Annons:
Bild:Elis Hoffman
E-tjänster
Nyhet
AVAnn Dahlin1 kommentarer

Varnar för risker med ny id-lösning

Om drygt ett år är det tänkt att en ny e-legitimation ska införas för myndigheternas e-tjänster. Men den tekniska lösningen har fått kritik. En överbelastningsattack skulle drabba alla anslutna myndigheter. Lanseringen kan innebära allvarliga arbetsmiljöproblem, anser ST.

I dag använder många svenskar bank-idför att komma in på myndigheters e-tjänster som självdeklaration och ansökan om föräldrapenning.

Men 2011 inrättade regeringen E-legitimationsnämnden med uppdraget att skapa en ny e-legitimation för stat, kommuner och landsting. Ett syfte är att medborgarna ska kunna nå flera myndigheter med en enda inloggning. Systemet ska vara klart för drift nästa sommar. Då löper det upphandlade avtalet med det bankägda företaget bakom bank-id ut.


Men projektet har varit långt ifrån smärtfritt. För ett år sedan begärde tre myndigheter med stort behov av e-tjänster – Försäkringskassan, Arbets­förmedlingen och Centrala studiestödsnämnden, CSN – en granskning av den föreslagna tekniska lösningen.

De såg säkerhetsproblem, bland annat ökade risker för överbelastnings­attacker. En attack skulle dessutom drabba alla anslutna myndigheter.

– Som den tekniska lösningen ser ut i dag kan en attack mot en myndighet sprida sig i hela systemet, och då kan andra myndigheter bli tvungna att stänga sina e-tjänster, säger Peter Sahlin, verksamhetsområdeschef på Försäkringskassan. Det går inte att stänga av en enskild aktör.

Säkerheten hänger på att alla, från minsta kommun till stora myndig­heter, har ett tillräckligt skydd. Myndigheterna påpekade också brister i designen, inte minst att användarna inte kan se om de loggar in eller om de signerar en transaktion.

Granskningen gjordes av Myndig­heten för samhällsskydd och beredskap, MSB, med bistånd från Försvarets radioanstalt, Försvarsmakten och Total­försvarets forskningsinstitut.

I höstas, efter 2 500 arbetstimmar, kom deras granskningsrapport. Den är hemligstämplad, bara en sammanfattning med 22 rekommendationer offentliggjordes.

Nyligen lade E-legitimationsnämnden fram en plan med åtgärder för att rätta sig efter rekommendationerna.
Försäkringskassan har efter lång tvekan nu bestämt sig för att ansluta sig till systemet.

– E-legitimationsnämnden har sagt att de ska ta hand om alla de punkter som vi och MSB identifierat som kritiska. Vi kan inte göra annat än att lita på det, säger Peter Sahlin.

På CSN är man ännu inte övertygad. Handlingsplanen är en bra start, men långt ifrån tillräcklig för att hantera de stora brister och risker som framkommit i MSBs rapport, skriver myndig-heten till E-legitimationsnämnden.

CSN befarar att »risken för en riktad attack mot svensk e-legitima­tion, e-tjänster hos myndigheter och e-legitimationsutfärdare är hög«. En attack kan medföra stor skada för myndigheter och privatpersoner, konstaterar CSN.

STs ordförande Britta Lejon ser allvarligt på läget utifrån ett medarbetarperspektiv.

– Det blir de enskilda handläggarna som får klä skott om systemet inte fungerar. Det är oerhört viktigt att myndigheterna kan erbjuda säkra system, och i dagsläget känns det väldigt svajigt. Det kan bli kaos. De tekniska brister som uppdagats innebär också risker för medborgarnas tillit till samhället, anser hon.

– Detta är i dag den viktigaste infrastrukturen, det handlar om medborgarnas integritet och tilliten till hela det offentliga Sverige.

Det finns stora problem med E-legitimationsnämnden, men de har inte botten i IT-säkerhet. E-legitimationsnämndens felsteg är snarare ideologiska: det är orimligt att varje medborgare som besöker en myndighet, uträtter ett ärende eller tar kontakt med ett företag ska behöva kartläggas i dessa ärenden och kontakter. E-legitimationens system gör det omöjligt för varje svensk privatperson att ha konfidentiella kontakter med myndigheter.

När jag jobbade med E-ID-förordningen i Bryssel (tillsammans med Marita Ulvskog!) läste jag igenom samtliga SOU:er som ledde fram till E-legitimationen. De börjar med långa önskelistor från politiker och tjänstemän på Näringsdepartementet för saker som de upplever att medborgarna borde vilja göra (e-rösta, e-deklarare, e-handla, e-hålla koll på barn, osv). Precis som på 1990-talet finns en naiv övertro på att just statligt utfärdade identiteter är det som saknas för att internet ska bli en blomstrande ekonomi. Som motbevis på denna tes kan sägas att statliga e-legitimationer aldrig har fungerat bra eller använts utom i snäva situationer, och att internets mest använda identitet är Facebook-login. EU:s politiska process drevs också av föreställningen om att man skulle "boost the digital single market" - trots att bara 10% av alla i Österrike och nästan inga tyskar använder de e-legitimationer som finns där. Bara Estland har haft en någorlunda framgångsrik implementation.

