Arbetsgruppens förslag till vägval för samverkan

Sida 1 (18) 2009-11-18 Arbetsgruppens förslag till vägval för samverkan Beställare Beställare av detta underlag är Karin Bengtsson, KSL/IT-Forum. Syfte Syftet med detta dokument är att belysa arbetsgruppens förslag till vägval för att underlätta samverkan. Syftet är vidare att arbeta igenom vägvalen med representanter från regionens kommuner och omvandla vägvalen till principer för samverkan. Bakgrund En teknisk arbetsgrupp är utsedd av KSL/IT-forum vars uppdrag är att ta fram ett beslutsunderlag till IT-Forums ägargrupp hur den nationella IT strategin säkerhetsmässigt bäst realiseras i Stockholmsregionen. Beslutsunderlaget skall innehålla rekommendationer som leder till harmonisering av befintliga lösningar och som skapar största möjliga interoperabilitet. Beslutsunderlaget skall också föreslå lösningar för digital samverkan kring individinformation mellan olika vårdgivare (regionens kommuner, landstinget, privata utförare) och mellan vårdgivare och medborgare. Inom ramen för arbetsgruppens arbete har ett antal problemområden identifierats, tillika viktiga byggstenar för samverkan: Informationsklassning Autentisering Katalogsamverkan Identitetsfederering Signering Kryptering Åtkomst Spårbarhet Transport Arbetsgruppen har inom ramen för dessa problemområden lyft fram och prioriterat ett antal viktiga vägval som flertalet berörda kommuner står inför och som rätt hanterat kan underlätta samverkan med landsting, utförare och givetvis kommuner i mellan. Vidare har arbetsgruppen identifierat att ett antal självklara vägval, grundförutsättningar, som ofta tas för givet men för att undvika att de är just självklara tillse att dessa dokumenteras. Kornhamnstorg 61 SE-111 27 Stockholm Sweden Telefon: +46 (0)8 791 92 00 Telefon: +46 (0)8 791 95 00 www.certezza.net

Sida 2 (18) Avgränsning Vad gäller problemområdet åtkomst är begreppet brett och har avgränsas i arbetsgruppens vidare arbete innan det går att lyfta fram viktiga vägval. Vad gäller problemområdet spårbarhet så är arbetsgruppens förslag att lyfta in detta som en faktor inom ramen för informationsklassning och därmed bringa klarhet i exempelvis vad som skall loggas, hur lång tid informationen skall lagras etc. Arbetsgruppen har i första hand fokuserat på autentisering av individer. I flertalet vägval är dessa tillämpningsbara även för autentisering av komponenter, system och motsvarande. Detta har dock inte varit arbetsgruppens huvudsakliga fokus. Riktlinjer för vägvalen Arbetsgruppens inställning är att så långt som möjligt verka för användning och tillämpning av internationella vedertagna standards där det är tillämpligt. Saknas det en standard på ett område tycker arbetsgruppen att det är bättre att verka för en standard framför att utveckla något som i slutändan bara blir en nationell företeelse. Detta tenderar till att vara återvändsgränder. Vidare är arbetsgruppens inställning att välja vägar som är väl beprövade, accepterade även utanför offentlig sektor och som kan anses vara långsiktiga. Angränsande projekt Arbetsgruppen har identifierat en handfull projekt som har påverkan på vägvalen, främst innehållsmässigt, varför det är av vikt att återkommande studera detta för att i förekommande fall justera vägvalen för att nå samsyn. Det kan röra sig om ordval, nyanser och kanske i något fall ändrat ställningstagande. De angränsande projekt som identifierats är följande: Delegation e-förvaltning MSBs projekt GRUSÄK Grundläggande informationssäkerhet SKLs kommungrupp

