Remissvar SOU 2019:14: Ett säkert statligt ID-kort – med e-legitimation

2019-09-13   John Allberg   web e-leg id-kort

Sedan 18 augusti 2017 har justitieråd Inga-Lill Askersjö lett en utredning om ett statligt ID-kort i Sverige. Den resulterade i SOU 2019:14 “Ett säkert statligt ID-kort – med e-legitimation”.

Vi tycker att det är en välskriven utredningn som verkligen har tagit frågan framåt men det finns detaljer som vi har åsikter om.

Sammanfattning

  • Att flytta Skatteverkets ID-kort för folkbokförda till Polisen är ett bra förslag som koncentrerar statens utgivning av identitetskort.
  • Att ta bort körkortet som giltigt identitetskort är ett bra förslag eftersom andra lagar och förordningar gör att körkortet inte kan uppfylla de högt ställda kraven för ett identitetskort.
  • Revisionsfunktion saknas och behöver tillsättas.
  • Tillgängligheten för att beställa ID-kort och pass hos Polisen måste förbättras.
  • Finansieringen är otillräcklig då alla kostnader inte är utredda och kostnadstäckning saknas helt för den statliga e-legitimationen.
  • Konsekvenserna för ”ID-kort i tjänsten” och ”Tjänstekort” är inte utredda.
  • Ansökan med bud är väldigt osäker och bör tas bort eller förbättras.
  • Gör det möjligt att frivilligt spara sitt fingeravtryck för senare identifiering.
  • Spara alla fingeravtryck för att kunna verifiera identitet när flera foton hittas utifrån ansiktsigenkänning.

Allmänt

Vi anser förslaget att flytta ID-kortet för folkbokförda från Skatteverket till Polisen vara utmärkt då det borde ge samordningsvinster, effektivisering och kostnads-besparingar. Eftersom Skatteverket lyckades att på ett år påbörja utfärdandet av ”Skatteverkets ID-kort för folkbokförda” borde Polisen med sin nuvarande verksamhet kunna göra det också.

Vi anser därför att utgivning av ”statligt identitetskort utan resehandling” bör kunna starta innan 1:a januari 2022, t.ex. 1:a januari 2021.

Utgivning av e-legitimation är betydligt mer komplex och bör tas i steg 2 till 1:a januari 2022.

Finansiering – identitetskort

”Det finns därför inte skäl att anta att styckkostnaden för korten kommer att öka till följd av den ökade mängden utfärdanden. Eftersom en utgångspunkt för våra förslag är att avgiften för kortet ska vara kostnadstäckande medför inte heller den ökade mängden kort att kostnaden för Polismyndigheten ökar.” (SOU 2019:14 §15.4.1 s.377)

I utredningen antas att kostnaden för det statliga identitetskortet vara densamma som dagens nationella ID-kort som ges ut av Polismyndigheten, vilket anges till 440 kr per kort där priset per kort är 400 kr. Skillnaden mot Skatteverkets kostnad på 600 kr per kort förklaras med att Polisen är effektivare.

Enligt siffror vi fått tidigare ligger ett genomsnittlig utfärdande inklusive utlämnande på ca 5 minuter hos Polisen och ca 30 minuter hos Skatteverket. Det känns en aning förmätet att anta att Polisen är 600% effektivare än Skatteverket så en stor del kan antas vara ärendenas natur.

Om vi antar att en passhandläggare kostar 200 kr/timme är det en skillnad per kort på 83 kronor. Skatteverkets 160 000 ansökningar skulle därmed medföra en kostnadsökning för Polismyndigheten på 12,3 mkr vilket ska jämföras med dagens totala kostnad på 111 mkr.

De totala kostnaderna för Polismyndigheten kan därmed antas öka med ungefär 11% under förutsättningen att Polisen är effektivare än Skatteverket men att ärendena är mer komplexa.

Finansiering – statlig e-legitimation

Utredningen föreslår att Polismyndigheten ska vara utfärdare av en statlig e-legitimation men någon kostnadsutredning har inte inkluderats.

Eftersom tidigare utredning (SOU 2017:114 s 202 ff) har kommit fram till att den statliga e-legitimationen ska vara en grundbult i den offentliga förvaltningen kan vi jämföra med kostnaderna för dagens och tidigare grundbultar.

När vi arbetade på Telia och Postens e-legitimationsavdelningar under 2000-talet var budgeten på 30-40 mkr. Det var innan det blev krav på teknisk biljettutgivning utan det räckte med enkla OCSP-svar och hotbilden var också en helt annan jämfört med idag.

Finansiell ID-Teknik BID AB, som driftar, förvaltar och utvecklar BankID, omsätter enligt deras årsredovisning mellan 108 mkr (2013) och 168 mkr (2017). De går inte med vinst.

I denna kostnadsmassa kan antas omfatta bl.a. sådant som:

  • Utveckling, förvaltning och drift av klientprogramvara för användning och utgivning av e-legitimationer
  • Utveckling, förvaltning och drift av centrala funktioner för användning och utgivning av e-legitimationer
  • Brottsförebyggande och brottshanterande verksamhet, i klartext ID-stöld

Det är funktioner som Polismyndigheten behöver bygga upp men saknas i utredningen.

Med hänsyn till Posten/Telias budget och BankIDs officiella siffor kan en kostnadsmassa på minst 40 mkr och upp till 168 mkr antas belasta Polismyndigheten när man ger ut e-legitimationer vilket medför en kostnadsökning på minst 36% och upp till 151%, beroende på hur mycket den statliga e-legitimationen används, till vad och hotbilden mot den statliga e-legitimationen.

Eftersom det statliga identitetskortet och passen ska vara avgiftsfinansierade är ett sätt hantera denna kostnadsökning att avgiftsbelägga användningen av den statliga e-legitimation på samma sätt som dagens BankID. Det skulle skapa ett incitament att inte tillåta så kallad ID-växling, eftersom ID-växling minskar mängden transaktioner på den statliga e-legitimationen. Det kolliderar dock uttryckligen med tidigare utredning, se SOU 2017:113 §12.8.5.

Vi anser att finansieringsfrågan för den statliga e-legitimationen skyndsamt behöver utredas.

Statlig e-legitimation

För att hålla ner kostnaderna för support och kostnaderna för utgivning krävs att e-legitimationerna används regelbundet. När vi tidigare jobbat på Postens och Telias utgivning av e-legitimationer fanns det gott om ”engångs-e-legitimationer”, dvs användarna hämtade ut en ny varje gång de behövde den eftersom de glömde sina koder mellan de skulle användas.

I fallet med den statliga e-legitimationen kommer kostnaden för en ny e-legitimation vara åtminstone 400 kr för individen, vilket knappast är något man vill betala flera gånger.

Förutom att kräva att den statliga e-legitimationen enligt lag ska kunna användas hos statliga myndigheter, kommuner och landsting, går det att utifrån utredningen att anta att banker och andra finansiella institut i förlängningen kommer att tvingas att acceptera den statliga e-legitimationen. (Utredningen föreslår redan att identitetskortet som e-legitimationen ligger på ska vara det enda svenska identitetskort som banker och finansiella institut får förlita sig på.)

Den kommer därmed att bli ett mål för den organiserade brottsligheten och det är rimligt att anta att de kommer att hitta hål i utfärdandeprocessen och genomföra ID-stölder, precis som man har gjort med andra e-legitimationer.

Det finns här en risk att den enskilda medborgaren, som blir utsatt för ID-stölden, hamnar mellan banken, som pekar på den felaktigt utfärdade e-legitimationen, och staten, som tycker att de har en bra utfärdanderutin och säker användning. Jämför med den press som bankerna och BankID utsattes för under våren 2018 när omfattningen av bedrägerierna var stor.

Vi anser därför att Polismyndigheten från första dagen ska ha en grupp som aktivt arbetar för att preventivt upptäcka och agera på misstänkta utgivnings- och användningstransaktioner samt ha ett nära samarbete med sina förlitande parter för att skydda såväl medborgare som förlitande parter.

Det innebär också att det måste finnas lagstöd för att spara metadata runt utgivnings- och användningstransaktionerna.

På grund av utformningen med kortbaserad e-legitimation är sannolikheten stor för att användningen blir låg. För att kompensera det behöver kort med ”dual interface” användas, så att korten blir tillgängliga via såväl traditionell kortläsare som trådlöst t.ex. från en mobiltelefon.

