Betänkandet SOU 2019:14 Ett säkert statligt ID-kort med e-legitimation

Relevanta dokument
Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

Yttrande över betänkandet Ett säkert statligt ID-kort med e-legitimation (SOU 2019:14)

Remissvar Ett statligt identitetskort och en statlig e-legitimation (SOU 2019:14)

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Kommittédirektiv. Åtgärder för att minska bedrägeribrottsligheten skärpta krav och rutiner för svenska identitetshandlingar. Dir.

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Promemorian Genomförande av det omarbetade explosivvarudirektivet Ju2015/05400/L4

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

BILAGA. till förslaget. till Europaparlamentets och rådets förordning

Skälen för Socialstyrelsens ställningstagande

SKV 720 utgåva 5. Identitetskort för folkbokförda i Sverige

Anpassning av tekniska harmoniseringsdirektiv till Europaparlamentets och rådets beslut 768/2008/EG

Yttrande över systemet PLIS

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Vissa frågor om identitetskort för folkbokförda i Sverige

Identitetskort för folkbokförda i Sverige

Inbjudan att söka medel från anslag 2:4 Krisberedskap för 2018

Ökade möjligheter att resa inom EU med nationellt identitetskort

I samband med ovanstående ändring av MSBFS 2010:4 föreslås även redaktionella ändringar av denna föreskrift vilka uteslutande handlar om

Stockholm den 22 augusti 2019

viseringsinnehavare röra sig fritt i Schengenområdet under de tre första månaderna av D- viseringens giltighetstid.

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Ni inbjuds att senast den 28 mars lämna synpunkter på förslag till föreskrifter och tillhörande konsekvensutredning.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Sammanställning av höga flöden i landet vecka 9, 2018

1 Bakgrund. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Våld i nära relationer en folkhälsofråga SOU 2014:49

Rikspolisstyrelsens föreskrifter och allmänna råd (RPSFS 2000:59) om europeiskt skjutvapenpass m.m.

(2006/C 313/13) med beaktande av fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 286,

1 Bakgrund. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

REMISSVAR. Sammanfattning. Övergripande synpunkter. Myndigheten för samhällsskydd och beredskap

Id-kort för folkbokförda i Sverige

Remissvar Remiss nya regler om faderskap och föräldraskap, Dnr Ju2018/04106/L2 (SOU:68)

Möjlighet att leva som andra Ny lag om stöd och service till vissa personer med funktionsnedsättning (SOU 2008:77)

Sammanfattning. Myndigheten för samhällsskydd och beredskap REMISSVAR 1 (7) Datum

ÄNDRINGSFÖRSLAG från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

Tillsyn och kontroll av åtagandena enligt alarmeringsavtalet mellan svenska staten och SOS Alarm Sverige AB

Lag. RIKSDAGENS SVAR 42/2013 rd

Infrastruktur med möjligheter

Justitiedepartementet Stockholm

Regeringens proposition 2008/09:132

Sammanställning av höga flöden i landet vecka 10, 2015

Tillitsregler för Valfrihetssystem 2018 E-legitimering

RP 234/2008 rd. Fingeravtryck av den som ansöker om

Myndigheten för samhällsskydd och beredskap

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Hemställan om underlag till Regeringsuppdrag

Så stärker vi den personliga integriteten (SOU 2017:52)

Åtgärder mot missbruk av svenska pass

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

REGISTRERINGSANVISNING

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Myndigheten för samhällsskydd och beredskaps författningssamling

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Yttrande över betänkandet Nya regler om faderskap och föräldraskap (SOU 2018:68)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

DATASKYDDSBESKRIVNING

Klassificering av MSB:s utbildningar inom EQF/NQF

Den fysiska id-handlingen problem och möjligheter E-legitimationsdagen, 1 februari 2018

Sedd, hörd och respekterad ett ändamålsenligt klagomålssystem i hälso- och sjukvården (SOU 2015:14)

