Arbeidsliv
Stat & StyringDet er ikke «kaos» når tilsyn gjør jobben sin
Altinget beskriver situasjonen rundt BankID som kaotisk og peker på korte frister, usikkerhet og krevende konsekvenser for offentlig sektor. Det bildet trenger nyansering.
Ansvaret ligger hos bankene og Stø
Sikkerhetsavvikene i BankID ble identifisert allerede i 2021. Nå er 4 av 5 avvik rettet, men det siste avviket handler om mangelfull identitetskontroll for hundretusener av brukere – et helt grunnleggende krav for klassifisering på «sikkerhetsnivå høyt».
Det er bankene som utsteder BankID, og Stø som eier løsningen, som har ansvaret for at kravene er oppfylt. Ambisjoner om å lukke avviket innen 2026 er positivt, men det er ikke det samme som å faktisk oppfylle kravene i dag. Klassifisering på høyeste sikkerhetsnivå forutsetter at kravene er oppfylt og ikke at de er planlagt oppfylt.
Den som påpeker feilen, kan ikke få skylden
Nasjonal kommunikasjonsmyndighet (Nkom) er tilsynsmyndighet for elektroniske tillitstjenester, inkludert e‑ID. Når kravene til et sikkerhetsnivå ikke er oppfylt, har Nkom ikke bare rett, men plikt til å reagere. Vi har nå bedt partene om mer utfyllende informasjon, og vil nøye gjennomgå den før vi konkluderer.
Det kan ikke være slik at den som avdekker og påpeker et sikkerhetsavvik, får skylden for konsekvensene dersom avviket ikke lukkes. Det ville i praksis innebære at tilsynsrollen settes ut av spill av frykt for uro.
Diskusjonen bør ikke handle om hvorfor Nkom reagerer nå, men om hvorfor et kjent sikkerhetsavvik fortsatt ikke er lukket.
John-Eivind Velure
Direktør, Nkom
I Altingets artikkel kan de fremstå som om myndigheter skyver ansvaret mellom seg. Det gir et feilaktig bilde. Digitaliseringsdirektoratet (Digdir) og Nkom har bare ulike roller. Nkom har tilsynsansvaret for e-ID i Norge og vil i praksis kunne si om en tjeneste som BankID oppfyller lovens krav. Digdir har ansvar for ID-porten og for å hjelpe offentlige virksomheter med å håndtere konsekvensene av ulike scenario.
Når Digdir samler over 600 virksomheter til møte for å gå gjennom scenarier, er det ikke et uttrykk for kaos. Det er uttrykk for ansvarlighet og beredskap overfor offentlig sektor og innbyggerne. Dette er ikke myndigheter i konflikt, men en tydelig rollefordeling slik systemet er ment å fungere.
Et samfunnskritisk system må tåle håndheving av regelverk
At 96 prosent av innloggingene i ID-porten skjer med BankID, gjør ikke kravene mindre viktige. Det gjør dem viktigere. Jo mer samfunnskritisk en løsning er, desto større er behovet for reell, dokumentert sikkerhet. BankID er en trygg løsning i dag, men det vi ber bankene og Stø om, er dokumentasjon for at den oppfyller det strengeste sikkerhetsnivå som mange offentlige tjenester krever.
Et digitalt samfunn kan ikke bygge tillit på unntak, midlertidige løsninger eller håp om senere etterlevelse. Tillit forutsetter at regelverket gjelder også når det er vanskelig, og også når det kan få konsekvenser. Diskusjonen bør derfor ikke handle om hvorfor Nkom reagerer nå, men om hvorfor et kjent sikkerhetsavvik fortsatt ikke er lukket.
Det ansvaret ligger ikke hos tilsynet, og det ligger ikke hos Digdir. Det ligger hos bankene og hos Stø.
Artikkelen er skrevet av
Nytt om Navn
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_26833_4940'%20x1='11.5'%20y1='10.5'%20x2='11.5'%20y2='11.5'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='0.5'%20stop-color='%232C2CA4'/%3e%3cstop%20offset='0.5'%20stop-color='%23E60103'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
BankID-krisen
Politisk kalender
