Udbud køres i stilling: Det nye NemID – kaldet MitID – har et budget på 900 millioner kroner

Digitaliseringsstyrelsen løfter nu sløret for budget og ambitioner for fremtidens NemID, kaldet MitID.

Fremtidens NemID, kaldet MitID, som skal udvikles over de kommende år, har et budget på 900 millioner kroner.

Udbud af MitID »Udbuddet vil omhandle anskaffelse, implementering, vedligeholdelse herunder løbende opdatering, drift samt videreudvikling af en for samfundet ny kritisk national identitets- og autentifikationsløsning (betegnet MitID) til identifikation af fysiske personer og udstedelse af digitale identiteter med tilhørende akkreditiver.« Kilde: Digitaliseringsstyrelsen

Det fremgår af en såkaldt forhåndsmeddelelse som er offentliggjort på Den Europæiske Unions Tidende af Digitaliseringsstyrelsen.

Der er formentlig tale om Danmarks største it-løsning, som ifølge tidligere udmeldinger fra Digitaliseringsstyrelsen vil være klar i 2019-2020.

Ifølge meddelelsen vil den omfatte ca. 6-9 mio. aktive registrerede slutbrugere eller identiteter, og cirka 1 milliard anmodninger om autentifikation per år.

MitID ifølge Digitaliseringsstyrelsen Ændrer sig på en række parametre: MitID bliver en fælles, national identitets- og autentifikationsløsning, der består af en identitetskerne til at understøtte autentifikation og livscyklushåndtering for digitale personidentiteter. Via såkaldte identitetsbrokere ("brokere") kan kernen anvendes af offentlige aktører, banker og andre private tjenesteudbydere

MitID-personidentiteter er ikke længere nødvendigvis certifikatbaserede (PKI)

Eksterne parter (brokere) vil kunne certificeres til at lave deres egne klientløsninger med slutbruger-autentifikation Får en mere fleksibel sammensætning: Brug af anerkendte standarder og snitflader skal sikre god kobling mellem elementerne i infrastrukturen

Løbende tilpasning til nye behov og nye, teknologiske muligheder prioriteres højt

Dokument- og transaktionssignering håndteres individuelt af parterne i MitID-partnerskabet Har fokus på god brugeroplevelse – også på langt sigt: Platformene skal løbende tilpasses brugerne. Præcis hvordan er ikke fastlagt endnu, men i første omgang kommer formentlig både en mobil- og en fysisk erstatning af NemID-nøglekortet

Nye muligheder for at håndtere særlige behov, fx brugere med handicap og brugere, som skal autentificere sig mange gange om dagen

Forskellige sikringsniveauer sikrer lettere adgang til ikke-følsomme data.

Og ambitionen er ifølge Digitaliseringsstyrelsen, at MitID kan det samme som NemID, men dog er »mere brugervenligt, fleksibelt og fremtidssikret.«

Yoel Caspersen, der er direktør for internetudbyderen Kviknet og blogger på Version2, er kritisk over for, at staten overlader en digitaliseringsløsning, der er så central for det danske samfund, til det private marked:

»Selve udbudsprocessen er garant for, at systemet stiger i både pris og kompleksitet, og det virker fra min stol vanvittigt, at man vil outsource kontrollen med samtlige borgeres identitet til et privat firma – men det er jo den måde, man har kørt det på de sidste mange år,« siger han.

»Ideelt set burde man i stedet danne en offentlig organisation med 10-20 dedikerede og vellønnede udviklere opdelt i små hold med 4-5 personer i hver, som kan håndtere hver sin del af grundsystemet,« siger han.

Private virksomheder kunne altid få adgang til at lave slutbrugerløsninger via API, mens selve grundsystemet bør altså være på offentlige hænder, supplerer han.

Central løsning øger sårbarhed

Internetaktivist og datalog Christian Panton hæfter sig ved, at Danmarks nationale ID-løsning stadig bliver meget centralt opbygget:

»Det er bekymrende at der tilsyneladende igen udbydes et centraliseret login-system, på trods af at det har alle byggeklodserne til at være decentralt. Med NemID var byggeklodsen PKI og nu er byggeklodsen identitets-brokerne.«

»Centraliseringen af NemID gav en række ulemper, fx har vi set at det kunne blive ramt af DDOS angreb og nedetid en efterårsferie pga. en Java-opdatering«, siger han.

Digitaliseringsstyrelsen har allerede indgået et partnerskab med de danske banker i form af et datterselskab til Finans Danmark, om at anskaffe og stille MitID til rådighed for hele den offentlige og private sektor i Danmark.

Partnerskabet indebærer bl.a., at MitID, ligesom NemID, bliver anvendt af bankerne, så de ikke udvikler hver deres – og så MitID ikke alene er brugbart til offentlige hjemmesider.

Desuden betyder partnerskabet af bankerne er med til at betale udviklingsarbejdet.

3. part kan udvikle klientløsninger

Blandt de konkrete forandringer, som nu luftes med MitID, er at eksterne parter (brokere) vil kunne certificeres til at lave deres egne klientløsninger med slutbruger-autentifikation.

Det kan handle om, at EUs regler for API imod den centrale MitID ‘motor’ gør, at det bliver langhåret og papirtungt at implementere og certificere – og dermed umuligt for en lang række parter, fx webshops.

Ved at indskyde brokers som mellemlag slipper man for, at den enkelte webshop skal forholde sig direkte til dette regelinferno.

Yoel Caspersen mener, det er positivt, at den nye løsning tilsyneladende åbner for udvikling af tredjeparts-løsninger til slutbrugere.

»Det vil nok primært være her, at udviklingen løber stærkt. Et problem ved den nuværende løsning er, at man som slutbruger ikke kan verificere autenciteten af det website, hvor man indtaster sine credentials til NemID – og det fremgår umiddelbart ikke, hvordan man vil sikre dette ved tredjeparts slutbruger-løsninger,« siger han.

Senere på året går udbuddet - dvs. jagten på en udvikler af løsningen - i gang.