Remissvar avseende Framtidens biobanker (SOU 2018:4), dnr S2018/00641/FS

Svensk författningssamling

Regeringskansliet Faktapromemoria 2016/17:FPM53. Meddelande om handlingsplan för att stärka arbetet mot bedrägeri med resehandlingar

Svensk författningssamling

Myndighetsdatalag (SOU 2015:39)

Utdrag ur protokoll vid sammanträde Internationell rättslig hjälp i brottmål

Snabbare lagföring (Ds 2018:9)

Skapa tilltro Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen (SOU 2015:46)

Förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlänningsoch medborgarskapslagstiftningen

Stockholm den 8 augusti 2014

Synpunkter på delbetänkande av SOU 2016:28, Vägen till självkörande fordon - försöksverksamhet

Ds 2018:37 Genomförande av student- och forskardirektivet

Myndigheten för samhällsskydd och beredskaps författningssamling

Betänkandet (SOU 2014:19) Yrkeskvalifikationsdirektivet ett samlat genomförande

Tillfällig fortsatt giltighet för körkort utfärdade i Förenade kungariket efter ett avtalslöst utträde ur EU

Riksarkivets nationella överblick över arkivfrågorna och arkivverksamheten i landet enskilda arkiv

INTEGRITETSPOLICY ID06

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Telias policy för utfärdande av företagskort med e-legitimation

Förslag till beslut. 1. Trafiknämnden beslutar att som svar på remissen överlämna kontorets tjänsteutlåtande till Transportstyrelsen

Socialstyrelsens yttrande angående Nya påföljder

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar om departementspromemorian En anpassning av bestämmelser om kontroll i livsmedelskedjan till EU:s nya kontrollförordning

Till Justitiedepartementet

REGISTRERINGS- ANVISNING 1 (10) Befolkningsregistercentralen Digitala tjänster. Registreringsanvisning

Justitiedepartementet Stockholm

20 Utbildning av förare som transporterar farligt gods

Yttrande över promemorian Konkurrensskadelag (Ds 2015:50) (N2015/04860/KSR)

Remiss: Promemoria om nya bestämmelser om Tullverkets säkerställande av skyddet för immateriella rättigheter

FOI rekommenderar inte outsourcad IT-drift och förvaltning.

Biometri i svenska pass

Transkript:

samhällsskydd och beredskap REMISSVAR 1 (6) Avdelning för cybersäkerhet och säker kommunikation Enheten för cyberfysiska system Gustav Söderlind 010-240 42 57 gustav.soderlind@msb.se Ert datum 2019-04-26 Regeringskansliet Justitiedepartementet 103 33 Stockholm Er referens Ju2019/01281/L4 Betänkandet SOU 2019:14 Ett säkert statligt ID-kort med e-legitimation Sammanfattning samhällsskydd och beredskap (MSB) ser överlag positivt på utredningens förslag om ett statligt id-kort med e-legitimation. MSB anser att det är nödvändigt med en inskränkning i antalet accepterade id-kort, och att det införs ett säkert id-kort på hög tillitsnivå. MSB menar att det kan finnas ett mervärde i att begränsa giltighetstiden för id-kortet med funktion som resehandling till 3 år för sökanden som ännu inte fyllt 12 år. Då är giltighetstiden mellan pass och id-kort harmoniserad. Den ansöknings- och utlämnandeprocess som utredningen föreslår anser MSB är bra. Myndigheten vill dock flagga för möjligheter till så kallade morphingattacker 1 när det ges möjlighet till att söka id-kort via bud. Därför betonar MSB vikten av att ansökan via bud ska tillämpas restriktivt. I utredningen saknas tydliga tekniska specifikationer för det framtida kortet, förutom att det ska nå upp till högsta tillitsnivå. MSB har därför inte möjlighet att uttala sig om utredningens tankar kring informationssäkerheten i det framtida id-kortet med e-legitimation, till exempel gällande användandet av ett lagrings-chip. MSB önskar att vara samverkanspart i säkerhetsfrågor vid den framtida planeringen för framtagande och utfärdande av statligt id-kort med e- legitimation. 1 En morphingattack är när fotografier på två olika personer fusioneras ihop till en bild, och att fotografiet därmed har fysiska karaktärsdrag kännetecknande båda personerna. Med en sådan bild på ett id-kort ökar risken för att två personer kan använda samma id-kort då även automatiserad ansiktsigenkänning riskerar att bekräfta ansiktsdrag hos båda personerna. MSB samhällsskydd och beredskap Postadress: 651 81 Karlstad Besöksadress: Stockholm: Fleminggatan 14 Karlstad: Packhusallén 2 Sandö: Sandövägen 7 Revinge: Revingeby Telefon: 0771-240 240 Fax: 010-240 56 00 registrator@msb.se www.msb.se Org nr. 202100-5984

