Arbeidsliv
Stat & StyringDet er ikke «kaos» når tilsyn gjør jobben sin
Altinget beskriver situasjonen rundt BankID som kaotisk og peker på korte frister, usikkerhet og krevende konsekvenser for offentlig sektor. Det bildet trenger nyansering.
Ansvaret ligger hos bankene og Stø
Sikkerhetsavvikene i BankID ble identifisert allerede i 2021. Nå er 4 av 5 avvik rettet, men det siste avviket handler om mangelfull identitetskontroll for hundretusener av brukere – et helt grunnleggende krav for klassifisering på «sikkerhetsnivå høyt».
Det er bankene som utsteder BankID, og Stø som eier løsningen, som har ansvaret for at kravene er oppfylt. Ambisjoner om å lukke avviket innen 2026 er positivt, men det er ikke det samme som å faktisk oppfylle kravene i dag. Klassifisering på høyeste sikkerhetsnivå forutsetter at kravene er oppfylt og ikke at de er planlagt oppfylt.
Den som påpeker feilen, kan ikke få skylden
Nasjonal kommunikasjonsmyndighet (Nkom) er tilsynsmyndighet for elektroniske tillitstjenester, inkludert e‑ID. Når kravene til et sikkerhetsnivå ikke er oppfylt, har Nkom ikke bare rett, men plikt til å reagere. Vi har nå bedt partene om mer utfyllende informasjon, og vil nøye gjennomgå den før vi konkluderer.
Det kan ikke være slik at den som avdekker og påpeker et sikkerhetsavvik, får skylden for konsekvensene dersom avviket ikke lukkes. Det ville i praksis innebære at tilsynsrollen settes ut av spill av frykt for uro.
Diskusjonen bør ikke handle om hvorfor Nkom reagerer nå, men om hvorfor et kjent sikkerhetsavvik fortsatt ikke er lukket.
John-Eivind Velure
Direktør, Nkom
I Altingets artikkel kan de fremstå som om myndigheter skyver ansvaret mellom seg. Det gir et feilaktig bilde. Digitaliseringsdirektoratet (Digdir) og Nkom har bare ulike roller. Nkom har tilsynsansvaret for e-ID i Norge og vil i praksis kunne si om en tjeneste som BankID oppfyller lovens krav. Digdir har ansvar for ID-porten og for å hjelpe offentlige virksomheter med å håndtere konsekvensene av ulike scenario.
Når Digdir samler over 600 virksomheter til møte for å gå gjennom scenarier, er det ikke et uttrykk for kaos. Det er uttrykk for ansvarlighet og beredskap overfor offentlig sektor og innbyggerne. Dette er ikke myndigheter i konflikt, men en tydelig rollefordeling slik systemet er ment å fungere.
Et samfunnskritisk system må tåle håndheving av regelverk
At 96 prosent av innloggingene i ID-porten skjer med BankID, gjør ikke kravene mindre viktige. Det gjør dem viktigere. Jo mer samfunnskritisk en løsning er, desto større er behovet for reell, dokumentert sikkerhet. BankID er en trygg løsning i dag, men det vi ber bankene og Stø om, er dokumentasjon for at den oppfyller det strengeste sikkerhetsnivå som mange offentlige tjenester krever.
Et digitalt samfunn kan ikke bygge tillit på unntak, midlertidige løsninger eller håp om senere etterlevelse. Tillit forutsetter at regelverket gjelder også når det er vanskelig, og også når det kan få konsekvenser. Diskusjonen bør derfor ikke handle om hvorfor Nkom reagerer nå, men om hvorfor et kjent sikkerhetsavvik fortsatt ikke er lukket.
Det ansvaret ligger ikke hos tilsynet, og det ligger ikke hos Digdir. Det ligger hos bankene og hos Stø.
Innsikt
Statsråden svarer
Mari Holm Lønseth spør Jan Christian VestreHvorfor er det ikke avklart hvordan utdanningen av ultralydjordmødre skal organiseres?Besvart
Anne Grethe Hauan spør Jan Christian VestreVil statsråden fremja forslag om å innføra statleg dekning av TBE-vaksine for innbyggjarar i område med høg smitterisiko?Besvart
Stig Atle Abrahamsen spør Jan Christian VestreHvordan vil statsråden sikre at omorganisering av palliativt senter ved Haukeland ikke svekker pasientsikkerhet og tilbud?Besvart
'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M4.59974%208.70857L10.9598%2011.4343C11.6239%2011.7189%2012.3756%2011.7189%2013.0397%2011.4343L19.3998%208.70857C20.0699%208.4214%2020.8459%208.7318%2021.133%209.40187C21.2035%209.56618%2021.2398%209.74308%2021.2398%209.92184V18.0592C21.2398%2019.1153%2020.6104%2020.0697%2019.6397%2020.4857L13.0397%2023.3143C12.3756%2023.5989%2011.6239%2023.5989%2010.9598%2023.3143L4.35982%2020.4857C3.38913%2020.0697%202.75977%2019.1153%202.75977%2018.0592V9.92184C2.75977%209.19282%203.35075%208.60184%204.07977%208.60184C4.25853%208.60184%204.43543%208.63815%204.59974%208.70857Z'%20fill='%23EA1718'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M12%209.24001C14.1912%209.24001%2015.96%207.47121%2015.96%205.28001C15.96%203.08881%2014.1912%201.32001%2012%201.32001C9.80884%201.32001%208.04004%203.08881%208.04004%205.28001C8.04004%207.47121%209.80884%209.24001%2012%209.24001Z'%20fill='%233340B1'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_26833_4934'%3e%3crect%20width='24'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Mest lest Helse- Sykehusene mangler 1,7 milliarder. Ber Stortinget slutte med detaljstyringen
- Grunnlovsdagen er en påminnelse om hva vi må beskytte
- Nytt forslag om anbudsstans trekkes – fikk nei til hurtigbehandling
- Dette skjer i uke 21: Modi-besøk, WHO-møte og fire spørsmål til Vestre
- Legeforeningen ber Vestre utsette fastlege-endringer
