LØRN case C0364 -
LØRN. SME

Jon Ølnes

Produktsjef Norden

Signicat

eID

I denne episoden av #LØRN snakker Silvija med Produktsjef Norden i Signicat, Jon Ølnes, om elektronisk legitimasjonsbevis også kalt eID. Jon forteller om Signicat sitt arbeid med teknologi for elektronisk legitimasjon, og om hva slik innovasjon tilfører det å kunne dokumentere sin identitet. Silvija og Jon diskuterer også hvorfor det ikke er lagt mer til rette for digital signatur i dagens systemer.
LØRN case C0364 -
LØRN. SME

Jon Ølnes

Produktsjef Norden

Signicat

eID

I denne episoden av #LØRN snakker Silvija med Produktsjef Norden i Signicat, Jon Ølnes, om elektronisk legitimasjonsbevis også kalt eID. Jon forteller om Signicat sitt arbeid med teknologi for elektronisk legitimasjon, og om hva slik innovasjon tilfører det å kunne dokumentere sin identitet. Silvija og Jon diskuterer også hvorfor det ikke er lagt mer til rette for digital signatur i dagens systemer.
Facebook
Twitter
LinkedIn
Email

24 min

Choose your preferred format

SS: Hei og velkommen til Lørn. Mitt navn er Silvija Seres og tema i dag er i dag er cybertech. Gjesten min er Jon Ølnes som er produksjonssjef i Norden i Signicat. Velkommen.

: Takk.

SS: Vi har en lang og mørk fortid sammen.

: Ikke så mørk, men lang.

SS: Vi fant akkurat ut at du var min nesten første sjef. Det er 24 år siden i Norsk regnesentral. Vanskelig å påstå at jeg er 29 da.

: Du er vel 29. Neida, vi begynner å bli veteraner.

SS: Signicat er et selskap jeg har hørt om lenge og mye uten å vite godt nok hva dere holder på med. Men først, hvem er du?

JØ: Jeg kan heller ikke juge med unna alderen. Jeg begynner å bli veteran. Har vært på Norsk regnesentral og 20 år inn allmenn forskning informasjonssikkerhet og cybercheck. Etterhvert gått over til identitet, tillit, signaturer, infrastrukturer som kan skalere til globalt nivå. Altså løsninger som virkelig skalerer.

SS: Er det et eget tema vi burde hatt på ID?

: Ja. Identitet og signatur, ja, det klassifiserer som sikkerhet, men hvis du tar et sikkerhetsperspektiv på de tjenestene så bommer du.

SS: Det er et tillits perspektiv?

: Ja, det er et brukerperspektiv. Hva brukerne dine møter og møter måter de skal logge inn på. Skal de signerer noe så er de i en prosessflyt. Brukeropplevelsen må være best mulig. Identitet dreier seg om å slippe folk inn og ikke ute. Det er den motsatte virkningen av det du har med cyber check. På en annen side så er teknologien sikkerhetsteknologi. Det er mye krypto.

SS: Hvorfor er identitet viktig nå? Digital identitet.

JØ: Ja. Vi lever livet online. Vi har behov for å bevise hvem vi er og vi har behov for å kontrollere hvem vi er.

SS: At ikke noen andre kan ta min helsedata eller penger.

: Ja. Jeg pleier å si at din digitale identitet er summen av all digital informasjon om deg. Det er enorme informasjonsmengder, men alt det utgjør din identitet i cyberspace. Så kan du godt holde aspekter av de adskilt og det er ting som er der som du ikke ønsker skal bli offentlig og noe du ønsker skal være offentlig.

SS: Mye jeg ikke har tenkt gjennom.

: Noe er jug, og noen andre påstår om deg og noe er sant. Noen av informasjonen trenger du å bevise er riktig og noe er greit nok. Du kan påstå det og det spiller ikke så stor rolle om det er sant eller ikke. Så har du elektronisk identitet, E-ID. Svenskene kaller det e-legitimasjon, det er min måt eå bevise at det er meg.

SS: Når jeg skal ta ut penger, søker jobb og vise at det er min grad.

: Logge inn i en tjeneste.

SS: Det dreier seg ikke om å samle all informasjon om meg og lage en profil, men det dreier seg om å gi meg verktøy som er en slags digital nøkkel som viser at jeg er meg.

