyder. Det tekniske design afNemID giver desværre mange muligheder for at andre (f.eks.kriminelle) kan aflure borgerens adgangskoder via såkaldtephishing angreb. Vi kommer ind på dette i nedenståendeappendiks.

Appendiks: IT-Politisk Forenings kritik afNemID1Sårbar overfor man-in-the-middle-angrebDanIDs tekniske løsning er meget sårbar overfor såkaldte man-in-the-middle angreb, hvor en hacker giver sig ud for at være DanIDog bruger en falsk NemID side til at aflure borgerens password ogpapkort-koder i takt med at de skal bruges. Hvis borgeren kanlokkes ind på en falsk NemID side, er der reelt fri adgang til atmisbruge borgerens digitale signatur. Det samme kan ske på enlegitim side, som benytter NemID, for eksempel en sportsklub,hvis hackeren har angrebet denne side.Det skal bemærkes at denne sikkerhedsrisiko ikke er et teoretiskproblem: der har allerede være to angrebsbølger mod netbank-udgaven af NemID, hvor bankkunder er blevet afluret passwordog papkort-koder. Efterfølgende er penge overført fra dissekunders bankkonti.For de borgere, der har OCES NemID, vil denne slags angreb ikkeblot kunne misbruge bankkonti, men også offentlige tjenester.Dette vil også blive et mål for kriminelle.Identitetstyveri er et stort ”forretningsområde” for deninternationale organiserede kriminalitet, og der er desværremange andre muligheder som kan give store problemer forborgeren.

Brugen af Java er en IT-sikkerhedsrisikoNemID kræver Java i webbrowseren―en snart 15 år gammelteknologi, som af mange betragtes som forældet. Nye mobiledevices som smartphones og tablets understøtter ikke Java ideres webbrowsere.Java i webbrowseren er plaget af en række sikkerhedsproblemer,og der bliver hele tiden fundet nye alvorlige sikkerhedshuller. Endel sikkerhedseksperter anbefaler direkte folk at de-aktivere Java ideres webbrowser, eller helt at afinstallere denne software-komponent (som stort set ikke bruges mere). Det kan den danskebefolkning imidlertid ikke gøre, da de så ikke kan bruge NemID.1 Dette appendiks er identisk med appendiks i vores henvendelse tilKommunaludvalget om lovforslag L 159.

NemID snager i din computerJava-appletten i NemID giver DanID mulighed for at læseborgernes filer, og starte egne programmer på borgernescomputere―eventuelt på vegne af en statslig myndighed sombeder DanID om dette.IT-Politisk Forening påpegede dette forhold i august 2010, menDanID afviste pure at det skete. Efterfølgende har det dog vist sigat DanID faktisk bruger NemID Java appletten til at køreprogrammer på borgernes computere for at indsamle visseoplysninger om dem.Det er i forvejen unødvendigt og betænkeligt, at DanID skal havemulighed for at infiltrere borgernes computere med NemID Javaappletten. Når DanID så ovenikøbet misinformerer om, hvordande bruger denne adgang, må man som borger alvorligt overveje,om man kan have tillid til løsningen.

NemID bryder med gængse sikkerhedsprincipperEn digital signatur består teknisk set af to dele: En privat nøgle ogen offentlig nøgle. Når borgeren underskriver et dokumentdigitalt, bruges den private nøgle. For at kontrollere om det erborgerens underskrift, bruges den offentlige nøgle. Hvis borgerener den eneste som kan bruge den private nøgle, er en digitalunderskrift et matematisk bevis for at borgeren har skrevetmeddelelsen.Den offentlige nøgle må alle kende, men i sagens natur er detaltafgørende at borgeren har den fulde kontrol over sin egenprivate nøgle, da man ellers ikke kan vide om det er denpågældende borger eller en anden person, der har skrevetmeddelelsen. I så godt som alle digital signatur systemer sikresdette ved at borgeren selv opbevarer sin private nøgle, og denprivate nøgle beskyttes mod kopiering med password, eller andresikkerhedsmekanismer som opbevaring på hardware tokens (dendigital underskrift foretages på et hardware token, og den privatenøgle kan slet ikke kopieres).Vigtigheden af at borgeren har den fulde kontrol over sin egenprivate nøgle ses også af § 10, stk 3 i lov om elektroniskesignaturer, der forbyder nøglecentre at”...opbevare eller kopierede personers signaturgenereringsdata, som nøglecentret gennemudstedelsen af certifikater måtte have fået kendskab til.”