Sida 3 (18) Vägval #1 Gemensam metod, gemensamma faktorer och nivåer för informationsklassning Arbetsgruppens uppfattning är att det är en stor spännvidd rörande informationsklassning. Några kommuner har kommit lång och har väl fungerande processer för informationsklassning, flertalet har kommit en bit på väg men har en bra bit kvar till att det kan anses väl fungerande och några kommuner har inte påbörjat detta arbete. Gemensamt är att flertalet kommuner utgår från BITS, som är ett utdrag ur ISO27001 och ISO27002. BITS är inte färdigt att använda utan var och en tvingas att göra sin egen tolkning. En parallell kan dras till skräpposthanteringen där Statskontoret presenterade en vägledning som var och en ägnade mycket tid till att göra sina vägval utifrån. Först när SKL satte ner foten och gjorde ett antal rekommendationer infann det sig arbetsro och stora mått av samsyn kring metoderna för skräpposthantering. Vidare ser arbetsgruppen att det varierar kring vilka faktorer som informationen klassas och inom vilka nivåer. Så väl ISO27000 som BITS lyfter fram följande faktorer: Sekretess (confidentiality) avsikten att innehållet i ett informationsobjekt inte bör göras tillgängligt eller avslöjas för obehöriga Riktighet (integrity) okränkbarhet med förmåga att upprätthålla sitt värde genom skydd mot oönskad förändring, påverkan eller insyn Tillgänglighet (availability) möjlighet att utnyttja tillgång efter behov i förväntad utsträckning och inom önskad tid Ytterligare en faktor som ibland nämns är spårbarhet. Det ges inte några förslag på nivåer i varse sig BITS eller ISO27000 utan här skall var och en att bestämma antal nivåer och gränser utifrån sina krav och förutsättningar. Exempel: för tillgänglighet har vi tre nivåer i vår kommun, hög (accepterad störning 2h), mellan (accepterad störning 1 dygn) och låg (accepterad störning 1 vecka). Arbetsgruppens första förslag är att utgå från SLLs & Stockholms stads metod för informationsklassning och paketera dessa på ett sådant sätt att den är lättillgänglig för de kommuner som har långt kvar till målet i denna fråga. Kommuner som redan har en väl fungerande metod för informationsklassning berörs ej. Arbetsgruppens andra förslag är att utgå från SLLs & Stockholms stads definition av faktorer och nivåer för Informationsklassning och anpassa dessa till att spegla en lägsta nivå för de kommuner som berörs. Noterbart är att Stockholms stad har adderat spårbarhet som en fjärde faktor. De kommuner som har gjort definitioner av faktorer och nivåer bör verifiera att de lever upp till minst lägsta nivå. Syftet med att samordna informationsklassningen är att alla inblandade parter skall ha samma syn hur information skall skyddas, i vilken grad och i förekommande fall på vilket sätt. Råder det inte samsyn kring informationsklassning försvåras ett samarbete avsevärt. Om en part identifierar berörd information som mindre skyddsvärd kan denna utgöra en stor risk för den part som gjort en annan bedömning av informationens skyddsvärde.

Sida 4 (18) Vägval #2 Gemensam syn på definitionen stark autentisering Detta vägval har beröring med vägval #3 som avspeglar accepterade metoder för stark autentisering. De flesta är nog överens om att stark autentisering inte är att autentisera sig med enbart ett personligt lösenord. Datainspektionen lyfter fram e-legitimation och engångslösenord som exempel på stark autentisering. Samtidigt har de vid tillsyn poängterat att ett engångslösenord inte får överföras via mejl (SMTP) så bilden är inte tydlig. IT-säkerhetsbranschen använder ofta begreppet 2-faktor autentisering där två av följande metoder (faktorer) kombineras: Typ 1 Något du vet, som ingen annan vet, exempelvis ett lösenord. Typ 2 Något du har, som ingen annan har, vanligtvis en fysisk tingest. Typ 3 Något du är, som ingen annan är, exempelvis ett fingeravtryck. Exempelvis ett engångslösenord genererat av en fysisk dosa som skyddas med en PINkod. Något som du har respektive något som du vet. En kombination av två lösenord är alltså inte ett exempel på en stark autentisering. Arbetsgruppens förslag är att likställa stark autentisering med 2-faktors autentisering. Syftet är att säkerställa att ingen part använder otillräcklig autentisering i sammanhang där stark autentisering krävs.

