I fredags öppnade E-legitimationsnämnden portarna för de leverantörer som vill vara med i det nya systemet för svensk e-legitimation. Men systemet stöter på patrull redan innan det ens kommit igång på allvar. It-cheferna på tre av de största användarna av e-legitimation i Myndighetssverige, Försäkringskassan, Centrala Studiestödsnämnden och Arbetsförmedlingen ifrågasätter säkerheten i det föreslagna systemet.

– Om det varit en extern leverantör hade vi valt bort dem i stället för att försöka hitta ett lösningsförslag, säger Peter Sahlin som är verksamhetsområdeschef på Försäkringskassan.

Nu har han inte den möjligheten. I stället har de tre myndigheterna krävt att Myndigheten för samhällsskydd och beredskap, MSB, ska granska säkerheten i tekniken bakom den nya e-legitimationen. Den vassaste och med utförliga kritiken kommer från just Försäkringskassan som menar att E-legitimationsnämnden, som ansvarar för införandet av den nya e-legitimationen, inte kunnat ge ordentliga svar på en rad säkerhetsfrågor. Nu hoppas de få svaren av MSB i stället.

– Vi har ett antal öppna frågor som vi behöver ett neutralt svar på, därför har vi begärt att en neutral part ska titta på området, säger Peter Sahlin.

Försäkringskassan befarar att sättet som den nya e-legitimationen konstruerats på gör den mindre säker än de alternativ som används idag på flera områden. Bland annat ska den vara mer känslig för så kallade distribuerade överbelastningsattacker.

Men myndigheterna riktar också kritik mot att den som använder e-legitimationen inte på samma sätt som i dag kan se vad han eller hon skriver under på. Det öppnar enligt försäkringskassan för olika typer av bedrägerier mot slutanvändaren.

Det nya systemet får också kritik för att inte vara anpassat till mobilen och för att inte kunna uppgraderas lika enkelt som det system som används idag.

Peter Sahlin och Försäkringskassan är positiva till ett gemensamt system för e-leg men påpekar att säkerhetskraven kan se olika ut för olika myndigheter.

– Det är lite olika på vart i penningflödeskedjan du befinner dig. Där vi befinner oss, på ett av Sveriges största penningflöden har vi höga säkerhetskrav, säger han.

Eva Ekenberg är kanslichef på E-legitimationsnämnden. Hon säger att nämnden inte har tagit del av frågorna som de tre myndigheterna skickat till MSB, men hon avvisar bland annat farhågan att systemet ska vara mer känsligt för distribuerade överbelastningsattacker.

– Tjänsterna är exponerade på internet och tjänster som är på internet kan alltid bli utsatta för attacker. Det är ingen större skillnad mot hur det är idag, säger hon.

Eva Ekenberg tycker att det system som E-legitimationsnämnden specificerat är lika säkert som dagens.

– I vårt regelverk har vi tagit mått och steg för att behålla de säkerhetsnivåer som finns i dag och vi har inte introducerat några nya säkerhetsfrågor, säger hon.

Richard Oehme som är chef för verksamheten för samhällets informations- och cybersäkerhet på MSB och ansvarig för den planerade utredningen vet inte hur lång tid det kommer att ta att ge myndigheterna svar på sina frågor.

– Vi tillsätter ett projekt för det här och tar in den expertis som finns i landet och från andra myndigheter som har bra kunskap inom området. Vi ska göra detta grundligt och nogsamt och om det sedan tar tre eller nio månader det vet jag inte i dag.

Dokument: Försäkringskassans skrivelse till MSB där säkerhetsproblemen finns beskrivna.
Dokument: CSN:s skrivelse till MSB.
Dokument: Arbetsförmedlingens skrivelse till MSB.

Fakta

E-legitimationsnämnden är en svensk myndighet under Näringsdepartementet som startades 2011 för att införa det nya systemet för e-legitimation som kallas Svensk e-legitimation.

Nyligen publicerade E-legitimationsnämnden version 1.1 av det regelpaket som ligger till grund för att det nu går att ansluta sig till systemet för den som vill ge ut en e-legitimation.

Svenska myndigheter har press på sig att införa det nya systemet eftersom nya regler för upphandling gör att de inte kan handla upp e-legitimationstjänster från flera leverantörer på samma sätt som görs idag. Dessutom hoppas man att det nya systemet ska öppna för mer konkurrens och lägre priser på användningen av e-legitimation.