Regjeringens visjon er at alle landets innbyggere skal kunne få tilgang til egne helseopplysninger i en elektronisk journal.
27. november ble Bank-ID godkjent som innloggingsløsning med høyeste sikkerhetsnivå.
– 3 millioner nordmenn kan nå logge seg inn og se sine elektroniske resepter med bankbrikken sin. Den er du ganske trygg på, sa helseminister Jonas Gahr Støre i Debatten på NRK1 forrige torsdag.
– Forstår ikke hvor dårlig den tekniske løsningen er
Men det er ikke riktig, sier kryptolog Kristian Gjøsteen ved NTNU. Han mener at den tekniske løsningen i Bank-ID er uegnet til å brukes på et stort antall nettsteder.
Sist uke ble det åpnet for bruk av Bank-ID som innlogging til 270 offentlige nettsteder.
Men årvåkenheten til folk flest vil ikke være så skjerpet når Bank-ID brukes overalt, utenfor nettbanken. Det gjør det langt enklere å svindle til seg innlogginsinformasjon, mener han.
LES OGSÅ:
– Konsekvensen er at sikkerheten ved alle nettsteder som bruker Bank-ID, også nettbanken og mineresepter.no, synker, sier Gjøsteen.
Han sier at alle i sikkerhetsbransjen er klar over at Bank-ID er sårbare overfor en hel rekke angrep, og at bankbrikken overhodet ikke er så sikker som myndighetene vil ha det til.
- Har helseministeren god grunn til å hevde at folk kan være trygge på bankbrikken sin?
– Nei, det har han egentlig ikke. Men det er alt for få som forstår hvor dårlig den tekniske løsningen i Bank-ID egentlig er, sier Gjøsteen.
Han mener at det både er blitt enklere å lage masseangrep og målrettede angrep mot enkeltpersoner som en følge av at Bank-ID brukes langt flere steder, og mener han som vitenskapelig ansatt ved et universitet har en plikt til å si fra.
- Du kan være ganske trygg på bankbrikken din, mener helseminister Jonas Gahr Støre, som har åpnet opp for at bankbrikken kan brukes som innlogging til sensitive helseopplysninger.
Sensitive personopplysninger kan lett havne på avveie når Bank ID også skal brukes på resepter og 270 andre offentlige tjenester.
NRK har vært i kontakt med flere sikkerhetseksperter som deler Gjøsteens oppfatning om at sikkerheten ved Bank-ID er for dårlig. Men de vil ikke stå frem. En begrunner det med at vedkommende ikke vil legge seg ut med bankene, som eier Bank-ID.
– Men det er ingen tvil om at det er et helt annet risikobilde når du legger helsejournaler på nett, og at det er langt vanskeligere for ikke å si umulig å reparere skaden dersom opplysningene lekkes ut på nettet, sier kilden til NRK.no.
– Åpner for regelrett hærverk
I en video som Kristian Gjøsteen har laget demonstrerer han hvor lett han mener det er å stjele innloggingsinformasjon til Bank-ID, ved å sette opp en svindelside.
I denne videoen demonstrerer NTNU-forskeren hvor lett han mener det er å stjele innloggingsinformasjon til Bank-ID ved å lure folk til å tro at de omadresserer juleposten.
Informasjonen kan kriminelle igjen bruke til å logge seg inn på eksempelvis mineresepter.no. Eller på minjournal.no.
– Bankene har blitt ganske gode til å stoppe nettbanksvindel. Men når vi nå får et helt annet risikobilde er det helt opp til de kriminelle hvor mye svindel det skal være, sier NTNU-kryptologen.
Han sier at det åpner opp for at noen bestemmer seg for å drive det han kaller hærverk.
– Man kan for eksempel tenke seg at man poster helseopplysninger på brukernes Facebook-konti for deretter å stenge dem ute, eller på vilkårlige nettsider, bare for å drive rent hærverk, sier han.
Gjøsteen sier at han har laget demonstrasjonen på hvordan man kan sette opp en svindelnettside for å varsle om hvor enkelt det kan gjøres.
– Jeg er matematiker og ikke informatiker, men jeg synes det er greit å vise frem at også amatører kan gjøre dette, sier han.
– Risiko knyttet til alle former for sensitiv informasjon
Avdelingsdirektør Roar Olsen i Helsedirektoratet skriver i en e-post til NRK.no at direktoratet har gjennomført en sikkerhetsvurdering knyttet til digitale tjenester i helsesektoren.
Konklusjonen er at BankID er sikkerhetsmessig akseptabel for pålogging mot tjenester i helsesektoren.
Det er direktoratet for offentlig forvaltning og IKT (Difi), som har ansvaret for digitaliseringen av offentlig sektor.
Direktør Hans Kristian Holthe fastholder at Bank-ID er på høyeste sikkerhetsnivå.
– Jeg tror at det vil finnes ulike typer risiko knyttet til sensitiv informasjon nærmest uansett i hvilken form eller fra hvilken leverandør det kommer, sier Holthe.
Han sier at det også med skriftlige papirkopier av pasientjournaler på et sykehus er det knyttet risiko til at de kan forsvinne.
– Så dette er risikosituasjoner vi må ta på det dypeste alvor for å beskytte folks informasjon, sier Difi-direktøren.
LES OGSÅ:
