Criipto: Kun få steder er der behov for national digital infrastruktur - MitID er ikke iblandt

Der er kun på få områder et reelt behov for central, national digital infrastruktur. MitID skulle eksempelvis aldrig være blevet så vigtigt, som det er endt med at være, skriver Niels Flensted-Jensen.

I Danmark har vi en lang tradition for, at det offentlige ejer infrastruktur af tilgængelighedsmæssige, sikkerhedsmæssige eller endda bevidste politiske årsager.  

Når det kommer til digital infrastruktur, har offentligt ejerskab primært været baseret på et ønske om stordriftsfordele.  

Der er kun få steder et reelt behov for central, national digital infrastruktur. Og da er det ikke af sikkerhedsmæssige årsager, men som oftest ud fra et krav om lige adgang for alle. 

Aula er hverken infrastruktur eller kritisk 

Er det for eksempel en god idé fra et sikkerhedsmæssigt eller tilgængelighedsmæssigt synspunkt, at Aula, skolernes allestedsnærværende kommunikationsplatform, skal være en central, national løsning? 

Kunne man derimod forestille sig, at det sikkerhedsmæssigt vil være meget bedre, hvis hver kommune købte den løsning, som lærere og elever foretrak ud fra økonomiske, funktionelle og brugervenlighedsmæssige krav?  

Aula er på ingen måde infrastruktur og bør ej heller være national, bortset fra at det skaber fælles identitet for forældre på tværs af landet at have en fælles brokkereferenceramme. På samme måde som det var tilfældet med Danmark Radios TV-kanal indtil 1988, hvor TV2 gik i luften. 

Aula er et eksempel på misforstået offentligt ejerskab. 

Digital Post er kritisk infrastruktur, vi mangler 

Det andet eksempel er Digital Post. Et postvæsen, der bringer post ud til alle, uafhængigt af hvor de bor, og uafhængigt af hvilken postkasse de har (bare den er godkendt). 

Så hvordan klarer Digital Post så det; kan borgerne få al deres post leveret i en postkasse efter eget valg? Nej, det kan de ikke, fordi staten er snublet på halvvejen. Man har netop ikke identificeret, hvad der er – national – infrastruktur, nemlig udbringning af post, og hvad der er valgfrit, nemlig valget af postkasse.

Man har godt nok taget et halvt skridt ved at tillade borgerne at benytte en valgfri godkendt digital postkasse (kaldet en "visningsklient") – men desværre kun til post fra det offentlige.  

Private postafsendere derimod, virksomheder som banker og telefonselskaber, er forment adgang til dette digitale postvæsen. I stedet må en privat afsender indgå en aftale med en digital postkasse efter afsenderens og ikke borgerens valg, og så er det dér, deres kunde må læse sin post. 

En anden afsender indgår derimod aftale med en anden digital postkasse, hvorefter borgeren så også må huske at læse post der. Det svarer til, at man havde flere forskellige fysiske postkasser ved sin havelåge, fordi afsenderne og deres valgte postudbringere havde ukendte og irrelevante præferencer for hver deres fabrikat af postkasse. 

Digital postdistribution burde være national infrastruktur, så alle borgere kan modtage digital post på deres foretrukne måde. 

MitID skulle aldrig være blevet kritisk infrastruktur 

MitID er yderst kritisk infrastruktur, og et angreb på MitID er et angreb på alle de øvrige offentlige ydelser inklusiv ovennævnte Aula og Digital Post. 

Sikkerhed i forbindelse med MitID betyder, at ingen kan overtage min identitet. Og sikkerhed for MitID betyder også, at ingen kan ødelægge infrastrukturen, så jeg ikke kan bruge min identitet og dermed afskære mig fra samtlige digitale ydelser i Danmark. 

{{toplink}}

MitID er i dag centraliseret og samlet hos Nets, fordi Digitaliseringsstyrelsen og bankerne vurderede, at en stor udfordring kræver et stort centralt projekt. Men fra et sikkerhedsmæssigt synspunkt er centralisering af MitID ikke svaret. 

Retfærdigvis skal det siges, at man med MitID forsigtigt har introduceret, hvad der på overfladen ligner decentralisering og konkurrence, nemlig mellemhandlere i form af "MitID-brokere". (Undertegnede er direktør for en sådan MitID-broker.) Men som med Digital Post er der ingen konkurrence om brugernes gunst, kun om virksomhedernes gunst. 

Den rigtige, decentrale løsning – som vi også nok skal få i en eller anden form inden for de næste fem til 10 år – vil ikke være baseret på MitID's centrale infrastruktur i forbindelse med den daglige adgang til digitale tjenester.  I stedet vil MitID allerhøjst være relevant i forbindelse med udstedelse af digitale ID-kort, som efterfølgende kan bruges til login – uafhængig af en central infrastruktur. 

Det sidste er dog fremtidsmusik for MitID, som indtil da, i kraft af sin centralisering, udgør den markant største sårbarhed i vores fælles digitale infrastruktur. 

Forrige artikel Virksomhed: Vi er nødt til at udvide diskussionen om hackerangreb til også at inkludere OT-sikkerheden Virksomhed: Vi er nødt til at udvide diskussionen om hackerangreb til også at inkludere OT-sikkerheden Næste artikel Lektorer: Nyt, digitalt værktøj kan gøre det nemmere at forstå dansk kulturliv. Men der er også faldgruber Lektorer: Nyt, digitalt værktøj kan gøre det nemmere at forstå dansk kulturliv. Men der er også faldgruber