Informasjon om avvik for BankID på sikkerhetsnivå «høyt»
Nasjonal kommunikasjonsmyndighet (Nkom) har varslet at BankID kan miste sin godkjenning på sikkerhetsnivå «høyt». Denne informasjonen er relevant for alle virksomheter som bruker ID-porten for innlogging til digitale tjenester.
Om avviket
Bakgrunnen for varselet fra Nkom er at dagens BankID har et avvik knyttet til utsendelse av kodebrikker. Nkom har bedt BankID redegjøre for hvordan de skal oppfylle kravene regelverket for elektronisk identifikasjon stiller til sikkerhetsnivå «høyt». De har gitt BankID frist til 22. april på å dokumentere at de oppfyller kravene til det høyeste sikkerhetsnivået.
Konsekvenser
Per nå er det ingen endringer i eID-leverandøren sitt sikkerhetsnivå. BankID er tilgjengelig i ID-porten, og kan brukes til autentisering som tidligere.
Dersom det blir gjort endringer i sikkerhetsnivå vil dette få konsekvenser for virksomheter som har tjenester på sikkerhetsnivå «høyt». Vi følger situasjonen tett, sammen med leverandører og myndighetsorgan, og vil holde dere som kunder av ID-porten orientert.
Så lenge sluttbruker har kontroll på sin egen BankID, og ikke har delt sitt passord eller sin app/kodebrikke med andre, er BankID like trygt å bruke i ID-porten som tidligere.
Sluttbrukere finner nyttig informasjon om innlogging på elektronisk ID på Norge.no.
Hva gjør vi videre?
Vi følger situasjonen tett, og har bedt BankID om en oppdatert vurdering av hvorvidt de fremdeles fyller kravene til sikkerhetsnivå «høyt», slik det er beskrevet i vår avtale med dem. Når vi har gjort våre vurderinger vil vi sørge for nødvendige tiltak.
Det er vår oppgave å sikre at innbyggere kan identifisere seg på en sikker måte når de logger inn på viktige digitale tjenester. Derfor gjør vi løpende vurderinger av sikkerheten vi tilbyr virksomheter og innbyggere gjennom ID-porten. Vi ser på hvilke alternativer som finnes for trygg innlogging i ID-porten dersom det skulle vise seg at en eller flere av eID-leverandørene ikke lengre fyller kravene til sikkerhetsnivå «høyt».
Det er dere som eier tjenestene som bestemmer hvilke sikkerhetsnivå som er nødvendig for deres tjenester. Det skjer ved at dere gjennomfører en risikovurdering for hver enkelt tjeneste som dere benytter ID-porten som innlogging til.
Det er ingen endringer i BankID sitt sikkerhetsnivå eller tilstedeværelse i ID-porten per nå, men vi ber likevel alle virksomheter gjøre en ny risikovurdering av tjenestene sine for å fastsette sikkerhetsnivå. Dersom dere har tjenester som kan nedjusteres fra sikkerhetsnivå «høyt» til sikkerhetsnivå «betydelig» så bør dette gjøres. Som Nkom skriver i sin pressemelding “Dersom BankID mister godkjenningen på nivå «høyt», må virksomheter som krever dette nivået enten bruke eID på nivå «betydelig» eller velge andre godkjente løsninger for det høyeste sikkerhetsnivået”.
Registrering av tjenester på nivå høyt
Vi ber derfor om at dere gjør en ny risikovurdering av tjenestene dere i dag har på sikkerhetsnivå høyt. Dersom dere vurderer at en eller flere tjenester fortsatt må være på dette sikkerhetsnivået ber vi om at dere registrerer disse ved å fylle ut og sende inn vedlagte skjema:
Registrer hvilke tjenester som trenger sikkerhetsnivå høyt i ID-porten
Frist for innsending er mandag 20. april.
Informasjon til virksomheter med tjenester i ID-porten
Vi i Digdir gjør det vi kan for å informere virksomheter med tjenester i ID-porten. Informasjon om saken blir publisert på Samarbeidsportalen og i tillegg vil spesielt viktig informasjon sendes til ID-portens varslingspunkt og direkte til virksomhetene.
- 27. mars sendte vi e-post "Oppfølging av avvik for BankID på sikkerhetsnivå "høyt"" til alle som er registrert som varslingspunkt på ID-porten. Den samme meldingen er også sendt til alle virksomhetene
- 9. april sendte vi e-post "Viktig informasjon til virksomheter med tjenester i ID-porten" til alle som er registrert som varslingspunkt på ID-porten. Den samme meldingen er også sendt til alle virksomhetene
- 15. april - Informasjonsmøte til virksomheter med tjenester i ID-porten