JØ: Ja, det er der vi kommer inn i Signicat. VI er heldig i Norge og Norden at vi har verdens beste infrastruktur i bunn på disse områdene. Vi har elektronisk identiteter fra bankene som dekker 90 prosent av befolkningen over 18 år i alle de nordiske landene og med god kvalitet. Men det vi har gjort tradisjonelt til nå er å integrere alle løsningene gjennom en API. Som tjenestetilbyder kan du få tilgang til autentisere folk i hele Norden gjennom en løsning og stadig økende hvilken land det dekker. Tilsvarende så kan du få signeringsløsninger når du trenger å signere en avtale, dokument eller hva som helst, så kan du få signeringsløsninger gjennom samme API. Vi integrere 25 løsninger fra europeiske land inne i den plattformen. Det er det vi tradisjonelt har drevet med, så kan vi fortelle etterpå hva vi gjør i tillegg.

SS: Hvorfor er det vanskelig å rulle det ut i hverdagen vår. Jeg måtte signere et dokument som ble sendt til meg i dag fra Sverige og sende dem tilbake fordi det hastet. At ikke jeg kan bruke en digital signatur løsning på gode skannede utgaver av det, men må holde på med DHL halve dagen. Hvorfor stoler vi ikke nok på digital signatur?

: Vi stoler på det, men det er ikke tilrettelagt. Kanskje er sikkerhetsbegrepet vektlagt for mye. vi skal ha en digital signatur og det må være sikkert, så blir det vanskelig istedenfor at vi sier at vi har en prosess vi skal gjennom og lage en enkelt signering mekanisme basert på f.eks bank ID. Det er ikke et problem å innarbeide det i et flyt, da skal du ikke ha skanne dokumenter og papirdokumenter i det hele tatt. Du skal signere de originale dokumenten med krypotgrafiske metoder. Selvfølgelig skal det ikke være synlig for brukeren, men ligge i bakkant og være sikkert nok.

SS: Kan du forklare oss hvordan fungerer det? Hvordan identifiserer jeg meg selv på en trygg på med de to nøklene og hvorfor snakker vi om kryptografi?

: Hvis du snakker åpne nettverk og sikkerhet så er krypto den eneste måten å beskytte informasjon. Kryptografi betyr at du gjør ting uleselig og sørger for at kun tiltenkte mottakere skal lese eller verifisere noe.

SS: Det er avanserte beregninger som må gjøres, men du må vite en del av den beregningen som er hemmelig for å kunne regne ut den opprinnelige informasjonen?

JØ: Ja, grovt sett. Du som er matematikeren. Det krever mye regnekraft, men det betyr ikke at regnekraften er et stort problem. For autentisering så består det av at du har en privat krypteringsnøkkel som du kan bruke til å kryptere noe med. Så har du en offentlig nøkkel som ligger i et sertifikat. I sertifikatet så ligger også navnet ditt, og det er utsendt av en tiltrådt part. Du kan verifisere med den offentlige nøkkelen, så kan du koble at det stemmer med navnet som står i sertifikatet, så er du innen. Det er et elektronisk legitimasjonsbevis.

SS: Det er det bankID og buypass gjør.

: Ja. Vi er velsignet med en god infrastruktur i Norge med bank ID og utbredelse, og andre aktører som bypass som er høykompetente og virkelig gode tjenester og produkter som kan bygges på.

SS: Hvordan er Signicat ulike?

JØ: Vi ligger et nivå opp: Vi interagerer løsninger. Signicat har 4 tjenesteområder. Det ene er asher som er identitetsfastsettelse når en bruker registreres første gangen. Dette er linken til fintech hvor våre viktigste kunder ligger. Banker, finansinstitusjoner, forsikringsselskaper, leasing, inkasso. Vi har mange kunder innenfor de områdene.

SS: De har behov for digitale signaturer.

: Ja, men de har først behov for å vite hvem kunden er. Det kan vi hjelpe dem med. Primært ved å bruke e-ID, hvis kan identifisere kunden med en bank ID og gi dem den informasjonen du trenger for å få innrullert den kunden. Det levere vi som en tjeneste.

SS: Hjelp meg å forstå det som en vanlig bruker. Når jeg for første gang skal ha en bankID må jeg gå til et postkontor for å bli identifisert?

: Det ordner bankID, vi bygger videre på det i Norge. Det er trinnet videre ved å bruke bankID til forskjellige formål.

SS: Da kobler dere bankID, buypass eller Commfides.

