BankIDs sviktende troverdighet

BankIDs sviktende troverdighet

LESERBREV: BankId er igjen blitt hacket. Etter en turbulent periode med mange diskusjoner og hardnakkede påstander om sikkerheten til BankID, er vi her igjen.

Informatikkprofessor Kjell Jørgen Hole og kolleger ved Universitetet i Bergen har igjen klart å motbevise banknæringens påstander om at BankId er en sikker løsning. Og igjen har næringen gått ut i media de siste dagene og uttalt at nå er problemet fikset og alt er tilbake til det normale.

Det er så klart ingen feil nå lenger, det var det egentlig ikke forrige gang heller, påstår næringen. Hole hadde ikke brutt seg inn, det var noe helt annet som var problemet, det var brukeren som var problemet. Så BankId er en sikker løsning nå, æresord, ti kniver i hjertet og så videre. Dette proklamerte til og med banknæringen overfor Stortinget i høst. Det blir like komisk som når hele tobakksindustrien står skolerett foran den amerikanske kongressen og hevder at de ikke hadde mulighet til å vite at røyking fører til kreft.

Elektronisk Forpost Norge (EFN) er sterkt kritisk til banknæringen og interessenter som Finansnæringens Hovedorganisasjon (FNH) sin håndtering av saken. Banknæringen har alt å tape på at BankID blir stemplet som usikker. Taktikken som benyttes for å håndtere «problemet» i alle slike situasjoner er f.eks. bagatellisering av problemet, fornektelse, diskreditering av varsleren, bruk av «uavhengige eksperter» og røyklegging av debatten.

Hersketeknikker

Alle disse teknikkene er typiske hersketeknikker for å få problemet til å forsvinne. Dette viser et grunnleggende holdningsproblem, ved at næringen nekter å diskutere problemet. De kommer med propagandalignende uttalelser og påstander om at dette bare er et teoretisk problem.

De kommer også med tekniske uttalelser som ikke lar seg etterprøve av andre enn næringen selv og de benytter seg av sirkulære argumenter. Dette er forøvrig ikke noe nytt.

De siste 20 årene har bankene reagert på samme måte ved hvert sikkerhetsproblem. Som oftest har de reagert med stillhet. Vi skulle ønske næringen ville diskutere substansen, i stedet for å komme med utflukter.

Løsninger for elektroniske identiteter, som BankId og andre, handler om mer enn bare private aktørers inntjeningskrav. Spesielt hvis den skal brukes i andre deler av samfunnet. Det handler også om sikkerheten til samfunnet og individer, gjennom løsninger som innlogging til MinSide, juridisk bindende digitale kontraktsforpliktelser eller beskyttelse av helseinformasjon.

EFN støtter forbrukermyndighetenes krav om et uavhengig organ med ansvar for å kontrollere sikkerheten til alle eID løsninger. Det finnes løsninger som er langt sikrere enn BankID og som har like bra brukervennlighet. EFN har beskrevet en mulig løsning i sitt eID høringssvar til FAD som bygger på anerkjente teknikker. Men problemet er at bankene har allerede valgt en løsning som de ønsker å selge. Siden de har investert mye tid, penger og ære i den, får vi heller røyk blåst i ansiktet.

Thomas Finneid, styremedlem Elektronisk forpost Norge

Les om:

Sikkerhet