Försäkringskassan avvisar nya id-lösningen

E-TJÄNSTER2015-10-16
Försäkringskassan dömer ut Svensk e-legitimation. ”Säkerhetsbristerna är fundamentala”, säger Peter Sahlin, verksamhetsområdeschef på Försäkringskassan, som vill fortsätta använda BankID.

Svensk e-legitimation är tänkt att bli framtidens sätt att identifiera sig när man har digital kontakt med myndigheter. Det är en satsning från regeringen med syftet att effektivisera offentlig sektor genom att öka användandet av e-tjänster. Myndigheten E-legitimationsnämnden, ELN, inrättades 2011.

Den nya e-legitimationen ska vara på plats sommaren 2016 när nuvarande avtal med det bankägda företaget bakom bank-id löper ut. Men flera myndigheter har sett säkerhetsbrister i den tekniska lösning ELN valt.

I fjol begärde Arbetsförmedlingen, Försäkringskassan och CSN att Myndigheten för samhällsskydd och beredskap, MSB, skulle granska Svensk e-legitimations säkerhet. MSB tog hjälp av expertis på flera andra myndigheter – Försvarets radioanstalt, FRA, Försvarets forskningsinstitut, FOI, samt Försvarsmakten.

I våras kom MSB med omfattande kritik. I en hemligstämplad rapport konstaterades att det fanns stora risker om en användares dator var infekterad med skadlig kod: id-stöld och omstyrning av utbetalningar, insyn i känslig privat information och risk för att överbelastningsattacker sprider sig till alla myndigheter.

ELN fick 22 rekommendationer och upprättade en åtgärdsplan. Men nu börjar tiden bli knapp och trycket från ELN blir allt hårdare på de myndigheter som ännu inte har anslutit sig.

Men stora brister i säkerheten kvarstår, anser Försäkringskassans experter:

– ELNs lösning har samma säkerhetsbrister som funnits från start, säger verksamhetsområdeschef Peter Sahlin. I den tekniska lösning som finns i dag går bristerna inte att åtgärda, med mindre än att det görs fundamentala förändringar av systemet.

Han säger att den kod som används är bra – om man har kontroll på både sändare och mottagare i processen.

– Men med ELNs lösning får vi inte kontroll på den andra parten. Det ger för låg säkerhet utifrån våra krav. Så länge grundstrukturen inte ändrats bör vi inte ansluta oss.

Försäkringskassans hanterar 500 miljarder kronor om året och myndighetens register innehåller dessutom integritetskänsliga uppgifter, förklarar Peter Sahlin.

– Vi har mycket känslig information med högt skyddsvärde. Många myndigheter, exempelvis Skatteverket, har information som till stora delar är offentlig. Vi har behov som de inte har och därför ställer vi högre krav på säkerhet.

Därför väljer Försäkringskassan nu bort Svensk e-legitimation.

– Vi är positiva till samverkan, betonar Peter Sahlin. Vi kan gå med i den federation av myndigheter som skapas av ELN. Men villkoret är att vi får fortsätta med BankID tills säkerhetsfrågorna är lösta. Eftersom bristerna inte är åtgärdade hinner vi inte ansluta oss. Vi vill helst att åtgärderna sedan kvalitetssäkras av MSB och FRA.

E-legitimationsnämndens kanslichef Eva Ekenberg räknar med att Försäkringskassan senare kommer att gå med i Svensk e-legitimation, även om myndigheten står utanför vid starten:

– Vi har tagit fram en övergångslösning som vi beslutade om i september. Vi har en dialog och de har sagt att de ska gå med, men att de inte hinner ställa om i tid.

Men de har ju stark kritik mot säkerheten i Svensk e-legitimation?

– Det är ett ständigt jobb att titta på säkerheten, eftersom det ständigt kommer nya hot. Ett antal kommuner och myndigheter, bland annat Skatteverket och Bolagsverket, jobbar redan med Svensk e-legitimations tekniska lösning.

Eva Ekenberg tillägger att nämnden i samråd med upphandlande myndigheter och expertmyndigheter har vidtagit en rad åtgärder under 2015.

Försäkringskassan hävdar också att ni inte åtgärdat alla säkerhetsbrister som FRA pekade på?

– Vi har en handlingsplan och vi jobbar med dem, visst arbete kvarstår och pågår.

Vad innebär det för Svensk e-legitimation att den största användaren Försäkringskassan ställer sig utanför?

– Det är klart att både vi på nämnden och departementet är bekymrade. Det är bättre om offentlig sektor är enad.

Är det fler myndigheter som hotar med att hoppa av?

– Nej, det är Försäkringskassan som vi för en dialog med.

Svensk E-legitimation

  • Medborgarna ska kunna använda e-legitimation för identifiering och underskrift i offentliga verksamheters e-tjänster.
  • Systemet ska vara på plats vid halvårsskiftet 2016. Då löper det upphandlade avtalet med det bankägda företaget bakom bank-id ut.
  • Ansvarig myndighet är E-legitimationsnämnden.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.