Revisionsfunktion saknas

I SIS-regelverket är det DNV (Det Norske Veritas) som är revisionsorganisation för utgivare av SIS-märkta ID-kort. Någon motsvarande funktion för de statliga utfärdarna har inte funnits.

När nu alla ägg ska läggas i samma korg är det lämpligt att en organisation för revision av Polisens utgivning av pass och identitetskort aktiveras eller tas fram, annars är risken stor att rutiner inte följs och utgivningen får brister.

Kanske kan Riksrevisionen eller MUST vara bra aktörer för det?

Teknisk specifikation för automatisk giltighetskontroll

SIS har tagit fram en Teknisk Specifikation för webbaserad giltighetskontroll av identitetshandlingar. Tjänsten ska kunna nyttjas och integreras av det system som utför kontrollen av ID-handlingen. Tjänsten skulle också kunna nås via ett webbaserat gränssnitt. Den Tekniska Specifikationen kan underlätta möjligheterna att kontrollera en ID-handlings giltighet på ett effektivt och enhetligt sätt.

SIS har till en Tekniska Kommitté på europeisk nivå, CEN/TC 224, skickat in ett förslag om att den Tekniska Specifikationen ska göras till en europeisk standard. Detta i syfte att främja och möjliggöra giltighetskontroller över landsgränser inom Europa. Om förslaget godtas kommer den Tekniska Specifikationen alltså få en internationell spridning.

Avsikten är att identitetskort ska automatiserat kunna giltighetskontrolleras även internationellt.

Vi anser att det ska vara ett krav att tillhandahålla ett gränssnitt för automatisk giltighetskontroll, t.ex. enligt SIS-TS 45/2018.

Ansökan om pass och statligt identitetskort utan resehandling med bud

Utredningen föreslår en rutin där t.ex. äldre personer eller personer som är allvarligt sjuka eller har någon fysisk eller psykisk funktionsnedsättning som gör att de inte kan ta sig till Polismyndighetens lokaler kan ansöka om pass och/eller statligt identitetskort via bud. (SOU 2019:14 s236)

Om vi vore skurkar är det precis den vägen skulle gå eftersom det är den svagaste länken i kedjan och om det ska tillåtas är det därför viktigt tt den förstärks så gott det går.

Utredningen anger att ett intyg ska skrivas av en representant för vårdinrättningen eller vårdboendet. Det är olämpligt att det skrivs på papper eftersom det varken går att verifiera intygets äkthet, signaturens äkthet eller att den som påstås ha skrivit under har rätt att göra det.

Vi anser istället att Polisen bör sätta upp en webbtjänst där endast SITHS, sjukvårdens elektroniska kort i tjänsten, kan användas för legitimering och underskrift. Då kan också ett uppslag i sjukvårdens elektroniska katalog, HSA, göras för att få personens roll (”läkare”, ”verksamhetschef”) och organisation (”Stockholms Stad”, ”Sjukhemmet i Årsta”) från en säker källa.

Intyget skrivs under av två personer i förening så att det krävs två personer som är ”onda” för att kunna utföra en ID-stöld.

I intyget bifogas också en elektronisk bild på den sökande vars biometriska data senare kan användas för att verifiera att det är samma person på den bild som lämnas in vid ansökan.

Det som då inte kan verifieras är att den sökande verkligen är intagen på sjukhemmet. Där kan förmodligen en enkel motringning mot det telefonnummer som står i HSA för verksamheten säkerställa det.

Att frivilligt spara fingeravtryck i registret

Vi har förståelse för utredningens bedömning att det inte är lämpligt att lagra alla medborgares fingeravtryck i registret men anser att man skulle kunna ge medborgarna valet att spara sitt fingeravtryck i registret för att använda den dag som man blivit av med sitt pass. Det skulle också skapa ett högre skydd av medborgaren mot ID-stöld om utgivningen av nästa pass eller ID-kort kontrolleras mot fingeravtrycket i registret.

I utredningen (SOU 2019:14 §10.2.7 s233) anges att Finland redan sparar fingeravtryck i registret eftersom de annars inte kan ge ut pass med fingeravtryck efter elektronisk ansökan.

