BankID kan ikke hoste og harke

Norge er i krisemodus og nedstengt på nytt. Men midt i den store omikron-krisa, utspiller det seg en mindre krise, som viser hvordan kriser kan bli dobbeltkriser om de digitale systemene våre ikke virker som de skal. Gjør et søk på BankID på Twitter, og du skjønner hva jeg snakker om.

Folk innen helse får ikke tilgang på digitale systemer for å gjøre jobben sin. Folk får ikke bestilt vaksinetime. Folk isolerer seg fordi de ikke får tilgang på resultatet fra koronatesten sin. I perioder har hver tredje bruker mislyktes med sin BankID-pålogging. Problemene har vedvart i flere uker.

Hvor mye skyld kan legges på DXC? Er dette et useriøst selskap?

BankID er ikke bare i ryggmargen i det norske finanssystemet, involvert i en stor andel av alle kjøp og salg vi gjør. Det er også innbygget i alt fra helsetjenestene til Skatteetaten og NAVs systemer. BankID har i praksis blitt vår alles mulighet til å ha en sikker identitet på nett, i alle sammenhenger hvor det behøves. Vår felles portvokter.

Ingen vet helt hva problemet er. Heller ikke BankID selv, skal vi tro BankID-sjef Øyvind Brekke, som ble intervjuet i E24. Men at systemet hoster og harker midt under en dypt alvorlig helsekrise, er åpent i dagen. Problemene har oppstått i forbindelse med overgangen til en ny driftsleverandør – amerikanske DXC. Slike overganger er teknisk kompliserte, vanskelige, men det er slett ingen selvfølge med driftsproblemer som de vi har sett fra BankID den siste tiden.

Hvor mye skyld kan legges på DXC? Er dette et useriøst selskap? På hvilke premisser er samarbeidet med BankID inngått? At slike spørsmål reises, er bare å forvente, gitt BankIDs kritiske posisjon i samfunnet og ripene i DXCs rykte etter Helse Sør-Øst-saken, hvor norske pasientdata ved en feil ble tilgjengelig for IT-arbeidere i Asia.

Men det er neppe grunnlag for å hevde at DXC er verre eller bedre enn andre selskaper BankID kunne outsourcet drift til. Mer interessant er det å diskutere hvordan rammene rundt BankID er, hvilken kontroll vi som samfunn har med BankID, og hvor sikre vi kan være på at systemet alltid er oppe og går.

Avstanden til myndighetenes styring og kontroll av sikker digital identifikasjon burde vært kortere.

For mange av de store tech-selskapene er «oppetid» – tiden systemet er oppe og går som det skal – en markedsnødvendighet. Tenk hva som hadde skjedd om Netflix ikke virker når du slenger deg på sofaen for å se en serie. Terskelen er ikke så fryktelig høy for å si «dette gidder jeg ikke», og bytte til HBO Max eller Disney+. Netflix vet dette, og bruker mye tid og penger på å sørge for at systemet alltid må kunne fungere selv om enkeltdeler er ute av drift. En fungerende konkurransesituasjon vil tvinge selskaper til å bygge systemer som er hardføre fra startblokka av.

BankID er ikke som Netflix. Det er det flere grunner til, men en av dem er at det er vanskelig å se for seg en situasjon hvor markedsmekanismen vil kunne fungere godt for ID-løsninger. Det er upraktisk for folk å sette opp flere parallelle ID-løsninger i tilfelle en av de andre ikke skulle virke. Selv om det allerede i dag finnes alternativer, er det en grunn til at BankID har opparbeidet seg en dominerende posisjon: det er rett og slett praktisk å kunne bruke ett system overalt. I praksis har du som bruker i mange tilfeller ingen alternativer å velge mellom for å få tilgang til en digital tjeneste med sikker identifisering.

Dette er en viktig grunn til at de som krever at staten tar mer ansvar når de ser at BankID ikke er oppe som det skal, har et poeng.

Gjennom tydelige rammer fra myndighetene, kunne BankID bli presset til å legge mer vekt på robusthet. Mulighetene til det når BankID er et system driftet og utviklet av Vipps AS, er mer begrenset. Avstanden til myndighetenes styring og kontroll av sikker digital identifikasjon burde vært kortere.

Vi venter fremdeles på svar på årsakene til BankIDs driftsproblemer.

Et godt første steg kunne vært å flytte BankID fra Vipps AS og tilbake til bankene. Så kunne man tenke seg løsninger hvor staten enten overtok eller regulerte BankID tydeligere. Det går også an å se for seg at staten bygget ut et fullverdig alternativ til BankID basert på eksisterende teknologi. Samtidig er det selvfølgelig ikke så enkelt som at statlige løsninger vil være uten problemer. Det har vi blant annet sett eksempler på med Estlands ID-system, et land som ellers ofte trekkes fram som poster child for digitalisering.

I tillegg er det verdt å diskutere hvorvidt BankID-data er en type sensitive data som burde skje på statlige servere. I februar vedtok Stortinget å utrede behovet for en felles statlig skytjeneste for forvaltningen. I Sverige kom denne uken en offentlig utredning om samme spørsmål. For det er ikke bare oppetid som er en viktig problemstilling her – det er også hvem som kan få tilgang på sensitive data. Jussen rundt utlevering av data på tvers av landegrenser er uklar. Amerikanske CLOUD-act gir for eksempel amerikanske myndigheter rett til å få kundedata fra amerikanske selskaper.

Vi venter fremdeles på svar på årsakene til BankIDs driftsproblemer. Svikten vi har sett de siste ukene er mer enn hva vi bør akseptere fra det som godt kan kalles en digital kritisk infrastruktur for landet.