]> pere.pagekite.me Git - homepage.git/blob - blog/data/2012-11-16-bankid.txt
projects / homepage.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
Generated.
[homepage.git] / blog / data / 2012-11-16-bankid.txt
1 Title: BankID skal ikke gi tilgang til min personsensitive informasjon
2 Tags: norsk, personvern, sikkerhet, bankid
3 Date: 2012-11-16 12:30
4
5 <p>Onsdag i denne uka annonserte
6 <a href="http://www.fad.dep.no/">Fornyingsdepartementet</a> at de har
7 inngått kontrakt med BankID Norge om bruk av BankID for å la borgerne
8 logge inn på offentlige nettsider der en kan få tilgang til
9 personsensitiv informasjon. Jeg skrev i 2009 litt om
10 <a href="http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html">hvorfor
11 jeg ikke vil ha BankID</a> &mdash; jeg stoler ikke nok på en bank til
12 å gi dem mulighet til å inngå avtaler på mine vegne. Jeg forlanger at
13 jeg skal være involvert når det skal inngås avtaler på mine vegne.</p>
14
15 <p>Jeg har derfor valgt å bruke
16 <a href="http://www.skandibanken.no/">Skandiabanken</a> (det er flere
17 banker som ikke krever BankID, se
18 <a href="http://no.wikipedia.org/wiki/BankID">Wikipedia for en
19 liste</a>) på grunn av at de ikke tvinger sine kunder til å bruke
20 BankID. I motsetning til Postbanken, som løy til meg i 2009 da
21 kundestøtten der sa at det var blitt et krav fra Kreditttilsynet og
22 BBS om at norske banker måtte innføre BankID, har ikke Skandiabanken
23 forsøkt å tvinge meg til å ta i bruk BankID. Jeg fikk nylig endelig
24 spurt Finanstilsynet (de har byttet navn siden 2009), og fikk beskjed
25 fra Frank Robert Berg hos Finanstilsynet i epost 2012-09-17 at
26 Finanstilsynet ikke har fremsatt slike krav. Med andre ord snakket
27 ikke Postbankens kundestøtte sant i 2009.</p>
28
29 <p>Når en i tillegg fra
30 <a href="http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html">oppslag
31 i Aftenposten</a> vet at de som jobber i alle bankene som bruker
32 BankID i dag, det være seg utro tjenere, eller de som lar seg lure av
33 falsk legitimasjon, kan lage og dele ut en BankID som gir tilgang til
34 mine kontoer og rett til å inngå avtaler på mine vegne, blir det
35 viktigere enn noen gang å få reservert seg mot BankID. Det holder
36 ikke å la være å bruke det selv. Jeg sendte derfor følgende
37 epost-brev til Fornyingsdepartementet i går:</p>
38
39 <p><blockquote>
40 <p>Date: Thu, 15 Nov 2012 11:08:31 +0100
41 <br>From: Petter Reinholdtsen &lt;pere (at) hungry.com&gt;
42 <br>To: postmottak (at) fad.dep.no
43 <br>Subject: Forespørsel om reservasjon mot bruk av BankID i ID-porten</p>
44
45 <p>Jeg viser til nyheten om at staten har tildelt kontrakt for å
46 levere elektronisk ID for offentlige digitale tjenester til BankID
47 Norge, referert til blant annet i Digi[1] og i FADs
48 pressemelding[2].</p>
49
50 <p>1) &lt;URL: <a href="http://www.digi.no/906093/staten-gaar-for-bankid">http://www.digi.no/906093/staten-gaar-for-bankid</a> &gt;
51 <br>2) &lt;URL: <a href="http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2012/staten-inngar-avtale-med-bankid.html">http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2012/staten-inngar-avtale-med-bankid.html</a> &gt;</p>
52
53 <p>Gitt BankIDs utforming, der BankID-utsteder har både privat og
54 offentlig del av kundens nøkkel hos seg, er jeg ikke villig til å gi
55 tilgang til informasjon som hører til min min privatsfære ved hjelp av
56 innlogging med BankID.</p>
57
58 <p>Jeg ber derfor herved om at løsningen settes opp slik at ingen kan
59 logge inn som meg på offentlige digitale tjenester ved hjelp av
60 BankID, det vil si at jeg reserverer meg mot enhver bruk av BankID for
61 å logge meg inn på slike tjenester som kan inneholde personsensitiv
62 informasjon om meg.</p>
63
64 <p>Jeg har ikke BankID i dag, men som en kan se i oppslag i Aftenposten
65 2012-09-13[3] er det ikke til hindrer for at andre kan bruke BankID på
66 mine vegne for å få tilgang. Det sikkerhetsproblemet kommer i tillegg
67 til utformingsproblemet omtalt over, og forsterker bare mitt syn på at
68 BankID ikke er aktuelt for meg til noe annet enn å logge inn i en
69 nettbank der banken i større grad bærer risikoen ved misbruk.</p>
70
71 <p>3) &lt;URL: <a href="http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html">http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html</a> &gt;</p>
72
73 <p>Jeg ber om rask tilbakemelding med saksnummer for min henvendelse.
74 Jeg ber videre om bekreftelse på at BankID-innlogging er blokkert når
75 det gjelder tilgang til "min" informasjon hos det offentlige, i
76 forkant av BankID-integrasjon mot ID-porten som i følge
77 pressemeldingen skal komme på plass i løpet av et par uker.</p>
78
79 <p>--
80 <br>Vennlig hilsen
81 <br>Petter Reinholdtsen</p>
82 </blockquote>
83
84 <p>Jeg venter spent på svaret. Jeg mistenker jeg må sende tilsvarende
85 beskjed til mine bankforbindelser for å sikre mine bankkontoer.</p>
86
87 <p>Hvis det skal brukes offentlig nøkkel-teknologi til å inngå avtaler
88 på mine vegne og skaffe seg personsensitiv informasjon om meg, så er
89 mitt krav at det kun er jeg som har tilgang på min private nøkkel.
90 Alt annet blir å gi for mye tillit til andre. Med BankID sitter andre
91 på både "min" offentlige og private nøkkel.</p>
Nettsider og blogg.