: Ja.

SS: Banken kan tilby meg valg av de ulike alternativene når jeg skal logge på. Det er viktig fordi?

: Du kan tenke deg det ser ut som ID porten for offentlig sektor. Du har en valgmulighet, også fordi vi kan dekke geografier bredere. Vi kan ha en løsning for hele Norden f.eks.

SS: Det brukes internasjonalt?

: Ja, vi er i 8 land og kommer til å ekspandere kraftig. Det ble offisielt i dag at vi har fått en ny eier. Nordic Capital har gått inn og kjøpt 65 prosent av selskapet, og skyter inn ytterligere kapital. Det er full giring. Summen har jeg ikke lov til å si noe om. Det er spennende. Vi har et selskap som har hatt 40 prosent organisk vekst i året siden vi startet i 2007 med pluss på bunnlinjen hele veien.

SS: Det betyr dobbelt hver halvannet år.

: Ja, vi er snart 120 ansatte. Hovedkontor i Trondheim, masse arbeid, men markedet har gått av seg selv uten drahjelp fra investorer fram til nå. Når vi får drahjelpen i tillegg kan det bli veldig spennende i Europa og andre steder.

SS: Det blir mer og mer viktig, men posisjoneringen deres når du sier be to be to see. Forklar.

: Vi selger til bedrifter som selger til kunder. Den jevne nordmann har aldri hørt om eller sett Signicat selv om de har sett oss. Hvis du logger på bank Norwegian så får du en påloggingsside hvor du skal logge på med bankID, den leverer vi. Det er bare bank Norwegian som synes. Vi er b Signicat to b bank Norwegian som er til customers som er bank Norwegians kunder. Tilsvarende leverer vi også App løsning til bank Norwegian, så vi leverer identiteten bak ned når du bruker appen for å logge på. Den er heller ikke synlig. Det er bevisst strategisk valg. Vi levere software as a service til våre kunder, og skal ikke nødvendigvis ha en merkevare ut sånn som bankID og buypass.

SS: Det blir mer viktig når vi etterhvert skal bruke tilsvarende digitalisering. Ikke bare på våre finansielle liv, men våre helse, utdanning og samarbeidsplattformer mellom leverandører.

: Identitet kommer inn overalt.

SS: Nå har du en jungel av ulike standarder. Både nasjonalt og internasjonalt. Jobber dere mot å rydde opp der?

: Ja. Vi jobber aktiv med europeisk standardiseringabreid og engasjerer med å rydde opp der. VI jobber også på andre arenaer for å få samkjørt ting. Vi merker når vi er i Europa at regelverket i land innenfor et land kan være forskjellig. I Norge på du ha en Bankid som er på høyeste sikkerhetsnivå for å bli kunde i en bank. I Sverige så holder det med svensk band ID som er et nivå ned, men fortsatt godt. Vi hadde en case med en kunde som ville ha nye kunder fra Sverige med svensk bankID, men det hadde vi ikke lov til i Norge. Svensk band ID er ikke godt nok i Norge, men i Sverige. Mange eksempler som sier det er fragmentert og litt jungel.

SS: Er det not invented here eller er det mangel på kunnskap som gjør at det blir store forskjeller?

JØ: Jeg tror det er det første i en del tilfeller. Man prioriterer sin løsninger, og beskytter sine nasjonale løsninger.

SS: Jeg vil gå inn i problemet med identitet internasjonalt. Man sier at det er ca. 1,5 milliarder i verden som ikke har noen formell identitet. Det ble ikke laget et personnummer, de fikk aldri et pass eller ID dokument. De er ikke skrevet inn noe sted, og det er et stort problem ift trafficking, men også deres evne til å begynne det voksne liv. Ingen finans tilgang eller helse tilgang osv. Jeg har hørt fra mange at det er vanskelig å løse og vi løser det ikke før alt er blockchain osv. Men det høres ut som det går an å løse det? Hva ville stegene vært?

: Det kommer an på hvem som skal løse og hvordan. Mange av de lever i land som ikke har infrastruktur og systemer på plass, men vi ser det er initiativer for å løse det. Verdensbanker har store intitiativer. Det er identitets programmer i Afrika som innrullerer befolkningen og gir dem identitet. Gjerne ved bruk av biometri som knytter deg som fysisk person over til et nummer som representerer deg digitalt.

SS: Nå er det gjennomførbart. Du kan kjøre en halv flyktningleir gjennom en identifisering på en dag. Tenk deg gaven du gir dem med at nå er det ingen som kan påstå at du ikke finnes.

JØ: I Norge har Røde Kors, Flyktninghjelpen, Redd barna og flere organisasjoner satt i gang et initiativ for nettopp med tanken på flyktningleirer og de aller svakeste som kommer uten identitetspapirer og noe som helst. De kan ikke bevise hva de heter, men bevise gjennom biometri hvem de er og er den samme personen neste gang de møter opp. Det er den viktigste informasjonen du har. Du kan gi dem et navn, om navnet er riktig eller ikke spiller kanskje ikke så stor rolle.

SS: Navnet er verdens enkleste ting å endre har blitt det som designate oss.

: Igjen hva er identiteten din?

SS: Ja, det kan man ha fine samtaler opp. Vi som jobber med personifisering i søkemotorer og digital informasjon har mange vektorer med hundrevis av punkter og dimensjoner.

JØ: Identitet er summen av all den digitale informasjonen om deg. Navnet er en bit av det, og alt det andre, hva kan du bruke det til?

SS: Dette bruker dere til KYC løsninger?

: Ja, og når brukerne er inne til autentisering senere, signering også kan vi oppbevare signerte dokumenter over tid. Knytta til det så driver vi med interessante ting som sikker tidsstempling og oppdateringer etterhvert som krypto blir for svakt. Vi legger ny beskyttelse utenpå og masse snacks for oss som er teknologisk interessert.

SS: Dette er en av områdene jeg får hodepine hvis jeg virkelig prøver å forstå. Hva synes du er spennende med Norge? Vi har snakket om at det er godt utarbeidet infrastruktur og identitet. Det er ikke mange land på vår størrelse som har 3 selskaper.

: Virkelig ikke. Folk er vant med å bruke bank ID eller bank ID mobil. Det er nesten like innarbeidet som tannbørsten. Det er en unik situasjon. Du har den i resten av Norden, men ikke mange andre steder. Vi har prøvd i Storbritannia i flere år og hatt kontor der, og det er et u-land. Vi identifiserer det med et pass og en kopi av en strømregning. Folkeregister, hæ? Identifiseringsnummer eller en unik identifikator som viser hvem du er, hæ?

SS: Jeg måtte godkjennes i en styresammenheng av det svenske skoleverket nylig og jeg er godkjent på alle mulige måter. Politiattest er en ting og en utskrift av pass, men de ville ha et bevis fra skatteetaten om at jeg ikke er en som skylder penger. Vi har ikke det dokumentet såvidt jeg klarte å finne ut. Jeg fikk banken til å skrive et hyggelig brev, så får vi se om det holder. Hvor skal man gå for å lære mer om identitet?

: Microsofts Kim Cameron har en blogg jeg leser en del og gir mye nytt. Den er mer teknisk retta, men ikke bare. Også filosofiske retninger. Identities lovene og hvordan du bygger en identitet med minimum informasjon, brukerkontroll og utlevering. Den ideelle situasjonen med at jeg eier min informasjon. Jeg burde kontrollere informasjonen og når den skal ut utleveres og til hvem. Det er spennende og vanskelig i praksis.

SS: Har du et sitat?

: Jeg håper at identitet blir styrt på en ordentlig måte og vinne på det med brukerkontroll og ting rundt det, at det ikke blir sånn som det er i dag med Google og Facebook som vet alt om deg. Jeg er skremt når du ser 2 totalitære regimer som total overvåker befolkningen. Kina med ansiktsgjenkjenning koblet til kamera for å overvåke innbyggere. Tilsvarende når demonstranter kan tas bilder av og gjenkjennes 80 prosent nøyaktighet mot Facebook og andre kilder som viser hvem som er der.

SS: En god fremtid er avhengig av gode ID-løsninger.

: Ja. Personvern gode og teknisk gode. Sikre nok, og bruker kontrollerte nok.

SS: Hvis folk skal huske en ting fra samtalen? At Signicat fikk en stor eier?

: For meg er det langt opp akkurat nå. Vi er et spennende selskap og har kjempe muligheter til å lykke internasjonalt.

SS: ID er spennende og viktig.

: Ja. ID er i bunnen for veldig mye av det vi gjør digitalt og vi må det må gjøres ordentlig for at tjenester skal fungere.

SS: Er det mulig å få tak i nok til folk til det dere skal gjøre?

