Fødselsnummer på «MinSide» er galt

Ordningen som skal gi tilgang til borgerportalen MinSide, er feil bruk av fødselsnummer, mener Datatilsynet.

Borgerportalen «MinSide» skal gi alle norske borgere tilgang til alle offentlige tjenester fra ett sted. Den skal komme på lufta i løpet av 2007. Siden den såkalte Sikkerhetsportalen ikke kan ferdigstilles før en gang i 2008, har MinSide vært nødt til å ordne med en midlertidig form for brukerautentisering. Detaljene i denne midlertidige ordningen, døpt MinID, ble lagt fram tirsdag av Dag Efjestad i Norge.no, på et offentlig møte i regi av Fornyingsdepartementet.

    Les også:

Mens Sikkerhetsportalen etter all sannsynlighet vil tilby éngangspålogging til MinSide og andre offentlige tjenester gjennom solid tofaktor autentisering, er den midlertidige ordningen MinID langt enklere.

Den bygger på PIN-koder oppgitt i skattekortene som sendes ut ved årsskiftet.

– Ved å sende ut PIN-koder sammen med skattekort, treffer vi 3,5 millioner innbygger i én sleng, sa Efjestad. – På side tre på kortet vil det stå 20 nummererte PIN-koder à fem tegn hver. Kodene kan bare brukes for å logge seg på Skatteetaten eller til MinID. De vil ikke kunne brukes på Altinn.

Efjestad viste et eksempel der alle PIN-kodene bare besto av tall, men han åpnet i innlegget sitt for at kodene også kunne inneholde bokstaver.

For brukere som ikke får tilsendt skattekort, eller bruker opp alle sine PIN-koder, eller mister dem, er det lagt opp til en bestillingsordning: Man ringer Skatteetaten, og får tilsendt en liste på 100 nummererte PIN-koder. I likhet med skattekortet, havner denne listen altså i postkassa.

– Det er sikkerheten på postkassa som er avgjørende for sikkerheten i hele dette systemet, sa Efjestad.

Og det er som kjent en forbrytelse, ifølge norsk lov, å åpne og å lese andres post.

Første gang man logger seg på med MinID, oppgir man fødselsnummer, som også står på skattekortet. Så oppgir man en PIN-kode fra listen, og taster inn et egendefinert passord. Til slutt kan man oppgi et mobilnummer eller en e-postadresse som MinID kan sende et midlertidig passord til, i tilfelle man glemmer sitt egendefinerte passord.

Neste gang man logger seg på, oppgir man fødselsnummer, PIN-kode og passord.

MinID bruker med andre ord fødselsnummeret som brukernavn. Datatilsynet mener dette er feil bruk av fødselsnummer.

– Personopplysningsloven understreker at fødselsnummer bare skal brukes der det er saklig behov, og der det ikke er mulig å bruke en annen form for identifikasjon, forklarer Atle Årnes i Datatilsynet til digi.no. – Det innebærer at det ikke skal brukes som et standardisert brukernavn i interaktive tjenester. Paragraf 12 i loven er svært streng: Den krever en klar begrunnelse for å bruke fødselsnummer.

Flere nettbanker krever fødselsnummer ved pålogging, noe Årnes mener er uheldig. Det ble i sin tid tillatt fordi bankene kunne vise til at de var pålagt å levere informasjon videre til Skatteetaten, og at fødselsnummer da var en felles og entydig identifikator.

– Det er i dag klart at slikt kan ordnes i bakkant. Det vi må påse, er at ikke bruken av fødselsnummer blir enda mer utbredt.

Årnes peker på at MinID lett kunne utstedt egne brukernummer for sin tjeneste.

– Fødselsnummeret er jo ingen hemmelighet, siden det brukes i mange sammenhenger. Men det skal brukes i samsvar med Personopplysningsloven og tilhørende forskrifter. Passord skal være hemmelige. Et brukernavn er noe som bare angår brukeren og tjenesten den brukes på.

Årnes stiller et viktig spørsmål: Hva skjer hvis et fødselsnummer blir misbrukt?

– Det er nærmest umulig å få utstedt et nytt fødselsnummer. Nytt kundenummer er det derimot alltid mulig å få. I det omfattende systemet som Uninett etablerer for utdanningssektoren, Feide med over en million brukere, har man entydige brukernavn som det er enkelt å bytte i tilfelle misbruk. Hvis noen mener at fødselsnummer øker sikkerheten, mener jeg de tar feil.

Årnes viser til at andre land er langt mer restriktive enn Norge med å bruke fødselsnummer i interaktive tjenester. Han peker også på at nye løsninger – for eksempel Liberty Alliance og den åpne standarden SAML 2.0 – gjør pålogging med fødselsnummer unødvendig.

Feide-løsningen bygger på disse standardene, og har laget en ordning der tjenester som trenger det – og bare dem – kan få tilgang til brukerens fødselsnummer.

Denne løsningen er presentert i detalj i denne artikkelen: Felles ID-system for all norsk utdanning.

– Det har vært en rekke møter mellom Datatilsynet og Fornyingsdepartementet der vi har påpekt vårt syn, forteller Årnes.

Til toppen