samhällsskydd och beredskap REMISSVAR 2 (6) Vidare efterfrågar MSB ett tydliggörande om vad utredningen menar med att ett id-kort är trasigt. Vad är trasigt nog för att ligga till grund för en återkallelse eller ett nekande av användande? MSB vill lyfta fram vikten av att det register som, via direktåtkomst, ska kunna ge information om kortets giltighet och eventuell spärrning, måste hålla en hög nivå av riktighet och tillgänglighet för förlitande parter av tjänsten. MSB lämnar slutligen förslag på tre ändringar i lag om statliga identitetshandlingar samt i förslag till förordning om statliga identitetshandlingar. Giltighetstid stycke 10.2.5 I betänkandet föreslås att giltighetstiden för det statliga id-kortet ska begränsas till 5 år. En begränsning som MSB i stort anser är bra. Däremot menar MSB att det kan finnas ett värde i att giltighetstiden för id-kort, speciellt för ett id-kort med funktion som resehandling, harmoniseras med nuvarande passlagstiftning. Passet har en generell giltighetstid på fem år, men för sökanden som inte fyllt tolv år är giltighetstiden förkortad till 3 år, vilket skulle kunna vara tillämpbart för id-kortet också då stora förändringar i utseende kan ske i tidig ålder. Personlig inställelse stycke 10.2.7 MSB vill lyfta risken för så kallade morphingattacker vid ansökan med bud. En morphingattack kan möjliggöra att två olika personer kan använda ett och samma id-kort. Vid en automatiserad ansiktsigenkänning av ett id-kort med en morphad bild finns risken att programvaran accepterar båda de personer vilkas ursprungliga foton slagits samman till ett. Därför betonar MSB utredningens skrivelse om att undantaget att kunna ansöka om id-kort med bud ska tillämpas restriktivt. Ett säkert ansökningsförfarande stycke 10.2.8 MSB instämmer i att körkortet inte är en säker id-handling, och att en av de styrkor det nya id-kortet kommer att ha är ett säkrare ansökningsförfarande. Därför menar MSB att det är av vikt att de id-kort som utfärdas med körkortet som grund, under den angivna utfasningsperioden, ändå måste nå en hög säkerhet gällande den sökandes identitet. När en sökande har fått ut sitt första statliga id-kort anses bakgrundskontrollen (ursprungsidentifieringen) vara säkrare än tidigare. Även för den nya statliga e-legitimationen är det i utfärdandeprocessen som de största svagheterna finns eftersom ansökan sker med stöd av en fysisk id-handling. Det ger att säkerheten i utförandeprocessen av den statliga e-legitimationen inte blir starkare än den fysiska id-handlingen som ligger bakom ansökan.