Identitetsfrågor på nätet är i allmänhet besvärliga: vill man ha en legitimation att köpa snus med, eller en legitimation att kontakta läkare med? Aktiviteterna är annorlunda, och kräver olika sorters autenticering. År 2006 lade två Kristdemokrater en motion om att legitimation ska funka "på samma sätt" på nätet som utanför nätet - men utanför nätet är det ingen som spårar varje gång jag verifierar min identitet. Ingen kassör på någon Pressbyrå i hela Sverige minns t ex vad som stod på mitt ID-kort (trots att mitt ID-foto utan tvekan är ett av Sveriges fulaste). På internet kan jag inte ens besöka regeringen.se utan att få en så kallad "kaka" lagd på datorn som gör det möjligt för regeringens webbyrå att spåra mina surfvanor över flera webbsidor. Varje extra sekund jag tillbringar vid någon särskild SOU blir ett statistiskt mått på ett sätt som helt enkelt inte är "samma" som utanför internet på något sätt.

E-legitimationsnämndens uppdrag är att kringgå EU:s upphandlingslagstiftning. Genom att göra en så kallad "tjänstekoncession" behöver inte myndigheterna följa samma regler som gäller för upphandlingar av andra system. E-legitimationsnämnden vill bygga en standardisering för ID-hantering ("samma överallt") som bygger på en teknisk standard kallad SAML. SAML förutsätter att den som "ger ut" identiteter också "håller koll" på de som använder identiteter på olika platser - jättestora databaser med vem som gjort vad, när, hur länge. Tillräckligt med information för att utröna mycket privat information om svenskar.

Standardiseringen har drivits fram av ett antal tekniskt sinnade - och inflytelserika - personer i Stockholm. SAML-standarden har t ex visat sig fungera bra när universitet ska hålla koll på studenter och deras kurser, mejlkorgar, studieresultat och kontakter med lärare. Av detta följer inte att SAML också är bra för en hel statlig förvaltning och samtliga företag, men tekniker som gillar tekniska ting brukar förutsätta att så länge det funkar för dem funkar det för alla andra. En extra klandervärd punkt är att teknikerna dessutom förutsatt att bara för att DE tycker de är tillräckligt kloka för att samla på sig sådan information om andras myndighetskontakter, betyder inte det att ALLA ANDRA också tycker de är tillräckligt kloka (jag tycker t ex inte det).

E-legitimationsnämnden har begränsat användningen av personuppgifter för de som handhåller tekniken - men inte användningen av metadata (det vill säga information om vem, hur, när man kontaktat myndigheter). De kan säljas och användas av legitimationsutfärdaren, delas vidare, eller på andra sätt bearbetas och föras vidare ut i stora vida världen, där många (t ex försäkringsföretag) kan tänkas vara intresserad.

