Politikere raser efter NemID-afsløring

Vi skal have mere fokus på sikkerheden i samfundskritiske IT-systemer, mener flere partier.

Fra 22-26. juni kunne over en million danskere ikke tilgå vigtige tjenester som borger.dk og skat.dk. Det førte blandt andet til, at folk ikke kunne registrere biler, og advokater ikke kunne lave deres arbejde. (Foto: © Christian Lindgren, Christian Lindgren/Ritzau Scanpix)

- Jeg er rasende over, at det her er sket. Det svarer til, at man ikke laver nogen brandøvelser overhovedet nogensinde.

Sådan lyder det fra SF’s it-ordfører Lisbeth Bech-Nielsen.

Udmeldingen kommer efter DR Nyhedes afsløringer af, at der ikke var godt nok styr på sikkerheden forud for et historisk stort nedbrud af NemID i juni måned.

En ekstern analyse, som DR har fået delvist aktindsigt i, viser, at firmaet bag NemID, Nets, ikke overholdt deres egne sikkerhedskrav op til nedbruddet.

Blandt andet havde de ikke testet den nødprocedure, der skulle træde i kraft og genoprette driften, i hele to år inden it-nedbruddet.

Nedbruddet varede i fem dage og førte til, at mindst halvanden million danskere ikke kunne komme på eksempelvis Borger.dk, Sundhed.dk og E-boks.

- Jeg synes, det er ekstremt kritisabelt. Det er tydeligt, at vi som land kan blive lagt ned, når vores it-infrastruktur bliver angrebet, eller når der bliver sjusket med det. Og der har Nets ikke været sin opgave voksen, siger Lisbeth Bech-Nielsen.

Hos Venstre tager IT-ordfører Christoffer Aagaard Melson også afsløringerne seriøst.

- Det skal vi selvfølgelig have kigget på, og vi skal sørge for, at det bliver undgået i fremtiden, eller at skaden i hvert fald ikke bliver lige så stor, siger han.

Dansk Folkeparti og Moderaterne kritiserer også Nets håndtering af sikkerheden op til nedbruddet.

- DR’s afsløring af Nets manglende kontrol af driftssikkerheden understreger jo, at digitaliseringen er en skandale, skriver Pia Kjærsgaard i et skriftlig svar til DR.

Ekspert: ’Der tegner sig et mønster’

Nets har erkendt fejlen og forsikrer nu, at der rettet op på tingene.

Men NemID-nedbruddet er langt fra det eneste eksempel på, at leverandører af kritiske IT-systemer ikke lever op til basale sikkerhedsforanstaltninger.

For knap en måned siden holdt alle DSB-tog stille. Noget der viste sig, at skyldes, at lige præcis en nødprocedure ikke fungerede.

Og i starten af november kom statsrevisorerne med en omfattende kritik af tretten hemmeligholdte samfundskritiske it-systemer, fordi der ikke var implementeret tilfredsstillende reetableringsplaner - altså nødprocedurer.

Tilsammen tegner de tre eksempler et klart mønster for Thomas Lund-Sørensen, der i ni år var chef for Center for Cybersikkerhed - den øverste myndighed i Danmark, når det kommer til at forebygge cyberangreb mod myndigheder og virksomheder.

- Når man har samfundskritiske it-systemer, så skal man teste, om man kan få dem genoprettet, hvis de bliver udsat for et nedbrud eller et hackerangreb. Det her tegner et billede af, at man simpelthen ikke tager det alvorligt nok, siger Thomas Lund-Sørensen.

Det er noget, der bliver yderligere nødvendiggjort af, at det politiske klima i Europa i den grad har ændret sig.

Thomas Lund-Sørensen er tidligere chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Han er nu partner i rådgivningsfirmaet Macro Advisory Partners (Foto: © NIELS AHLMANN OLESEN, Scanpix Denmark)

- Jeg synes, at det er meget alvorligt, fordi vi står i en anden situation i dag, end vi gjorde for to år siden.

- Der er krig i Europa, gasledninger bliver saboteret i Østersøen, vi mangler energi, og vi er i det hele taget i en meget mere sikkerhedspolitisk udsat situation, end vi var for bare ganske få år siden, forklarer Thomas Lund-Sørensen.

Mere politisk fokus på sikkerheden

Det samlede billede får Thomas Lund-Sørensen til at efterspørge et øget politisk fokus på svaghederne i vores it-infrastruktur.

Og det er Venstre, SF, Dansk Folkeparti og Moderaterne enige i. Jakob Engel-Schmidt (M) mener, det bør have en form for økonomisk konsekvens, hvis ikke man lever op til reglerne om sikkerhed.

- Det er Moderaternes holdning, at den finansminister, der får ansvaret for Digitaliseringsstyrelsen, sørger for, at enhver privatleverandør, der driver kritisk infrastruktur, bliver ansvarlig, også økonomisk, for fejl og nedbrud, der kunne have været undgået, siger han.

Hvilke konsekvenser, det præcis skal have for Nets, er lige nu for tidligt at sige, mener Lisbeth Bech-Nielsen fra SF:

- Men det kan ikke fortsætte på den her måde. Vi kan ikke have et firma, som gambler med vores sikkerhed og kan lægge hele it-infrastrukturen ned. Der skal ske noget.

Digitaliseringsstyrelsen har ikke ønsket at stille op til interview. Men de skriver i en skriftlig kommentar, at Nets hverken har levet op til sit ansvar eller formået at følge egne procedurer.

- Det ser Digitaliseringsstyrelsen på med den største alvor. Nets har ikke levet op til de krav, som er blevet stillet til dem som leverandør af NemID, lyder det blandt andet i svaret.

Det har ikke været muligt at få en kommentar fra fungerende finansminister Nicolai Wammen, hvis ministerium har ansvaret for Digitaliseringsstyrelsen. Det skyldes de nuværende regeringsforhandlinger.

Den undskyldning giver Pia Kjærsgaard dog ikke meget for:

- Det er en skandale, at regeringen nu efter de seneste DR-afsløringer gemmer sig bag en syg undskyldning om, at der er regeringsforhandlinger.

- Finansministeren bliver nødt til at orientere Folketingets partier om situationen, hvor længe han har kendt til situationen og ikke mindst, hvad han har gjort, så danskerne ikke endnu engang skal stå med håret i postkassen og være fanget i myndighedernes morads.