Sida 5 (18) Vägval #3 Accepterade metoder för stark autentisering Detta vägval har beröring med vägval #2 vad gäller definitionen av begreppet stark autentisering, vägval #4 vad gäller certifikatpolicy, väg val#5 vad gäller antal PKI er, vägval #8 vad gäller tilliten till metoden och vägval #11 vad gäller signering. Autentiseringsområdet är ett spretigt område vilket troligen också är orsaken till de personliga lösenorden lever vidare. Flertalet väntar på den perfekta lösningen som förstärker autentiseringen, förenklar för användaren och inte bidrar till ökad administration. Flera har ställt sitt hopp till biometriska lösningar men marknadsacceptansen är fortsatt låg. Kanske för att tekniken förutom att säkerställa din identitet också kan fastställa om du är gravid eller har ett skadligt blodtryck, eller kanske för att tekniken ofta är förenad med bakdörrar. Lösningarna på marknaden domineras därför av faktorerna: Typ 1 Något du vet, som ingen annan vet, exempelvis ett lösenord. Typ 2 Något du har, som ingen annan har, vanligtvis en fysisk tingest. Dessa är i sin tur realiserade i två huvudsakliga alternativ. Antingen bygger lösningen på engångslösenord i någon form eller så bygger lösningen på asymmetriska nyckelpar (publik och privat). Det asymmetriska nyckelparet kan utöver autentisering också användas för signering. Det målande exemplet på det asymmetriska nyckelparet, är ett Smartcard som dels innehåller den publika nyckeln som signerats av en betrodd part (certifikat) dels den privata nyckel som skyddats med en pinkod (jämför lösenord). Exemplet är en delmängd av en PKI (public key infrastructure) också benämnd öppna nyckelsystem. Arbetsgruppens förslag avseende accepterade metoder för stark autentisering vid samverkan är att utöver eid välja ut två, alternativt tre, metoder som minst lever upp till omvärldskraven och som kan anses vara framtidssäkrad i den mån det går att förutspå. Den ena metoden är PKI (public key infrastructure) med lagring av nyckelpar på SmartCard och de två andra metoderna bygger på engångslösenord, antingen genererade i en fysisk enhet (mobiltelefon, dosa mfl) eller säkert distribuerad till en fysisk enhet (ex mobiltelefon). Den förstnämnda metoden kan användas för signering. I vissa fall kan även en dosa användas för signering. Syftet är att inom ramen för samverkan tydliggöra vilka metoder som vid samverkan är accepterade för stark autentisering. Vägvalet kan ha påverkan hos de kommuner som har valt otillräckliga autentiseringsmetoder där det vid samverkan erfordras stark autentisering i enlighet med vägvalet.

Sida 6 (18) Vägval #4 Gemensam minimikrav på en certfikatspolicy (CP) Detta vägval har beröring med vägval #8 rörande regelverk för federationsmedlemskap och vägval. En PKI (public key infrastructure) är inte mer värt än dess policy (CP) och de regler och rutiner som en utfärdare tillämpar för att uppfylla krav i policyn. Det senare, utfärdardeklarationen, benämns ofta CPS (certifikation practise statement). Det är av vikt att varje organisation, utfärdare eller ej, har bestämt sig för vilken nivå som är lägsta tillåtna nivån. Idealet är givetvis att kommunen enbart förlitar sig på de PKI er som ligger i linje med kommunens krav och att om kommunen ikläder sig rollen som utfärdare att andra uppfattar att kommunens PKI ligger i linje även med omvärldskraven. Det senare är av största vikt för eventuella federationsmedlemskap. Arbetsgruppens förslag är att studera nåra stora aktörers CP/CPS, förslagsvis SITHS som ett exempel på en stor nationell PKI med ett högt säkerhetsfokus och Verisign som ett exempel på en stor kommersiell aktör, och ur dessa lyfta fram vad som kan anses vara minimikrav samt ur dessa ta fram en CP/CPS som kan användas av de kommuner som önskar realisera en egen PKI. Syftet är inom ramen för samverkan säkerställa att samtliga berörda PKI er inte avviker från minimikraven och därmed inte riskera att en autentisering är otillräcklig, Detta kan få påverkan på befintliga certifikat policys som upprättats och som inte uppfyller minikraven. Det kommer också att få påverkan på de kommuner som redan satt upp ett PKI, men utan någon form av certifikat policy.

