Autentisering med elektronisk signatur

Autentisering med elektronisk signatur

Leverandører av løsninger for elektronisk signatur, økonomisystemer og plattformer for ehandel er stadig utsatt for angrep på deres sikkerhetsløsninger.

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Fokus på sikkerhet og autentisering av transaksjoner er derfor en forutsetning for sikker forretningsdrift. Med kunder som PWC, BDO og VISMA vet leder for utvikling i Maestro, Carl Haavard Pedersen, mye om utfordringene bransjen står ovenfor.

Elektronisk ID med sikkerhetsnivå 4

Hvordan brukes elektronisk signatur i deres løsninger?

- Vi driver med utvikling av programvare og har utviklet Signant-løsningen for å utveksle dokumenter med påført elektronisk signatur. Løsningen er integrert mot de norske leverandørene av elektronisk ID på sikkerhetsnivå 4, BankID og BuyPass. Dette er løsninger mange kjenner fra innlogging til banker og offentlige tjenester, sier Pedersen.

- Det vi har sett gjennom vår utviklingshistorie er at det er et behov for å kunne signere dokumenter mellom bedrifter. Vi har en del revisorer og regnskapsførere som kunder. Disse innhenter blant annet signaturer fra styremedlemmer på offentlige regnskap. Dette er noe som tidligere er blitt gjort gjennom å sende en PDF som må skrives ut før den kan signeres, skannes og sendes tilbake. Dette gjør bedrifter i dag i stort omfang, sier Pedersen.

- Frem til i dag har det ikke vært noen teknisk løsning på markedet som gjør det mulig å bruke avansert elektronisk signaturer med BankID eller BuyPass i vanlige PDF-dokumenter. ISO-formatet har vært der lenge og ble utviklet av ETSI og Adobe i 2009 som gjør at PDF kan inneholde sin egen avanserte elektroniske signatur. Da er dokumentet selvbærende slik at det kan valideres i en vanlige Adobe PDF-leser, sier Pedersen.

- Vår løsning gjør det mulig å kan innhente elektronisk signatur ved at dokumentet legges på en online-tjeneste hvor de som skal signere logger seg på ogs signerer med BankID eller BuyPass. Du slipper å sende det, skrive det ut, skanne det og signerer det med kulepenn, sier Pedersen.

- Etterpå kan begge parter få sin egen kopi som kan lagres lokalt, i en skytjeneste eller hvor man måtte ønske det. Slik får begge parter sin egen kopi av den signerte avtalen. Prøver man å gjøre endringer så vil det fremgå at dokumentet ikke er gyldig. Det er derfor umulige å forfalske slike dokumenter, sier Pedersen.

Tanken er at dette skal kunne brukes mellom bedrifter og det offentlige. Formatet er styrken her. Du kan både se dokumentet og validere signaturene på din egen datamaskin.

Hvem er det som bruker slike tjenester i dag?

- Blant våre kunder har vi de store som KPMG, PWC og BDO som har mulighet til å utarbeide offentlige regnskap, resultat og balanserapporter for norsk aksjeselskaper, som kan signeres elektronisk. Det er lagt til rette for at deres kunder også skal kunne bruke denne elektroniske signaturen, sier Pedersen.

- Vi har avtale med blant annet Leaseplan som driver stort med leasing av biler. Det er rundt 3 millioner norske kunder som har BankID så dette er ikke forbeholdt business-to-business men har også anvendelsesområder i business-to-consumer markedet. Det kommer en løsning for et firma som driver med utleie av båter. Om du ønsker å leie båt i ferien kan du signere en slik leiekontrakt med vår løsning. Tjenesten er godt integrert mot regnskapsbyråer og nå skal vi prøve å få dette ut på markedet for alle typer bedrifter, sier Pedersen.

I lys av skandalen ved OpenSSL hvordan sikrer man seg mot hull i tredjepartsløninger?

- BankID og BuyPass er sikre, de bruker ikke den sårbare OpenSSL-varianten og har derfor ikke noe problem med Heartbleed. Dette er to-faktorsystemer slik at dette ikke er noe problem. I det øyeblikket du har et dokument som er elektronisk signert er man ikke avhengig av noe flere parter. Da ligger signeringen kryptert i dokumentet, sier Pedersen.

Lovgivning og regulering av IT-sikkerhet

- Det finnes en esignaturlov som er en omskrivning av lovgivning i EU. Det norske lovverket må leses fint for å forstå hvordan du skal bruke elektroniske signatur. Den sterkeste formen for elektronisk signatur tilgjengelig i Norge er avansert elektronisk esignatur slik vi får med BankID og Buypass. Esignaturloven gir imidlertid hjemmel bare for såkalt kvalifisert elektronisk signatur, men rammeverket for dette er ikke på plass i Norge og kan ikke fremstilles, sier Pedersen.

- Esignaturloven burde kanskje endres slik at denne gir hjemmel til dagens avanserte elektroniske eignatur. På denne måten kan man forhindre at nye lover eller forskrifter, som baserer seg på bruk av elektronisk signatur etter esignaturloven, i praksis baserer seg på en definisjon av elektronisk signatur som ikke finnes, sier Pedersen.

- Vi har jo avtaleloven som gjør at man fritt kan velge hvilken signatur man ønsker å bruke. Spørsmålet blir hvor sterk ønsker du at signaturene skal være? Hvor sterkt ønsker du å beskytte deg mot forfalskninger. Derfor er elektronisk signatur sterkere enn signatur med kulepenn, sier Pedersen.

Videre ambisjoner

- Vi tror elektronisk signatur er på full fart inn. Signering med penn og papir vil bli gårsdagens teknologi på samme måte som faks. Etter hvert som snart alle har internett og BankID tror vi veldig på at elektronisk signatur vil få stor utbredelse fordi det gjør signaturprosessen mye raskere og sikrere. Vi ønsker å få større volum og vil også jobbe mot det offentlige gjennom å introdusere avansert elektronisk signatur innen offentlig forvaltning, avslutter Pedersen.

Til toppen