Post och telestyrelsen, PTS, har valt att inleda en tillsyn av Bank-ID efter en driftstörning där Bank-ID:s tjänst inte var tillgänglig den 2 maj i år. Bakgrunden är, enligt Malin Wemnell, administrativ chef på Finansiell ID-Teknik BID AB som äger Bankid, en ”otillgänglighet” i Bank-ID-tjänsten där det förekom driftstörningar mellan klockan 02:09 och 04:01 den 2 maj i år, detta enligt ett pressmeddelande från PTS.

– Under den här tiden fungerade Bank-ID endast sporadiskt. Anledningen till störningen var teknisk och vi kunde åtgärda felet och säkerställa att det inte händer igen. All data och information var säkrad och trygg. Vi publicerade information om störningen på vår hemsida och kunde även klarmarkera när Bank-ID fungerade som vanligt igen, säger Malin Wemnell.

Bank-ID är en så kallad betrodd tjänst enligt EU-förordningen eIDAS. Enligt artikel 19 i eIDAS-förordningen är tillhandahållare av betrodda tjänster skyldiga att rapportera säkerhetsincidenter, till exempel störningar och avbrott, till PTS.

I maj lämnade Finansiell ID-Teknik en rapport till PTS som gällde att tjänsten varit återkommande otillgänglig under ca fyra timmar till följd av ett tekniskt fel. Med anledning av incidenten har PTS inlett en händelsestyrd tillsyn. Syftet är att granska hur Finansiell ID-Teknik lever upp till kraven i eIDAS-förordningen för att vidta tekniska och organisatoriska åtgärder för att hantera risker för säkerheten i de tjänster som tillhandahålls.

– Det är av stor vikt att en betrodd tjänst har hög tillgänglighet, bland annat för att information om spärrade certifikat på ett tillförlitligt sätt ska kunna nå de som förlitar sig på certifikaten. Speciellt viktigt är detta för tjänster som kräver ständig uppkoppling för att fungera, säger Björn Hesthamar vid PTS avdelning för säker kommunikation, som ansvarar för tillsynen.

Malin Wemnell på Bank-ID säger till Computer Sweden att ”det är förstås viktigt att PTS sköter sin uppgift och vi upplever att vi har en bra relation. Det som händer framåt är att vi kommer att bidra med information om hur vi arbetar och vi kan mer i detalj beskriva det som PTS önskar få veta mer kring incidenten. Vi är ålagda att skicka en incidentrapport vilket vi också har gjort”.

– Det som är olyckligt är att informationen som PTS har publicerat på sin webbplats har en titel som leder fel, den är missvisande. Det här kan skapa onödig oro hos våra användare, företag och myndigheter. PTS presenterar detta som att Bank-ID skulle kunna vara ett säkerhetsproblem och en risk, vilket vi alltså vänder oss emot. Texten innehåller också ett faktafel som säger att störningen pågick under 4 timmar. Störningen varade i två timmar med så kallade ”intermittenta” störningar, säger Malin Wemnell.

– Det här är synpunkter som vi har framfört till PTS under dagen. Som användare ska man känna sig trygg med att Bank-ID är en mycket säker tjänst, säger Malin Wemnell.

Enligt information från PTS är exempel på betrodda tjänster som omfattas av eIDAS-förordningen elektroniska underskrifter och stämplar, validering och bevarande av elektroniska underskrifter och stämplar, tjänster för rekommenderad elektronisk leverans och utfärdande av certifikat för autentisering av webbplatser.

Läs också:
QR-koden gjorde susen – Bankid-bedrägerierna ned med 90 procent
”Vi har sett alltför många dåliga implementationer av Bank-id”