Styrelsen for Undervisning og Kvalitet og Uddannelses- og Forskningsstyrelsen (UFS) har konstateret, at der på enkelte uddannelsessteder er implementeret automatiserede robotløsninger, som får adgang til SPS2005 ved at en eller flere navngivne medarbejdere på uddannelsesstedet har delt deres NemID medarbejdersignatur.
Derved overtrædes tre basale sikkerhedsmæssige krav:
- En NemID medarbejder signatur er personlig og må ikke deles mellem flere medarbejdere.
Det fremgår blandt andet af Nets´ hjemmeside, hvor der under overskriften ´Pas på dit NemID´ står:
´Uanset om du bruger NemID medarbejdersignatur med nøglekort eller nøglefil skal du holde din adgangskode hemmelig. Den må heller ikke deles med andre i virksomheden, hverken kolleger eller it-afdeling.´
Link til Gode råd om sikkerhed på nets.eu
- Når en enkelt medarbejders NemID medarbejdersignatur bliver brugt til alle opslag i SPS2005, er det ikke muligt at registrere, hvilken bruger, der har foretaget en konkret handling i SPS2005, for eksempel en søgning eller en opdatering.
- Ved brug af en enkelt medarbejders NemID medarbejdersignatur til alle robotløsningens opslag og opdateringer i SPS2005, kan vi ikke styre, hvilke oplysninger en given medarbejder får adgang til. Ved brug af en robotløsning vil samtlige brugere få adgang til alle de oplysninger, det anvendte medarbejdercertifikat giver adgang til.
Hvis institutionen har implementeret robotløsninger, som overtræder de tre basale sikkerhedskrav, skal de fjernes med det samme.
Hvis vi konstaterer, at der er implementeret robotløsninger, hvor flere brugere får adgang til SPS2005 ved at anvende den samme NemID medarbejder signatur, vil UFS øjeblikkelig lukke for adgangen til SPS2005.