Annons:
Bild:Elis Hoffman
E-tjänster
Nyhet
AVAnn Dahlin1 kommentarer

Varnar för risker med ny id-lösning

Om drygt ett år är det tänkt att en ny e-legitimation ska införas för myndigheternas e-tjänster. Men den tekniska lösningen har fått kritik. En överbelastningsattack skulle drabba alla anslutna myndigheter. Lanseringen kan innebära allvarliga arbetsmiljöproblem, anser ST.

I dag använder många svenskar bank-idför att komma in på myndigheters e-tjänster som självdeklaration och ansökan om föräldrapenning.

Men 2011 inrättade regeringen E-legitimationsnämnden med uppdraget att skapa en ny e-legitimation för stat, kommuner och landsting. Ett syfte är att medborgarna ska kunna nå flera myndigheter med en enda inloggning. Systemet ska vara klart för drift nästa sommar. Då löper det upphandlade avtalet med det bankägda företaget bakom bank-id ut.


Men projektet har varit långt ifrån smärtfritt. För ett år sedan begärde tre myndigheter med stort behov av e-tjänster – Försäkringskassan, Arbets­förmedlingen och Centrala studiestödsnämnden, CSN – en granskning av den föreslagna tekniska lösningen.

De såg säkerhetsproblem, bland annat ökade risker för överbelastnings­attacker. En attack skulle dessutom drabba alla anslutna myndigheter.

– Som den tekniska lösningen ser ut i dag kan en attack mot en myndighet sprida sig i hela systemet, och då kan andra myndigheter bli tvungna att stänga sina e-tjänster, säger Peter Sahlin, verksamhetsområdeschef på Försäkringskassan. Det går inte att stänga av en enskild aktör.

Säkerheten hänger på att alla, från minsta kommun till stora myndig­heter, har ett tillräckligt skydd. Myndigheterna påpekade också brister i designen, inte minst att användarna inte kan se om de loggar in eller om de signerar en transaktion.

Granskningen gjordes av Myndig­heten för samhällsskydd och beredskap, MSB, med bistånd från Försvarets radioanstalt, Försvarsmakten och Total­försvarets forskningsinstitut.

I höstas, efter 2 500 arbetstimmar, kom deras granskningsrapport. Den är hemligstämplad, bara en sammanfattning med 22 rekommendationer offentliggjordes.

Nyligen lade E-legitimationsnämnden fram en plan med åtgärder för att rätta sig efter rekommendationerna.
Försäkringskassan har efter lång tvekan nu bestämt sig för att ansluta sig till systemet.

– E-legitimationsnämnden har sagt att de ska ta hand om alla de punkter som vi och MSB identifierat som kritiska. Vi kan inte göra annat än att lita på det, säger Peter Sahlin.

På CSN är man ännu inte övertygad. Handlingsplanen är en bra start, men långt ifrån tillräcklig för att hantera de stora brister och risker som framkommit i MSBs rapport, skriver myndig-heten till E-legitimationsnämnden.

CSN befarar att »risken för en riktad attack mot svensk e-legitima­tion, e-tjänster hos myndigheter och e-legitimationsutfärdare är hög«. En attack kan medföra stor skada för myndigheter och privatpersoner, konstaterar CSN.

STs ordförande Britta Lejon ser allvarligt på läget utifrån ett medarbetarperspektiv.

– Det blir de enskilda handläggarna som får klä skott om systemet inte fungerar. Det är oerhört viktigt att myndigheterna kan erbjuda säkra system, och i dagsläget känns det väldigt svajigt. Det kan bli kaos. De tekniska brister som uppdagats innebär också risker för medborgarnas tillit till samhället, anser hon.

– Detta är i dag den viktigaste infrastrukturen, det handlar om medborgarnas integritet och tilliten till hela det offentliga Sverige.

Det finns stora problem med E-legitimationsnämnden, men de har inte botten i IT-säkerhet. E-legitimationsnämndens felsteg är snarare ideologiska: det är orimligt att varje medborgare som besöker en myndighet, uträtter ett ärende eller tar kontakt med ett företag ska behöva kartläggas i dessa ärenden och kontakter. E-legitimationens system gör det omöjligt för varje svensk privatperson att ha konfidentiella kontakter med myndigheter.