Är man intresserad av mer vetenskapliga framställningar om både tekniska lösningar och juridiska problem finns flera utmärkta böcker skrivna inom EU:s forskningsprojekt FIDIS och ABC4TRUST. Jag rekommenderar Kai Rannenbergs artikelsammanställning utgiven på Springer förlag från 2015 ("Attribution-Based Credentials").
AvtalNyhetFörhandlingarna om ett nytt avtal för de statliga myndigheterna pågår in i det sista. ”Det är nu när det gamla avtalet snart löper ut och man inte längre är bunden av fredsplikt som det händer mest”, säger STs ordförande Britta Lejon.
EUNyhetEuropakommissionen vill tvinga lobbyister som verkar gentemot EU-parlamentet och ministerrådet att registrera sig. Så ska kommissionen infria sitt löfte om ökad öppenhet.
RiksarkivetNyhetKarin Åström Iko blir ny riksarkivarie och chef för Riksarkivet. Det beslutade regeringen idag.
SkatteverketFördjupningAllt fler traditionellt polisiära uppgifter sköts av civila statstjänstemän. En av dem är utredaren Emma Boberg på Skatteverket. Forskaren Lars Korsell säger att brottsbekämpningen behöver fler personer med specialistkunskaper, både inom Polisen och på andra myndigheter.
KriminalvårdenNyhetAntalet återfall i brott har minskat från 40 till 31 procent under de senaste tio åren. Det finns ingen skillnad mellan vilken anstalt man varit intagen på, konstaterar Kriminalvården.
POLISENNyhetTidigt i våras larmade en intern projektgrupp inom Polisen om hur chefer i lokalpolisområdena saknar administrativt stöd och har svårt att leda verksamheten. Men nu, ett halvt år senare, har inte mycket hänt. Varje region får lösa problemet på sitt eget vis.
InternationelltNyhetFacklig utbildning för unga och hjälp med kampanjarbete för att förändra attityder. Det hoppas Samia Bouslama Letaeif och Habiba Khemiri Sellini, från Tunisiens fackliga centralorganisation UGTT, få hjälp med via MENA-projektet som ST är en del av. Nu är kvinnorna på besök i Sverige.
ArbetsrättNyhetAndelen tidsbegränsat anställda på svensk arbetsmarknad är betydligt högre nu än för ett par decennier sedan. Dessutom är den högre i statlig sektor än bland privatanställda. Det framgår av aktuell statistik.
StatsförvaltningNyhetOmorganisationer tar ofta längre tid att genomföra och kostar mer än planerat. Det är viktigt att involvera medarbetarna och att planera utifrån organisationens kultur och erfarenheter, enligt en rapport från Statskontoret.
ArbetsmiljöNyhetArbetsmiljön för STs medlemmar har försämrats på flera områden och allt fler drar sig för att slå larm om missförhållanden. Det framgår av förbundets nya arbetsmiljöundersökning Temperaturmätare 2016.
AVTALNyhetPå fredag löper det treåriga avtalet för anställda på statliga myndigheter ut. Fram tills dess träffas parterna dagligen för att försöka nå en överenskommelse.
ArbetsförmedlingenNyhetRiksrevisionen varnar för att skattepengar kan användas fel och att uppställda mål inte nås i Arbetsförmedlingens arbete med nyanlända. Det uppger Ekot som läst en kommande granskning.
MIGRATIONSVERKETNyhetEn nyanställd på Migrationsverket fick ingen introduktionsutbildning, utan uppmanades av kollegerna att gå in och läsa existerande ärenden i databasen för att lära sig jobbet. Det fick till följd att hon anmäldes av arbetsgivaren till personalansvarsnämnden för dataintrång och sekretessbrott.
AsylNyhetAntalet asylansökningar ökar på nytt i EU, men fortsätter att minska i Sverige. Enligt statistik som redovisas av Europaportalen ligger Sverige nu på tionde plats i antal asylansökningar per capita, och under EU-snittet.
Barns rättNyhetKammarrätten i Stockholm anser inte att FNs barnkonvention bör införlivas i svensk lag. Barnkonventionen innehåller vaga formuleringar och saknar den precision som svensk lag har, anser domstolen.
Statens servicecenterNyhetRiksrevisionen svarar på kritiken från Statens servicecenters generaldirektör. ”Vi använder enkäter då och då när informationen inte går att få fram på annat sätt. Det gör forskare och Statskontoret också”, säger Ingvar Önnhage, som varit projektledare för granskningen av servicecentret.
MigrationsverketNyhetMigrationsverkets skuld till kommunerna är uppe i minst 20 miljarder kronor. Det är dubbelt så mycket pengar som det anslag regeringen vill ge kommunerna till välfärden.
StatsförvaltningNyhetAnneli Hulthén, tidigare socialdemokratisk kommunpolitiker i Göteborg, blir ny landshövding i Skåne län. Hon tillträder efterträder Margareta Pålsson som gick i pension till midsommar.
LÄNSSTYRELSERNyhetFörslaget att starta tre storlän i Norrland, Svealand och Västra Götaland redan i januari 2018 är oroväckande. Det skriver Sveriges landshövdingar i en gemensam debattartikel.
HögskolanNyhetKarolinska Institutet behåller sin placering som det bästa av Sveriges och Nordens lärosäten i Times Higher Educations årliga rankning. Elva svenska lärosäten finns med på listan över världens 400 främsta.
Statens servicecenterNyhetStatens servicecenter bildades för att effektivisera myndigheternas administration. Men missnöjet gror bland myndig­heter och fackliga företrädare och en enkät från Statskontoret ger svidande kritik. Nu bemöter generaldirektören kritiken.
Statens servicecenterNyhetFå myndigheter anser att Statens servicecenters tjänster har ökat deras effektivitet, konstaterar Riksrevisionen. Statens servicecenters generaldirektör går dock till motangrepp och anklagar både Riksrevisionen och Statskontoret för ”metodbrister”.
FlyktingarNyhetSocialstyrelsen ska genomföra en studie av magnetkamera som metod att bedöma åldern på ensamkommande flyktingbarn. Studien kommer att genomföras av oberoende forskare.
LönerNyhetDe som inte är med i facket får mindre löneökning än fack­medlemmarna. De får ofta också mindre än den nivå som anges i STs centrala kollektiv­avtal – medan de fackligt anslutna nästan alltid får mer. Så ser det ut på ett antal myndigheter som Publikt granskat.
ArbetsmiljöNyhetVar femte yrkesarbetande känner flera gånger i månaden psykiska obehag inför att gå till jobbet. Samtidigt har allt färre varit utan sjukdagar senaste året, enligt Företagshälsornas senaste jobbhälsobarometer.
BudgetNyhetArbetsgivarverket är positivt till regeringens förslag i budgeten att höja anslagen till forskning och innovation, men varnar för att höjda skatter kan minska intresset för högre utbildning.