: Forholdsvis vanskelig. Vi rekrutterer så godt vi kan. Utviklingsavdeling i Trondheim. Den rekrutterer vi til, men vi sliter i en by som Trondheim som utdanner så mange folk. Det som er har skjedd at vi har en utvikling i Portugal i tillegg. Det er gøy, så kanskje blir det den måten å se på å rekruttere internasjonalt også.

SS: Hvis det er noe som har lyst til å lære for det går an å lære seg dette?

: Ja.

SS: Og jobbe med en av verdens beste miljøer sammen med bankID, buypass og Commfides innenfor ID, så er Signicat et fantastisk sted å være.

: Ja, kjempefornøyd. Jeg slutta som konsulent for litt over halvannet år siden, da var jeg lei av det. Jeg ville begynne å jobbe et sted som lager noe. Da så jeg meg rundt i Norge og hvor jeg hadde lyst til å jobbe. Bypass var høyt på lista, men det ble Signicat. Det angrer jeg ikke på.

SS: Spennende å lære mer om ID og cybersecurity fra min gamle sjef Jon Ølnes. Takk for at du kom og takk til dere som lyttet.


Hva gjør dere på jobben?

Signicat er et rent SaaS selskap, og vi leverer B2B2C – det vil si infrastruktur til de tjenestetilbyderne som er kundene våre, og som så leverer til brukerne.

Hva er de viktigste konseptene i din teknologi?

Tillit er viktig. Jeg definerer det som «opplevd trygghet», en subjektiv opplevelse av ikke-sårbarhet.

Hvorfor er det spennende?

Identitet ligger til grunn for det meste i samfunnet og er en rettighet. Verdensbanken anslår at det finnes 1,5 milliarder mennesker som ikke har en registrert identitet, og derfor heller ikke eID. Dette må fungere globalt, og tillits-infrastrukturer som kan skalere opp globalt har alltid vært interessant for meg.

Hva synes du er de mest interessante kontroverser?

Innen fin-tech er det ny teknologi og nye løsninger som møter gamle lover og regelverk. Noen aktører presser bevisst regelverket, andre tilpasser seg og jobber for endring på sikt. Mens innen identitet er det skjæringspunktet mellom tilgjengelig informasjon og tilpassede tjenester mot personvern.

Dine egne prosjekter innen din teknologi?

I fin-tech jobber vi med kjenn-din-kunde krav, og løsninger på dette. Innen identitet er nye løsninger som kombinerer mobilt utstyr, apper og biometri for identitet det mest spennende

Dine andre favoritt-eksempler internasjonalt og nasjonalt?

Nasjonalt synes jeg det er fascinerende hvordan Vipps har slått gjennom innen fin-tech.

Hva gjør vi unikt godt i Norge av dette?

Norden har en ganske unik posisjon innen identitet, hvor hele befolkningen har tilgang til gode eID-løsninger og digitale tjenester. Dette er et kjempegrunnlag for fin-tech. For internasjonalisering kan dette også være et minus ved at vi tror at det er slik i andre land.

Viktigste poeng fra vår samtale?

La oss jobbe for gode, personvennlige identitetsløsninger og unngå at aktører som Google og Facebook setter nivået. La oss samtidig jobbe mot overvåkningsløsninger som kan gi regimer total kontroll over befolkningen.

Jon Ølnes
Produktsjef Norden
Signicat
CASE ID: C0364
TEMA: ENABLING AND DISRUPTIVE TECH
DATE : 190411
DURATION : 24 min
LITERATURE:
Kim Cameron sin Identity Blog
YOU WILL LØRN ABOUT:
BankIDeID Krypto
QUOTE
"Identitet ligger til grunn for det meste i samfunnet og er en rettighet. Verdensbanken anslår at det finnes 1,5 milliarder mennesker som ikke har en registrert identitet, og derfor heller ikke eID."
More Cases in topic of ENABLING AND DISRUPTIVE TECH
#C0371
ENABLING AND DISRUPTIVE TECH
Fremtiden er elektrisk

Havard Devold

Teknologidirektør

ABB

#C0002
ENABLING AND DISRUPTIVE TECH
VR som medisin

Anne Lise Waal

CEO/CTO

Attensi

#C0001
ENABLING AND DISRUPTIVE TECH
Hva er greia med VR?

Silvija Seres

Lørnere

LØRN.TECH