“Security by obscurity is no security”
Sveriges myndigheter är allt mer beroende av BankID och Mobilt BankID för att erbjuda sina tjänster som tjugofyratimmarsmyndigheter. Fast vad skulle hända om BankID går ner av t ex en IT-attack, vilket inte är osannolikt?
För några år sedan gick Danmarks motsvarighet till BankID ner efter en denial-of-service-attack, dvs ett överbelastningsangrepp. Systemet var nere i tre dagar och ingen autenticering som förutsatte systemet fungerade under dessa dagar.
Danskarna har sedan dess gjort stora investeringar för att kunna hantera överbelastningsangrepp.
Enligt uppgifter till mig gäller det inte BankID och Mobilt BankID i Sverige. Hur dessa skulle klara ett överlastningsangrepp och hur länge ett sådant angrepp skulle kunna pågå är förstås okänt.
Man kan ju spekulera i vad konsekvenserna skulle bli om ett sådant angrepp sänker tjänsten under några dagar, med väl vald timing. Exempelvis runt deklarationsdags, eller kring lön eller månadsskifte när räkningar och andra handlingar ska vara inne.
Nu kan man förstås skjuta fram datum för deklarationen eller andra myndighetsdatum, t ex för företag, om BankId sänks i samband med detta, men det kommer likväl vara belagt med stora kostnader och merarbete för alla inblandade.
BankID är en single-point-of-failure och är som sådan mycket intressant för den som vill ställa till oreda i Sverige. Det är inte så att myndigheterna har telefonister och handläggare nog att klara sig utan sina E-tjänster. Ja, även Nordea och Telia har egna ID-lösningar, men det är inte en akut hjälp när majoriteten drabbas om man sänker BankID. Man får inte ut alternativa ID:n över en natt direkt.
BankID har inte sänkts totalt än, och man får hoppas att det beror på att de har säkerhet nog och inte på grund av brist på intresse från angripare.
Så länge är enda sättet att skydda sig individuellt att se till att lämna in allt till myndigheter i god tid, så man klarar av några dagars avbrott vid fel tillfälle.
26 kommentarer
Är det någon bank som kräver BankID för att logga in?
De har väl möjligheten men tex Swedbank har ju en egen dosa som man får vare sig man vill eller inte.
Alla myndigheter börjar använda bankID. Den gemensamma nämnaren. Det blir då en "single point of failure", ifall någon lyckas sabotera den (genom att kasta in en träsko, "sabot" i maskinen).
+1 för allmänbildning
-1 för spridning av folketymologier. Sabotage är ett ord med oklart ursprung. Det är knappast troligt att det kommer från några arbetare som kastade träskor.
Och ha lite kontanter.
Jag tror ett sekundärt angrepp är mer intressant. Istället för att angripa de webbtjänster som BankID är beroende av så tar man över X antal mobilklienter och därmed ett antal personers identiteter. Man kan anta att DOS och liknande kända attacker kan hanteras av systemet. Det har varit mycket prat om Apples vägran att bygga in bakdörrar åt FBI mfl men samtidigt väldigt tyst från Google och Microsoft, undra varför?
Spel för galleriet, Apple försöker med the good guy men vem går på det? Google och MS orkar inte bry sig längre… Android ägs av NWO redan. Klart man kör Symbian o Debian.
@Johan: Santander är en bank som bara accepterar BankID för inloggning. Kan nog finnas fler.
Skulle det ske vid deklarationsdags så får man väl flytta fram slutdatumet en bit i tiden, helt enkelt. Det ser jag som ett hyfsat enkelt administrativt problem.
Det är värre om folk inte kan komma åt sina pengar, inte handla etc.
Säg det till banken när de kräver betalning. Flytta fram….
Det beror ju på att man har slut på pengar på kontot i så fall, inte på att BankID har pajat. Om de har lånat ut pengar till ett bolån på tre miljoner blir de såklart lite sura om man inte har tillräckligt med pengar på kontot när de vill dra amortering och räntor. Prio 1 är alltid boendet vare sig det är bolån eller hyra. Annars ligger man snart risigt till.
Det blir ju i slutändan upp till domstol att avgöra. Ifall det beror på att man blir hindrad att betala pga bankens lösning så vore det ju knappast rimligt att hålla kunden ansvarig för dröjsmålet.
