logo

BankID - en ny type elektronisk legitimasjon

Bankene i Norge har gått sammen om å lage BankID, en ny form for elektronisk legitimasjon som kan benyttes for identifisering og signering på web. Artikkelen er ment å gi en innføring i BankIDs virkemåte, sikkerheten ved BankID og aktuelle BankID-anvendelser.

Mellommenneskelig kommunikasjon og samhandling foregår i økende grad elektronisk. Eksempelvis har mange levert selvangivelsen og aksjonærregisteroppgaver elektronisk de siste årene. Denne utviklingen har skapt et behov for elektronisk legitimasjon, som kan benyttes på tvers av ulike brukersteder, så vel som for elektroniske signaturer.

BankID er en ny form for elektronisk legitimasjon som utstedes av bankene i Norge. En rekke sparebanker har nylig startet distribusjon av BankID, og norske banker vil i løpet av et par år ha forsynt flertallet av norske internettbrukere med BankID.

Hva er BankID?

BankID er bankenes elektroniske legitimasjon for sikker identifisering og signering på nettet. Identifisering innebærer at BankID brukes som elektronisk legitimasjon for å bevise hvem man er, for eksempel ved innlogging på et BankID-brukersted. Elektronisk signering innebærer å sette sin personlige «signatur» på et dokument (avtale, selvangivelse e.l.) slik at man i ettertid kan bevise hvem som har signert og at ingen kan endre det signerte dokumentet, ved for eksempel forfalskning eller ved å bytte ut dokumentet med et annet. En elektronisk signatur med BankID vil kunne brukes for de fleste rettslige disposisjoner.

BankID utstedes både til person- og bedriftskunder. I begge tilfeller er betingelsen at det på forhånd er etablert et kundeforhold med banken, noe som i sin tur forutsetter legitimasjonskontroll i henhold til krav i lov og forskrift om tiltak mot hvitvasking.

En personkunde med BankID har adgang til å bruke denne i kommunikasjon med alle private og offentlige foretak, institusjoner mv., som selv har innført bruk av BankID. Dette gjelder uavhengig av om personkunden og brukerstedet har BankID fra samme bank eller ikke.

Figuren under illustrerer prinsippet om bruk uavhengig av bankforbindelse. En personkunde (person med bankkonto) og et brukersted (bedrift, kommune, offentlig etat, organisasjon m.v.), som har fått BankID fra hver sin bank, kan bruke BankID til å sikre elektronisk kommunikasjon seg imellom (for eksempel inngå en avtale). Et BankID-brukersted inngår bare avtale med sin bank. Brukerstedet trenger ikke forholde seg til hvilken bank som har utstedt brukerens BankID.

Dette er muliggjort fordi banknæringen har blitt enige om felles regler for hvordan BankID skal utstedes, valideres (gyldighetskontrolleres) og administreres. Videre er det etablert en felles operasjonell infrastruktur (datasystemer med tilhørende rutiner og beredskapsløsninger) som sikrer at BankID fungerer som den skal. Felles operasjonell infrastruktur er ikke noen absolutt nødvendighet for å oppnå samordning bankene imellom, men har vist seg som det mest hensiktsmessige, i alle fall i en startfase.

Hvordan er BankID utformet?

I første omgang får personkunden en BankID som lagres på en sikker datamaskin hos kundens bankforbindelse eller lokalt på brukerens egen datamaskin, fremfor på et bankkort eller noe annet som BankID-bruker kan ta med seg i lommen. Dette er valgt fordi bankene ønsker at BankID skal kunne brukes også uten at brukeren er nødt til å ha en smartkortleser koblet til aktuell datamaskin. Etter hvert regner vi likevel med at BankID også vil bli tilgjengelig på bankkort og muligens på mobiltelefon.

For likevel å gjøre det mulig for en personkunde å benytte BankID fra flere ulike datamaskiner har bankene utviklet en versjon av BankID som kalles banklagret BankID. Banklagret BankID er karakterisert ved at sertifikatet med tilhørende nøkler er lagret sentralt hos Bankenes Betalingssentral (BBS), og dermed kan brukes fra alle datamaskiner som er koblet på Internett. Til gjengjeld forutsetter banklagret BankID at kunden må benytte både et statisk passord og en engangskode for å få tilgang til sin BankID.

Ulike banker tilbyr ulike mekanismer for generering av engangskoder. For eksempel blir kunder i SpareBank 1 Gruppen utstyrt med en enkel off-line kortleser, som sammen med deres nye betalingskort kan brukes for å få frem engangskode. Andre tilbyr passordkalkulator.

