Etaten frykter store samfunnsmessige konsekvenser hvis BankID mister klarering. –⁠ Mange brukere står i en vanskelig livssituasjon

ETTERLYSER ALTERNATIVER: Nav mener det må være gode alternativer på plass før BankID eventuelt mister høyeste sikkerhetsklarering.ETTERLYSER ALTERNATIVER: Nav mener det må være gode alternativer på plass før BankID eventuelt mister høyeste sikkerhetsklarering. Foto: Ørn E. Borgen / NTBVis merBilde av Jorun Gaarder

Oppsummeringen er laget med kunstig intelligens og kvalitetssikret av E24s journalister.

  • Nav frykter store samfunnsmessige konsekvenser hvis BankID mister klarering for høyeste sikkerhetsnivå.
  • Nkom har varslet om sikkerhetshull i over to år og startet nylig tilsyn med Stø, selskapet bak BankID.
  • Mange Nav-tjenester krever sikkerhetsnivå 4, og BankID er den eneste gratis løsningen for dette nivået.
  • Nav ber om midlertidig dispensasjon og tid til å finne varige løsninger for sine digitalt sårbare brukere.

Vis mer

BankID kan miste sikkerhetsklarering for nivå «høyt» etter at Nasjonal kommunikasjonsmyndighet (Nkom) har varslet om sikkerhetshull i over to år. For kort tid siden startet de tilsyn med Stø, selskapet bak e-ID-løsningen.

BankID er i dag den mest brukte innloggingstjenesten for elektronisk ID.

– Dette er en alvorlig situasjon, som gjelder for mange flere enn Nav. Hvis BankID fratas godkjennelsen for sikkerhetsnivå 4 uten at reelle alternativer er på plass, vil dette få store samfunnsmessige konsekvenser, sier konstituert arbeids- og velferdsdirektør Eve V. Bergli til E24.

Bilde av  Eve V. Bergli  Eve V. Bergli

Arbeids- og velferdsdirektør, Nav

Dette er saken

BankID er Norges mest brukte løsning for elektronisk innlogging på alt fra helsetjenester til bankkonto og skattemelding. Nå kan de miste sikkerhetsklarering for nivå «høyt».

Nkom (Nasjonal kommunikasjonsmyndighet) har formelt startet tilsyn med Stø AS, selskapet bak BankID.

BankID har hatt avvik knyttet til utsendelse av kodebrikker. Avviket har vært kjent siden 2022.

Sikkerhetshullet er knyttet til hvordan BankID opprinnelig er utstedt, og kan omfatte BankID uavhengig av om det er på kodebrikke eller app, opplyser Nkom.

Statsråd Karianne O. Tung (Ap) i Digitaliserings- og forvaltningsdepartementet sier hun er opptatt av at sikkerhetshullene tettes.

Stø mener BankID oppfyller kravene. De er i gang med omfattende tiltak for å bedre prosessen med utlevering av kodebrikker.

Nkom sier de vil vurdere dokumentasjonen de har fått fra bankene og deretter vurdere hva resultatet kan bli. Eventuelle tiltak vil bli vurdert, og målet er å sikre nødvendig sikkerhet og opprettholde tilliten til en kritisk nasjonal løsning, opplyser Nkom.

Vis mer

Les også

BankID kan miste høyeste sikkerhetsnivå Sensitive personopplysninger

NKOM opplyser at avviket har vært kjent for bankene siden 2022.

Sikkerhetsnivå 4, eller «høyt» kreves blant annet for visse tjenester på Helsenorge, Skatteetaten og elektronisk signering av dokumenter. Og for mange av Navs tjenester.

Det er nemlig flere av Navs ytelser og tjenester som involverer sensitive personopplysninger, og som krever sikkerhetsnivå 4.

– Det vil få store konsekvenser for våre brukere dersom disse tjenestene ikke lenger kan benytte BankID til innlogging, sier Bergli.

I dag finnes det fire ulike innloggingstjenester for e-ID (se faktaboks). Digitaliseringsdirektoratets MinID er ikke klarert for høyeste sikkerhetsnivå. Av de tre andre, er det bare BankID som er gratis, og har følgelig flertallet av brukerne.

Elektronisk ID

Det er fire ulike innloggingstjenester for elektronisk ID. MinID og BankID er gratis. Buypass og Commfides koster penger.

MinID driftes og forvaltes av Digitaliseringsdirektoratet (Digdir). MinID er ikke klarert for sikkerhetsnivå «høyt», mens de tre andre er det. MinID gir tilgang til offentlige tjenester med «betydelig» sikkerhetsnivå.

BankID eies av selskapet Stø AS, som igjen eies av 104 norske banker.

Commfides blir levert som smartkort med smartkortleser, som kun kan brukes på Windows PC.

Commfides er et privat, norsk selskap.

Buypass ID er et smartkort, en app du kan bruke på mobilen din eller du kan logge inn ned passord/SMS.

Buypass eies av det nederlandske selskapet Specific Solutions (TSS)

Kilde: Digitaliseringsdirektoratet

Vis mer Gjelder mange

Eiendom Norge har tidligere advart om store konsekvenser for eiendomsbransjen om BankID skulle miste sikkerhetsklareringen.

I et brev Stø, selskapet bak BankID, har sendt til Finansdepartementet og Finanstilsynet advarer de om store konsekvenser for finansbransjen.

«En endring i klassifisering fra sikkerhetsnivå høyt til betydelig, vil kunne få store praktiske konsekvenser for aktører i finanssektoren. I lys av dette er Støs vurdering at konsekvensene er betydelige og alvorlige», skriver de.

Bergli i Nav er bekymret om BankID skulle miste sin sikkerhetsklarering uten at alternativer er på plass.

– Dersom en slik endring skjer raskt, uten at man har på plass gode alternativer og brukerne våre får tid til å skaffe seg og lære hvordan man bruker det, vil det få store konsekvenser. Dette kan bety at Navs brukere – både privatpersoner og arbeidsgivere – ikke får søkt om ytelsene eller hjelpen de trenger og har krav på fra Nav, sier hun.

Les også

Slik fordelte Stein Erik Hagen imperiet sitt Trenger stabilitet

Arbeidsdirektøren understreker at mange av Navs brukere mangler digital kompetanse.

– Mange av Navs brukere står i en vanskelig livssituasjon, og den digitale kompetansen er ulikt fordelt, så det er viktig med stabilitet, forutsigbarhet og tid ved eventuelle endringer, sier hun.

Nå forventer Nav at de som har ansvar for dette finner en løsning som gjør at dette ikke går utover deres brukere. Direktør Bergli har tatt opp dette i et brev til digitaliseringsdirektoratet.

– Denne saken handler om mange flere tjenester enn våre, og kan potensielt ramme mange viktige tjenester og enkeltmenneskene som bruker dem. Vi som har ansvaret for disse tjenestene, har hverken mulighet eller mandat til å løse dette selv, sier Bergli

I et svar Nav har sendt til Digdir, ber de om en «midlertidig løsning som gir partene tid til å finne en varig løsning. I en mellomperiode kan det for eksempel vurderes en dispensasjon for å
fortsatt kunne levere tjenester på sikkerhetsnivå «Høyt» fra BankID», skriver Nav.

–⁠ Vi jobber sammen med tjenesteeierne og eID-leverandørene for å sikre gode løsninger for at alle skal ha trygg tilgang til digitale tjenester uavhengig av utfall i saken, uttaler Digdir, ved
Jon Håkon Odd, seksjonssjef for strategi og forretningsutvikling.

Les også

Frykter BankID-smell: – Helt håpløst