Skip to content

"Nya regler för kassaregister får inte hota vare sig rättssäkerheten eller IT-säkerheten"

DEBATT - av Douglas Oest, ledamot av arbetsutskottet i Rådet för kassa och betalsystem (står under Almega) och VD Axena Company Service AB

 

I Sverige finns idag cirka 120 000 kassaplatser för kort- och kontanthantering som berörs av den så kallade kassalagen. I det lagstiftningsarbete som just nu pågår finns en ambition att ta bort den rad med undantag som finns idag och då skulle lagen komma att beröra totalt cirka drygt 200 000 kassaplatser. Denna siffra baseras på antalet kortterminaler i Sverige.

För närvarande pågår ett arbete inom Skatteverket med att ta fram nya föreskrifter för kontrollsystem. Idag används kontrollenheter som sitter på varje kassaapparat för att samla in kontrolldata som ligger till grund för skattekontroll.

Detta är ett lagkrav sedan sedan janurai 2010 och Skatteverket har därefter tagit fram föreskrifter för kontrollsystem som branschen har ansett vara alltför komplicerade för att implementera. Därför håller Skatteverket på att ta fram nya förenklade föreskrifter för kontrollsystem.

Medan en kontrollenhet i första hand är till för att drifta en eller flera kassor lokalt, så är det meningen att kontrollsystemet ska drifta så kallade molnbaserade webbkassor centralt i en molnbaserad serverlösning.

En av de centrala delarna i nuvarande föreskrifter rörande kontrollenheter är att kassan och kontrollenheten hela tiden står i kontakt med varandra. Bryts kontakten så stannar kassan.

Detta är en förutsättning för att det ska gå att använda kontrolldatan i kontrollenheten vid en skattekontroll, att alla transaktioner som görs i kassan också ska loggas i kontrollenheten.

Så länge man kör dessa on-line kassor uppkopplade mot molnserver innehållande ett certifierat kontrollsystem så fungerar allt enligt samma höga säkerhetsprinciper som idag. Problemen uppstår när man installerar klienter i lokala hårdvaruenheter och ska köra kassorna off-line med mjukvarubaserade säkerhetslösningar.

Jag inleder med en sammanfattning av olika problemställningar. Därefter följer en fördjupning per område.

Skillnad i säkerhet mellan mjukvarubaserad och hårdvarubaserad säkerhetskärna i kassaenheten som ingår i kontrollsystemet vid buffring.

För att köra en kassa ”off-line” (i buffringsläge) så krävs att man har laddat ner en klient, tjock eller havtjock, som kan köras fristående från molnservern. Då finns det två grundläggande alternativ att hantera (lagra) kontrolldata under ”off-line” läget för senare uppladdning till molnservern.

Hårdvara hantering/lagring i ett säkerhets chip eller liknande. Detta är ytterst svårt att forcera krävs i praktiken att chippet försvinner, vilket skulle indikera brottsligt uppsåt. Betraktas av säkerhetsvana branschmänniskor som säkert.

Mjukvarulagring i programvaran. Detta är manipulerbart. Svårighetsgraden på manipulation beror på hur avancerade skydd som lagts in i programvaran.

Även om man kryptografiskt signerar en ”hash”-kedja (binder samman transaktioner så föregående transaktion lämnar spår i efterkommande transaktion, bryts kedjan så syns det), journaler, kvitton transaktioner etc så räcker det med att man kopierar programvaran (klienten) när ”off-line” läget inträffar eller skapas.

Därefter körs kassan i off-line läge och innan man går online igen så ominstalleras den kopierade programvaran från innan man gick off-line och kassan fortsätter där den var när den gick off-line. Alla transaktioner som skett i off-line läge är försvunna och intäkterna är ”byxade” (branschutryck för oredovisade inkomster från kassan).

Självfallet skapas programvaran, så att allt detta ska ske med enkla handgrepp av den som agerar med ont uppsåt.

Risken att obehöriga tar sig in i webbaserade kassor och manipulerar kontrolldata  - samt åtgärder för att motverka obehöriga intrång i molnbaserade webbkassor.

