Är elektroniska signaturer tillräckligt säkra?

Skrivet av Emilia Sandell

Tvåfaktorsautentisering

Elektroniska signaturer håller på att bli den ledande metoden för att signera dokument. Och i takt med att vårt samhälle blir alltmer digitalt anpassas de manuella processerna för att hänga med, liksom reglerna för hur data får behandlas och användas.

Idag förlitar sig företag på enfaktorsautentisering, som normalt består av att du anger ditt användarnamn och lösenord innan du signerar något. Användarnamnet är i allmänhet din e-postadress och lösenordet en personlig teckensträng (ibland inkl. siffror och specialtecken).

För att förklara tvåfaktorsautentiseringsmetoden bättre kan vi jämföra den med en transaktion i din lokala butik. Du skannar de varor du vill köpa, betalar för det med ditt kort och anger din pinkod för att bekräfta överföringen av pengar. Vilket är ett helt okej sätt att bekräfta din identitet och ge ditt samtycke.

Men när det gäller elektronisk signering av kontrakt och juridiska dokument till exempel, måste säkerhetsribban höjas och noggrant övervägas för att se till att det är rätt person som tar emot och undertecknar dem.

 
En persons händer syns ligga över en laptop på ett bord. Bredvid ligger pennor, en mobil, ett par glasögon, en bok och en blomma som står ovanpå boken. Personen ser ut att skriva på laptopen.
 

Vanliga utmaningar

Innan du skickar ett internt eller externt dokument för granskning/godkännande har du förmodligen loggat in på ett system eller en dator som kräver ditt användarnamn och lösenord. Dessutom kan du också behöva autentisera via en tredjepartsapp eller din mobila enhet, dvs. två-/multifaktorautentisering. Eftersom den nuvarande metoden att bara mata in ett användarnamn och lösenord är standardiserad kommer du att fortsätta att se och använda den i olika system. Men det finns två potentiella problem att ta itu med:

  1. E-postadressen är offentlig

    1. Vem som helst kan få tag på ditt företags e-postadress. Kanske finns den utställd på företagets hemsida, eller personens LinkedIn-konto.

  2. Lösenordet är för svagt

    1. Användare väljer ofta ett eget lösenord, och för att komma ihåg lösenordet väljer de något kort och relaterat till dem. Vilket gör det enkelt för hackare att upptäcka och använda om så önskas. Dina användare kan också använda samma lösenord som för andra tjänster som kan vara föremål för dataläckor.

Så, är det tillräckligt säkert för att bara ange din e-postadress och ett lösenord för att elektroniskt signera dokument?

 

Genom att lägga till Multi-Factor-Authentication minskar du risken för att din identitet används felaktigt. Stora företag som Google och Microsoft använder istället temporära koder som skickas till användarens telefon eller e-post, som sedan måste matas in för att den elektroniska signaturen ska gå igenom, det gör det svårare att hacka eller missbruka.

 
En mobil visar en bild med en lila bakgrund och ett hänglås. Mobilen ligger mot en gul bakgrund.
 

Tolkning av 20 år gamla regler

Ett annat potentiellt problem är tredjepartssystem som hanterar dina elektroniska signaturer.

De har alla samma regler att tillämpa enligt EU:s eIDAS-regelverk och FDA:s 21 CFR Pt. 11, men sedan är det upp till vart och ett av dessa system att tolka dessa regler som de vill, ursprungligen beskrivna 2014 och 1997. Det innebär att en elektronisk signatur kan variera från system till system, och dina dokument kan få signaturer som inte stämmer överens om du byter till ett annat system.

Till exempel:

  • Tidsstämpeln är inte i UTC-format

    • Detta innebär att dokument kan sakna den exakta tidpunkten för signaturen, eller så kan dagen/året vara omvänt beroende på vilket land utvecklaren av detta system är bosatt.

  • Det finns inget krav på titel på den person som undertecknar

    • Om du inte har titeln på den person som undertecknar dokumentet, hur vet du då att personen har rätt auktoritetsnivå?
      (Dessutom kan den som signerar signera under flera olika roller beroende på sammanhanget)

Dessa relativt små men värdefulla ändringar skulle öka giltigheten för dina elektroniska signaturer genom att veta exakt när de signerades, i vilken tidszon av vem och under vilken behörighet.

 
En person håller i en mobil med en svart skärm. På skärmen sitter en post-it lapp längst ner som det står "signera här" på.
 

Avslutande ord

Om du är medveten om problemen ovan kan du fatta ett mer medvetet beslut om vilken typ av elektroniskt signatursystem du ska välja eller byta till. Många dokumenthanteringssystem idag, som Office365 och Beyond Information Protection 365, har inbyggd funktionalitet för elektronisk signering av dokument med interna och externa kontakter med tidigare nämnda säkerhetsåtgärder och detaljerade revisionsloggar.

Emilia Sandell
Föregående

Hur man stärker slutanvändaren i ett dokumenthanteringssystem
Nästa

Automatisera affärsprocesser för att öka produktiviteten