Sida 7 (18) Vägval #5 En eller flera PKI er för autentisering i den egna organisationen Detta vägval har beröring med vägval #3 rörande metoder för stark autentisering och vägval #9 alternativ till identitetsfederationer. En majoritet av alla organisationer förlitar sig enbart på personliga lösenord vid autentisering. Då omvärldskraven kräver stark autentisering i allt större utsträckning tvingas organisationen att acceptera autentiseringslösning som kanske inte är önskvärda, men samtidigt har den egna organisationen inget av autentiseringsvärde att erbjuda varpå organisationen ställs inför ett fullbordat faktum. Lösningar som till en början är verksamhetsspecifika, likt ChamberSign, ID06, SITHS och Steria kanske kan fylla övriga autentiseringsbehov som organisationen har men flera frågar sig om det är rätt väg att gå. Vem tillser att det inte blir konflikt på den enskilda arbetsplatsen när flera SmartCards skall samverka med av varandra, sannolikt med stöd av flera olika Cryptographic Service Providers (CSP) som i sig kanske slåss om att äga Smartcardet? Typexemplet är inloggning i en Windows domän där det inte är önskvärt att det råder oklarhet i vad som faktisk skall ligga till grund för inloggningen. Detta vägval har också beröring till lösningar för inpassering, lås och flex. Växvalet har också beröring till SIS-märkta ID-kort. Ett och samma kort kan användas för att täcka så väl dessa lösningar som att ingå i en lösning för stark autentisering En majoritet av landets kommuner står inför samma vägval, vill organisationen ha flera olika, trots allt likartade autentiseringslösningar, eller skall organisationen realisera en egen lösning som också inkluderar alla egna behov från nätautentisering till signering, eller skall organisationen välja en etablerad lösning för att lösa alla sina behov. Frågorna är många men beslutet är viktigt! Arbetsgruppen gör bedömning att det är bättre att förorda en PKI framför flera för att realisera stark autentisering av den egna organisationen samt i förekommande fall samordna detta med kort-lösningar för inpassering, lås, flex etc. Syftet är att undvika att den enskilda organisationen ställs inför de tekniska problem som en lösning med flera olika likartade autentiseringslösningar kan medföra. Detta beslut kan få väldigt stor påverkan då antalet PKI er för autentisering i den egna miljön begränsas, samtidigt som ett uteblivet beslut leder till en väldigt vildvuxen autentiseringsflora som till syvende och sist måste gallras.

Sida 8 (18) Vägval #6 Accepterade metoder för identitetsfederering Detta vägval har beröring med vägval #7 rörande ambitioner för identitetsfederering. Utgångspunkten för en identitetsfederation är att information om personer, användare och resurser bäst hanteras av de organisationer som har en naturlig relation med dessa. Förenklat sker inloggning i hemmaorganisationen. Därefter skickas användaren via webbläsaren till det gemensamma verksamhetssystemet hos någon annan resursgivande medlem i federationen. Vid omdirigeringen får verksamhetssystemet möjlighet att läsa av nödvändiga egenskaper om användaren. Metoderna som används för identitetsfederationer ryms inom flera standarder där SAML (Security Assertion Markup Language) är den kanske mest kända. Andra nämnvärda standarder är OpenID och ADFS (Active Directory Federation Services). SAML är den metod som är helt dominerande inom ramen för offentlig verksamhet i Sverige. OpenID tenderar till att attrahera näringslivet som ser en möjlighet att lättare nå en konsument som är känd i en portal som stödjer OpenID. Noterbart är att en molntjänst som Google Apps, stödjer både SAML och OpenID för att vara tillgänglig oavsett metod för identitetsfederering. Arbetsgruppens förslag är att enbart acceptera SAML (Security Assertion Markup Language) version 2 eller senare som metod för identitetsfederering samt tydliggöra att det i förekommande fall är det enda sättet att logga in och att säkerställa det inte finns någon bakväg in. Syftet är att inom ramen för samverkan tydliggöra vilka metoder för indentitetsfederationer som förespråkas. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

Sida 9 (18) Vägval #7 Gemensamma ambitioner för identitetsfederering Detta vägval har beröring med vägval #6 rörande metoder för identitetsfederering och vägval #12 alternativ till signering. Mycket talar för att identitetsfederering kommer att ha stor påverkan på autentiseringsområdet. Sannolikt kommer alla nyutvecklade verksamhetssystem att ha möjlighet att konsumera SAML-biljetter oavsett om verksamhetssystemet är lokalt, utkontrakterat eller en molntjänst. Möjligheten att konsumera en SAML-biljett benämns ofta SP (service provider). Allt fler kommuner har idag tekniska möjligheter att ge ut SAML-biljetter, benämns ofta IdP (identity provider). Flera har också tekniska möjligheter att konsumera SAML-biljetter i någon form av mellanled för att autentisera sig mot befintliga tillämpningar. Flera har sannolikt inte vetskap om att de har dessa möjligheter då hela identitetsfederationsbegreppet är omgärdat med viss mystik. Arbetsgruppens förslag är att kravställa att varje ny webbaserad tillämpning som kräver autentisering skall ha stöd för SAML. Vidare är arbetsgruppens förslag att varje berörd kommun skall kunna utfärda SAML-biljetter och konsumera SAML-biljetter i webbaserade tillämpningar som kräver autentisering och har ett samverkansintresse. Syftet är att inom ramen för samverkan möjliggöra användning av den egna autentiseringslösningen förutsatt att den är tillräcklig. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

