Tanken är att privatpersoner ska kunna använda sig av en enda e-legitimation för att identifiera sig vid kontakter med alla myndigheter och i förlängningen även med banker. Arbetet med att ta fram den gemensamma e-legitimation har pågått i flera år och har kantats av krtik från såväl myndigheter som privata aktörer. Nu dömer även Försvarets forskningsanstalt, FRA, ut det föreslagna systemet.
– Det här ska ju användas för att identifiera sig gentemot myndigheter och då finns ju pengar att hämta för en angripare, man kanske ändrar och styr om utbetalningar eller till och med ändrar ägare på fast egendom, säger Fredrik Wallin, talesperson för FRA till SVT Nyheter.
I rapporten skriver FRA också att ”i en infrastruktur där vitala säkerhetsmekanismer redan från början saknas för att möta de vardagliga hotbilder som omger oss på internet och i vår IT-miljö, kan oerhört svårlösta problem uppstå”.
– En av de svagheter vi har konstaterat är att man inte räknar med att användarens pc till exempel kan vara utsatt för angrepp, att man kan ha fått in skadlig kod. Det skulle öppna en möjlighet för angrepp som att stjäla identiteter, säger Fredrik Wallin.
Myndigheter varnade
Redan för ett år sedan varnade bland annat Försäkringskassan, CSN och Arbetsförmedlingen för säkerhetsbrister.
Myndigheten för samhällsskydd och beredskap, MSB, analyserade efter kritiken systemet och föreslog 22 åtgärder för ett säkrare system. Ändå slår FRA nu larm.
– Sammantaget finns det allvarliga risker, säger Fredrik Wallin på FRA.
Räknar med att hålla tidplanen
Enligt den nuvarande tidsplanen ska den nya legitimationen finnas senast den 1 juli 2016 och trots kritiken räknar E-legitimationsnämnden med att hålla tiden.
– Då ska alla de rekommendationer som vi har fått vara åtgärdade och jag menar att det kan vi göra, säger Elisabeth Dellkrantz, projektledare på E-legitimationsnämnden.
Bankerna tveksamma
Bankerna har velat ansluta sig till den gemensamma e-legitimationen men har länge varit tveksamma till säkerheten och de allmänna förutsättningarna.
– Ett antal punkter måste lösas, till exempel regelverksfrågor för att flexibelt kunna införa åtgärder och skydd mot överbelastningsattacker. Och kunden måste tydligt förstå vem som är mottagaren och vad de skriver under, sägerJohan Wadmark, informationssäkerhetschef på Handelsbanken till idg.se.