Forsker om BankID: – Dette er et problem myndighetene har skapt selv

Et stort antall offentlige tjenester er avhengig av den private løsningen BankID, på tross av at denne har kjente sikkerhetshull og i verste fall kan bli nesten ubrukelig. – Staten sitter fast i sin egen BankID-floke, mener jusprofessor Marte Eidsand Kjørven.

Jusprofessor Marte Kjørven mener sikkerhetsavviket i BankID må løses. Foto: Universitetet i Oslo

Anne Sofie Lid Bergvall

Nisjeredaktør, Altinget Digital

Altinget fortalte før påske at flertallet av BankIDs 3,8 millioner app-brukere må identifisere seg på nytt. I verste fall kan tjenesten bli nesten ubrukelig til offentlige tjenester, som krever et høyt sikkerhetsnivå.

Dette skyldes et kjent sikkerhetshull avdekket i 2022. Norske myndigheter ble pålagt av EU å tette dem, men fire år senere er de fortsatt ikke lukket.

Digdir stiller krav til – og forutsetter – at leverandørene av eID-tjenester tilfredsstiller høye sikkerhetskrav, mens det er Nkom som fører tilsyn med at sikkerhetskravene oppfylles.

Nå kan det tenkes at det står mellom to alternativer: Enten må Nkom gi dispensasjon til avvik fra sikkerhetskravene, eller så må tjenestene degraderes til et nivå som ikke er tilstrekkelig for mange offentlige tjenester.

Les også

Ber nesten 2000 offentlige virksomheter forberede seg på at BankID kan bli nedgradert

– eID er kritisk digital infrastruktur. Vi har basert hele samfunnet vårt på bruk av eID for tilgang til både offentlige og private tjenester.

Det sier jusprofessor ved Universitetet i Oslo, Marte Eidsand Kjørven.

I 2022 ble det avdekket sikkerhetshull i BankID-løsningen. Forrige uke fortalte Altinget om hvordan norske myndigheter ble pålagt av EU å tette dem, men fire år senere er de fortsatt ikke lukket.

Nå ber Digdir eID-leverandørene dokumentere at tjenestene deres oppfyller kravene til høyeste sikkerhetsnivå.

For Stø, som eier BankID, betyr det at de enten må få en dispensasjon fra kriteriene fra Nkom, eller så må de nedgraderes til et lavere sikkerhetsnivå, og dermed bryter de med avtalen med Digdir. I verste fall må Stø stenge BankID for brukere som ikke klarer å identifisere seg på nytt.

– Dette er et problem myndighetene har skapt selv. Hvordan de skal komme seg ut av den floken, er ikke godt å si, sier Kjørven.

Les også

Haster med å tette sikkerhetshull i BankID. Digdir har gitt eierne av tjenesten ti dager på å svare

Stort digitalt utenforskap

I mars satte Stø i gang med å re-identifisere i underkant av fire millioner brukere, som i noen tilfeller kan kreve fysisk oppmøte.

Stø innrømmer at dette kommer til å ta tid, men sier de ikke ønsker at noen skal miste tilgangen til BankID.

– Å fjerne brukere med kodebrikker som ikke er utstedt i tråd med kravene, kan skape et stort digitalt utenforskap, særlig blant eldre, sier Kjørven.

– For mange er det heller ikke enkelt å gjennomføre re-identifisering. Det finnes ikke nødvendigvis et fysisk sted å få hjelp. Noen bor på sykehjem, andre har ikke gyldig pass, sier hun.

Les også

Debatt

BankID er trygt og ingen skal miste tilgang

Nedgradering er mulig

Kjørven mener Nkom ikke har mulighet til å gi dispensasjon fra sikkerhetskravene, og at nedgradering til et lavere sikkerhetsnivå kan være en løsning.

Hun peker på at Sverige opererer med en BankID som er klassifisert på et lavere sikkerhetsnivå enn Norge.

– Det er systemenes egenskaper som er avgjørende for den faktiske sikkerheten – ikke den juridiske klassifiseringen.

– Poenget med den juridiske klassifiseringen, er at brukere og brukersteder skal kunne vite og ha tillit til at systemene på de ulike nivåene oppfyller de kravene som stilles hvert nivå. Derfor er dispensasjoner og avvik fra disse kravene åpenbart problematisk.

Dette er BankID-«floken»

Da eIDAS-forordningen trådte i kraft i 2018, skulle den gjelde eID-tjenester som ble brukt på tvers av landegrenser. Likevel valgte regjeringen i 2019 å legge forordningens sikkerhetskrav til grunn også for eID-er som ble brukt bare i Norge.