OCES NemID, altså den digitale signatur, er desværre ikke baseretpå dette princip. I stedet opbevares den private nøgle hos DanID.Borgeren tilgår den private nøgle via en hjemmeside, ogadgangen til den private nøgle er sikret med et password og enkode fra et papkort.OCES NemID opfylder ikke de krav, der stilles i Lov omelektroniske signaturer. Det retslige grundlag for OCES NemID eralene certifikatpolitikken ”Offentlige Certifikater til ElektroniskService, version 4”, som er defineret af IT- og Telestyrelsen udendirekte involvering af Folketinget.IT-Politisk Forening har tidligere kritiseret den centrale nøgle-opbevaring. Den bryder med det mest grundlæggende princip fordigitale signaturer. I princippet kan DanID udgive sig for envilkårlig borger uden dennes vidende. Vi er klar over, at dennerisiko er teoretisk, men det skaber utryghed, at man har valgt enteknisk løsning med central opbevaring af de private nøgler.

DanID overholder ikke sine forpligtelserEfter certifikatpolitikken version 4, og aftalen med staten, erDanID forpligtet til at tilbyde borgerne en digital signatur hvor denprivate nøgle opbevares på et smartcard (hardware token). Detvar oprindeligt meningen at denne løsning skulle være tilgængeligi december 2010, men den er blevet forsinket ad flere omgange,og i skrivende stund er den muligvis udsat på ubestemt tid.Derudover bliver smartcard løsningen ikke gratis for borgerne,hvis den altså kommer. Det er heller ikke klart om borgeren fården fulde kontrol over den private nøgle, eller om der fortsat vileksistere kopier andre steder i DanIDs systemer.Datatilsynet har flere gange kritiseret udskydelsen af mulighedenfor at borgeren kan opbevare sin egen private nøgle, senest ihøringssvaret om lovforslag L 159, hvor de skriver:Tvungen brug af selvbetjeningsløsninger baseret på NemIDaktualiserer en problemstilling, som tilsynet tidligere harpåpeget overfor IT og Telestyrelsen omkring opbevaring afborgernes private nøgle.Datatilsynet udtalte bl.a. følgende i brev af 3. marts 2009til IT og Telestyrelsen:”[…] Det er endvidere Datatilsynets opfattelse, at et7

generelt hensyn til brugernes privacy taler for, at brugerneskal have et valg med hensyn til, hvor deres nøgleopbevares.Datatilsynet skal derfor opfordre til, at der hurtigst muligtskabes mulighed for egen opbevaring af den private nøgle.Datatilsynet skal endvidere anbefale, at det overvejes, omikke muligheden for egen opbevaring af den private nøglebør være gratis, eller at prisen i det mindste bliver så lavsom muligt og alene kommer til at afspejleomkostningerne. […]”

DanID's interesser tilgodeser ikke borgernessikkerhedDanID er ejet af Nets, som igen ejes af bankerne. Det er tydeligt,at DanID's sikkerhedsvurderinger er set ud fra bankernes behov,ikke borgernes.I bankverdenen vurderer man traditionelt sikkerhed ud fra renøkonomi: Hvis det er billigere at udbetale erstatning til ofrene foret sikkerhedshul end at lappe hullet, så vælger man det første.Det giver god mening for både banker og kunder, fordibanksikkerhed netop kan gøres op i kroner og øre.Men det giver ikke mening ved brug som digital signatur overfordet offentlige. Følgerne af identitetstyveri, brud på privatlivetsfred osv. kan ikke umiddelbart gøres op i kroner og øre.DanID mener, at deres løsning er ”sikker nok”, men det ervurderet ud fra et rent økonomisk perspektiv, ikke ud fraborgernes interesser.

DanID bliver et tvunget monopolHvis det var frivilligt at bruge OCES NemID, kunne man sige atovenstående kritikpunkter er noget som den enkelte må tagehensyn til, hvis han/hun beslutter sig for at bruge NemID. Sådaner det med så mange andre ”gratis” services på internettet, foreksempel Facebook der tilbyder brugerne en række fordele, menogså har en række problemer for privatlivsbeskyttelsen. Hvis manikke har tillid til Facebook, kan man lade være med at oprette enFacebook konto.

Men hvis lovforslag L 159 eller L 160 vedtages, er det reelt ikkelængere frivilligt om den danske befolkning vil bruge OCESNemID. Medmindre borgeren er så heldig at kunne blive undtagetfra den obligatoriske digitale selvbetjening, og den digitalepostordning, vil det være nødvendigt at erhverve OCES NemID forat overholde landets love.Det er således et meget vidtgående skridt at Finansministeren nuagter at tvinge borgerne til at afgive et ”frivilligt” samtykke til etbestemt privat firma (DanID), når dette samtykke reelt indebærerat det private firma kommer til at administrere borgernes digitale”identitet” (som den private nøgle reelt er).