Nets DanID afviser: Studerende må ikke se kildekoden til NemID

Nets DanID afviser to datalogistuderendes anmodning om at se kildekoden til NemID, selvom virksomheden før har lovet at vise koden frem ved seriøse henvendelser.

I to tilfælde har datalogistuderende fra Københavns Universitet ansøgt om at få lov til at se kildekoden til NemID's Java-applet, men begge gange har NemID-firmaet Nets DanID afvist.

Nets DanID begrunder i begge tilfælde afvisningen med, at de studerendes begrundelse for at se koden ikke anses som væsentlig nok.

»Jeg ser det bare som en måde at affeje os på. Jeg ser det ikke som en seriøs afvisning af os, men mere som en afvisning af generel karakter,« skriver den ene af de to studerende, Mathias Svensson, i et e-mailsvar til Version2.

Nets DanID har ved to lejligheder oplyst, at selskabet er villig til at lade uafhængige parter se på kildekoden under kontrollerede forhold.

Version2 spurgte i august 2010 DanID, om det var muligt at få kildekoden at se, og Version2 gentog spørgsmålet i november 2011. Her oplyste Nets DanID, at selskabet fortsat var villigt til at vise koden frem, hvis selskabet modtog seriøse henvendelser.

Både Mathias Svensson, som læser datalogi på Datalogisk Institut ved Københavns Universitet på tredje år, og Johan Brinch, som blev færdig som kandidat i april fra samme sted, ansøgte med den begrundelse, at de ønskede at se koden efter for at identificere mulige sikkerhedshuller.

Johan Brinch uddybede desuden sin motivation med et ønske om at få syn for, hvilken kode der køres på borgernes pc'er.

Nets DanID vurderede ifølge afslaget ikke, at de to henvendelser var tilstrækkelig væsentlige ud fra de begrundelser, som de to havde givet for ansøgningen.

I 2010 var Nets DanID imidlertid villige til at lade IT Politisk Forening se på kildekoden, men det tilbud afviste foreningen blandt andet ud fra den betragtning, at der ikke ville være nogen garanti for, at der efterfølgende ikke ville blive ændret i appletten.

Pressechef i Nets DanID, Søren Winge, bekræfter over for Version2, at de to ansøgninger er blevet afvist, men havde ved redaktionens slutning ikke uddybet begrundelsen for afvisningen.

De skriftlige afslag lød til Mathias Svensson fra en sikkerhedskonsulent hos Nets:

Vi takker for din interesse for NemID.

Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resourcerr, som er nødvendige fra vores side.

Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.

Og det næsten enslydende svar samme dag til Johan Brinch fra Nets DanID's servicedesk:

Vi har haft din sag oppe og vende hos vores sikkerhedseksperter, som har givet følgende svar:

Vi takker for din interesse for NemID. Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resurser, som er nødvendige fra vores side.

Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.

Med en ekstra tilføjelse et par linjer længere nede:

Vi beklager, men det kan desværre ikke lade sig gøre