Den norske forskriften åpnet for at selskaper som tilbyr eID kunne sende inn en selvdeklarasjon til Nkom om hvordan de oppfyller kravene til de ulike sikkerhetsnivåene lav, betydelig og høy.

Både BankID, Buypass og Comfides oppga selv at de oppfylte kravene. Deres selvdeklarasjon ble lagt til grunn da Digdir i 2019 inngikk avtale med de tre om å levere eID på sikkerhetsnivå høyt til statlige tjenester gjennom ID-porten.

I 2022 meldte norske myndigheter Buypass og BankID til EU for å bli registrert, slik at de kunne bli brukt grensekryssende.

En ekspertgruppe fra EU undersøkte om løsningene leverte på sikkerhetskriteriene. Det gjorde de ikke. Dermed fremmet gruppen en rekke krav til hva som måtte gjøres for å faktisk kunne kategoriseres på høyeste sikkerhetsnivå. Norske myndigheter ble også kritisert for å ikke ha kontrollert selskapenes selvdeklarasjoner godt nok.

Norske myndigheter forpliktet seg til å følge opp EUs anbefalinger og dokumentere prosessen.

Sårbare for misbruk

Kjørven er kritisk til at norske myndigheter har tillatt BankID å operere med et sånt sikkerhetshull så lenge.

Gjennom sin forskning på digitale identiteter og samfunnssikkerhet, har hun nemlig sett på hvordan sårbare mennesker blir utnyttet gjennom misbruk av deres elektroniske eID.

– Det er ganske mye ID-misbruk som koster både staten og private aktører fryktelig mye penger. Ikke minst er det en kjempestor belastning for de personene som utsettes for det, sier Kjørven.

– Ofrene kan i verste fall ende opp med straffansvar for forbrytelser de ikke har begått, millioner i gjeld og miste hus og hjem.

BankID må få nesten 4 millioner brukere til å reidentifisere seg. Ellers kan det bli trøbbel - enten for tjenesten, eller norske myndigheter. Foto: Ali Zare / NTB

Reagerer på hemmelighold

Jusprofessoren har over lengre tid forsøkt å få innsyn i hvorvidt og hvordan Nkom, Digdir og Digitaliserings- og forvaltningsdepartementet (DFD) har fulgt opp kritikken fra EUs ekspertgruppe.

– Jeg har prøvd å stille spørsmål direkte til dem uten å få klare svar, sier hun.

Kjørven beskriver hemmeligholdet som et alvorlig problem.

– Nkom skal føre tilsyn med at eID-løsningene oppfyller sikkerhetskravene, men de holder hemmelig hvordan de forholder seg til at det tilsynelatende er sikkerhetshull i løsningen. Da får heller ikke brukerstedene den informasjonen de trenger til å vurdere om de må sette i verk ytterligere sikkerhetstiltak.

DFD er ansvarlig

Jusprofessoren mener det er uforståelig at det har tatt myndighetene fire år, uten at det virker som om det stilt noen krav til at sikkerhetsavvikene må fikses.

– Nkom burde åpenbart ha fulgt opp. Men samtidig er det staten som har tatt på seg ansvaret for å følge opp fagfellevurderingen, sier hun.

– Det er departementet og regjeringens ansvar å følge opp fagfellevurderingen. Så hvis det stemmer at de ikke har fulgt opp den, er det en unnlatelsessynd fra både Nkom og departementet.

Tung peker på Stø og Nkom

Altinget har spurt digitaliseringsminister Karianne Tung (Ap) om hva hennes departement har gjort for å følge opp løftene de ga til EU om å rette opp i avvikene ved BankID. Hun peker tilbake på Stø, bankene og Nkom.

– Det er eID-leverandørenes ansvar å lukke eventuelle avvik som påpekes i deres tjenester, sier statsråden.

I sin åpningstale under eIDAS-konferansen i mars, understrekte digitaliseringsminister Karianne Tung viktigheten av tillit til eID-løsningene. Foto: Digitaliseringsdirektoratet

– Nkom fører tilsyn med at eID-leverandører følger regelverket. Jeg har fått opplyst at de har gitt omfattende veiledning til Stø. Jeg har derfor tillit til at denne prosessen bli ivaretatt på en god måte, og at sikkerheten til brukere blir ivaretatt, sier hun.

Det er ikke godt nok, mener Marte Eidsand Kjørven. Selv om dagens situasjon ikke er skapt av nåværende digitaliseringsminister, mener hun Tung burde gjort mer for å håndtere den.

– I stedet blir det en pekelek der den enkleste løsningen bare er å gi en dispensasjon og fortsette med disse sikkerhetshullene som er, sier Kjørven.

Artikkelen er skrevet av