Varning för id-system på nätet
Polisen avråder allmänheten från att använda så kallade mjuka certifikat för elektronisk signering på internet.
Det här är en debattartikel. Åsikterna i texten är skribentens egna.
Banker och myndigheter vill att allmänheten ska sköta så många ärenden som möjligt via internet. Målet är att vi ska kunna nå myndigheterna, exempelvis sjukskriva oss via Riksförsäkringsverket, dygnet runt. Flera försök där patienter kan läsa sina sjukjournaler på internet, bland annat i Östergötland, pågår.
Bristfällig säkerhet
Men det finns risker med det system med så kallade mjuka certifikat som många banker och myndigheter håller på att införa på bred front. Det går till så att en datafil skickas med hem till din dator och sedan får du välja ett lösenord. På det här sättet kan du göra elektroniska signeringar, vilket behövs om du till exempel har deklarerat på internet och vill ändra en uppgift.
Men säkerheten i privatpersoners datorer är bristfällig.
- Den springande punkten är att ingen med säkerhet vet att datorn är säker. Om säkerheten är dålig kan du bli utsatt för intrång. All information på hårddisken kan man komma åt och man kan dessutom logga alla knapptryckningar som användaren gör. Det innebär att man kan fånga upp det hemliga lösenordet och plötsligt är jag du, säger Anders Ahlqvist, chef för rikskriminalpolisens internetspaningsenhet.
Säkrare med dosa
De äldre system för att garantera en kunds identitet på nätet, där kunden får en liten dosa eller ett slags skraplotter som genererar koder som behövs för inloggning är enligt polisen betydligt säkrare.
- Det ställningstagandet bygger jag på att vi inte har fått in några anmälningar om brott där sådana använts.
Rikskriminalpolisen har fått in flera anmälningar om bedrägerier som skett sedan hemliga lösenord kopierats. I flera fall har så kallade målvakter som agerat på uppdrag av någon annan tekniskt bevandrad person gripits. I ett fall försökte någon med hjälp av en målvakt föra över 100 000 euro från ett företag till ett annat konto.Transaktionen stoppades dock av banken som anade oråd när målvakten agerade på ett misstänkt sätt.
- Vi avråder folk från att använda den här sortens mjuka certifikat för att säkerheten är för dålig. Och de kan inte bara tömma ditt bankkonto utan även agera som om de vore du. Det finns stora risker med det här när 24-timmarsmyndigheten införs.
Läsa sjukjournaler
Det skulle bland annat kunna leda till att bedragaren skulle kunna sjukskriva dig, manipulera din deklaration och läsa din sjukjournal.
Trued Holmquist på bankernas id-tjänst förstår inte kritiken.
- Jag delar inte polisens uppfattning. Det sker ett antal miljoner transaktioner med mjuka certifikat per månad och inte en enda person har lidit ekonomisk skada hittills. Säkerhetsnivån är mycket hög, säger han.
- Ingen har lidit ekonomisk skada än, men det är bara en tidsfråga innan någon kommer att göra det, säger Anders Ahlqvist.
Trued Holmqvist säger att bankernas id-tjänst försökt få en dialog med polisen om detta sedan i våras, utan att få kontakt. Men på måndag träffas de.