De viktigste nyhetene om

↳ bank, finans og teknologi

Nyhetsbrev

 Logg inn

ELEKTRONISK ID

– Flere av de europeiske ID-løsningene har funksjoner som vi i dag mangler i Norge

Norske Signicat er dypt involvert i utviklingen av EUs nye ID-lommebok, og mener Norge ikke må stirre seg blind på hva som finnes på hjemmebane. 

Petter Iversen, Norgessjef og Nina Mathisen, produktsjef i Signicat
Jörgen Skjelsbæk
Jörgen Skjelsbæk Journalist
Publisert

EUs store identitetsprosjekt – eIDAS 2.0 – som skal ende opp med at alle EU- og EØS-borgere skal få en egen digital ID-lommebok som skal fungere på tvers av landegrensene over hele Europa begynner å få opp tempoet.

Forordningen ble vedtatt i fjor vår og i november neste år må alle EU-land ha en fungerende løsning på plass.

Med i fire av seks prosjekter

I det arbeidet spiller norske Signicat en sentral rolle. Selskapet deltar i fire av de seks store europeiske pilotprosjektene som skal finne ut i detalj hvordan EUs eID-lommebok skal utformes og hvilke tjenester den skal inneholde.

Det er ikke så rart. Selskapet er ikke bare Norges største formidler av BankID, men også Europas største aktør på eID-området. Selskapets identitetsplattform kan tilby hele 36 ulike elektroniske ID-er fra hele Europa, men også mulighet for elektroniske signaturer og andre tjenester som er tenkt å bli en del av EUs ID-lommebok.

– I den norske diskusjonen om EU-lommeboken har vi blitt veldig hengt opp i et aspekt ved den – pålogging. Det er kanskje ikke så rart med tanke på hvordan vi bruker BankID i hverdagen, sier Nina Mathiesen, produktsjef i Signicat og fortsetter:

– Men den store muligheten med lommeboken er datadeling. Det har vært diskutert i mange år, og omfatter mye mer enn bare å kunne identifisere seg selv digitalt og den diskusjonen mangler vi litt her hjemme.

Mye å lære av andre

BankShift møter Mathiesen og Signicats Norge-sjef Petter Iversen for å få et litt større og mer europeisk perspektiv på arbeidet med eID-løsninger.

– Vi mener Norge har mye å lære ved å se utover egne grenser når det gjelder vår digitale fremtid, sier Iversen.

– Norge og Norden var pionerer på digitale ID-løsninger og har i mange år hatt et forsprang, men i dag begynner andre land å komme i kapp og forbi oss. Flere av de europeiske ID-løsningene har i dag funksjoner som vi i dag mangler i Norge, men som er ventet å bli en del av EU-lommeboken, fortsetter Mathiesen.

Tre funksjoner som mangler

Det er særlig tre funksjoner som peker seg ut ifølge Signicat:

  1. Deling av minimal data: Muligheten til å kun bekrefte at «personen er over 18 år» uten å dele fødselsnummer. Noe som vil redusere muligheten for datalekkasjer, og detaljert informasjon ender opp på feil hender.
  2. Full oversikt for brukeren: Tjenester som lar brukeren se nøyaktig hvor og når deres eID har blitt brukt. Det er et verktøy som kan bidra til at misbruk av en identitet blir oppdaget tidlig.
  3. Sikrere gjentatt pålogging: Pseudonymer som gjør at man slipper å taste inn personnummer ved hver pålogging hos en kjent tjeneste. Dette er ikke et strengt krav, legger Mathiesen til, men et mulig tillegg som finnes i flere eIDer i dag.

– Et godt eksempel er iDIN, et av flere eIDer som benyttes i Nederland i dag. De tilbyr de tidligere nevnte funksjonene. Noe slikt har vi ikke i Norge i dag, forteller Mathiesen.

