BankID er tuftet på tillit og sikkerhet

Alle funn fra 2022 er fulgt opp

I flere medieoppslag påstås det at BankID har kjent til et «sikkerhetshull» siden 2022. Det er misvisende. I 2022 ble BankID-ordningen vurdert av en gruppe eksperter i EU, kjent som fagfellenettverket. Denne gjennomgangen ble initiert av Digitaliseringsdirektoratet. Fagfellenettverket vurderte at BankID oppfylte kravene til sikkerhetsnivå «høyt».

Fagfellenettverket pekte imidlertid på fem funn («findings») som Norge ble forpliktet til å følge opp. BankIDs kommentarer til disse fem funnene er gjengitt i vurderingen. Fire av funnene ble utbedret av BankID etter relativt kort tid. Det siste funnet, som omhandlet aktivering av BankID-app med SMS og e-post, er nå også adressert denne våren. Vi anser dermed alle de fem funnene fra fagfellenettverket som utbedret. Rutiner for utlevering av kodebrikker ble ikke problematisert i fagfellevurderingen. 

Bankene og Stø vurderer at dagens praksis er sikker og trygg og i tråd med regelverket.

Øyvind Westby Brekke
Administrerende direktør, Stø

Gode kontrollmekanismer for kodebrikker

Det er først og fremt i forbindelse med bruk av BankID at svindel skjer, spesielt gjennom sosial manipulasjon. Stø har derfor gjort store investeringer i antisvindelsystemet for å stanse svindelen der den faktisk skjer.

Svindelrisikoen ved utsendelse av kodebrikker er derimot liten. Alle som eier en BankID har allerede gjennomført et fysisk oppmøte før de får kodebrikken utlevert i bankfilial eller sendt til folkeregistrert adresse. En kodebrikke som stjeles fra en postkasse gir liten verdi for en svindler uten passord. Bankene har også de siste årene etablert tilleggsrutiner som kontrollerer at det er riktig person som tar kodebrikken i bruk. Alle banker varsler kunden ved utsendelse, sender til folkeregistrert adresse, sender passord separat og krever aktiv bestilling. Mange lag av kontrollmekanismer er altså allerede på plass.

Regelverket stiller ikke krav til hvordan denne kontrollen skal skje, og det er ikke eksplisitte krav til fysisk oppmøte i forbindelse med utlevering av kodebrikken, slik det kan fremstå fra enkelte medieoppslag. Bankene og Stø vurderer at dagens praksis er sikker og trygg og i tråd med regelverket. 

Vi arbeider kontinuerlig med å forbedre sikkerhet og rutiner

Når Nasjonal kommunikasjonsmyndighet (Nkom) likevel mener at vi må endre måten kodebrikker sendes ut på, så er vi enige i det og iverksetter tiltak. Vi ser imidlertid på disse tiltakene som en del av det kontinuerlige arbeidet med å forbedre rutinene rundt BankID, og ikke som tiltak som følger av direkte krav i regelverket.

Vi innfører nå en ny rutine som innebærer fysisk oppmøte også for å motta kodebrikker, for de som av ulike grunner ikke kan bruke app. Vi vil også utvikle en løsning hvor man kan gjennomføre digital ID-sjekk for å aktivere en kodebrikke, og man kan da få hjelp på en sikker måte fra et familiemedlem eller venn dersom man ikke får det til selv. 

Inntil videre skjer det ingen endringer i det formelle sikkerhetsnivået til BankID.

Øyvind Westby Brekke
Administrerende direktør, Stø

Videre har vi også skrudd av muligheten for å aktivere BankID-appen med kodebrikke. I tillegg deaktiverer vi kodebrikker som ikke har vært benyttet på lang tid, og mange BankID-brukere blir i disse dager bedt om å identifisere seg på nytt i appen.

Regelverket gir rom for ulike måter å gjennomføre denne kontrollen på ved utstedelse og aktivering, og vi mener at kravene til høyeste sikkerhetsnivå er godt ivaretatt. Her finnes det ingen svar med to streker under i regelverket – det handler om å vurdere hva som er sikkert nok, og da er det rom for tolkning.

Vårt ansvar som leverandør av samfunnsviktig infrastruktur handler imidlertid også om digital inkludering og det å sikre trygg og enkel tilgang til digitale tjenester. Det er spesielt viktig å ivareta de mest sårbare gruppene. Vi gjennomfører derfor disse sikkerhetsforbedringene i et forsvarlig tempo, og på en måte som ikke skaper digitalt utenforskap.

Fortsatt på høyeste sikkerhetsnivå

Inntil videre skjer det ingen endringer i det formelle sikkerhetsnivået til BankID. Myndighetene skal nå vurdere Støs og bankenes redegjørelse for hvordan tjenesten oppfyller kravene, og vi har tillit til at de gjør en grundig vurdering av materialet vi har sendt dem. Vi ønsker et godt og konstruktivt samarbeid framover.

Vi er glade for at digitaliserings- og forvaltningsministeren har avklart at det vil være grundige prosesser for å vurdere dokumentasjonen, og at Stø deretter vil varsles og gis mulighet til å uttale seg. Statsråden har også fremhevet at eventuelle klager skal behandles grundig i departementet, og at i hele denne perioden kan Stø og bankene arbeide med å forbedre rutinene. Med andre ord vil ingen endringer skje over natten. Dette er viktig for å skape trygghet for folk, offentlige etater og bedrifter.

BankID har blitt en viktig del av det norske samfunnet, med 4,7 millioner brukere og en sentral rolle i alt fra finanssektoren til helse og velferd. Og la det ikke være noen tvil: Vårt klare mål er å fortsette å levere BankID på høyeste sikkerhetsnivå.