Trendspaning på E-legitimationsdagarna 2022
Det är maj 2022 och äntligen blev E-legitimationsdagarna av som en fysisk konferens! Jag, Elin Fokine - systemutvecklare och IT-konsult på Active Solution, besöker konferensen med en två år gammal biljett då pandemin har inneburit att datumen fått flyttats framåt i tiden otaliga gånger. När den nu tillslut genomförs i fysisk form känns ämnet högaktuellt.
Två dagar innan konferensen går av stapeln har Finansinspektionen släppt sin rapport om att cybersäkerheten inom finanssektorn måste öka. Rapporten har tagits fram på uppdrag av regeringen då det rådande kriget i Ukraina har satt frågan på tapeten. En av de åtgärder som finansinspektionen föreslår är att BankID och andra privata e-legitimationer ska stå under statlig tillsyn eller ersättas av en statlig e-legitimation.
Bland talarna på E-legitimationsdagarna finns flera representanter från regeringen. På vägen in till Folkets hus springer jag förbi Anna Kinberg Batra (regeringens särskilda utredare med uppdrag att kartlägga och analysera utvecklingen på betalningsmarknaden och statens framtida roll på marknaden) som tar ett telefonsamtal innan hon ska inleda konferensen som första talare. På plats finns också Per Callenberg, statssekreterare på infrastrukturdepartementet och ett antal representanter från Myndigheten för digital förvaltning (DIGG). Några av talarna kommer också från Nationella operativa avdelningen (NOA) hos Polisen.
Tillsammans belyser de problemet med att Sverige är ett av endast fyra länder i Europa som inte tillhandahåller en statlig e-legitimation. Att Sverige ligger i framkant inom digitaliseringen men att glappet mellan den digitala utvecklingen och säkerheten blir allt större. Jan Olsson, Kriminalkommissarie och verksamhetsutvecklare på NOA pratar om den växande cyberbrottsligheten som internationellt har gått om narkotikabrottsligheten sett till hur stor skada den orsakar mätt i pengar.
Från regeringens och infrastrukturdepartementets sida börjar de se på e-legitimation som en form av statlig infrastruktur. Det är något som samhället är beroende av och vi behöver kunna säkerställa att det fungerar och att det finns redundans. Under 2021 användes BankID hela 6 miljarder(!) gånger. Det är i snitt drygt 17 miljoner gånger per dygn. Eller nästan 200 gånger varje sekund. Och siffrorna fortsätter stiga över tid. Frågan många ställer sig är: Vad händer med Sverige om BankID ligger nere?
Johan Eriksson, VD för Finansiell ID-Teknik BankID AB (företaget bakom BankID), kommenterar finansinspektionens rapport under en paneldebatt den första dagen. Han tycker att det är synd att de inte nämner att det redan idag finns viss tillsyn men välkomnar att den förbättras. Johan Henriksson, VD på Freja eID instämmer och poängterar att bättre samordning när det gäller tillsyn av e-legitimation även skulle göra det mer effektivt för dem.
På morgonen, innan andra dagen av E-legitimationsdagarna medverkar Erik Thedéen, generaldirektör på Finansinspektionen i en intervju i P1 där han kommenterar deras rapport. Han pratar om problematiken kring att BankID i stort sätt har monopol på marknaden idag. Att det används av offentlig sektor men bedrivs i privat regi.
Svenska e-legitimationer lever inte hellre upp till eIDAS högsta säkerhetsnivå, något som Anna Kinberg Batra tar upp under konferensen. För att uppnå den högsta säkerhetsnivån krävs att du legitimerar dig fysiskt med en giltig id-handling när du förnyar din e-legitimation vart femte år. För att t.ex. förnya ditt BankID räcker det att du loggar in på din internetbank med en bankdosa eller en engångskod som har skickats till din folkbokföringsadress.
Apropå eIDAS så är det, inte helt förvånande, också en av konferensens stora snackisar. eIDAS, EU-förordningen om e-legitimation är svensk lag och kräver bland annat att e-legitimationer från andra EU-länder tillåts av offentliga myndigheter, regioner och kommuner i Sverige. Om du besöker t.ex. 1177 och väljer logga in kan du se att du kan välja Foreign eID och sedan klicka dig vidare till det lands e-legitimation du vill använda.
I december 2020 skickade DIGG in en föranmälan till EU för att få våra svenska e-legitimationer godkända utomlands. I föranmälan ingick BankID, Freja eID och EFOS (e-identitet för offentlig sektor). Den 20 februari i år blev Sverige godkänt. Men än så länge har endast Freja eID skrivit på avtalet. Samtliga länder som ingår i samarbetet har från det datumet ett år på sig att implementera stöd för Freja eID för tjänster som tillhandahålls av offentlig sektor och erbjuder inloggning med e-legitimation. Först ut var Malta där det nu t.ex. går att söka till en kurs på universitetet med en svensk e-legitimation.
Jag passar på att ställa frågan till BankID om varför inte de inte har skrivit på avtalet. Jag får svaret att det delvis beror på EU:s krav på ersättningslöshet (d.v.s. att de som tillhandahåller e-legitimationstjänsten inte får ta betalt för inloggningen). Men också på att om de ska gå med vill de göra det genom Sweden OIDC men där finns fortfarande inte alla tekniska förutsättningar på plats. Jag tolkar det dock som att det inte är otänkbart att de kommer att skriva på i framtiden.
Det pratas också mycket om eIDAS 2.0 och det som kallas digital plånbok. Det innebär att du ska kunna knyta olika attribut till sin e-legitimation så som t.ex. betyg, vaccinationsbevis eller medicinska journaler. Frejas eID stödjer redan idag att du kopplar ditt covid-19 vaccinationsbevis till ditt Freja eID. Men representanter från både BankID och Freja eID kommenterar att de kommer avvakta utvecklingen inom EU på det här området och anpassa sin utveckling efter vad som kommer. Från flera håll verkar det finnas en osäkerhet kring hur den EU certifierade digitala plånboken kommer komma att se ut.
Ett annat återkommande ämne under E-legitimationsdagarna är digital inkludering. I dag måste du vara kund och ha ett bankkonto i en svensk bank för ett få ett BankID, som krävs för att t.ex. kunna logga in på Försäkringskassan eller Skatteverket. Men vad händer med de personer som inte har de förutsättningar som krävs för att bli kund hos banken och vad händer med de äldre som inte behärskar den nya tekniken. Från och med den 7 april i år erbjuder SL möjligheten att köpa och ha sitt månadskort i mobilen. Det kräver också att du har ett BankID. Hur ska funktionshindrade, äldre, hemlösa och nyanlända inkluderas i det nya digitala samhället?
Då vi på Active Solution driver ett Open Source-projekt, Active Login, för att underlätta integration av BankID följer vi med spänning hur utvecklingen inom området fortskrider och hur det kommer komma att prägla vidareutvecklingen av Active Login i framtiden.