Hackerangrep viser på farene 

For en drøy måned siden avslørte italienske myndigheter at en kriminell hackergruppe kalt «mydocs» hadde infiltrert bookingsystemene til minst ti italienske hoteller og fått tak i de innskannede bildene av gjestenes pass og nasjonale ID-kort, som etterpå hadde blitt lagt ut for salg på det mørke nettet.

- I teorien betyr det at alle turister som har bodd på disse hotellene de siste årene, kan risikere å få sin identitet stjålet. Her kunne en ID-lommebok med funksjonalitet for minimal datadeling gjort underverker. Det er ikke nødvendig å utlevere all informasjon i et pass for å få overnatte på et hotell, sier Mathiesen.

Mener myndighetene må ha ansvaret

I sommer kunne Stø-sjef Øyvind Brekke fortelle at selskapet på nyåret kommer med en bankuavhengig BankID, der Stø overtar ansvaret for utstedelsen. Det er noe selskapet håper skal kunne bidra til å gjøre BankID mer aktuell som eID-løsningen i den kommende EU-lommeboken.

Uten å ta stilling til den ene eller andre løsningen mener Signicat-duoen at akkurat den diskusjonen peker i retning av at norske myndigheter ønsker å ta et større ansvar for utstedelsen av en nasjonal elektronisk ID, mye fordi det er et ganske tydelig krav i eIDAS 2.0-forordningen. De legger også til at dette ble fremhevet av politikere og representanter fra myndighetene under STØ sin debatt i Arendal, hvor det ble uttalt at myndighetene bør ta ansvar for utstedelse av eID i fremtiden.

– Det norske systemet har en del svakheter som må utbedres. Den mest graverende er at en stor gruppe mennesker ikke kan få BankID, deriblant mange eldre, utlendinger, og folk med funksjonshemninger. Dermed får de heller ikke tilgang til grunnleggende offentlige tjenester, sier Iversen.

– Dette er en naturlig konsekvens av en «alt-i-ett»-løsning, som ikke bare skal levere offentlige tjenester, men også finansielle tjenester. Der det finnes finansielle straffer som naturligvis motiverer til å innskrenke hvem kan få BankID, finnes det få tilsvarende straffer for brudd på diskrimineringsregelverket.

Vil ha flere eID-løsninger

Det betyr derimot ikke at Iversen og Mathiesen mener at det bare bør finne én eID-løsning, selv om staten får ansvaret for utstedelsen. Snarere at det gjør samfunnet mer robust om det finnes flere ID-løsninger som konkurrerer på mer like vilkår.

I en fersk rapport om ID-svindel i Norge og Europa, kan Signicat peke på et lite norsk paradoks.

Norske bedrifter opplever den laveste økningen i antall svindelforsøk i Europa (38 %). Samtidig har Norge nest høyeste økningen i vellykkede svindelangrep (63 %).

– Det henger jo sammen med BankIDs dominans. Selv om til og med min bestemor i dag skjønner at hun ikke skal utlevere BankID-informasjon på telefon, er det jo slik at hver gang svindlerne lykkes kan de utrette stor skade, sier Mathisen.

 Et annet problem med å ha en helt dominerende ID-løsning til alt, er at samfunnet veldig raskt skulle knele hvis den blir slått ut over en lengre periode.

– Sverige har opplevd flere DDoS-angrep de siste årene, som nådde toppen i et kraftig angrep for noen måneder siden der BankID ble borte. Selv om Svensk BankID alltid har vært dominerende i Sverige, har de også hatt alternativer som FrejaID tilgjengelig, og nå de siste månedene ser vi også signaler om at svenske myndigheter skal lansere en ny eID, sier Iversen.

Nederland har også en løsning med to offentlige ID-løsninger, en for personer og en for bedrifter, samt nevnte iDIN fra bankene, som tar hånd om ulike sektorer og ulike tjenester.

– Det viser at det finnes flere måter å løse dette på, sier Mathiesen.
nyheter signicat nina mathisen id-lommebok fintech elektronisk id eidas petter iversen

Se alle