BankID oppfyller kravene til sikkerhetsnivå "høyt"

Av Øyvind W. Brekke, administrerende direktør i Stø

La det ikke være noen tvil: En tjeneste som BankID må tåle søkelys fra en årvåken tilsynsmyndighet. Som Nkom-direktør John-Eivind Velure skriver i sitt innlegg til Altinget: «Jo mer samfunnskritisk en løsning er, desto større er behovet for reell, dokumentert sikkerhet.»

Nettopp derfor har vi tatt varselet fra Nkom i slutten av mars på høyeste alvor. Siden 2022 har vi jobbet systematisk med å følge opp den omtalte fagfellevurderingen fra EU, og rettet opp i forbedringspunkter som ble påpekt den gang. Vi har nå, sammen med bankene, gått grundig igjennom alle sikkerhetsrutinene våre på nytt. Vi har snudd hver eneste sten for å være sikker på at BankID følger kravene som stilles på «sikkerhetsnivå høyt».

Redegjørelsen og dokumentasjonen vi nå har sendt til Nkom, viser at vår og bankenes vurdering er at BankID oppfyller disse kravene.

Alltid basert på fysisk oppmøte og ID-kontroll

Alle som har fått BankID, har møtt opp fysisk og gjennomgått ID-kontroll. Du får ikke BankID uten å ha vist gyldig legitimasjon. Det denne saken handler om, er utsendelse av selve kodebrikken i etterkant.

Det stemmer at kodebrikker i en del tilfeller er sendt til brukerens postkasse, men bankene har tilleggsrutiner som kontrollerer at det er riktig person som faktisk tar kodebrikken i bruk. Regelverket stiller ikke krav til hvordan denne kontrollen skal skje, og det er ikke eksplisitte krav til fysisk oppmøte i forbindelse med utleveringen av kodebrikken. Derfor mener vi at kravene til høyeste sikkerhetsnivå er ivaretatt.

Like fullt tar vi Nkoms vurderinger på alvor, og vi har satt i gang et omfattende arbeid for å ytterligere forbedre sikkerheten i BankID, blant annet gjennom ekstra ID-kontroll av en rekke brukere. Dette må vi gjøre stegvis og forsvarlig, så vi ikke utestenger sårbare brukere fra digitale tjenester eller skaper kaos på offentlige kontorer, i banker eller på passkontor.

BankID er viktig for samfunnet

Denne saken viser hvor viktig og verdifull BankID har blitt for det norske samfunnet. Tjenesten har 4,7 millioner brukere, og fyller en kritisk funksjon blant annet for finansnæringen, et velfungerende eiendomsmarked, og tilgang til helse- og velferdstjenester.

BankID er også en viktig innsatsfaktor i digitalt samarbeid mellom offentlig og privat sektor (DSOP), som er tuftet på bruken av privat eID på høyt sikkerhetsnivå. Ifølge beregninger gir DSOP 50 milliarder kroner i målbare samfunnsgevinster over 10 år.

Tilgangen til digitale tjenester må sikres

Vi som står bak BankID har et stort ansvar for sikkerhet, men også for digital inkludering, spesielt med tanke på sårbare grupper. Det er ingen som ønsker å føre Norge tilbake til 90-tallet innen digitalisering, noe vi mener er fullt mulig å unngå innenfor dagens krav til sikkerhet for eID-løsninger. Det viktigste for alle parter nå bør være å sikre at folk i Norge beholder en trygg og tilgjengelig innlogging til digitale tjenester.

Vi er glade for at Nkom vil bruke tid på å behandle redegjørelsen og at de vil gå nøye igjennom materialet før de konkluderer. Vi og bankene stiller oss til disposisjon hvis tilsynsmyndigheten har behov for mer dokumentasjon eller redegjørelse.

Se Nkoms innlegg på Altinget

Støs svar er også publisert på Altinget