Utredningen föreslår (SOU 2019:14 §10.2.8 s.239) att fingeravtryck ska kunna användas som ursprungsidentifiering för personer som har sitt fingeravtryck sparat hos Migrationsverket.

Vi anser att även medborgare ska få möjlighet att spara sitt fingeravtryck i Polisens register för senare ursprungsidentifiering.

Att alltid spara fingeravtryck i registret

Svenska pass har missbrukats genom att en annan person än den rättmätiga passinnehavaren använder passet för resa, ett tillvägagångssätt som brukar betecknas ”look-alike”.

Såvitt vi kan se är det enda i utfärdandeprocessen som skulle hindra ett utfärdande på samma sätt att det befintliga ID-kortets fingeravtryck verifieras. Det kan brottslingen ducka för genom att samtidigt anmäla ID-kortet som förkommet.

Bundeskriminalamt gjorde en utredning ”Gesichtserkennung als Fahndungshilfsmittel – FotoFahndung” som visade på att ansiktsigenkänning har en inte försumbar mängd såväl icke-träffar (när två bilder inte anses av systemet som samma person) som felaktiga träffar (när bilder på två personer anses av systemet som samma person). I deras tester fungerade ansiktsigenkänningen i mer än 60% av fallen även vi kan förvänta oss bättre resultat under förutsättningarna som gäller vid utgivning av ID-kort.

I försök som polisen i Storbritannien genomförde så var 96% av de personer som identifierades som brottslingar andra personer.

Även om felaktiga träffar kommer ner till 20-30 stycken vid varje automatisk kontroll mot övriga innehavare av pass och identitetskort, vad ska en passhandläggare göra då? Det går inte att göra en utökad kontroll på varje sökande.

Ett sätt att hantera problemet är att alltid spara fingeravtrycken i registret men inte göra dem sökbara. Då måste inte bara bilden stämma överens utan också fingeravtrycket.

Att alltid spara fingeravtryck i registret som varit bedrägliga

Utredningen föreslår att fingeravtryck och de biometriska data som tagits fram ur dessa och ansiktsbilden omedelbart ska förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits. (SOU 2019:14, §11.4.4 s 290)

Vi rekommenderar att behålla fingeravtryck och ansiktsbild om passansökan har avslagits för att den varit eller kan antas ha varit bedräglig. Uppgifterna ska sparas under lämplig tid, t.ex. 10 år. Under den tiden kontrolleras alla fingeravtryck och ansiktsbilder vid utgivning mot de som tidigare ansetts vara bedrägliga, vilket ger varningssignal vid nästa bedrägeri.

Polismyndigheten måste dock vara beredd på såväl felaktiga träffar som icke-träffar, bl.a. beroende på ålder.

  • L Beslay, J Galbally, R Haraksim – JRC Technical Reports - Automatic fingerprint recognition: from children to elderly
  • ISO/IEC PDTR 20322.2 Information technology - Cross jurisdictional and societal aspects of implementation of biometric technologies - Biometrics and elderly people
  • ISO/IEC TR 30110:2015 Information technology - Cross jurisdictional and societal aspects of implementation of biometric technologies - Biometrics and children

Förutsättningar för kvalificerad underskrift

Utredningen argumenterar i 12.3 att staten ska utfärda en e-legitimation på eIDAS nivå ”hög” med följande argument:

  • Det finns inga utfärdare i Sverige som ger ut e-legitimation som motsvarar eIDAS nivå ”hög”
  • Det finns inga tjänster som kräver eIDAS nivå ”hög” (och därmed inte någon lagstiftning)
  • Om det funnes tjänster som krävde eIDAS nivå ”hög” skulle inte en e-legitimation på ”väsentlig” fungera

Utredningens rekommendation blir därför:

”För att säkerställa att svenska invånare får tillgång till e-tjänster i andra EU-länder finns det därför ett behov att anmäla en e-legitimation på tillitsnivå 4.”

Utredningen argumenterar sedan i 12.9 att statens utfärdande av signaturcertifikat inte ska vara kvalificerade med följande argument:

  • Det finns inga aktiva utfärdare i Sverige som ger ut kvalificerade certifikat för underskrift.
  • Det finns ingen svensk lagstiftning som kräver kvalificerade signaturer.
  • Om det funnes svenska tjänster som krävde kvalificerade signaturer skulle inte avancerade signaturer fungera.
  • Inom EU är kvalificerade elektroniska underskrifter vanligt förekommande.

