Blogg

Fem säkerhetstips för Mobilt BankID och annan e-legitimation

Säkerhetstips för e-legitimation Mobilt BankID e-signering

Allt fler svenskar har idag en e-legitimation. År 2014 fanns det 6,5 miljoner utfärdade e-legitimationer, och antalet transaktioner med BankID uppskattades till närmare 1 miljard.  Eftersom du kan använda din e-legitimation på allt fler ställen blir det desto viktigare att hålla den säker.

Fem tips för att hålla din e-legitimation säker

  1. Unik kod – Använd en unik säkerhetskod, och byt den regelbundet.
  2. Skydda din kod – Se till att skydda din kod när du slår in den.  
  3. Uppdaterat virusskydd – Ha ett uppdaterat virusskydd på din dator och mobil.
  4. Spärra vid stöld – Spärra din e-legitimation direkt om du blivit av med din mobil/surfplatta/dator. Det gör du på samma ställe som e-legitimationen utfärdades från.
  5. Identitetsstöld – Misstänker du att du blivit utsatt för identitetsstöld? Polisanmäl alltid identitetskapning! 

Tänk även på att inte lägga upp fotografier av körkort eller ID-handlingar på nätet, och kom ihåg att även streckkoden och datamatrisen innehåller ditt personnummer.

Du kan se över vilka BankID som finns utfärdade i ditt namn genom att logga in på din bank, och gå in och spärra de som du inte längre använder. Spärrade e-legitimationer slutar omedelbart att fungera i hela e-legitimationsinfrastrukturen.

Vad gör e-legitimationer säkrare än fysiska ID-handlingar?

En stor fördel med e-legitimationer är att de kan spärras på ett sätt som omedelbart slår igenom i alla e-tjänster, inklusive Egree. När du legitimerar dig med din fysiska legitimation, exempelvis ett körkort i en butik, görs inte alltid en extern kontroll av legitimationens giltighet. Det gör att en stulen legitimation kan användas vid upprepade tillfällen i ditt namn, eftersom den som kontrollerar legitimationen litar på uppgifterna som står på kortet.

Med e-legitimation kontrolleras dess giltighet varje enskild gång en identifiering eller undertecknande görs. Det gör att Egree kan säkerställa att varje undertecknande görs med en giltig e-legitimation.

Fritt fram att e-signera betyg

Vad går att e-signera? Svaret har länge varit detsamma: nästan allt.
Inom juridiken talar man ofta om huvudregler, och huvudregeln är att e-signerade avtal är bindande och att allt går att e-signera.

Det är först när särskilda lagregler ställer upp formkrav som man måste kontrollera att elektroniska signaturer går att använda för just det ändamålet. Det är få avtal och rättshandlingar som har formkrav, och regleringen kring de flesta av dessa har på senare tid ändrats för att öppna upp för e-signaturer.

Inom vuxenutbildningen fanns tidigare regler med krav på traditionella underskrifter av betygskataloger. Föreskriften har nu anpassats för att tillåta elektroniska signaturer av graden avancerad.

5 §
Betygskatalogen ska föras löpande. Betygskatalogen får föras på papper eller elektroniskt.

7 §
Den eller de som beslutar om ett betyg ska datera uppgiften i betygskatalogen och förse uppgiften med egenhändig signatur. Förs betygskatalogen elektroniskt får uppgiften i stället signeras med en sådan avancerad elektronisk signatur som avses i 2 § lagen (2000:832) om kvalificerade elektroniska signaturer.

Ur Skolverkets författningssamling. SKOLFS 2012:8 om betygskatalog för vuxenutbildning (inklusive förändringar fram till SKOLFS 2014:22).

E-signerade dokument genom Egree utgör avancerade signaturer i lagens mening.

Rent praktiskt kan det gå till så att så att läraren besöker

  1. en PDF-blankett som ligger i Egrees system,
  2. fyller i betyg för varje elev, och
  3. slutligen undertecknar alla betyg i ett steg med sin e-legitimation (ex. Mobilt BankID, BankID på fil eller med Telia e-leg).

Läraren kan även underteckna med SMS-underskrift eller pekskärmsunderskrift på en smartphone eller surfplatta. Använder sig läraren av e-legitimation säkerställs identiteten genom legitimationen. Oavsett vilken metod som används uppfylls kraven på e-underskrift i lagens mening.

IIS vägleder om användaravtal på nätet

Stiftelsen .SE (IIS) släpper kontinuerligt rapporter i sin serie Internetguider, och den senaste i raden är extra intressant för oss som är intresserade av avtal och avtalssignering.

Guiden tar sikte på användarvillkor på olika sajter på nätet, exempelvis sociala medier och e-handelsidor.

På många sidor kan man godkänna villkor genom att klicka i en ruta. Det här sättet att “underteckna” brukar benämnas clickwrap, och kan lämpa sig för att godkänna standardavtal för exempelvis köp– och leveransvillkor inom e-handeln när affärsrisken är liten. Det passar mindre bra för personliga avtal eller där avtalsvillkoren på något sätt är oväntade eller betungande för någon part.

Egree erbjuder säkrare metoder för att godkänna avtal. Våra metoder lämpar sig väl för exempelvis anställningsavtal, autogiromedgivanden, fullmakter och andra viktiga avtal. Vi låter den som skickar avtalet

  • säkerställa identiteten på den som undertecknar,
  • fastställa exakt vad som undertecknas vid varje signatur (avtalsvillkor kan förändras över tid), och
  • ger alla parter ett bättre bevisläge än vid enkla klickunderskrifter eller traditionella pappersavtal.

Vi uppskattar att IIS tar upp ämnet i sin ansats att utbilda om Internet inom en rad intressanta ämnen.

Not vulnerable to MS14-066

Last night, Microsoft released a security update addressing a critical vulnerability in Microsoft Secure Channel, which is used to secure traffic between servers. Egree servers were patched overnight and are not vulnerable to the exploit.

The vulnerability had been privately reported, meaning security researchers has identified the issue and the reported it to Microsoft without making it available to the public. This means that there is little risk that the vulnerability has been exploited prior to the released patch, and an audit of our logs reveals no suspicious activity.

https://technet.microsoft.com/library/security/MS14-066

Jonas berättar om Egree

Vår alldeles egne Jonas Bohlin berättar om hur Egree kom till och om vårt mål att vara den ledande e-signeringsleverantören i Norden i en intervju med David Bushby på Law Hackers.

Law Hackers är en katalog över företag och initiativ inom LegalTech-sektorn. Läs mer på LawHackers.co

Domstolarna: Fritt fram att e-signera!

Det finns inte så många rättsfall där lagligheten av e-signaturer prövats, eftersom det ofta direkt står klart att elektroniska signaturer är precis lika giltiga och bindande som traditionella signaturer. Detta beror på att det sällan finns krav på hur avtal ska ingås, eller formkrav på andra rättshandlingar som hindrar e-signaturer.

Under sommaren och hösten har förvaltningsdomstolarna kommit med två avgöranden. Kammarrätten i Göteborg avgjorde förra veckan ett mål som bekräftar att e-signaturer är juridiskt gångbara inom e-förvaltning. Bakgrunden är ett beslut från Kommunstyrelsens arbetsutskott i Kungsbacka kommun som överklagades till förvaltningsrätten i somras. Beslutet hade justerats med e-signaturer och det ifrågasattes av en medborgare om e-signaturen kunde ersätta en traditionell signatur med bläckpenna.

Förvaltningsrätten gjorde en laglighetsprövning enligt kommunallagen och fann att besluten justerats i laga ordning, och att det inte fanns några hinder mot e-signering. Domen överklagades i sin tur till Kammarrätten som delade underrättens mening och avslog överklagandet.
Sveriges domstolar
Förvaltningsrätten i Göteborgs mål 11534-13 (den 26 maj 2014) och Kammarrätten i Göteborgs mål 3459-14 (den 24 september 2014).

Fast i en trött IT-miljö?

Åtgärden har avbrutits på grund av begränsningar i datorn. Kontakta systemadministratören.

Känner du igen dig?

När Digitaliseringskommissionen summerade sitt arbete efter halva sitt uppdrag, tryckte de särskilt på vikten av en god digital arbetsmiljö.

En fråga som är högaktuell för majoriteten av svenskar är den digitala arbetsmiljön. Här finns användbarhets- och tillgänglighetsaspekter, och frågan om effektiv användning av offentliga medel. Den som huvudsakligen stött på IT i form av dåligt fungerande system på jobbet blir sällan en entusiastisk it-användare på fritiden.

Vi på Egree har byggt en tjänst som fungerar oavsett vilken IT-miljö personen som ska underteckna ett avtal sitter i.

Egree fungerar på en jobb-PC som andas stenålder, en trött Mac från 90-talet eller en mobil som inte tillhör de 3 mest sålda.

Med en responsiv webb behöver man inte installera några plugins eller tilläggsprogram för att underteckna, vilket ofta kan vara ett problem i miljöer där säkerhet prioriteras högt, eller där IT inte prioriteras alls. Tunna klienter? Det mobila kontoret med en iPad Mini Retina? Egree funkar!

Snabba domstolar men falsk namnteckning

Domstolarna jobbade verkligen snabbt, men skadan var redan skedd. Företaget hade försatts i konkurs.

När det stod klart att det inte var företagsledaren som skrivit under pappersansökan undanröjde Göta Hovrätt konkursbeslutet från tingsrätten. Konsekvenserna av en felaktig konkurs blir väldigt stora och företaget får nu arbeta hårt med att återupprätta sitt goda rykte.

Visst skulle det kännas tryggare med underskrifter där identiteten hos den som skriver under kan säkras?

Är det din underskrift?

SVT Uppdrag Granskning Avsnitt 1 20140728

– Det är väl din underskrift?

– Ja, men jag har inte skrivit den.

SVTs Uppdrag Granskning har granskat turerna kring den så kallade Sekab-affären. Något som fångade vårt intresse var den rapport som Uppdrag Granskning berättade om 32 minuter in i avsnittet.

Konsultbolaget som hade tagit fram rapporten undertecknade den för hand. När rapporten sedan lades fram i en förändrad version, med bortplockade sidor och ändrade formuleringar, fanns namnteckningen kvar.

Det framgick inte att rapporten var förändrad och vad namnteckningen i det här fallet egentligen intygade blev oklart.

Vi på Egree jobbar med e-signaturer. Vår lösning har fördelen att hela dokumentet som undertecknas, oavsett om det är ett avtal eller en rapport, förses med ett digitalt fingeravtryck. På så sätt kan man alla som tar del av dokumentet verifiera det och upptäcka minsta lilla förändring. Egree intygar som tredje part integriteten av undertecknandet och dokumentet.

Avsnittet finns tillgängligt på SVT Play fram till januari 2015.