Obehöriga kan ta sig in i webbaserade och vanliga kassor oavsett om man har mjukvara eller hårdvara baserade säkerhetslösning och manipulera kontrolldata. Det enklaste sättet är att ta reda på kassans login och logga in normalt.

Generellt gäller dock att kassor inte har i närheten samma avancerade skydd som till exempel kortterminaler och liknande. Det är dock en signifikant skillnad mellan en hårdvarubaserat säkerhetslösning och en mjukvarubaserad säkerhetslösning.

Hårdvarubaserad lösning - kräver att man stjäl kassaenheten eller bryter sig in i lokalen där kassaenheten befinner sig, alternativt att man har tillgång till kassaenheten, oavsett om det är behörig eller obehörig tillgång. Oavsett vilket så är tillgången till kassaenheten betydligt svårare att skaffa sig än vid mjukvarubaserad säkerhetslösning. Dessutom finns det mycket goda möjligheter att spåra förövaren.

Mjukvarubaserad säkerhetslösning i en webbkassa online. I denna lösning är meningen att man ska kunna logga in från vilken uppkopplad enhet som helst, varsomhelst ifrån i världen, precis som man loggar in på till exempel Facebook. Skillnaden är att Facebook har betydligt mer säkerhetstänkande än webbkasseleverantörerna generellt.

Detta gör att man inte behöver fysisk tillgång till en specifik kassaenhet och spårbarhet för att identifiera förövaren blir näst intill omöjlig.

Idag finns inte denna problematik eftersom vi i huvudsak har hårdvarubaserade lösningar (kontrollenheter) som markant försvårar denna typ av intrång i kassaenheterna. Men med mjukvarubaserade säkerhetslösningar öppnas för denna möjlighet om man inte säkrar inloggning och säkerhet på webbaserade kassor.

Jag kommer redogöra för konsekvenserna och eventuella motåtgärder längre fram i artikeln.

Behovet, nyttan och för vem - tar man fram ny lösning för molnbaserade webbkassor online, samt buffringsbehovet hos webbaserade onlinekassor.

Både branschen och Skatteverket är överens om behovet av att ta fram nya föreskrifter för molnbaserade webbkassor online. Sedan går åsikterna kraftigt isär om hur detta ska gå till. Och det är inom säkerheten och certifieringsbehovet det råder mest oenighet inom branschen. Hur det ser ut inom Skatteverket är näst intill omöjligt att få insyn i - men certifiering av kontrollsystemet ser det ut att bli.

Inom branschen finns en spännvidd av åsikter att det är upp till kassaleverantören att lösa säkerheten och säkra kontrolldata efter eget behag. Och där ett eventuellt bötesstraff skulle vara enda sanktionen om man skapade undermålliga lösningar - till att man ska ha minst lika hög säkerhet och samma krav på certifiering som man har på dagens kontrollenheter för att skydda samhället, användarna och leverantörerna av systemen, samt inte minst värna rättsäkerheten och tillförlitligheten av att kontrolldata inte är manipulerad.

Nästa stora meningsskillnad som går att identifiera är att om man ska kunna gå att buffra onlinekassor i offlineläge? Och i så fall med hårdvara baserad eller mjukvara baserad säkerhetslösning?

Konsekvenserna av de olika alternativen utvecklas längre fram i artikeln.

Fördjupad analys av konsekvenser samt förslag till lösningar för att behålla dagens höga säkerhet och tillförlitlighet till kontrolldata.

Som tidigare nämnts kan man på goda grunder betrakta en online-baserad lösning med ett certifierat kontrollsystem i molnet som tillräckligt säkert ur perspektivet att processen kan generera tillförlitliga kontrolldata.

Däremot bör systemet tillföras ”säker inloggning” samt skydd mot att systemet kan hackas på så sätt att obehöriga kan ta sig in och till exempel tillföra transaktioner som inte skett i verkligheten, vilket skulle försätta handlaren i en mycket besvärlig situation. Detta då kontrolldata skulle innehålla mängder av transaktioner som inte har skett i verkligheten. 