Not: Enligt Post & Telestyrelsen är dock följande utfärdare av kvalificerade certifikat anmälda: Signgard Europe AB, Trustweaver AB. Comfact säger ofta att de är anmälda men inaktiva. Försäkringskassan har åtminstone under en period varit anmäld som utfärdare.

”Mot bakgrund av den nuvarande behovsbilden när det gäller elektroniska underskrifter i svenska e-tjänster är det enligt vår mening svårt att motivera den ökade komplexitet och kostnad som följer av kraven på särskilda tekniska och säkerhetsmässiga egenskaper i e legitimationen för att kunna framställa kvalificerade elektroniska underskrifter.”

När det gäller kvalificerade signaturer tas alltså inte någon hänsyn till EU-krav på befintliga tjänster medan valet av eIDAS nivå ”high” tas med hänsyn till framtida EU-krav på eventuella framtida tjänster.

Det är inte en rimlig slutsats och vi anser därför att det borde finnas ett kvalificerat signerings¬certifikat på det statliga identitetskortet.

Riskanalys saknas

Trots att utredningens mål är att minska det ökande antalet bedrägerier som begås med hjälp av förfalskade identitetshandlingar så görs inte någon riskanalys för hur företag och medborgare påverkas av förslaget.

Polismyndigheten blir ”single point of failure”

Eftersom Polismyndigheten blir den enda myndighet som utfärdar det statliga identitetskortet och endast det statliga identitetskortet godkänns för i situationer som omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism, blir tillgängligheten hos Polismyndigheten väldigt viktig.

När jag i skrivande stund går in på polisens passbokning i Stockholm är första lediga tid om 25 dagar och det har genom åren varit många artiklar om Polisens långa väntetider för pass (SVT 2019-02-28, SVT 2018-05-02, Aftonbladet 2018-05-02) och även behandlats av riksdagen.

I dagsläget kan medborgare få ett ID-kort genom att istället gå till Skatteverket men det möjligheten försvinner med utredningens förslag.

När dessa lagförändringar går igenom behöver tillgängligheten för beställning och leverans av identitetskort och pass ha förbättrats.

Kompetens i Sverige

När allt färre organisationer ger ut ID-kort kommer också färre personer att vara kunniga inom området. Det är en risk att Polisen får problem att hitta och behålla anställda inom området med hög kompetens.

ID-kort i tjänsten/företagskort och tjänstekort

Utredningen tar inte upp hur ID-kort i tjänsten (t.ex. SITHS-kort inom sjukvården och väktarkort) eller tjänstekort enligt förordning (1958:272) om tjänstekort (t.ex. polisens tjänstekort) påverkas.

Det är rimligt att utifrån denna utredning dra slutsatsen att såväl ID-kort i tjänsten/företagskort som tjänstekort bör utrustas med en ICAO-applikation för elektronisk validering av det fysiska identitetskortet.

Hantering av identitetskort vid byte av personnummer

En kategori människor som idag får problem är de som av olika anledningar byter personnummer. Ett sådant byte kan föranledas t.ex. av skyddskäl, rättning av registrerad födelsedag eller könsbyte. Enligt Wikipedia har ungefär 75 000 människor bytt personnummer.

Utredningen har inte skrivit något om hur det ska hanteras när biometriska uppgifter kommer att ”avslöja” kopplingen mellan de båda personnumren vid utgivning.

Eventuellt kan det vara lämpligt att under en kortare period, t.ex. två veckor, tillåta att identitetshandlingar för båda personnumren är giltiga


<< Tidigare inlägg ("Elektronisk spärrkontroll på ID-kort via Internet")

Dela på:    
John Allberg

John har arbetat med elektronisk identifiering och e-legitimationer sedan 2000. Först på Posten eSäkerhet mellan 2000 och 2004, sedan på Telia mellan 2004 och 2008. Från 2009 är han konsult inom området och 2010 grundade han Ayoy tillsammans med Oscar Jacobsson.