Nets har nu færdiggjort en grundig analyse af det hændelsesforløb, som var årsag til, at NemID i en periode fra tirsdag den 21. juni til søndag den 26. juni ikke fungerede på normal vis, og hvor driften først efter flere dages intensivt arbejde igen kunnenormaliseres.
Analysen konkluderer, at det ikke var et udefrakommende angreb eller en ondsindet handling, der var årsagen til driftshændelsen. Hændelsen blev udløst af en menneskelig fejl, hvorefter flere følgende hændelser bidrog til at øge omfang og længde af driftsforstyrrelsen.
Driftsforstyrrelsen opstod i forbindelse med en applikationsfejl under en systemopdatering, hvor det som følge deraf ikke var muligt at genskabe en database og dermed gendanne den ramte server. Det påvirkede den del af brugerne, hvis NemID certifikat blev afviklet via denne database. De funktions- og virksomhedscertifikater, som databasen også afviklede, der anvendes af visse offentlige og private tjenesteudbydere, var ligeledes utilgængelige for brugere, imens driftsforstyrrelsen stod på.
Som følge af driftshændelsen forsøgte flere af de berørte borgere gentagne gange at logge ind med MitID på offentlige tjenester. Det skabte uventet øget trafik og fik Nets sikkerhedssystemer til at afvise trafik i en periode.
Da processen med at gennemføre en såkaldt "Disaster Recovery" af NemID-systemet ikke forløb planmæssigt, fik Nets etableret en midlertidig server med de manglende certifikater. Det gjorde, at alle dele af NemID fra om eftermiddagen den 25/6 var normaliseret for langt de fleste brugere.
Et grundigt analyseforløb og forebyggende foranstaltninger
Nets har, i forlængelse af at driften af NemID blev normaliseret, foretaget en grundig analyse, som er blevet valideret og suppleret af en uvildig ekspert, EY, for både at kunne afdække hændelsesforløbet og identificere relevante forebyggende tiltag, der kan bidrage til at gøre NemID-systemet mere robust. Nets har siden hændelsen foretaget en række tekniske ændringer, der bedst muligt sikrer, at den samme situation ikke vil kunne opstå igen og føre til et så langstrakt forløb med vedvarende driftsustabilitet.
"Vi er meget kede af de konsekvenser, dette nedbrud fik for borgere samt offentlige og private tjenesteudbydere, og vi har siden taget en række forholdsregler for at sikre, at et tilsvarende forløb ikke kan opstå igen og ramme driften på NemID i så lang en periode. Det har været vigtigt for os at foretage en grundig analyse af hele forløbet, og med hjælp fra en uvildig ekspert også afdække, hvilke tiltag vi yderligere kan overveje for bedst muligt at sikre en fortsat sikker og stabil drift af NemID," siger landechef i Nets Danmark, Torsten Hagen Jørgensen, som også er adm. direktør for Nets Issuer & eSecurity Services.
Udover de tiltag, der er foretaget, peger analysen på forbedringsforslag, som Nets nu er i færd med at implementere eller vil påbegynde.
NemID-løsningen er generelt en sikker løsning, der historisk set har fungeret stabilt med en meget høj oppetid. NemID og MitID er grundlæggende forskellige løsninger. En hændelse som den, der ramte NemID, vil derfor ikke på samme måde kunne ramme MitID. I forbindelse med gennemførelsen af planen for forbedringstiltag vil Nets dog vurdere, hvorvidt de anbefalinger, der relaterer sig til Nets' it-governance, også har relevans for MitID, og om forbedringer på dette område samtidig kan være med til yderligere at styrke robustheden omkring MitID.
Kontakt til Media Relations Nets
Telefon: +45 29 48 26 46