Det kan vara en konkurrent eller en missnöjd anställd som vill skada handlaren genom att obehörigt ta sig in i systemet, lägga till massa transaktioner och sedan ringa Skatteverkets kontrollanter, varpå handlaren skulle få mycket svårt att förklara sig.

I skattekontrollantens ögon skulle det vara uppenbart att det rörde sig om undanhållna inkomster. Detta görs möjligt genom att man kan ta sig in i system var som helst ifrån. Den förslagne handlaren med ”onda avsikter” skulle till och med kunnamanipulera sitt eget system för att hävda att kontrolldatan i kassan är manipulerad av obehöriga.

För att skydda sig mot detta bör man kräva någon form av ”säker inloggning” - till exempel genom mobilt bank-ID som är en vedertagen standardinloggning i Sverige idag, eller någon annan ”säker” inloggning. Idag finns flera metoder för detta som skulle fungera.

Att skydda sig mot hackare är svårt, men här borde inte bara myndigheterna ställa krav, utan även handlarnas organisationer bör ställa krav på systemen för att skydda sina medlemmar. Oavsett ”säker” inloggning så minimerar man riskerna och får spårbarhet i vem som använt systemet.

Det är när man kommer till ”buffring” eller att köra kassorna i off-line läge som de stora säkerhetsriskerna uppstår, om man konstruerar systemen felaktigt. Här kan man ta lärdom av kredit- och betalkortsbranschen som är världens största säkerhetsrelaterade bransch med 60 års erfarenhet från pappersslippar till dagens avancerade kortterminaler och webbetalningar.

Där har man en grundprincip, online-betalningar, där huvuddelen av betalprocessen sker i molnet (webbetalningar och Mpos terminaler typ iZettle) får bara genomföras on-line. Detta eftersom terminalen som betalningen genomförs ifrån saknar erforderlig hårdvarusäkerhetskärna.

Terminaler med erforderlig certifierad hårdvarusäkerhetskärna får ta emot betalningar off-line. Dessa är de vanligaste terminalerna på marknaden.

Hela certifieringsprocessen för betalningssystemet med kort är framtagen frivilligt av kortföretagen i samarbete med bankerna, eftersom man är mycket väl medvetna om att förtroende för systemet är av yttersta vikt för att systemet ska fungera. Därför är det naturligt att samma principer ska gälla för insamling av kontrolldata, eftersom förtroendet för att kontrolldatan inte är manipulerad är av yttersta vikt då den ska kunna användas som teknisk bevisning i en domstol och då får det inte föreligga risk att kontrolldatan är manipulerad.

Kostnaden för en kontrollenheten som används idag är två till tretusen kronor och den håller i tio till tolv ård.

Ett säkerhetsminne skulle kunna vara sim-kort, micro-SD kort eller USB-dongel modell mindre till en kostnad från några kronor till några tior och skulle ingå i den certifierade kontrollsystem tjänsten. Den största kostnaden är utveckling och certifieringen av kontrollsystemet, men den skulle understiga kostnaden för att utveckla och certifiera kontrollenheter markant.

Den största kostnaden för handlaren är att han/hon vanligtvis skriver på ett treårsavtal för webbkassa tjänsten idag och under den perioden skrivs kontrollenheten av. Detta gör att har man ett abonnemang på en webbkassa i tolv år, så har man betalt för fyra stycken kontrollenheter under samma period fast man har fått behålla samma kontrollenhet hela tiden.

Det är inte troligt att webbkassa leverantörerna skulle sänka sina avgifter för att det nya billigare kontrollsystemet införs, så allt handlar om omfördelning av inkomster till enskilda webbkassaleverantörer och som inte kommer handlarna till godo. Frågan är om det är värt att äventyra förtroendet för Skatteverkets kontrolldata och i förlängningen rättssäkerheten.

I skrivande stund pågår arbetet med ett nytt lagförslag och nya föreskrifter på Skatteverket som ska gå ut på remiss under hösten. Det är alltså ett ypperligt tillfälle att komma in med åsikter till Skatteverket från rättsvårdande myndigheter och intresseorganisationer - och inte minst från handeln själv.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt