Hovedhjørnestenen

Walther H Diechmann -

Den aktuelle dialog om digital suverænitet tog vel strengt taget en drejning af nærmest bibelske dimensioner, her til morgen - da jeg åbnede min indbakke kunne jeg nemlig læse: MitID er afhængig af USAs tech-giganter. I mit hoved blev det til at vi har valgt den forkerte tro.

TL;DR; der er behov for en åben kilde løsning til integration af 2 systemer (maskin-til-maskin) hvor godkendelse er et krav.

Tillid er en altoverskyggende kvalitet, i et samfund, såvel som i en økonomisk transaktion mellem 2 parter, eller derhjemme i ægteskabet (eller hvilket forhold I nu lever under). IRL (nydansk for i virkeligheden) bruger du din "mavefornemmelse", når du står og overvejer, om den her kebab nu også er "frisk" – der er mange overvejelser som vejer ind: sult, tidspunkt på døgnet, alternativer, mm. Denne 'fornemmelse' styrkes i mange sammenhænge af biometriske artifakter, her især 2: øjenkontakten og håndtrykket. Digitalt har du meget mindre at arbejde med. Du kan (og det er blevet så meget mere relevant de seneste år, desværre) browse sælger for at se om der skulle være spor som peger på, at det er et scam; et forsøg på en erstatning for øjenkontakten. Du forlader dig på de forsikringer, som udstyret kommer med, efter at have indledt dialogen med et hand-shake; en digital version af håndtrykket, hvor sælgers maskine og din enes om 2 ting, at begge er den, de udgiver sig for at være, og hvilken protokol dialogen skal følge (en slags aftale om hvilket sprog, der skal tales).

MitID er det seneste bud på, hvor danskere skal håndtere etableringen af dette krav/behov for tillid, digitalt. Vi taler her om essensen af kritisk infrastruktur, der er afhængig af app-stores (der hvor app'en kan hentes og installeres fra). Det er imidlertid ikke den eneste infrastruktur, som dette værktøj er afhængig af. Driften og udviklingen ligger i hænderne på en fransk virksomhed. Transporten af data sker på udstyr, der for en stor dels vedkommende er produceret i Kina (hvad er efterhånden ikke det?), med protokoller og styremekanismer, der på øjeblikke kan dirigere al trafik omkring eksempelvis NSA, og som drives af et par håndfulde virksomheder, her især TDC (ejet af en australsk kapitalfond), Telia/Telenor/Norlys (stærke indbyrdes kapitalinteresser, men Norlys er ejet af 800.000 el-kunder - et andelsselskab), og 3 (overvejende HongKong baseret konglomerat).

I den 'suppe' virker det lidt Ulven kommer agtig at skyde "skylden" på Apple og Google!?

Har vi teknologien og "kræfterne" til at sikre en reel digital suverænitet på dette punkt? Både ja og nej.

Ja; fordi etableringen af et statsligt ejet teleselskab er lykkedes én gang tidligere - i slutningen af 1800-tallet, fordi vi har stærke kræfter indenfor udviklingen af optisk transmission af data, fordi landets topografi tillader etablering af "luftbåren" kommunikation relativt omkostningsnådigt, og fordi vi har et højt niveau indenfor forskningen i, og anvendelsen af kryptografi.

Nej; fordi Danmark er en del af EU og derfor "tvunget" til at gennemføre en række EU direktiver og her således eksempelvis eIDAS (910/2014) og det vil derfor være kontraproduktivt at udvikle et særskilt dansk værktøj, og MitID er efter Digitaliseringsstyrelsens udsagn således allerede i stand til at servicere borgere fra andre landes behov for at identificere sig med deres tilsvarende eID. EU har i øvrigt udgivet 2 glimrende PDF'er, som i meget overskuelige illustrationer giver dig et hurtigt overblik over hvordan du kommer igang, og hvilke værktøjer der potentielt ligger i værktøjskassen.

Men plejer du ikke at bjæffe 'open source' ved enhver lejlighed? Det har denne post ikke meget af?!

MitID kan man mene meget om – og det skal man helt sikkert også, men bortset fra et helt åbenlyst behov for en dyb integration til brugerens fortrukne browser, fungerer værktøjet efter hensigten; til konsumenter. Der findes danske MitID-brokere (som kan tilbyde at løfte en del af opgaven med at integrere løsninger med behovet for authentication [godkendelse af at du er den du siger du er]). Maskine-til-maskine er en noget andet størrelse.

Og her kommer så et par bjæf! For agentic behaviour (opførsel på dine vegne) vil uden al tvivl komme til at fylde for såvel private virksomheder som offentlige ditto, og med rette, for arbejdet med at udveksle data mellem systemer, baseret på at en medarbejder skal sidde og håndstyre det, er svær at forestille sig i 2025. IT industriens seneste forsøg på at finde et fælles fodslaw omkring udveksling af data har udmøntet sig i MCP (ja, branchen er om nogen tynget af et overdrevent brug af TLA's [Three Letter Acronyms] 😎), der lover at give AI (agenter) adgang til at bruge/fjernstyre et system og data – og i den kontekst vil MitID i øjeblikket være en kæp i hjulet (jeg underholder gerne med, hvordan en jysk bank har løst opgaven).

Så, i min kikkert er der et tydeligt behov for at Digitaliseringsstyrelsen udbyder en opgave, der kunne hedde: Fremstilling af en åben kilde løsning til integration af 2 systemer (maskin-til-maskin) hvor godkendelse, der overholder 910/2014, og mere snævert, MitID (eller dennes kommende afløser), er et krav. Så er det op til markedskræfterne at konkurrere om at levere den bedste og billigste drift.