Stø i gang med tiltak for å møte samtlige krav til eID på sikkerhetsnivå «høyt»

Nasjonal kommunikasjonsmyndighet (Nkom) har i dag sendt ut en pressemelding om at BankID kan miste godkjenning på sikkerhetsnivå «høyt». Det er en melding Stø tar på største alvor.

– La meg først understreke: BankID er trygt å bruke i dag, og sikkerheten er den samme som den har vært. Det Nkom peker på handler ikke om tekniske sårbarheter. Vi har ikke registrert svindel som følge av hvordan kodebrikker blir utlevert eller aktivert, sier Jan Bjerved, leder for ID i Stø.

Stø AS er selskapet som eier og forvalter BankID i Norge, og har det overordnede ansvaret for løsningen. Bakgrunnen for oppfølgingen fra Nkom er myndighetspålagte krav til hvordan en elektronisk ID på høyeste sikkerhetsnivå skal aktiveres og tas i bruk. For BankIDs del gjelder dette hvordan BankID-kodebrikke og app tas i bruk etter at identiteten allerede er kontrollert.

– Alle BankID-brukere er identifisert med fysisk oppmøte og fremvisning av gyldig ID. Forbedringspunktet gjelder det som skjer etterpå, når BankID tas i bruk, og særskilt til utleveringen av kodebrikken. Stø og bankene har levert inn en konkret plan til Nkom hvor vi får kontrollert identiteten til alle brukere dette gjelder. Det ville være svært uheldig om brukerne skal miste tilgangen til offentlige tjenester som følge av at BankID mister sin status som eID på høyeste sikkerhetsnivå, sier Bjerved.

Viktig å opprettholde tilgangen til digitale tjenester

Arbeidet med å oppfylle kravene er allerede i gang, blant annet gjennom at mange brukere nå blir bedt om å bekrefte identiteten sin på nytt i appen.

– Vi gjennomfører dette på en kontrollert og ansvarlig måte. Det er avgjørende for oss at ingen mister tilgangen til BankID og dermed viktige digitale tjenester, sier Bjerved.

Han peker samtidig på at dette er en omfattende prosess som berører store deler av befolkningen.

– Mange vil ha utfordringer med å re-identifisere seg på kort tid, for eksempel eldre og syke, personer med funksjonsnedsettelser og folk med lang reisevei. I tillegg er det en andel av befolkningen som ikke har gyldig ID og må skaffe seg det. Derfor må dette gjøres stegvis og forsvarlig, sier han.

Vil endre rutine for utlevering av kodebrikker

Nkom peker særlig på praksis knyttet til utsendelse av kodebrikker.

– BankID-utstedelse har alltid vært basert på fysisk oppmøte og ID-kontroll. Forbedringspunktet gjelder utlevering av kodebrikke i etterkant. Noen banker har hatt rutiner for utsendelse per post, på samme måte som pass sendes ut. Denne rutinen jobber vi nå med å endre slik at utsendelse av kodebrikker blir fullt ut i tråd med kravene, sier Bjerved.

Stø og bankene er i løpende dialog med myndighetene om oppfølgingen. Per nå er det ikke gjort noen endringer i sikkerhetsnivået for BankID. BankID er tilgjengelig i ID-porten, nettbank og andre brukersteder, og kan brukes til innlogging og signering som tidligere. Så lenge brukeren har kontroll på sin egen BankID, og ikke har delt passord eller kodebrikke med andre, er BankID like trygt å bruke som tidligere.

– Vi mener det foreligger et klart og tilstrekkelig grunnlag for å innvilge en tidsbegrenset dispensasjon, forutsatt at vi bekrefter identiteten til brukerne innen rimelig tid, og at den samlede risikoen er akseptabel. Målet er klart: BankID skal fortsatt tilfredsstille kravene til høyeste sikkerhetsnivå, samtidig som vi ivaretar tilgjengeligheten for hele befolkningen, sier Bjerved.

Konsekvenser av endringer i sikkerhetsnivå

Dersom det blir gjort endringer i BankIDs sikkerhetsnivå vil dette kun få konsekvenser for virksomheter som har tjenester på sikkerhetsnivå «høyt». Virksomheter som krever dette nivået, må enten akseptere eID på nivå «betydelig» eller velge andre godkjente løsninger for det høyeste sikkerhetsnivået.