När jag jobbade med E-ID-förordningen i Bryssel (tillsammans med Marita Ulvskog!) läste jag igenom samtliga SOU:er som ledde fram till E-legitimationen. De börjar med långa önskelistor från politiker och tjänstemän på Näringsdepartementet för saker som de upplever att medborgarna borde vilja göra (e-rösta, e-deklarare, e-handla, e-hålla koll på barn, osv). Precis som på 1990-talet finns en naiv övertro på att just statligt utfärdade identiteter är det som saknas för att internet ska bli en blomstrande ekonomi. Som motbevis på denna tes kan sägas att statliga e-legitimationer aldrig har fungerat bra eller använts utom i snäva situationer, och att internets mest använda identitet är Facebook-login. EU:s politiska process drevs också av föreställningen om att man skulle "boost the digital single market" - trots att bara 10% av alla i Österrike och nästan inga tyskar använder de e-legitimationer som finns där. Bara Estland har haft en någorlunda framgångsrik implementation.

Identitetsfrågor på nätet är i allmänhet besvärliga: vill man ha en legitimation att köpa snus med, eller en legitimation att kontakta läkare med? Aktiviteterna är annorlunda, och kräver olika sorters autenticering. År 2006 lade två Kristdemokrater en motion om att legitimation ska funka "på samma sätt" på nätet som utanför nätet - men utanför nätet är det ingen som spårar varje gång jag verifierar min identitet. Ingen kassör på någon Pressbyrå i hela Sverige minns t ex vad som stod på mitt ID-kort (trots att mitt ID-foto utan tvekan är ett av Sveriges fulaste). På internet kan jag inte ens besöka regeringen.se utan att få en så kallad "kaka" lagd på datorn som gör det möjligt för regeringens webbyrå att spåra mina surfvanor över flera webbsidor. Varje extra sekund jag tillbringar vid någon särskild SOU blir ett statistiskt mått på ett sätt som helt enkelt inte är "samma" som utanför internet på något sätt.

E-legitimationsnämndens uppdrag är att kringgå EU:s upphandlingslagstiftning. Genom att göra en så kallad "tjänstekoncession" behöver inte myndigheterna följa samma regler som gäller för upphandlingar av andra system. E-legitimationsnämnden vill bygga en standardisering för ID-hantering ("samma överallt") som bygger på en teknisk standard kallad SAML. SAML förutsätter att den som "ger ut" identiteter också "håller koll" på de som använder identiteter på olika platser - jättestora databaser med vem som gjort vad, när, hur länge. Tillräckligt med information för att utröna mycket privat information om svenskar.

Standardiseringen har drivits fram av ett antal tekniskt sinnade - och inflytelserika - personer i Stockholm. SAML-standarden har t ex visat sig fungera bra när universitet ska hålla koll på studenter och deras kurser, mejlkorgar, studieresultat och kontakter med lärare. Av detta följer inte att SAML också är bra för en hel statlig förvaltning och samtliga företag, men tekniker som gillar tekniska ting brukar förutsätta att så länge det funkar för dem funkar det för alla andra. En extra klandervärd punkt är att teknikerna dessutom förutsatt att bara för att DE tycker de är tillräckligt kloka för att samla på sig sådan information om andras myndighetskontakter, betyder inte det att ALLA ANDRA också tycker de är tillräckligt kloka (jag tycker t ex inte det).

E-legitimationsnämnden har begränsat användningen av personuppgifter för de som handhåller tekniken - men inte användningen av metadata (det vill säga information om vem, hur, när man kontaktat myndigheter). De kan säljas och användas av legitimationsutfärdaren, delas vidare, eller på andra sätt bearbetas och föras vidare ut i stora vida världen, där många (t ex försäkringsföretag) kan tänkas vara intresserad.

