Kjell Jørgen Hole, professor informatikk, Selmersenteret, UiB. (Bilde: Espen Zachariassen)

DIGITALSTATEN OG ELEKTRONISK ID

– Flere løsninger hindrer angrep

Store dominerende løsninger er mer sårbare for angrep, mener krypteringsekspert Kjell Jørgen Hole.

Bare to år etter at de første eID-leverandørene signerte sine kontrakter med myndighetene, er man ute med nytt anbud for å få flere løsninger på banen.

Les mer: Flere vil slåss om ny eID

Fordel

Professor Kjell Jørgen Hole ved Universitetet i Bergen ser store fordeler med enda flere alternativer til å logge seg på viktige offentlige tjenester.

– Det er problematisk dersom den samme autentiseringsløsningen skal benyttes både til private og offentlige tjenester. Nasjonale autentiseringsløsninger er komplekse systemer som av og til «går ned». Ved lang nedetid er det viktig at det eksisterer alternative autentiseringsløsninger slik at borgerne fremdeles kan få utført viktige private og offentlige tjenester, sier informatikkprofessoren.

Les også: BankID vil sikre seg eID

Lavere risiko

I tillegg kan flere leverandører redusere risikoen for angrep.

– Dagens autentiseringsløsninger er mer eller mindre sårbare for ondsinnet kode og phishing-angrep. Dersom en autentiseringsløsning blir dominerende, må vi regne med at løsningen vil bli utsatt for flere og mer alvorlige angrep, sier Hole.

Må ha flere

Sikkerheten og robustheten til tjenestene svekkes hvis de er avhengige av den samme autentiseringsløsningen.

– Konsekvensen av et «vellykket» angrep kan reduseres ved å begrense antall tjenester som benytter samme autentiseringsløsning. Jeg mener at det er nødvendig med flere uavhengige autentiseringsløsninger for at risikoen skal bli akseptabel, sier professoren.

Uheldige hemmeligheter

Han mener mangel på åpenhet om disse løsningene svekker sikkerheten.

Hole har vært svært kritisk til at BankID lagrer krypteringsnøklene sentralt og har tidligere påvist hull i sikkerheten.

Les mer: Brøt seg inn i nettbanker

Han våger ikke å vurdere om BankIDs endringer er til det bedre.

Kan ikke vurdere BankID

– Hvis vi får mer åpenhet om nye løsninger, blir det også mulig for uavhengige aktører å gjøre egne evalueringer av sikkerheten. I dag er det vanskelig for eksempel å si noe om hva som blir resultatet av at BankID kombineres med SSL, påpeker han.

 

Fikk du med deg disse sakene?

IKT Norge savner ressurser

Bygger senter for å sikre Altinn 

Regjeringen satser alt på Altinn

Datalagringsdirektivet: Aner ikke hva det vil koste

Nå kommer de elektroniske skattekortene