Brukervennlighet foran sikkerhet i offentlige tjenester?

Skjermdump fra minid.norge.no

Den 5. mai 2011 publiserte Adresseavisen en kronikk skrevet av undertegnede. MinID er et offentlig prestisjeprosjekt som skal sørge for at norske borgere får tilgang på personlig informasjon og personlige tjenester levert av det offentlige på en sikker måte. Innloggingstjenesten MinID gjør at man kun trenger å huske ett brukernavn og passord til tross for et stort mangfold av statlige og kommunale tjenester. Bra! I den ”gamle” internettverden måtte man hatt forskjellige brukernavn og passord for hver enkelt tjeneste, og antall tjenester er betydelig: NAV, Lånekassen og Skatteetaten er blant etatene som tilbyr tjenester med MinID som innloggingsløsning.

Det offentlige har hatt sømløshet som mål for en internettbrukers opplevelse av å navigere mellom de ulike tilbudene av tjenester. Brukervennligheten har blitt framhevet ved at man kun skal behøve å logge seg på en gang ved hjelp av MinID for så å slippe bryderiet med å skrive inn brukernavn og passord dersom man innen kort tid ønsker å navigere innom en ny tjeneste. Denne sømløsheten er jeg skeptisk til.

Konsekvensen er at en uetisk person som får tilgang til en innlogget brukers innloggingsinformasjon (sesjon) også kan få tilgang på alle offentlige tjenester knyttet til den personen. Jeg føler at dette krenker vårt personvern. Å stjele en sesjon er et midlertidig identitetstyveri. Med tanke på alt man kan utrette via de offentlige nettjenestene fungerer dagens løsning imidlertid også som en snarvei til mer kompliserte former for identitetstyveri som vil kunne volde enkeltpersoner enorme problemer.

La oss ta belastningen med å logge inn på nytt for hver offentlige tjeneste vi skal besøke. Med MinID trenger vi fortsatt kun å forholde oss til ett brukernavn/passord par. Sikkerhet og brukervennlighet må balanseres likt slik at vektskålen ikke tipper over.

Kronikken kan leses på http://www.adressa.no/meninger/article1628173.ece

Publisert i kategorien Kronikk med stikkordene .