Är man intresserad av mer vetenskapliga framställningar om både tekniska lösningar och juridiska problem finns flera utmärkta böcker skrivna inom EU:s forskningsprojekt FIDIS och ABC4TRUST. Jag rekommenderar Kai Rannenbergs artikelsammanställning utgiven på Springer förlag från 2015 ("Attribution-Based Credentials").
FackligtNyhetEU-kommissionen har stoppat ett avtal för statligt anställda från att bli lag på europeisk nivå. Nu överväger facken en stämning i EU-domstolen. ”Om vi inte protesterar när vi blir behandlade så här kan vi aldrig vara säkra på att få något inflytande över huvud taget”, säger STs ordförande Britta Lejon.
ArbetsmiljöNyhetFyra tungt kriminellt belastade personer dödshotade en arbetsförmedlare i hans hem tidigare i april. De hade anlitats av en arbetssökande som nekats ersättning av Arbetsförmedlingen.
UpphandlingNyhetKonkurrensverket stämmer Örebro universitet inför domstol och kräver 150 000 kronor i böter för felaktig upphandling. Enligt myndigheten har universitet gjort en otillåten direktupphandling.
ColombiaFördjupningDen 50 år långa inbördes konflikten i Colombia kastar fortfarande långa skuggor över landet, trots fredsavtalet med gerillarörelsen Farc. Kvinnonätverket IMP, som ST samarbetade med i tio år, har fått en viktig roll i att stötta kvinnor som drabbats av våldet.
FackligtNyhetTCO vill att högskolan ska få mer betalt för att utbilda redan yrkesverksamma. Kompetensutveckling och vidareutbildning behöver få betydligt mer fokus inför valet, skriver ordförande Eva Nordmark i en debattartikel.
RättsväsendetNyhetRegeringens utredare Stefan Strömberg föreslår att unga brottslingar snabbare ska ställas inför rätta genom nya regler för polisens arbete och ökad samverkan mellan polisen och socialtjänsten.
DelpensionNyhetAvtalet om statlig delpension ska hjälpa fler att stanna kvar längre i arbetslivet. Men myndigheterna tillämpar det väldigt olika. Karin Fast Aronsson på Länsstyrelsen i Värmlands län sökte delpension och fick nej. Då sade hon upp sig.
PolisenNyhetPolisen ska växa med över 10 000 medarbetare. Det innebär att myndigheten kommer att behöva rekrytera många civil­anställda. Nyblivne rikspolischefen Anders Thornberg säger till Publikt att han tänker jobba mycket med att inkludera både civilanställda och poliser.
IntegritetNyhetDen 25 maj börjar EUs dataskyddsförordning, GDPR, att gälla. Den som får sina person­uppgifter registrerade får tyd­ligare rättigheter – och det gäller bland annat anställda gentemot arbetsgivare. En förändring är att den registrerade får rätt till insyn.
DigitaliseringNyhetDigitaliseringen tvingar fram en delvis ny statlig arbetsgivarpolitik, konstaterar Arbetsgivarverket i en ny rapport. Arbetsgivarpolitiken behöver förändras för att utveckla kompetensförsörjningen och effektivisera verksamheten.
HögskolanNyhetMälardalens högskola tvingas betala tillbaka två tredjedelar av studieavgiften till en amerikansk student, därför att utbildningen hon gick inte höll måttet. Det har Högsta domstolen, HD, beslutat.
StatsförvaltningNyhetNästa års genomsnittliga uppräkning av de statliga myndigheternas anslag blir ungefär en procent, enligt Arbetsgivarverket. Det påverkar bland annat utrymmet för löner. Både ST och Arbetsgivarverket är kritiska.
TryckfrihetNyhetUniversitets- och högskolerådet, UHR, kritiseras av Justitiekanslern, JK, för brott mot efterforskningsförbudet i tryckfrihetsförordningen. Myndigheten har dessutom tangerat gränsen för censur, enligt JK.
BudgetNyhetNär Arbetsgivarverket kommenterar regeringens vårändringsbudget saknar myndigheten ytterligare satsningar på högre utbildning, men välkomnar fokus på integration på arbetsmarknaden.
FörsäkringskassanNyhetPå ett av Försäkringskassans kontor har många avslag av sjukpenning lett till högre lön, enligt ett vittnesmål i SVT i söndags. Men trots att detta strider mot arbetsplatsens lönekriterier, kan lönesättningen inte göras om, förklarar STs avdelningsordförande Siv Norlin.
FrankrikeNyhetAnställda inom det franska rättsväsendet är oroliga för domstolarnas framtid, och ger sig nu in i de växande protesterna mot president Emmanuel Macrons politik. ”Vårt intryck är att regeringen struntar i vad vi tycker”, säger Hervé Bonglet i domstolssekreterarnas största fackförbund, UNSA Service Judiciaires.
VårbudgetenNyhet»Ett jättebekymmer att omlokaliseringsmyndigheter inte får något tillskott«, säger STs ordförande Britta Lejon.
PostnordNyhetPostnord måste skicka tillbaka 400 000 postförsändelser till Kina och andra länder utanför EU. Det handlar om varor som inte hämtats ut av mottagarna, sedan bolaget införde en ny avgift från första mars.
POLISENNyhetEfter en granskning i Svenska Dagbladet har åklagare inlett en förundersökning om en polischefs inlägg på Facebook. Mannen utsågs till chef trots varningar från medarbetare om att han spred rasism i fikarummet och på sociala medier.
SjukpenningNyhetRegeringen har utsett juristen Claes Jansson till särskild utredare för att se över sjukförsäkringen. Samtidigt har en nationell samordnare för sjukförsäkringen, Mandus Frykman, utsetts.
LantmäterietNyhetLantmäteriet ska fungera som motor i arbetet med en smartare samhällsbyggnadsprocess. Regeringen uppdrar till myndigheten att öka möjligheten att arbeta med digitala geodata.
STATSTJÄNSTEMÄNNyhetStatstjänstemän kan komma att ställas inför domstol i fler fall i framtiden. Riksdagens konstitutionsutskott begär förslag från regeringen om ett utvidgat straffansvar för tjänstefel.
HögskolanNyhetUniversitetskanslersämbetet, UKÄ, vill få i uppdrag att samordna alla myndigheters uppföljningar och utvärderingar av den högre utbildningen i Sverige. Förslaget framförs i en rapport till regeringen.
JämställdhetNyhetVid dagens sammanträde tar regeringen beslut om att satsa en miljard kronor på att stärka kvinnors och flickors jämställdhet runt om i världen. Förslaget är en del av vårbudgeten.
RIKSDAGENNyhetRiksdagens konstitutionsutskott föreslår att en introduktionsutbildning införs för statsanställda. I betänkandet hänvisas till en rapport från ST, och förbundets ordförande Britta Lejon betecknar förslaget som ”mycket glädjande”.
OMLOKALISERINGNyhetPersonalen flyr snabbt från myndigheter som ska omlokaliseras, och bemanningsfrågorna blir ofta akuta långt innan flyttlasset går. Det konstaterar ST i en rapport byggd på en undersökning bland förtroendevalda.
HögskolanNyhetTCO är positiv till valideringsdelegationens förslag om stärkt validering inom högskolan. Bättre möjlighet till validering är en viktig pusselbit i ett system för livslångt lärare för tjänstemän, anser TCO.
HögskolanNyhetDen statliga Valideringsdelegationen föreslår att gemensamma riktlinjer och nya rutiner tas fram för att förstärka möjligheterna att genom högskolan validera tidigare förvärvade kunskaper.
ArbetsmiljöNyhetArbetsmiljöverket inleder en riksomfattande inspektion av förekomsten av våld och hot på HVB- och LSS-boenden. Fyra av tio anmälningar inom verksamheterna handlar om hot och våld.
DANMARKNyhetDanmarks arbetsmarknadsminister vänder sig till alla medborgare i en efterlysning av förslag till bättre arbetsmiljöregler. Ett formulär har lagts in på departementets hemsida.
KRIMINALVÅRDENNyhetKriminalvården får kritik av Justitiekanslern för att en hög chef uttryckt sin ”starka besvikelse” över en facklig företrädares uttalanden i Göteborgs-Posten och Ekot. Den viktiga öppna debatten riskerar att strypas, skriver JK i beslutet.
ÖppenhetNyhetJustitieombudsmannen, JO, vidtar ingen åtgärd med anledning av Journalistförbundets anmälan mot utrikesdepartementet, UD. Fackförbundet gjorde anmälan när en överprövning av UDs beslut om att inte lämna ut utrikesminister Margot Wallströms e-postlogg tog mer än tre månader, rapporterar Journalisten.
FörsäkringskassanNyhetFörsäkringskassans dialog med Arbetsförmedlingen, arbetsgivare och sjukskrivande läkare måste förbättras, skriver myndigheten i en rapport till regeringen.
OMLOKALISERINGNyhetFacken vid de statliga myndigheterna har begärt förhandlingar med Arbetsgivarverket om villkoren för de anställda vid omlokaliseringar. Nationell arbetsskyldighet är unikt för staten, vilket gör att myndigheterna riskerar att framstå som mindre attraktiva arbetsgivare, menar STs förhandlingschef Åsa Erba-Stenhammar.
StatsförvaltningNyhetDen statliga internrevisionen fungerar i huvudsak bra, rapporterar Ekonomistyrningsverket, ESV, i sin årliga redovisning. Men var tredje myndighet har inte analyserat behovet av resurser till internrevisionen, påpekar ESV.
#metooNyhetRegeringen satsar över 100 miljoner kronor i vårbudgeten på förebyggande och kompetensutveckling i spåren av #metoo-kampanjen. 25 miljoner kronor satsas på arbetslivet och 50 miljoner på skolan.