-Title:
+Title: FAD nekter å blokkere BankID for tilgang til personsensitiv informasjon om meg
Tags: norsk, personvern, sikkerhet
Date: 2012-11-21 11:50
+I dag fikk jeg svar fra fornyingsdepartementet på min
+<ahref="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">forespørsel
+om å reservere meg mot at BankID</a> brukes til å få tilgang til
+informasjon om meg via ID-porten. Like etter at svaret kom fikk jeg
+beskjed om at min henvendelse har fått
<ahref="http://www.oep.no/search/result.html?caseNumber=2012/3446&searchType=advanced&list2=94&caseSearch=true&sortField=doknr">saksnummer
-12/3446</a>
+12/3446</a>, som dessverre ikke har dukket opp i Offentlig Elektronisk
+Postjournal ennå. Her er svaret jeg fikk:</p>
<blockquote>
-Date: Wed, 21 Nov 2012 11:18:52 +0000
-From: Hornnes Stig <Stig.Hornnes@fad.dep.no>
-To: "petter.reinholdtsen@usit.uio.no" <petter.reinholdtsen@usit.uio.no>
-Subject: Reservasjon mot BankID
+<p>Date: Wed, 21 Nov 2012 11:18:52 +0000
+<br>From: Hornnes Stig <Stig.Hornnes@fad.dep.no>
+
<br>To: "petter.reinholdtsen@usit.uio.no" <petter.reinholdtsen@usit.uio.no>
+<br>Subject: Reservasjon mot BankID</p>
-Hei Petter,
+<p>Hei Petter,</p>
-Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
+<p>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan
-reservere seg på denne måten.
+reservere seg på denne måten.</p>
-Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
+<p>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
ønsker å bruke for å logge på offentlige tjenester. For å sikre
valgfriheten har vi inngått avtaler med BankID, Buypass og
Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
skjer til adresse registrert i folkeregisteret, og derfor ikke er
-egnet til tjenestene med det høyeste sikkerhetsbehovet.
+egnet til tjenestene med det høyeste sikkerhetsbehovet.</p>
-Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
+<p>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
denne typen virksomheter. For BankID sin del ble det gjennomført
revisjon av løsningen i 2009, på bestilling fra PT etter en del
negative oppslag knyttet til nettopp sikkerheten i løsningen. Det
-fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.
+fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.</p>
-Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken
+<p>Når dette er sagt; Ingen løsninger er 100 prosent sikre, verken
papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
risiko. Men det er en generell risiko for alle nivå 4-e-id-er vi har i
hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
med blant annet Justisdepartementet med ulike tiltak som vil bidra til
-bedre grunnidentifisering av innbyggere.
+bedre grunnidentifisering av innbyggere.</p>
-Mvh
-Stig Hornnes
-Rådgiver - FAD
+<p>Mvh
+<br>Stig Hornnes
+<br>Rådgiver - FAD</p>
</blockquote>
+
+<p>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
+reservere seg på denne måten. Det burde jo være svært enkelt å få
+støtte for slikt i en ID-portal. Her må det visst tyngre skyts til
+enn en vennlig forespørsel om å reservere seg. Får tenke igjennom
+neste steg.</p>
+
+<p>Du lurer kanskje på hva som er problemet med BankID? For å
+forklare det, er det greit å gå et steg tilbake og beskrive offentlig
+nøkkel-kryptering, eller
+<ahref="http://snl.no/asymmetrisk_kryptografi">asymmetrisk
+kryptografi</a> som det også kalles. En fin beskrivelse
+<ahref="http://www.matematikk.org/artikkel.html?tid=63068">finnes på
+matematikk.org</a>:</p>
+
+<blockquote>
+Se for deg at person A har en hengelås og at han sender den til deg (i
+åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
+hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
+låse opp igjen, siden bare A har den riktige nøkkelen.
+</blockquote>
+
+<p>Mitt problem med BankID er det er utformet slik at banken beholder
+nøkkelen til hengelåsen og kontraktsmessig har lovet å kun bruke den
+når jeg ber om det. Det er ikke godt nok for meg. Jeg forventer et
+system der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
+avtaler på mine vegne eller få tilgang til min personsensitive
+informasjon.</p>
projects / homepage.git / commitdiff