onsdag 12 mars 2014

Storbråk kring svenskt e-id - myndigheter tvingar fram granskning - Computer Sweden

Storbråk kring svenskt e-id - myndigheter tvingar fram granskning - Computer Sweden



MSB inleder en stor säkerhetsgranskning av den svenska
e-legitimationen. Orsaken är att Försäkringskassan, CSN och
Arbetsförmedlingen skarpt ifrågasätter om tekniken är säker nog.




Det
nya systemet får bland annat kritik för att inte vara anpassat till
mobilen och för att inte kunna uppgraderas lika enkelt som det system
som används idag.
I fredags öppnade
E-legitimationsnämnden portarna för de leverantörer som vill vara med i
det nya systemet för svensk e-legitimation. Men systemet stöter på
patrull redan innan det ens kommit igång på allvar. It-cheferna på tre
av de största användarna av e-legitimation i Myndighetssverige,
Försäkringskassan, Centrala Studiestödsnämnden och Arbetsförmedlingen
ifrågasätter säkerheten i det föreslagna systemet.


– Om det varit en extern leverantör
hade vi valt bort dem i stället för att försöka hitta ett
lösningsförslag, säger Peter Sahlin som är verksamhetsområdeschef på
Försäkringskassan.


Nu har han inte den möjligheten. I
stället har de tre myndigheterna krävt att Myndigheten för samhällsskydd
och beredskap, MSB, ska granska säkerheten i tekniken bakom den nya
e-legitimationen. Den vassaste och med utförliga kritiken kommer från
just Försäkringskassan som menar att E-legitimationsnämnden, som
ansvarar för införandet av den nya e-legitimationen, inte kunnat ge
ordentliga svar på en rad säkerhetsfrågor. Nu hoppas de få svaren av MSB
i stället.


– Vi har ett antal öppna frågor som
vi behöver ett neutralt svar på, därför har vi begärt att en neutral
part ska titta på området, säger Peter Sahlin.


Försäkringskassan befarar att sättet
som den nya e-legitimationen konstruerats på gör den mindre säker än de
alternativ som används idag på flera områden. Bland annat ska den vara
mer känslig för så kallade distribuerade överbelastningsattacker.


Men myndigheterna riktar också
kritik mot att den som använder e-legitimationen inte på samma sätt som i
dag kan se vad han eller hon skriver under på. Det öppnar enligt
försäkringskassan för olika typer av bedrägerier mot slutanvändaren.


Det nya systemet får också kritik
för att inte vara anpassat till mobilen och för att inte kunna
uppgraderas lika enkelt som det system som används idag.


Peter Sahlin och Försäkringskassan
är positiva till ett gemensamt system för e-leg men påpekar att
säkerhetskraven kan se olika ut för olika myndigheter.


– Det är lite olika på vart i
penningflödeskedjan du befinner dig. Där vi befinner oss, på ett av
Sveriges största penningflöden har vi höga säkerhetskrav, säger han.


Eva Ekenberg är kanslichef på
E-legitimationsnämnden. Hon säger att nämnden inte har tagit del av
frågorna som de tre myndigheterna skickat till MSB, men hon avvisar
bland annat farhågan att systemet ska vara mer känsligt för
distribuerade överbelastningsattacker.


– Tjänsterna är exponerade på
internet och tjänster som är på internet kan alltid bli utsatta för
attacker. Det är ingen större skillnad mot hur det är idag, säger hon.


Eva Ekenberg tycker att det system som E-legitimationsnämnden specificerat är lika säkert som dagens.


– I vårt regelverk har vi tagit mått
och steg för att behålla de säkerhetsnivåer som finns i dag och vi har
inte introducerat några nya säkerhetsfrågor, säger hon.


Richard Oehme som är chef för
verksamheten för samhällets informations- och cybersäkerhet på MSB och
ansvarig för den planerade utredningen vet inte hur lång tid det kommer
att ta att ge myndigheterna svar på sina frågor.


– Vi tillsätter ett projekt för det
här och tar in den expertis som finns i landet och från andra
myndigheter som har bra kunskap inom området. Vi ska göra detta
grundligt och nogsamt och om det sedan tar tre eller nio månader det vet
jag inte i dag.


Dokument: Försäkringskassans skrivelse till MSB där säkerhetsproblemen finns beskrivna.

Dokument: CSN:s skrivelse till MSB.

Dokument: Arbetsförmedlingens skrivelse till MSB.
 

Inga kommentarer:

Skicka en kommentar