Alle banker som har startet fullskala distribusjon av BankID, tilbyr banklagret BankID. Over tid vil det trolig bli flere ulike varianter av BankID. Grunnleggende regler (omtalt ovenfor) vil sikre brukerne at de uansett kan bruke sin BankID overalt uavhengig av den faktiske utforming.

Hvordan brukes BankID?

I prinsippet kan BankID brukes til sikring av elektronisk kommunikasjon, uansett formen på denne kommunikasjonen. I første omgang har bankene valgt å innrette BankID utelukkende mot elektronisk identifisering og signering på web. Dette er basert på en kost-nyttevurdering. Bankenes vurdering er at ca. 90 prosent av dagens marked for elektronisk legitimasjon er knyttet til selvbetjening og elektronisk kommunikasjon via web.

Identifisering med BankID vil være aktuelt i alle sammenhenger der en person trenger å legitimere seg selv enten det gjelder pålogging (for eksempel i nettbank, min side hos et reisebyrå, Altinn eller Revisornett) eller i andre situasjoner hvor du har behov for å fortelle hvem du er. Bruk av BankID gjør at du er sikker på hvem du kommuniserer med på nettet.

Eksempelet på neste side viser at en bruker av eServicetorget Numedal velger å logge inn med enten banklagret eller lokallagret BankID. Deretter dukker første skjermbilde for identifisering med BankID opp. Dialogen som kunden ledes igjennom er lik, uavhengig av hvilket brukersted han/hun identifiserer seg overfor.

Signering med BankID vil være aktuelt i alle sammenhenger der det trengs en elektronisk signatur, som for eksempel når du ønsker å signere kontrakter, avtaler og andre dokumenter med din personlige BankID. BankID gjør at du på en enkel og sikker måte kan nå alle bedrifter, myndigheter og banker som er tilsluttet tjenesten.

Signering benyttes når du bruker BankID til å signere digitalt. Signaturen er personlig og knytter deg til innholdet i melding eller dokument, samtidig som innholdet sikres mot endring. BankID Samarbeidet har definert et objekt for lagring og gjenfinning av signaturer. Dialogen som kunden ledes gjennom er lik uavhengig av brukersted og type dokument som skal signeres. I utgangspunktet er det to typer dokumenter som kan signeres med BankID, txt-dokumenter og PDF-dokumenter.

Et viktig aspekt ved elektronisk signering er at signaturen skal kunne kontrolleres i ettertid. For dokumenter signert ved bruk av BankID kan dette blant annet gjøres ved bruk av en såkalt «Dokumentoversikt», som vist på neste side.

Dokumentoversikten viser detaljer for signerte dokumenter, blant annet dato og klokkeslett når dokumentet ble signert. Dokumentene kan skrives ut og lagres lokalt på datamaskinen. Dessuten, og ikke minst, gir dokumentoversikten mulighet for å kontrollere gyldigheten av de involverte signaturer i ettertid.

Bankene har laget en norsk bankstandard for «signerte dataobjekter» (BankID-SDO), som er det faktiske beviset på signaturen. Denne bankstandarden går inn som grunnlag for arbeidet med en norsk standard i regi av SEID-prosjektet, som ble etablert av Nærings- og handelsdepartementet i 2003, og hvor også aktuelle private aktører er involvert. Når en slik standard innføres, vil det være enklere for tredjepart å tilby løsninger for arkivering, gjenfinning og kontroll av dokumenter som er signert med BankID.

Hvordan skaper BankID sikkerhet?

Det er flere forhold som til sammen gjør BankID til en velegnet løsning for å sikre elektronisk kommunikasjon på web.

BankID er basert på PKI-teknologi, som er den eneste form for teknologi som regnes som tilstrekkelig sikker for kommunikasjon i åpne nett. Betegnelsen «PKI» står for «Public Key Infrastructure» og refererer blant annet til det faktum at en viktig del av den elektroniske legitimasjonen er en offentlig nøkkel. Det er denne offentlige nøkkelen, som sammen med en tilhørende privat nøkkel, skaper grunnlag for såkalt asymmetrisk kryptografi, og derigjennom for elektronisk sikring av kommunikasjon mellom parter som i utgangspunktet ikke trenger å kjenne hverandre.

BankID Samarbeidet omfatter 140 av 148 banker som er aktive i Norge. Finansnæringens Hovedorganisasjon (FNH), Sparebankforeningen og Bankenes Standardiseringskontor (BSK) har et overordnet ansvar for løsningen. Det er imidlertid den enkelte bank som har det fulle og hele ansvar for de BankID-er banken utsteder. Dette innebærer både ansvar for at BankID bare utstedes til personer (fysiske og juridiske) som er identifisert ved personlig fremmøte hos den aktuelle banken eller representant for denne, for at de tekniske løsninger som anvendes ved utstedelsen har tilfredsstillende kvalitet og for at det finnes et godt system for å bekrefte at BankID som er brukt for identifisering eller signering ikke er sperret for eksempel fordi det er meldt mistet eller stjålet.

