Leserbrev Dette er et debattinnlegg, skrevet av en ekstern bidragsyter. Innlegget gir uttrykk for skribentens holdninger.
Olav Johannesen, seksjonssjef i Finanstilsynet, karakteriserer nærmeste familie som et sikkerhetshull. Familiemedlemmer som hjelper hverandre i den digitale hverdagen er et gode og en nødvendighet, ikke et sikkerhetshull. Det er nødvendig for eldre i vårt samfunn å få hjelp av familiemedlemmer. I slike situasjoner er det helt naturlig å dele tilgang til systemer.
BankID er konstruert på en måte som fratar individet kontroll. Dette er et gedigent sikkerhetshull, ikke familien. Det er vanskelig å se noe annet system som undergraver individers kontroll, og da spesielt eldre, så totalt som BankID. BankID er i bunn og grunn et digitalt sertifikat beskyttet av et passord. Normalt er det slik at sertifikater har et virksomhetsområde og skal brukes innen et spesifikt område. For eksempel er nettsidene til Nettavisen beskyttet av et digitalt sertifikat som gjør at din nettleser vet at artikkelen du leser er publisert på Nettavisen.
Hvis noen bryter seg inn på datamaskinen som gir deg Nettavisen så kan en angriper forandre det du leser. Det er virksomhetsområdet til det digitale sertifikatet som ligger på datamaskinen. Den kriminelle kan derimot ikke ta opp 1000 millioner i lån i Nettaivsens navn, sparke redaktøren, eller legge ned avisen. Slik er det ikke med BankID, den har ubegrenset virksomhetsområdet. Dette har Nkom som ansvarlig etat godkjent. Dette er velsignet av Staten. Eldre som har behov for hjelp med å betale regninger eller å bestille offentlige tjenester har ingen mulighet til å delegere dette til familiemedlemmer.
Som bruker av BankID har man ingen mulighet for å begrense de økonomiske tapene man kan pådra seg ved mislighold. Det som finnes i alle andre digitale sertifikatsystemer finnes ikke i BankID. Hvorfor? Kan det være slik at BankID er utviklet for bankene, av bankene og med bankenes interesse i sentrum? Kan det være slik at BankID er utviklet for å begrense bankenes risiko, mens risikoen individene tar ved å bruke teknologien er totalt oversett Problemene i BankID er ikke bare løsbare, men har vært standard i tidligere digitale signatursystemer. Sikkerheten fra individets ståsted har blitt svekket med vilje og det er vanskelig å se et annet motiv enn å skyve ansvaret over på brukeren av BankID.
Til sist vil jeg rette en pekefinger til de som nå tenker at "men man kan delegere roller i for eksempel. AltInn". Ja, det er riktig, da er problemet løst et sted, men forblir i 1000 andre situasjoner. Dette er et kritisk sikkerhetshull i BankID, men hva er løsningen? Løsningen til Olav Johannesen er å instendig be folk om å ikke dele passord. Det er ikke en holdbar løsning. Den riktige løsningen ligger hos Nasjonal kommunikasjonsmyndighet. Som ansvarlig tilsynsorgan i Norge burde Nkom starte en prosess med å forsterke sikkerheten til BankID og andre tillitstjenester som brukes i Norge. Nkom burde lage en plan hvor tillitstjenester uten innebygget mulighet for delegering fjernes fra akseptable systemer for bruk i Norge.