Hemligstämplad rapport bekräftar säkerhetshål i e-id-systemet

I mars riktade Försäkringskassan, CSN och Arbetsförmedlingen gemensamt skarp kritik mot säkerheten det nya svenska gemensamma systemet för e-legitimation. Via en begäran om utredning av Myndigheten för samhällskydd och beredskap, MSB, ifrågasatte de tre myndigheterna om det nya systemet skulle uppfylla säkerhetskraven.

Nu har MSB efter 2 500 timmars analys kommit med ett svar.

– Slutsatsen vi drar är att det är viktigt med en grundlig behovsanalys hos dem som ansluter sig till tjänsten. De måste själva göra en riskbedömning, säger Richard Oehme som står bakom rapporten från MSB.

Farhågan från de tre myndigheterna om att det nya systemet blir känsligare för överbelastningsattacker, så kallad Ddos, får heller inget rakt svar från MSB.

– Är du ute på nätet så har du en utmaning att hantera, säger Richard Oehme.

MSB säger dock att e-legitimationsnämnden som ansvarar för det gemensamma e-legitimationssystemet måste skaffa bättre strategisk teknisk kompetens och att säkerheten i systemet måste förvaltas över tid. Råden kan tyckas översiktliga och ganska självklara, men större delen av rapporten innehållande de föreslagna åtgärderna är hemligstämplad med hänvisning till säkerheten i det framtida systemet.

På E-legitimationsnämnden välkomnar nämndens chef Eva Ekenberg MSB:s rapport.

– Det är väldigt bra att den här alysen genomförts, säger hon.

Men hon kan i dag inte kommentera vilka konkreta åtgärder som ska vidtas för att komma till rätta med säkerhetsproblemen. Hittills är det bara tre myndigheter som anslutit sig till det nya systemet: Skatteverket, Bolagsverket och Transportstyrelsen. Men det mesta tyder på att även de skarpaste kritikerna nu kommer att rätta sig i ledet. På Försäkringskassan, som varit drivande i kritiken mot den gemensamma e-legitimationen, ska man nu analysera svaret från MSB under de kommande två veckorna innan man kommer med ett svar.

– De farhågor vi hade fick vi bekräftade, säger Peter Sahlin som är it-säkerhetsansvarig på Försäkringskassan.

Trots det ser han att målet för Försäkringskassan nu är att ansluta sig till det nya systemet.

– När de föreslagna åtgärderna är genomförda så vill vi till det nya systemet. Vi kommer att ha samtal med e-legitimationsnämnden för att se om och när de är klara med åtgärderna, säger Peter Sahlin.

Enligt MSB:s plan bör E-legitimationsnämnden vara klara med säkerhetsarbetet i halvårsskiftet 2016.

– Håller det så behöver jag inte vara orolig, säger Peter Sahlin.