BankID er Norges mest brukte løsning for innlogging på alt fra helsetjenester til bankkonto og skattemelding. Løsningen driftes av selskapet Stø, som eies av 104 norske banker.
Nå kan løsningen miste sikkerhetsklaring for nivå «høyt» fordi de fysiske kodebrikkene er sendt ut per post uten at folk har møtt opp fysisk og vist legitimasjon.
Avviket har vært kjent siden 2022, og Nkom sier de har veiledet bankene de siste to årene.
– BankID har hatt avvik knyttet til utsendelse av kodebrikken over flere år, og det er deres ansvar å passe på at de følger regelverket, varslet sikkerhetsdirektør i Nkom, Svein Sundfør Scheie i en pressemelding 26. mars.
Nkom har bedt BankID redegjøre for hvordan de skal oppfylle kravene i regelverket, og varslet tilsyn med Stø, som formelt vil starte opp i månedsskiftet april /mai.
Fristen går ut onsdag 22. april.
Les også
7 råd for effektive arbeidsdager
Både kodebrikk og app
Elektronisk identifikasjon (eID) deles inn i nivåene lavt, betydelig og høyt. Nivået «høyt» kreves for visse tjenester på helsenorge.no, signering av lånedokumenter i banken, å sende inn skattemelding og endre skattekort på Skatteetaten eller Altinn og digital signering av dokumenter og kontrakter.
– Siden dette påvirker hvordan eID-en opprinnelig er utstedt, kan det omfatte alle berørte BankID uavhengig av om de brukes med kodebrikke eller app, skriver seksjonssjef Sander Norrøne Ask i Nkom til E24.
Om ikke BankID kan vise at de nå oppfyller kravene, vil BankID bli fjernet fra listen over de som har sikkerhetsnivå «høyt».
– Når dokumentasjonene er mottatt vil Nkom vurdere den opp mot kravene i regelverket. Hvor lang tid denne vurderingen vil ta avhenger av mengden dokumentasjon som oversendes, skriver Norrøne Ask.
Mener de oppfyller kravene
Stø-sjef Øyvind Westby Brekke skriver til E24 at de mener BankID oppfyller kravene.
– Stø bistår nå bankene med å sende dokumentasjon til Nkom som viser at BankID tilfredsstiller kravene på sikkerhetsnivå høyt. I tillegg er vi godt i gang med omfattende tiltak for å forbedre prosessen knyttet til utlevering av kodebrikker, som Nkom har pekt på, blant annet gjennom ekstra ID-kontroll av en rekke brukerem, skriver Brekke.
– Disse tiltakene er imidlertid ikke mulige å gjennomføre på kort tid, uten store negative konsekvenser for mange brukere, og for private og offentlige tjenester. Derfor ber vi om å få tilstrekkelig tid til gjennomføringen.
Dersom Nkom fjerner BankID fra listen, vil Stø klage og be om at godkjenningen opprettholdes mens klagen behandles.
– Det viktigste for alle parter nå bør være å sikre at folk i Norge beholder en trygg og tilgjengelig innlogging til digitale tjenester.
– Kan ikke gjøres over natten
Stø-sjefen sier de allerede har «omfattende tiltak» siden 2022, blant annet gjennom et nytt antisvindelsystem og en sikrere app. Han presiserer at det ikke er snakk om tekniske sårbarheter eller økt svindel.
– Vi er ikke kjent med at dagens rutine for utlevering av kodebrikker har ført til misbruk. Selv om kodebrikker i en del tilfeller er sendt til brukerens postkasse, har bankene tilleggsrutiner som kontrollerer at det er riktig person som tar kodebrikken i bruk.
Likevel tar de Nkom på alvor og har startet arbeid for å bedre sikkerheten ytterliggere.
– Dette er imidlertid ikke tekniske grep som kan gjøres over natten, men tiltak som må gjøres stegvis og forsvarlig for å sikre at folk ikke mister tilgangen til digitale tjenester eller at det skapes kaos i banker eller på passkontor.
Jobber med postløsning
Brekke understreker at BankID alltid er basert på fysisk oppmøte.
– Selve kodebrikken utleveres enten i filial eller sendes til folkeregistrert adresse og kan ikke brukes uten et personlig passord som sendes separat. Bankene vurderer denne praksisen som sikker og trygg. Like fullt forbedrer vi nå rutinen i tråd med føringene fra Nkom.
– Hadde det ikke vært mulig å sende BankID-brikkene med rekommandert post, og at de bare utleveres mot fremvisning av gyldig legitimasjon?
– Én av løsningene vi nå jobber sammen med bankene med å etablere, er at man kan møte opp på postkontor eller post i butikk for å få aktivert kodebrikke. Ordinære rekommanderte sendinger er vi usikre på om ville blitt godkjent, fordi da kan noen med fullmakt motta forsendelsen på vegne av en annen person.
– Det er viktig å minne om at kodebrikke sendes på samme måte som pass fra Politiet, og en kodebrikke kan ikke brukes uten personlig passord og forutsetter fysisk oppmøte hos banken i første omgang.
Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: aftenposten.no