Sida 10 (18) Vägval #8 Gemensamt regelverk för federerationsmedlemskap Detta vägval har beröring med vägval #3 rörande metoder för stark autentisering och vägval #4 rörande certifikatpolicy (CP) Regelverket som omgärdar federationsmedlemskap bör vara jämbördigt för samtliga inblandade parter. Om varje ingående IdP (identity provider) inte uppfyller de av övriga medlemmar ställda krav måste det finnas möjlighet att begränsa informationstillgången med utgångspunkt från varje enskild IdP (identity provider). I ett större sammanhang är det sannolikt inte tillämpningsbart och i fall där stark autentisering erfordras kan det knappast vara till fylles. Det är dock inte ovanligt att en federation består av ett par olika förtroendenivåer baserat på nivå av autentisering. I dagsläget finns det aktiva federationer i högskole- och universitetsvärlden. Det lyfts fram som en hörnpelare i utredningen Strategi för myndigheternas arbete med e-förvaltning SOU 2009:86, men där är det fortfarande långt till handling och fokus är att införliva nuvarande eid i en federation. Arbetsgruppens förslag är att skriva en riktlinje, eller en underordnad instruktion, som kan ge berörda kommuner erforderliga regelverk för att ingå i en federation. Syftet är att inom ramen för samverkan säkerställa att varje ingående IdP (identity provider) inte avviker från minimikraven och därmed inte riskera att en autentisering är otillräcklig, Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

Sida 11 (18) Vägval #9 Alternativ till identitetsfederationer Detta vägval har beröring med vägval #5 rörande antalet PKI er i den egna miljön. Identitetsfederationer är sannolikt den naturliga formen av autentiseringssamverkan. Dock klarar inte alla av att generera och konsumera SAML-biljetter samt att standarden i huvudsak inriktar sig till webbaserade tillämpningar och begränsar sig till enbart autentisering. Är det andra former av tillämpningar eller om det finns behov av signering återstår att söka andra former av samverkan. Närmast till hands är att samverka över gränserna i en PKI vilket kan åstadkommas på flera sätt. Här som i många andra fall, är utmaningen av mer formell karaktär en av teknisk karaktär där tekniker för att bygga bryggor PKI i mellan är en naturlig ingrediens. Arbetsgruppens förslag är att utöka den riktlinje, eller en underordnade instruktionen, som avhandlar regelverk för federerationsmedlemskap till att även innefatta synen på alternativ till identitetsfederationer. Syftet är att inte låta begräsningarna i SAML verka begränsande för ett samarbete. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

Sida 12 (18) Vägval #10 Hygienkrav för katalogen Detta vägval har ingen direkt beröring med övriga vägval. Det är allt vanligare att verksamhetssystemen avkräver ytterligare information i samband med en inloggning. Attribut som roller och relationer, information om vem som utfört autentisering och hur autentiseringen gått till väga. Attribut och ytterligare information kan presenteras för ett verksamhetssystem på olika sätt och i de flesta fall har de sitt ursprung i en katalog. Katalogen blir därför en allt viktigare hörnsten och därmed också tillliten till informationen i katalogen. I fler former av samverkan krävs inte sällan utbyten av kataloginformation vilket ställer än högre krav på framför allt riktighet. Varje kommun arbetar idag tämligen individuellt med frågor kring katalog, identitetsbegrepp, roller, attribut mm. Arbetsgruppens förslag är att skapa en riktlinje, eller en underordnad instruktion, som ställer krav på den egna katalogen. Förslagsvis utgår man från HSA policy och använder den för att fastställa minimikraven på en lokal katalog. Syftet är att förenkla katalogsamverkan och katalogutbyten. Vägvalet har sannolikt enbart positiv påverkan oavsett var i processen varje enskild kommun befinner sig i arbetet att skapa en väl fungerande katalog.

