UHELDIG: Smartkortet fra Buypass kan bli droppet som påloggingsløsning ved prøvevalget neste høst fordi koblingen mellom valg og tipping ansees som uheldig. (Bilde: Espen Zachariassen)

Parkerer både BankID og Buypass

  • IT

eID

  • Det offentlige ønsker å spare ressurser ved å legge flere tjenester ut på nettet.
  • Mye er sensitive personopplysninger, så pålogging krever sikre løsninger som hindrer innsyn for uvedkommende.
  • Difi har utviklet ID-porten, der statens egen løsning og private eID-løsninger brukes for å få tilgang til offentlige tjenester på nett.
  • Nå er ID-porten klar, og de private leverandørene Buypass og Commfides ble tildelt kontrakter fredag i forrige uke.


Fredag i forrige uke fikk Buypass kontrakt med staten om levering av løsning for elektronisk pålogging til offentlige tjenester på nettet.





Vraket

Den største konkurrenten BankID hang med helt til finalen, men ble vraket fordi selskapet ikke kunne levere meldingskryptering.

Les mer her: BankID skviset ut av eID





Trygg nok?

Nå risikerer også seierherren å bli satt på sidelinjen i det kanskje mest prestisjetunge prosjektet: Elektronisk valg i 11 testkommuner høsten 2011.

Årsaken er at prosjektledelsen i eValg 2011 er usikre på om Buypass er trygg nok til å sikre at det er rett person som avgir stemme fra pc-en hjemme.





Dropper millioner

Staten er avhengig av id-løsninger som har en viss utbredelse i befolkningen, men er i ferd med å si nei til de to største løsningene med til sammen 4,5 millioner brukere. I praksis er det snakk om en stor andel som bruker både BankID og Buypass.





Tippelag

– Vi er ikke i tvil om at Buypass leverer en sikker løsning rent teknisk. Derimot er vi mer skeptisk til om folk er klar over at dette smartkortet er et personlig kort. Det er utstedt til én person, men kan gå på rundgang i et tippelag, sier prosjektleder Henrik Nore til Teknisk Ukeblad.

Han mener at kortet på den måten kan være et lett bytte for id-misbruk.

Sikkerhetsansvarlig Christian Bull (t.v.) og prosjektleder Henrik Nore, Prosjekt e-valg 2011 i regi av KRD.
PÅ SIDELINJEN: Sikkerhetsansvarlig Christian Bull (t.v.) og prosjektleder Henrik Nore vurderer å droppe Buypass for å unngå id-misbruk. Espen Zachariassen

Uheldig kobling

– Mange av kortene brukes som spillkort og er merket med Norsk Tipping. Det åpner for en uheldig kobling mellom tipping og valg som ikke er ønskelig, sier sikkerhetssjef Christian Bull i e-valgsprosjektet.





Sier ja

Det er Direktoratet for forvaltning og ikt (Difi) som har inngått kontrakten med Buypass og som valgte å underkjenne tilbudet fra BankID.

Også den mindre kjente leverandøren Commfides slapp gjennom nåløyet.





Klarsignal fra Difi

Difi har gitt sin velsignelse til at Buypass kan vrakes under prøvevalget neste år.

Det vil innebære at e-valgprosjektet sier nei til en løsning som allerede har 2,1 millioner brukere og dermed er utbredt i prøvekommunene.





Velger én

– Vi har tatt opp saken med Difi, som opplyser at man ved spesielle behov kan få spesielle ordninger, sier Bull. Det betyr at man lander på statens egen løsning MinID.

– Beskjeden fra Difi betyr at vi vurderer å bruke kun MinID som påloggingsløsning. Senere vil det da bli aktuelt med nasjonalt id-kort, når det er klart, sier sikkerhetssjefen. MinID er på størrelse med de private med rundt to millioner brukere.





Staten som konkurrent

De private aktørene har tidligere kritisert staten for å etablere en egen eID i konkurranse med de private løsningene.

Les mer her: eID: Staten vil kuppe markedet





Liker det ikke

Buypass har ikke sansen for at deres løsning kan bli vraket.

– Smartkortet er personlig og må håndteres deretter. Dette er noe kundene får opplyst når de anskaffer og bruker kortet, sier administrerende direktør Gunnar Lindstøl hos Buypass.

KRITISK: Buypass-direktør Gunnar Lindstøl mener det som kritiseres er nettopp poenget med selskapets løsning og strategien bak ID-porten. Espen Zachariassen

Bryter med strategien

Mens eValg-prosjektet sår tvil om tryggheten til Buypass fordi smartkortet har flere bruksmuligheter, har strategien til eID vært å finne løsninger som er brukervennlige nettopp fordi de brukes til flere ting.

– Når man kan bruke kortet til flere typer tjenester, må man være klar over at det ikke skal overlates til andre. Man ønsker jo ikke å bli avhengig av én påloggingsløsning for hver tjeneste, sier Lindstøl.

– Derfor jobber vi aktivt med at de som bruker Buypass i utgangspunktet som et spillkort skal bli klar over at dette er personlig, sier han.