Utbredelse og bruk av BankID

En rekke sparebanker har startet storskala-utstedelse av BankID til sine kunder, og i tillegg til nettbankene er det rundt 30 ikke-banker, som er brukersteder for BankID. Både antallet utstedere og antallet brukersteder vil øke i 2005 og det forventes at 800 000 personer vil ha BankID innen årets utgang. Utstedelse skjer gjennom bankenes nettbanker, og som hovedregel vil pålogging i nettbank være den første anvendelsen kunden gjør med sin BankID. Andre aktuelle anvendelser i nettbank inkluderer søknad om lån eller betalingskort hvor hele behandlingsprosessen skjer elektronisk.

Fremover ventes BankID også tatt i bruk i forbindelse med handel og betalinger på nettet. Nettbutikker kan tilby BankID som sikringsmekanisme i forbindelse med inngåelse av kjøpsavtale og/eller tilhørende betalingsavtale. Dessuten vil en rekke banker tilby BankID som sikringsmekanisme i forbindelse med betaling med bankkort (VISA, MasterCard m.v.), og etter hvert vil det også komme en felles BankID-basert tjeneste for nettbetaling direkte fra bankkonto.

Innen offentlig sektor er det særlig kommuner som har vist stor interesse for BankID. En rekke kommuner har tatt i bruk BankID for å etablere nye elektroniske tjenester i forhold til borgerne. Blant annet ble BankID-signering første gang tatt i bruk i Fosenregionen allerede i februar 2004 for å signere kommunale søknader på nettet. Ti kommuner i Østfold står bak Smaalensveven som skal utvikles til å bli det elektroniske servicetorget for innbyggere, ansatte og næringsliv. For å kunne gi innbyggerne et ekte elektronisk servicetorg, samt kunne bedrive døgnåpen forvaltning, er tilgangen til digital signatur helt avgjørende. BankID vurderes som interessant fordi den vil bli tatt i bruk av bankene selv, noe som gir garanti for mange og erfarne brukere, så vel som for høy grad av sikkerhet. Bankene har i dag omkring 2 millioner nettbankkunder, hvorav 89 prosent bruker nettbanken minst hver 14 dag. Også i Numedals kommuner tilbys innbyggerne et eServicetorg hvor blant annet kommunens, trygdeetatens og ligningskontorets e-tjenester er samlet via én og samme nettportal.

Innen offentlig sektor for øvrig har det foreløpig vært lite praktisk utprøving av BankID. Nylig har imidlertid Innovasjon Norge tatt frem en løsning for elektronisk søknad om transportstøtte for næringer som ligger langt fra markedet. Løsningen, som er omtalt på nettsidene til Innovasjon Norge (www.transportstotte.no), innebærer signering med BankID både fra søker og fra søkers revisor. Den som skal signere på vegne av foretaket må være daglig leder eller en annen med prokura. Det er ikke slik at den som signerer også er den som må opprette søknaden og legge inn opplysningene. Dette kan gjøres av andre i foretaket, mens daglig leder eller en annen med prokura kun behøver å godkjenne og signere søknaden før den sendes videre til revisor. En del av rutinen innebærer at også revisor skal signere elektronisk. Derfor må også revisor anskaffe seg BankID.

Banknæringen har helt fra arbeidet med BankID startet i desember 1999, hatt løpende kontakt med norske myndigheter i forbindelse med lover og regler for e-signatur, tiltak mot hvitvasking osv. Banknæringen har vært en aktiv bidragsyter i lovgivningsarbeidet på dette området. BankID er utviklet i tråd med de krav som foreligger til kvalifiserte sertifikater. Banknæringen har etter at Kravspesifikasjon for PKI i offentlig forvaltning ble offentliggjort i november 2004 igangsatt en prosess som skal legge til rette for at utstedere av BankID på en enkelt måte skal kunne registrere seg som utstedere av kvalifiserte sertifikater hos Post- og teletilsynet innen sommeren 2005.

Konklusjon

BankID er på vei ut i markedet. I første omgang benyttes BankID særlig i kommunikasjon mellom bankene og deres egne kunder. Etter hvert ventes også utstrakt bruk av BankID mellom bankenes kunder direkte, det vil si mellom personkunder og brukersteder innen både privat og offentlig sektor.

Mer informasjon om BankID finnes på www.bankid.no.?FM: MARKER [Cross-Ref] _PictureBullets>