Annars skulle ju banker lätt kunna bara dröja med att genomföra räntebetalning och kräva kunder på dröjsmålsränta…
Ingen större skada. Plockar väl fram bankdosan och loggar in. Går det inte att betala får man väl ringa företagen som man har räkningar och sånt hos hos och förklara att man vill förlänga tiden en månad pga problemet (vilket de lär känna till). Finns ju även en möjlighet att använda telefonbanken eller bank-kontoret för att betala lite räkningar. Men det mesta går ju på autogirot så. Deklarera kan man ju göra via papper eller få hjälp skattekontoret.
Världen går knappast under för att bankID går under. Skaffade mig bankid för bara två år sedan och jag klarade mig tidigare väldigt lätt utan det. Men ganska så smidigt är det väl.
"Vad skulle hända om BankID gick ned en längre tid?"
Det som skulle hända i mitt fall, är att auktionshusen inte skulle få betalt av mig för allt jag handlar. Jag vägrar använda kort eftersom auktionshusen bedriver så kallad kommisionsförsäljning, vilket innebär att de är undantagna från lagen som förbjuder företag och butiker att ta ut kortavgifter av kunderna. Samtliga auktionshus i Sverige tvärvägrar dessutom numera att ta emot kontanter, och då kan de ta sig i arslet, vad mig anbelangar.
Enligt en källa med vissa kopplingar till Finansiell ID-Teknik AB finns ingen anledning till oro. Tjänsten är skyddad från DDOS och kommer att fungera oavsett om Putin får en snedtändning. Lika säkert som att Steffe klarar integreringen av de nya.
Ja, vid en långvarig DDOS-attack så kommer ju bankerna och betalningsmottagarna att veta om att BankID gick ner, och kommer därmed av rent praktiska skäl se mellan fingrarna på att betalningarna blir ett par dagar sena. Ta det lugnt…
Med det sagt är det aldrig fel att ha ett par tusen kontant tillgängligt om andra betaltjänster skulle gå ner just när man råkar vara och handla, men det är ett mycket litet problem i praktiken. Kanske händer det en gång var tionde år eller så.
Tja, om man missade lite räkningar var det inte hela världen. Men om det var ett finansbolag eller byggbolag som inte var helt överrens med banken så kan de få sina krediter helt indragna av att missa en stor inbetalning en enda dag. Så, se till att du är kompis med din finansiär. å kningarö
Ett gott råd är att inte bli sen hos DragansLåneservice. De väntar inte en dag men så är de inte beroende av BankID och hanterar bara kontanter.
Jag tror det skulle vara oerhört nyttigt för medborgarna. En liten övning i kreativitet och krishantering, och förhoppningsvis ge en del dödtid att fundera på sitt liv. Minst en vecka och samtidigt bortfall av alla kreditkorstfunktioner vore lagom.
Kontanter?
Jag använder inte bank-ID. Alls. Ever. Klarar mig utmärkt utan, trots att jag har företag. Behövs ju inte heller för räkningsbetalning och andra bankärenden, i alla fall inte på Handelsbanken. För övrigt hade väl FRA varnat för säkerhetsbrister i bank-ID, i synnerhet den på fil. Det var en artikel på DN i slutet av förra året, men plockades bort rätt snart.
BankID ar en bankskatt. Det kostar 30 ore per inloggning och 1.50:- per signatur. For bankerna ar det ju gratis, men alla myndigheter betalar till bankerna. Men det storsta problemet ar nog att bankerna bestammer vem som ar vem.
En mer relevant fråga är: vad händer när bankid blir hackat och folk får sina identiteter stulna?
Angående security by obscurity: borde det inte kunna implementeras mer robust genom att man bara publicerar folks publika nycklar – sen kan man ju verifiera identiteten själv utan att bli beroende av tredje part kontinuerligt. Man är heller inte isf beroende på att listan med publika nycklar kommer från bankid.com direkt, bara att den är korrekt signerad.
Det vore då rätt knepigt att stänga ner ett sådant system med en enkel attack.
Cash is King…
En digital legitimation som BankID är absolut nödvändig och att just bankerna hanterar det är väl det allra bästa? Detta då de har ett mycket stort egenintresse i att det fungerar.
En myndighet eller någon lösning med allmän open source eller liknande skulle aldrig klara av att hantera hela kedjan (från att säkert identifiera personen till att hantera tekniken) och där man skulle få acceptans och trovärdighet i den grad som BankID har fått.