Sida 13 (18) Vägval #11 Accepterade metoder för signering Detta vägval har beröring med vägval #3 rörande metoder för autentisering och vägval #12 rörande metoder för signering. I lagens rätta bemärkelse skall en elektronisk signatur ske med en privat nyckel vars publika nyckel är signerad av en organisation som lever upp till till lagen (2000:832) om kvalificerade elektroniska signaturer som i sin tur är ett resultat av EU:s direktiv 1999/93/EC. Med detta i ryggen kan signaturen anses vara icke förnekbar. Tyvärr är förutsättningen att detta skall inträffa ringa, då endast en organisation (Signguard) har anmält sig till PTS som utfärdare av kvalificerade certifikat. Övriga större aktörer som BankID, Nordea, Telia, SITHS, Steria, ChamberSign mfl anser sig inte vara utfärdare av kvalificerad certifikat. Det bör också nämnas att svensk certifikatstandard förordar användning av två nyckelpar, ett nyckelpar för autentisering (keyusage digitalsignature & keyencipherment) och ett nyckelpar för signering (keyusage non-repudiation). Lagstiftningen omnämner inte tekniker som exempelvis challange-respons baserade dosor som också rent tekniskt kan användas för signering. Även en identitetsfederation, ex baserad på SAML, är diskvalificerad med nuvarande lagstiftning. Sannolikt kommer detta att förändras i någon form då Strategi för myndigheternas arbete med e-förvaltning SOU 2009:86 lyfter fram identitetsfederationer som en teknisk ersättare till dagens PKI er som i sin tur ligger till grund för eid. Arbetsgruppens förslag är vänta in det utredningsarbete som edelegationen utför på detta område. Fram till dess endast acceptera en signatur som är utförd i enlighet med svensk certifikatstandard. Syftet är att inom ramen för samverkan ha ett gemensamt synsätt på signering. Detta vägval kommer att ha inverkan på befintliga signeringsfunktioner som inte kan anses uppfylla hela eller delar av lagkravet.

Sida 14 (18) Vägval #12 Alternativ till signering Detta vägval har beröring med vägval #7 rörande ambitioner för identitetsfederering och vägval #11 rörande metoder för signering. Lagkravet kring signering diskkvalificerar lösningar och tekniker som i sig främjar ett samarbete. Ett typexempel är identitetsfederationer. Verksamhetsmässigt kanske det inte alltid är nödvändigt med en signatur i överensstämmelse med lagen (2000:832) om kvalificerade elektroniska signaturer. Det kanske är fullt tillräckligt att med en kvittering som exempelvis görs med en SAML-biljett utställd för ändamålet och som har en mycket begränsad livslängd i tid. mer av signering. Arbetsgruppens förslag är att se över behoven av signering. Dels för att se när det verkligen krävs en signering i enlighet med lagstiftningen, dels när en enklare form av signering kan anses tillräcklig. Enklare former av signering, kanske mer likt kvittering, öppnar upp för användning av tekniker likt identitetsfederationer som främjar samarbeten men sätter hinder vad gäller signering. Syftet är att inom ramen för samverkan hitta lösningar för signering som lever upp till verksamhetens krav och men som samtidigt kan anpassas till de tekniska och juridiska begränsningar som en identitetsfederering medför. Detta vägval kan ha inverkan på befintliga signeringsfunktioner.

Sida 15 (18) Vägval #13 Implementation av signeringsfunktioner Detta vägval har ingen direkt beröring med övriga vägval. En majoritet av berörda kommuner har en verktygslåda som primärt innehåller funktioner för att realisera e-tjänster, samordna olika former av stark autentisering, möjliggöra SSO (single-sign-on) etc. Dessa verktygslådor innehåller ofta också funktioner för signering. Likaså är det med Cryptographic Service Providers (CSP) att de förutom agerar gränssnitt mot ex ett SmartCard också innehåller funktioner för bland annat signering. Gemensamt för samtliga är att de har sitt gränssnitt för signering, De tillämpningar som skall använda gränssnittet måste anpassas till gränssnittet. Rimligt är att dessa gränssnitt standardiseras för att möjliggöra en fri rörlighet mellan olika verktygslådor och olika CSP er. Exempel på tillverkare av verktygslådor Mobilityguard, NordicEdge, PortWise och Sirius. Exempel på tillverkare av CSP er är Nexus, Secmaker och Steria. Arbetsgruppens förslag är att ge berörda tillverkare i uppdrag att ge förslag på hur en samordning av de applikationsnära gränsytorna kan ske. Syftet är möjliggöra en större rörlighet kring signeringsfunktioner som annars är mer eller mindre låsta till den produkt som är vald för ändamålet. Vägvalet har sannolikt ingen negativ påverkan utan det för tillverkaren unika gränssnittet kommer sannolikt att leva parallellt med ett eventuellt tillverkar gemensamt gränssnitt.