samhällsskydd och beredskap REMISSVAR 3 (6) Säkerhet i utformandet av id-kort med e-legitimation stycke 12.3 och 12.8 I betänkandet saknas tydlig specificering om hur högsta tillitsnivån enligt lag (20xx:xx) om infrastruktur för elektronisk identifiering ska uppnås. MSB förstår att det är en följd av att tillitsnivåer är föremål för snabb utveckling i sig och att de måste följa, och anpassas till, rådande standard på området. MSB har dock därmed svårt att kommentera betänkandet gällande säkerheten i kortets tekniska utformning och innehåll. MSB efterlyser att författningsmässigt reglera hur förändring av kraven för olika tillitsnivåer skall gå till. MSB ser positivt på den analys som Polismyndigheten rekommenderas att genomföra för hur användandet av e-legitimationen kan förenklas och därmed möjliggöra en bredare spridning. MSB önskar att vara samverkanspart i frågor kring säkerhetsfrågor vid den framtida planeringen för framtagande och utfärdande av statligt id-kort med e- legitimation. E-legitimation på id-kortet stycke 12.4 I utredningen framgår det att e-legitimationen måste vara fysiskt eller logiskt separerad från den ansiktsbild och det fingeravtryck som finns sparat på kortets lagringsmedium. MSB antar att avsikten är att göra som i nuvarande nationella ID-kort där det finns ett kontaktlöst chip med bl.a. biometrisk information (fotografi), och ett separat kontaktchip som är förberett för e- legitimation. MSB saknar en beskrivning av den tekniska utformningen och dess säkerhet för det fall om e-legitimationen, den lagrade ansiktsbilden och fingeravtrycket ska vara på ett och samma lagringsmedium/chip? Återkallelse id-kort stycke 10.2.10 I utredningen anges att ett id-kort kan återkallas av olika anledningar, bland annat om det är trasigt. MSB efterfrågar ett tydliggörande kring vad utredningen menar med trasigt, och om det är möjligt att skilja på omständigheter när kortet kan, och när kortet ska, återkallas. Ett id-kort kan i sin fysiska form vara helt, men att till exempel det chip som kortet har inte går att läsa av (vilket därmed innebär att det inte går att komma åt det sparade fingeravtrycket eller ansiktsbilden). Att använda sig av ett id- -kort med trasigt chip kan vara fördelaktigt för att förhindra kontroll mot data som finns lagrad på det. MSB menar att det behövs ett tydliggörande om vilka funktioner på kortet som måste fungera för att id-kortet ska godkännas och anses vara en säker id-handling. För exempelvis pass är dessa under nuvarande

samhällsskydd och beredskap REMISSVAR 4 (6) EU regler giltiga även om chippet inte är kontaktbart så länge passet i övrigt är helt. Behandling av personuppgifter i id-kortsverksamheten stycke 10.3.1 MSB vill betona vikten av att det register som ska möjliggöra för direktåtkomst gällande uppgift om giltigheten av ett statligt identitetskort och en statlig e-legitimation (lag om statliga identitetshandlingar 6 kap. 11 ) måste uppnå en hög nivå av riktighet och tillgänglighet för förlitande parter som har behov av att kontrollera kortets giltighet, exempelvis vid postutlämning. En möjlighet att förenkla och sprida användandet av id-kortet vore om en tjänst (exempelvis en app) för kontroll av kortets elektroniska innehåll kunde tillhandahållas. En avläsning av kortets lagringsmedium skulle även möjliggöra en validering mot lämpligt register och rotcertifikat. En sådan tjänst skulle även förbättra direkttillgången för handeln gällande kortets giltighetstid och eventuell spärrning. Förslag till ändring i lag om statliga identitetshandlingar stycke 1.1 MSB anser att den föreslagna formuleringen i lag om statliga identitetshandlingar 3 kapitlet 11, 12, 13, samt i 6 kapitlet 10 om att den utfärdande myndigheten får kontrollera fingeravtryck och ansiktsbild med tidigare id-handlingar som innehåller denna information bör justeras till bör. MSB anser vidare att den föreslagna formuleringen i lag om statliga identitetshandlingar 5 kapitlet 2 utan att det påverkar giltigheten av identitetskortet ska e-legitimationen återkallas om det är nödvändigt av säkerhetsskäl bör få tillägget eller på innehavarens begäran. Vidare efterfrågar MSB om den spärrning av e-legitimationen som användarna kan göra även kommer ge möjlighet att tillfälligt eller temporärt spärra funktionen. Förslag till ändring i förordning om statliga identitetshandlingar stycke 1.2 Slutligen menar MSB att det behövs ett tillägg i 25 punkt 6 förslag till förordning om statliga identitetshandlingar. Paragraf 25 radar upp vad registret över statliga id-handlingar ska innehålla MSB anser att punkt sex som tydliggör att registret ska innehålla den information som finns i den e-legitimation som finns i lagringsmediet på identitetskortet bör få tillägget dock ej den information som utgör material för den kryptografiska nyckeln.

samhällsskydd och beredskap REMISSVAR 5 (6) Allmänna reflektioner Den 4 april 2019 godkände EU parlamentet nya säkerhetsstandarder för de ca 250 olika ID- och uppehållstillståndskort som finns i EU idag. Denna säkerhetsstandard kommer då följa FN-organet ICAO:s (Internationella civila luftfartsorganisationen) minimikrav för säkerhet. Den 6 juni godkändes denna standard även av Europeiska unionens råd. ID-kort som följer denna standard kommer då även inneha kontaktlöst chip med biometriska identifierare 2. Chipet möjliggör en digital kontroll av ID-kortet med mycket hög säkerhet, och kan enkelt och automatiskt genomföras, exempelvis med hjälp av en vanlig mobiltelefon med NFC-teknik och lämplig applikation. Maskinell kontroll av denna viktiga säkerhetsfunktion (kontaktlösa chippet) bör uppmuntras, och underlättas, exempelvis genom att Polisen ansvarar för en applikation för detta. Säkerheten i kontrollen utgår från innehållet i den maskinläsbara zonen som enligt den nya EU-standarden skall ingå på ID-korten och som utgör en nyckel att maskinellt läsa den elektroniska informationen i kortet, och sålunda bekräftar att man har fysisk tillgång till kortet som kontrolleras. Då giltigheten av ID-kort kontrolleras mot utfärdaren (eller i vissa fall tillverkaren av kortet) så har detta utgjort ett hinder för en säker kontroll av om kortet är rapporterat tappat/spärrat. En minskning av antalet utfärdare av IDkort minskar antalet källor mot vilka en giltighetskontroll genomförs. Likaså förenklas kontrollen betydligt av det statliga ID-kortet genom att kontrollen kan automatiseras genom direktåtkomst vilket MSB framhåller som något mycket positivt. Ett exempel på hur detta kan genomföras är Polisens webbtjänst för online-kontroll av giltighet för pass och nationellt id-kort. Tidigare krävdes telefonsamtal till 114 14 för att kontrollera giltigheten. Att även tillhandahålla tjänsten på ett automatiserat sätt (t.ex. genom ett API) skulle ytterligare underlätta giltighetskontroll. ICAO genomför ett projekt benämnt Digital Travel Credentials, där man utforskar möjligheten att resa mellan länder med passinformationen tillgänglig på exempelvis mobiltelefon eller i en molntjänst. Basen är den information som finns i det kontaktlösa chippet. Det är möjligt att framtida ID-kort till del kommer att vara digitala/virtuella, och en analys bör göras av om detta är önskvärt och i så fall hur samhället kan göra denna utveckling så säker som möjligt. 2 I nuläget innehar det svenska passet (samt alla EU-länders och ett stort antal andra länders pass) samt det nationella ID-kortet utfärdat av Polisen, det kontaktlösa chippet. Även Migrationsverkets uppehållstillståndskort (UT-kort) innehåller kontaktlöst chip.

samhällsskydd och beredskap REMISSVAR 6 (6) -------------------------------------- I detta ärende har generaldirektör Dan Eliasson beslutat. Gustav Söderlind har varit föredragande. I den slutliga handläggningen har också avdelningschefen Åke Holmgren, enhetscheferna Linda Ericson och Lars-Göran Emanuelson samt handläggare Emilie Didrick deltagit. Dan Eliasson Gustav Söderlind

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss