Redan 1993 så myntade Peter Steiner uttrycket: ”On the internet, nobody knows you’re a dog”. Då hade vi inte så säkra metoder för att identifiera oss så det var lätt att lura andra vem man egentligen var. Nu har vi många säkra identifieringstjänster men trots det så kan man lura andra. Kanske är det till och med enklare att ta över någon annans identitet idag?
Vi lever i ett samhälle som blir allt mer digitalt. Vi ställer stora krav på att tjänster ska göra allt enklare för oss. Vi vill inte stå i bankkön längre och vi vill heller inte köa sista kvällen för att lämna in vår deklaration. Så vårt samhälle digitaliseras allt mer. Detta kräver i sin tur att vi måste kunna identifiera oss och visa att vi verkligen är den vi påstår oss vara. Men kan vi vara säkra på det?
Vissa tjänster har höga krav på registrering och sedan identifiering medan andra inte kräver mer än ett namn och lösenord. Det är fullt möjligt att registrera sig på vissa tjänster med ett falskt namn. Genom ett sådant konto kan du sedan påverka andra.
Du som användare måste vara uppmärksam. Är den du interagerar med verkligen en fysisk person? Alltså en person som verkligen existerar, eller är hen bara påhittad?
Lika viktigt är det för olika tjänster att kunna säkerställa att den person som försöker logga in verkligen är den som hen utger sig för att vara. För i registret på tjänsten finns en digital identitet, alltså ett konto som representerar en fysisk person. Denna identitet måste tjänsten på ett korrekt och säkert sätt verifiera.
I Sverige har vi flera sätt att verifiera en identitet elektroniskt. Det mest kända är BankID. Dessutom har vi Freja eID. Med hjälp av Freja eID och BankID så kan vi på ett säkert sätt identifiera oss och det är bara vi själva som kommer åt de uppgifter och tjänster som är kopplade till vår identitet.
Tyvärr så finns det begränsningar i tjänsterna. För att t ex erhålla ett BankID så måste du ha ett bankkonto. Båda kräver ett personnummer eller samordningsnummer. Därmed kan inte alla identifiera sig mot t ex vissa myndighetstjänster. Elektroniska identitetshandlingar har tagits fram för att vårt samhälle blir allt mer digitaliserat. Vissa tjänster är bara tillgängliga digitalt. Personer som inte kan eller vill ha ett elektroniskt id stängs ute.
För de som har ett eID finns andra utmaningar...
Den kanske vanligaste utmaningen med e-legitimering och digitala identiteter är identitetsstöld. Identitetsstöld är när någon obehörig använder din e-legitimation för att exempelvis beställa varor eller ansöka om lån i ditt namn. Något av det vanligaste är att bedragaren utger sig för att ringa från en myndighet eller bank för att försöka få kontroll över offrets e-legitimation.
En bedragare kan ha många olika syften och de kan vara svåra att upptäcka. Om de ringer upp dig och ber dig att legitimera dig med din e-legitimation så är det enkelt. Då är det en bedragare. Men om någon kontaktar dig via sociala medier, eller kanske svarar på en annons där du säljer din gamla cykel, hur vet du då att det inte är en bedragare?
På sociala medier finns ingen myndighet eller annan organisation som kan gå i god för en persons identitet. På sociala medier kan det vara vem som helst. De kan kalla sig vad som helst. Och de har ofta en e-postadress också.
Det bästa du kan göra för att skydda dig från bedrägerier är först och främst att ha ett generellt säkerhetstänk. Var misstänksam! Ringer någon upp dig och ber dig att legitimera dig med e-legitimation så ska varningsklockorna ringa. Blir du kontaktad av någon så kontrollera avsändaren. Finns avsändaren? Är det en korrekt avsändaradress? Är det verkligen din vän som mejlar om att du har en chans att vinna fem miljoner?
Var dessutom aktsam med dina e-legitimationer. Precis som med lösenord, lämna aldrig ut din e-legitimation till någon annan. Såklart! Installera aldrig din e-legitimation på en enhet som du själv inte äger. När du signerar någonting, kontrollera att det är korrekt. Är det verkligen något du beställt?
Mycket av detta kan anses vara självklart. Men tyvärr är det lätt att bli lurad. Du kanske är stressad eller på annat sätt ouppmärksam. Bygg upp en vana. Rutiner. Jämför det med om du går vilse. Då gäller minnesregeln STOP: Stanna, Tänk, Orientera dig och Planera. Detsamma gäller här.
Allting som dom säger
att jag sagt har inte jag
allting som dom sagt jag
gjort det gjorde inte jag
det är inte som dom säger
det är inte som dom tror
det går en man omkring i mina skor
Bo Kaspers orkester, Det går en man omkring i mina skor
Detta inlägg är det åttonde och sista i Knowits bloggserie om IAM. Du hittar tidigare inlägg här:
1: IAM – En förkortning med stor betydelse
2: Autentisering – Vem är du?
3: Auktorisation – Vad får du göra?
4: IGA – En viktig del av säkerhetsarbetet
5: PAM – Och maktens ringar
6: IAM – En hjälpande hand i GDPR-arbetet
7: Zero Trust & IAM
Per Ölmunger en av Knowit Cybersecurity & Laws experter inom IAM. Han är IAM-arkitekt och hjälper kunder med både det strukturella och strategiska arbetet inom IAM