
Varnar för risker med ny id-lösning
Om drygt ett år är det tänkt att en ny e-legitimation ska införas för myndigheternas e-tjänster. Men den tekniska lösningen har fått kritik. En överbelastningsattack skulle drabba alla anslutna myndigheter. Lanseringen kan innebära allvarliga arbetsmiljöproblem, anser ST.
I dag använder många svenskar bank-idför att komma in på myndigheters e-tjänster som självdeklaration och ansökan om föräldrapenning.
Men 2011 inrättade regeringen E-legitimationsnämnden med uppdraget att skapa en ny e-legitimation för stat, kommuner och landsting. Ett syfte är att medborgarna ska kunna nå flera myndigheter med en enda inloggning. Systemet ska vara klart för drift nästa sommar. Då löper det upphandlade avtalet med det bankägda företaget bakom bank-id ut.
Men projektet har varit långt ifrån smärtfritt. För ett år sedan begärde tre myndigheter med stort behov av e-tjänster – Försäkringskassan, Arbetsförmedlingen och Centrala studiestödsnämnden, CSN – en granskning av den föreslagna tekniska lösningen.
De såg säkerhetsproblem, bland annat ökade risker för överbelastningsattacker. En attack skulle dessutom drabba alla anslutna myndigheter.
– Som den tekniska lösningen ser ut i dag kan en attack mot en myndighet sprida sig i hela systemet, och då kan andra myndigheter bli tvungna att stänga sina e-tjänster, säger Peter Sahlin, verksamhetsområdeschef på Försäkringskassan. Det går inte att stänga av en enskild aktör.
Säkerheten hänger på att alla, från minsta kommun till stora myndigheter, har ett tillräckligt skydd. Myndigheterna påpekade också brister i designen, inte minst att användarna inte kan se om de loggar in eller om de signerar en transaktion.
Granskningen gjordes av Myndigheten för samhällsskydd och beredskap, MSB, med bistånd från Försvarets radioanstalt, Försvarsmakten och Totalförsvarets forskningsinstitut.
I höstas, efter 2 500 arbetstimmar, kom deras granskningsrapport. Den är hemligstämplad, bara en sammanfattning med 22 rekommendationer offentliggjordes.
Nyligen lade E-legitimationsnämnden fram en plan med åtgärder för att rätta sig efter rekommendationerna.
Försäkringskassan har efter lång tvekan nu bestämt sig för att ansluta sig till systemet.
– E-legitimationsnämnden har sagt att de ska ta hand om alla de punkter som vi och MSB identifierat som kritiska. Vi kan inte göra annat än att lita på det, säger Peter Sahlin.
På CSN är man ännu inte övertygad. Handlingsplanen är en bra start, men långt ifrån tillräcklig för att hantera de stora brister och risker som framkommit i MSBs rapport, skriver myndig-heten till E-legitimationsnämnden.
CSN befarar att »risken för en riktad attack mot svensk e-legitimation, e-tjänster hos myndigheter och e-legitimationsutfärdare är hög«. En attack kan medföra stor skada för myndigheter och privatpersoner, konstaterar CSN.
STs ordförande Britta Lejon ser allvarligt på läget utifrån ett medarbetarperspektiv.
– Det blir de enskilda handläggarna som får klä skott om systemet inte fungerar. Det är oerhört viktigt att myndigheterna kan erbjuda säkra system, och i dagsläget känns det väldigt svajigt. Det kan bli kaos. De tekniska brister som uppdagats innebär också risker för medborgarnas tillit till samhället, anser hon.
– Detta är i dag den viktigaste infrastrukturen, det handlar om medborgarnas integritet och tilliten till hela det offentliga Sverige.
Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.