Just nu pågår en liten debatt om huruvida e-legitimation är tillräckligt säkert. I SVTs Aktuellt anklagade i veckan Polisen Statskontoret för att inte ha valt en tillräckligt säker lösning. Och i Ny Teknik tillbakavisar Skatteverket anklagelserna:
"De säkerhetslösningar vi valt för att deklarera på nätet är faktiskt säkrare än att deklarera på papper."Men borde det inte vara självklart så att digitala lösningar måste vara mycket säkrare än analoga papperslösningar? Om en person hittar säkerhetshålet i lösningen blir det ju möjligt för alla andra att utnyttja samma säkerhetshål, och attackerna kan mångfaldigas på ett systematiskt och automatiserat sätt.
"Det är nu tredje året vi kan deklarera elektroniskt och erfarenheterna hittills är enbart goda. Inga fel eller oegentligheter har förekommit under den period vi hittills använt e-legitimationen för våra deklarationstjänster, säger Alf Nilsson [överdirektör vid Skatteverkets huvudkontor].
Det är också intressant att de första tjänsterna där man använder e-legitimation i större skala är tjänster där användarna är ganska okänsliga för potentiellt missbruk. Det krävs rätt speciella förhållanden för att en person ska vilja skicka in någon annans deklaration! På ett sätt är det bra att introducera e-legitimationen för en okontroversiell tjänst som att deklarera, men säkerheten i systemet kommer antagligen inte att ställas på prov på ett adekvat sätt. Meningen är ju att e-legitimationen även ska användas i alla andra sammanhang där man ska ha kontakt med myndigheter och banker på nätet.
Alternativet hade varit att introducera e-legitimationen i samband med en tjänst som varit mer direkt knuten till pengar -- något som alla skurkar eftertraktar, och som automatiskt hade höjt säkerhetstänkandet. Nu finns risken att man skaffar en e-legitimation för att deklarera, låter den "ligga och skräpa", och sen introduceras mycket kraftfullare tjänster och man har inte koll på att ens e-legitimation har varit stulen hela tiden. Skatteverket har i alla fall en sida för att spärra sin e-legitimation, om man misstänker att den har missbrukats.
Den digitala e-legitimationen medför ytterligare möjligheter och problem. För det första kan man ju ha flera olika legitimationer från olika banker. Det finns också flera olika funktionssätt för de olika systemen, vilket Skatteverket illustrerar här. Att ha olika legitimationer är ju inte konceptuellt något nytt -- vi kan idag ha både körkort, pass och andra ID-kort som fungerar parallellt. Men medan våra fysiska kort signalerar att de har blivit stulna (genom att vi inte själva hittar dem...) förefaller den valda tekniska lösningen för e-legitimation tillåta att man kan kopiera den från en dator till en annan. Det går ju att stjäla digital information utan att den bestulna förlorar den...
För det andra kan man ju behöva flera olika kopior av "samma" legitimation för användning på olika datorer. Detta kommer självklart att ställa till problem den dan man måste spärra sin e-legitimation. Är det en av kopiorna, alla av samma, eller alla ens e-legitimationer man behöver spärra? Och hur vet man vilken av ens e-legitimationer som någon olovandes har använt?
Själv ser jag en stor nytta med e-legitimation, och min argumentation får inte tolkas som negativ till fenomenet, utan snarare som en fördjupning av problematiken och ett område där en undersökning av folks begreppsapparat och förståelsedjup skulle behövas. BBC har på de senaste veckorna haft två mycket intressanta artiklar om upplevd säkerhet. Den första handlade om hur 79 % av en tillfrågad grupp var beredd att avslöja sitt lösenord mot en bit choklad. Den andra framställde slutanvändarnas begreppsapparat inom säkerhetsområdet som att man går efter den enkla principen att så länge man inte lider själv så gör man inget -- ens dator får gärna användas för att skicka vidare skräppost, så länge det inte gör att ens surfande går långsammare...
Inspiration via NITA. /Simon
Comments
You can follow this conversation by subscribing to the comment feed for this post.