Mine områder
Hjelp

Kartlegging av sikkerhetsnivå for innlogging til Flyt-produkter

av Benedicte Nansdal

Kartlegging av sikkerhetsnivå for innlogging til Flyt-produkter

Vurdering av krav til sikkerhetsnivå ved bruk av ID-porten for innlogging

 

Bakgrunn

DigDir informerte den 09.04.2026 at “Nasjonal kommunikasjonsmyndighet (Nkom) har varslet at BankID kan komme til å miste godkjenningen på sikkerhetsnivå høyt. Hvis det skjer vil det ikke lengre bli mulig å bruke BankID for å logge inn på tjenester som krever sikkerhetsnivå høyt. Vi ber derfor om at dere gjør en ny risikovurdering av tjenestene dere i dag har på sikkerhetsnivå høyt.”

 

Flyt tilbyr i dag mulighet for innlogging med sikkerhetsnivå betydelig og høyt til produktene Flyt Samspill, Flyt Barnevern, Flyt Barnevernsvakt, Flyt Sosial, Flyt PPT og Flyt Sikker Sak/Flyt Generell Sak. Grunnet endringer i omstendighetene rundt sikkerhetsnivået til BankID, er det aktuelt å gjennomføre en vurdering av sikkerhetsnivået som er nødvendig for de tjenestene Visma Flyt leverer.

 

eIDAS sikkerhetsnivåer

Nivå

Beskrivelse jf. art. 8 i forordning (EU) nr. 910/2014

Formål

Typiske bruksområder
ifølge DigDir

Lavt

eID som gir en begrenset grad av tillit til en persons identitet, og som kjennetegnes på grunnlag av tekniske spesifikasjoner, standarder og framgangsmåter knyttet til dette, herunder tekniske kontroller.

Å redusere risikoen for misbruk eller endring av identiteten.

Mange tjenester, blant annet gjelder dette ofte skolepålogging som gir innsyn i egne lekser mm. Innsending av skjema (barnehagesøknad etc.), statistikkoppgaver.

Betydelig

eID som gir en betydelig grad av tillit til en persons identitet, og som kjennetegnes på grunnlag av tekniske spesifikasjoner, standarder og framgangsmåter knyttet til dette, herunder tekniske kontroller.

Å oppnå en betydelig redusert risiko for misbruk eller endring av identiteten.

De fleste tjenester med taushetsbelagte opplysninger, blant annet innsyn og endring i egen skattemelding.

Høyt

eID som gir en høyere grad av tillit til en persons identitet enn elektroniske identifikasjonsmidler med sikkerhetsnivået «betydelig», og som kjennetegnes på grunnlag av tekniske spesifikasjoner, standarder og framgangsmåter knyttet til dette, herunder tekniske kontroller.

Å hindre misbruk eller endring av identiteten.

Tjenester som gir innsyn i taushetsbelagte opplysninger med særlig beskyttelsesbehov, herunder stigmatiserende opplysninger, forretningskritisk informasjon, sikkerhetskritisk informasjon og helseopplysninger.



Risikovurdering

Gjennom tilgang til Flyt-produktene omtalt i denne vurderingen, er det mulig for brukere å tilegne seg opplysninger som etter GDPR artikkel 9 og 10 anses som særlige kategorier av personopplysninger. Det er et sikkerhetsmål å beskytte disse opplysningene i løsningen. Flyt-produktene har innebygde mekanismer som ivaretar kravene til personvern og sikkerhet som avtalt med kunden. Det foreligger imidlertid ingen klare regulatoriske krav som identifiserer hvilket sikkerhetsnivå som skal benyttes til hva. Det er opp til Visma Flyts kunder å vurdere hvilke innloggingsmetoder som skal benyttes til informasjonen som ligger bak autentiseringen.

 

En eID som kategoriseres som betydelig har til hensikt å redusere risiko for misbruk, mens høyt skal forsøke å hindre misbruk. I praksis er forskjellen mellom nivåene kravet til fysisk oppmøte. Identitetskontroll av brukere kan fortsatt gjennomføres av virksomheten i forbindelse med oppsett av f.eks. EntraID slik at hensynet kan ivaretas på nivå begrenset. Faktisk risiko for misbruk eller endring av identitet ved bruk av fagløsninger skal sees i sammenheng med risiko for identitetskrenkelse av brukerne. Det er også relevant å vurdere om fagløsningen er utsatt for fremmed trussel i et helhetlig sikkerhetsbilde.

 

Hendelse

Sannsynlighet

Alvorlighet

Risiko

Kommentar

Personer i nære relasjoner benytter BankID til bruker

Middels

Middels

Middels

Erfart misbruk er størst i nærstående relasjoner. Dette må adresseres med andre risikomitigerende tiltak uavhengig av eID.

Ukjente personer benytter BankID til bruker

Lav

Middels

Middels

Ukjente aktører med tilgang til brukerens BankID har større sannsynlighet for å ha økonomisk motivasjon.

 

Anbefaling

Flyt-produktene har allerede sikkerhetstiltak i løsningen som begrenser misbruk og reduserer risiko for tilegnelse av sensitive opplysninger gjennom blant annet tilgangskontroll, logging og Bug Bounty. Utover det er opplysninger om adressesperre gjort utilgjengelig for brukere slik at risikoen er redusert gjennom egnede tiltak. Det er verdt å bemerke at sikkerhetsnivået på eID ikke endrer sikkerhetsnivået for løsningen ellers. Det er likevel virksomheten som avgjør hvilken innloggingsmetode som er tilstrekkelig for tjenesten, og det anbefales følgende vurderinger som underlag for beslutningen.

 

BenedicteNansdal_0-1776688436032.png

 

En mulig endring av sikkerhetsnivå på BankID utgjør en praktisk utfordring for kunder som i dag benytter denne. Dersom virksomheten vurderer at innlogging skal ligge på sikkerhetsnivå høyt, er Buypass og Commfides fortsatt aktuelle innloggingsmekanismer. Merk at begge løsninger krever egne investeringer og oppsett. Kunder som allerede benytter eID på nivå betydelig, eller har vurdert at nivå betydelig er tilstrekkelig for tjenesten kan se bort i fra denne informasjonen. Visma Flyt kommer til å fortsette å støtte BankID som påloggingsalternativ.


Se DigDir sine nettsider for ytterligere informasjon. Ved spørsmål til innholdet i denne vurderingen eller behov for bistand for gjennomføring av egen risikovurdering, ta kontakt med Visma Flyt på [email protected].