Fakta eller fiksjon i BankID-saken?

Kodebrikken nevnes ikke

Den aktuelle fagfellevurderingen er, ifølge Nkom, unntatt offentlighet. I 2023 fikk jeg imidlertid innvilget innsyn i en sladdet versjon via Digdir, som initierte og var ansvarlig for fagfelleprosessen. Jeg nevner at rapporten selv eksplisitt sier at den ikke inneholder sensitiv eller konfidensiell informasjon.

Fagfellevurderingen er, slik jeg har forstått det, basert på beskrivelser av systemer og rutiner gitt av norske myndigheter og BankID. Rapporten beskriver en prosess for innrullering der innehaveren legitimerer seg enten i en bankfilial eller via postens nå nedlagte tjeneste for «utlevering med mottakskvittering» (PUM). Deretter får brukeren en app og to aktiveringskoder som sendes via to kanaler kunden har oppgitt (postadresse, e-post eller SMS). 

Det kan bety at BankID sin (betingede) godkjennelse på europeisk nivå er gitt på et ufullstendig grunnlag.

Marte Eidsand Kjørven
Professor, Institutt for privatrett, UiO

Kodebrikken er altså ikke nevnt i denne sammenhengen. Årsaken til dette fremgår ikke av rapporten, men én mulighet er at fagfellene ikke hadde informasjon om rutinene knyttet til aktivering av denne. Fagfellevurderingen tok dermed bare stilling til én spesiell form for innrullering.   

Den aktiveringsprosessen som er beskrevet i rapporten, ble vurdert å ikke oppfylle de rettslige kravene til nivå «høy». Dette ble begrunnet med følgende: For det første er forsendelse av aktiveringselementene i to usikre kanaler ikke tilfredsstillende. Minst ett av elementene må sendes i en sikker kanal, for eksempel via PUM eller ved personlig oppmøte. Men sikker forsendelse er heller ikke nok: Det må i tillegg iverksettes tiltak som sikrer at eID-en bare kan tas i bruk av rett innehaver. Faren for misbruk begått av personer i samme husholdning påpekes som en særskilt risiko som aktiveringsprosessen må ta høyde for. Kravet om forsendelse av minst ett element via en sikker kanal følger for øvrig også av Kommisjonens generelle veiledning knyttet til de aktuelle reglene. 

Godkjenningsgrunnlaget kan være ufullstendig

Det fremgår videre av rapporten at BankID lovet å endre prosessen for aktivering av BankID-appen slik at minst ett nødvendig element for aktivering sendes via en sikker kanal, som for eksempel PUM. På denne bakgrunn fikk BankID i 2022 en betinget godkjennelse på nivå «høy».

Buypass, som var gjenstand for samme fagfellevurdering, fikk for øvrig også mange kritiske merknader med forhold som måtte rettes.

Faktisk var omfanget av kritiske merknader til sikkerheten i både BankID og Buypass så stort at fagfellene fant grunn til å kommentere at de var bekymret for om Norge har et fungerende system for tilsyn og kontroll med eID-leverandørene. Norge ble anbefalt å gjennomføre en evaluering av tilsynssystemet. 

Vi kan rett og slett ikke vite hva som er fakta og hva som er fiksjon.

Marte Eidsand Kjørven
Professor, Institutt for privatrett, UiO

Det er på denne bakgrunn riktig at fagfellevurderingen som sådan ikke stiller et eksplisitt krav til forsendelse av kodebrikken. Et betimelig spørsmål er imidlertid om dette skyldes at man fra norsk side ikke beskrev rutiner for utstedelse og bruk av kodebrikke og derfor heller ikke fikk en vurdering av disse. Dersom dette er tilfelle, er det i seg selv svært alvorlig idet det kan bety at BankID sin (betingede) godkjennelse på europeisk nivå er gitt på et ufullstendig grunnlag.

Det er også riktig at reglene ikke stiller eksplisitte krav til at kodebrikken som sådan må utleveres med fysisk oppmøte. Kravet om en aktiveringsprosess som «kontrollerer» at eID-en ikke havner hos uvedkommende, tolket i lys av ordlyden og Kommisjonens veiledning, innebærer imidlertid krav om at minst ett element sendes via en sikker kanal. Vanlig post oppfyller ikke dette kravet. Dersom kodebrikken skal sendes i vanlig post, må altså et annet element (eks. aktiveringskode) sendes i en sikker kanal.

Fakta eller fiksjon?

Hva som deretter har skjedd; hvilke endringer BankID og Buypass har iverksatt, om og hvordan Digdir og Nkom har fulgt opp saken, har vi ikke annet enn partenes ord for – ettersom relevante dokumenter gjennomgående unntas offentlighet.

Når både fagfellevurderinger, rutinebeskrivelser, søknader om dispensasjoner fra sikkerhetskrav og myndighetenes egne vurderinger i stor grad hemmeligholdes, blir det i praksis umulig å etterprøve, eller overhodet ha en meningsfull diskusjon, om hvorvidt systemene er sikre nok – både faktisk og rettslig. I en infrastruktur som hele samfunnet er avhengig av, er det et problem i seg selv.

Vi kan rett og slett ikke vite hva som er fakta og hva som er fiksjon.