Det är intressant att se vilka infrastrukturer för identifiering som växer fram. En tydlig trend är att det snart krävs ett konto för varje pryl eller tjänst av rang. Ett hos Apple, ett hos Facebook, ett hos Google, ett hos Microsoft, ett hos Netflix, ett hos Sony, ett hos Viaplay… Listan kan göras betydligt längre, men längden bromsas samtidigt av att ett och samma konto kan användas till flera ändamål. Federering tänker kanske någon. Feodalism påstår jag.
Den feodalherre som utövar makt över en större kontodatabas, likt flera av dem ovan, använder inte längre infrastrukturen enbart för sina egna tjänster utan ”erbjuder” infrastrukturen till andra som har behov av identifiering. – Vadå identifiering? Jag har ju aldrig någonsin träffat någon av dem jag nämner som exempel utan alla konton är ju bara självregistrerade konton utan någon som helst ursprungsidentifiering av mig. Det egentliga värdet är snarare kopplingen till ett någorlunda fungerande kreditkortsnummer och därmed en tillräckligt säkrad betalkanal.
Merparten av de aktörer jag räknat upp ovan är helt ointresserade av vem jag är. Huvudsaken är att jag genererar någon form av intäkter till dem. Antingen direkt, eller indirekt där mitt feodala konto tillser betalningar till andras tjänster.
Noterbart är att det är den underliggande kreditkortsinfrastrukturen som i huvudsak står för betalströmmarna. Visa och Mastercard, som får anses stå för merparten av transaktionerna, är aktörer som jag faktiskt aldrig träffat utan produkter som enbart förmedlats via mellanhänder såsom banker, matvarukedjor, mackar och andra som faktiskt har möjligheten att ursprungsidentifiera mig. Sedan kan även den ursprungsidentifieringen diskuteras, likväl som hur bisarr just användningen av kreditkortsnummer är, med det är en annan historia.
Poängen är att så länge betalströmmen fungerar så är ursprungsidentifieringen ganska ointressant för feodalherrarna. Det är först när betalningen inte fungerar som den fyller ett syfte i detta sammanhang, men kreditrisker är en del av affärsrisken för kreditkortsföretagen så den är kalkylerad.
Det feodala kontot som påtvingats mig för att kunna nyttja min telefon, läsplatta, dator eller kanske någon större tjänst, tjänar inte långt vad gäller verklig identifiering, det vill säga autentisering. Här kan det federerade kontot som skapats i en organisation som verkligen känner mig tjäna ett syfte. Det kan knytas till mig som person och kläs i olika roller eller tilldelas olika behörigheter.
– Vänta, vadå verkligen känner mig? Hur många organisationer känner egentligen dem som de tilldelar konton till? De enklare undersökningar som vi gjort visar att endast en minoritet av den myndighetsutövningen som utövas, utövas av personal som har legitimerat sig i samband med anställningen. Du läste rätt!
Jag kan inte låta bli att tänka på alla de som kommer i kontakt med känsliga personuppgifter i enlighet med personuppgiftslagen där det tydligt uttolkats att åtkomst ska föregås av stark autentisering. Tämligen tandlöst. Visst, de känsliga personuppgifterna får ett visst skydd, men stark autentisering utan ursprunglig vetskap om vem som faktiskt har åtkomst, väcker en del förundran. Datainspektionen kanske skulle vidga sina vyer lite på den här punkten och inte enbart tala i termer av tekniska lösningar, utan verifiera hela kedjan.
Att det feodala kontot är värdelöst för någon form av starkare tilltro till identiteten är ingen nyhet. Men, det bör i sammanhanget nämnas att det federativa kontot behöver i sig inte leda till en högre tilltro till identiteteten. Detta sagt i en tid när det intensivt diskuteras hur tillförlitliga olika tekniska lösningar för autentisering är. Börja istället att fundera över hur individen ursprungsidentifieras och fundera gärna en vända hur tillförlitlig den sedvanliga legitimationen är. Om det någonsin ens sker en legitimering när identifieringsprocessen inleds.
Thomas Nilsson
