Coronapassets dage er talte. Processen omkring udviklingen af appen har dog kastet en masse spørgsmål af sig, som ITWatch har dækket igennem de seneste uger.

Coronapasset blev første gang nævnt som projekt i Digitaliseringsstyrelsen og Sundhedsdatastyrelsen i februar måned. Det gik stærkt.

Allerede i starten af marts havde styrelserne indkaldt Netcompany, Visma, IBM til en markedsundersøgelse, hvor de tre virksomheder fremviste eksempler på, hvordan en app kunne se ud.

Netcompany fremviste et concept-app, som de havde udviklet i samarbejde med det britiske sundhedsvæsen, NHS, mens IBM fremviste en app, som de havde udviklet til staten New York i USA:

Visma fremviste deres tidligere udviklede apps til det digitale kørekort og digitale sundhedskort som grundlag for en fremtidig coronapas-app.

Netcompany løb med sejren

Efter en ganske kort evalueringsproces endte Netcompany med at vinde opgaven, der blev udbudt via direkte tildeling på SKI-rammeaftalen 02.17.

Netcompany var hverken bedst eller billigst, men lå sammenlagt til at have det bedste forhold mellem pris og kvalitet.

Den bedste på kvaliteten var Visma, mens den bedste på prisen var freelance-konsulenthuset Right People.

På en absolut bundplacering landede IBM, der ud fra evalueringsmaterialet at dømme ikke har erfaring med udvikling af mobile apps.

Derudover benyttede IBM sig ikke har den foretrukne projektledelsesmetode.

"IBM (red.) beskriver en utilfredsstillende opfyldelse af projektledelseskriteriet (red.), da kendskabet til agile metoder herunder fx SCRUM, der vil være afgørende for projektet, kun let beskrives, og at IBM (red.) konsekvent vælger at benytte egenudviklet projektledelsemetode," lød det i evalueringen.

Fuld af bekymringer

Processen gik så hurtigt, at der flere gange blev truffet beslutninger, som affødte bekymringer hos både medlemmer af digitaliseringsstyrelsen advisory board og hos sikkerhedseksperter hos Statens Serum Institut.

Blandt andet var Camilla Gregersen, der er medlem af Dataetisk Råd og formand for akademikernes fagforening DM, hurtigt ude med kritik af valget om at bruge QR-kode i appen.

QR-koden fyldte for meget, var for nem at kopiere og tog fokus fra de vandmærker og skiftende farver, der skulle sikre appen mod misbrug.

"Det er desværre gået præcis, som jeg forudså, nemlig at QR-koderne bliver fotograferet og delt. Det er et sikkerhedshul, og det advarede jeg imod, dengang vi talte om design af løsningen," skrev Camilla Gregersen i en mail til resten af styrelsen advisory board.

Det var en kritik, som Jacob Herbst, der er sikkerhedsekspert i sikkerhedsfirmaet Dubex, enig i.

"Animationen i det nuværende vandmærke er alt for usynlig til at have nogen effekt i forhold til kontrol," skrev han.

Yderligere var der listen lang række af bekymringer fra en intern sikkerhedsspecialist i Statens Serum Institut, der i en lang sikkerhedsvurdering havde tænd flere advarselslamper.

"Det vurderes dog, at risikoen forbundet med fejl og compliance-risikoen fortsat vil være høj, selvom der er foretaget [og] implementeret foranstaltninger, hvilket i høj grad skyldes usikkerhed og hastværk," lød det i rapporten.

Snyd med app

SSI var konkret nervøse for, om der kunne være forsøg fra hackere på identitetstyveri.

Det blev dog i første omgang Camilla Gregersen og Jacob Herbst, der fik ret.

Allerede få dage efter lanceringen af appen kunne ITWatch berette om snyd med QR-koderne.

Peter Kruse fra sikkerhedsfirmaet CSIS havde observeret, at der på sociale medier blev solgt screenshots af coronapasset, som så blev solgt videre.

"Det går lynhurtigt. Henover weekenden har vi allerede set de første eksempler på danskere, der sælger QR-koder i lukkede grupper på sociale medier. Det bliver misbrugt allerede," udtalte sikkerhedseksperten Peter Kruse

Den tidligere tv-vært Signe Lindkvist udtalte også på det tidspunkt, at hun i en kø til et arrangement overhørte unge mennesker tale om, at det var det, "de unge mennesker gjorde".

Mens løsningen blev tydeligere vandmærker og QR-koder, der skifter hver time, så havde sikkerhedseksperten Peter Kruse et helt andet løsningsforslag.

"Man kunne jo have indbygget i appen, at den skulle trække et billede af brugerne fra fx kørekort-appen. Man skulle jo gerne kunne identificere brugeren," sagde Peter Kruse til ITWatch.

Interne dokumenter afdækker lynproces: Så hurtigt gik udbud af coronapas

Visma tabte på prisen i coronapas-lynudbud

Coronapas blev lanceret trods advarsler om snyd

SSI havde store bekymringer ved coronapas-app

Sikkerhedsselskab: Der snydes nu med coronapasset