Sida 16 (18) Vägval #14 Gemensam infrastruktur Detta vägval har ingen direkt beröring med övriga vägval. Internet har historiskt inte ansetts tillräckligt tillförlitig för att ligga till grund för exempelvis regional samverkan eller bransch samverkan varför parallella infrastrukturer etablerats. I dag är Internet i de allra flesta fallen minst lika tillförlitligt som annan infrastruktur. Betänk att den som producerar parallell infrastruktur till Internet i de allra flesta fallen använder exakt samma utrustning och exakt samma infrastruktur som användas för att producera sin gren av Internet. Oavsett form av samverkan är Internet därför det självklara valet för gränsöverskridande kommunikation. De flesta organisationer strävar mot att minimera anslutningar mot infrastruktur som ligger utan för dess kontroll. Det vill säga alla delar som inte kan anses tillhöra den egna infrastrukturen. Det görs för att minimera exponeringen och därigenom tydliggöra riskerna och ytterst förenkla elimineringen av eventuella sårbarheter. Arbetsgruppen förslag är att en riktlinje arbetas fram som tydliggöra att gränsöverskridande kommunikation skall ske över Internet och termineras i en punkt som möjliggör kontroll på trafik till och från den egna infrastrukturen. Syftet är att inom ramen för samverkan undvika parallell infrastruktur utan koncentrera all samverkan till Internet. Detta kommer att få påverkan på de parallella anslutningar som finns till varje kommun från leverantörer, för verksamhetsspecifika ändamål, för support etc. Det kommer att kräva av varje förespråkare av parallell infrastruktur till Internet att tillse att Internet kan ersätta de parallella infrastrukturerna.

Sida 17 (18) Vägval #15 Förvaltning av gemensamma riktlinjer Detta vägval har mer eller mindre beröring med samtliga vägval. Ett antal vägval resulterar i gemensamma riktlinjer. Dessa riktlinjer är sannolikt mer eller mindre levande dokument. För att bibehålla fortsatt samsyn krävs en fort samordning av dessa. Det är inte sannolikt att varje kommun själv kan underhålla dessa riktlinjer och behålla fortsatt samsyn. Arbetsgruppen förslag är att Kommunförbundet i Stockholms län får ansvaret att förvalta de gemensamma riktlinjerna. Vid behov av ändring av dessa skall Kommunförbundet i Stockholms län uppmärksammas på detta och tillsätta en arbetsgrupp som får till uppgift att presenterar ett uppdaterat förslag som sedan förankras bland intressenterna. Syftet är att bibehålla samsyn kring de riktlinjer som är utarbetade för att ge samsyn inom viktiga områden för att underlätta samverken. Detta kommer att få den påverkan att de som använder de gemensamma instruktionerna inte själva får ändra eller frångå dessa utan att informera övriga intressenter.

Sida 18 (18) Grundförutsättningar Arbetsgruppen har identifierat ett antal självklara vägval som ofta tas för givet men för att undvika att de är just självklara samlas de under denna punkt. Tid direkt spårbar till UTC(SP) Ur ett spårbarhetsperspektiv är tid av oerhörd vikt. Det lyfts allt oftare fram i omvärldskraven, inte minst i nya lagar och föreskrifter. Sanningen är tyvärr den att det självklara inte är så självklart. Ur ett autentiserings- och identitetfederationsperpektiv är tid en mycket viktig faktor, i några fall helt avgörande. Arbetsgruppen utgår från att alla datorers tid skall vara direkt spårbar till UTC(SP)* förslagsvis med en egen källa som är direktspårbar till UTC(SP). *) UTC=Coordinated Universal Time, SP= Sveriges Tekniska Forskningsinstitut Hantering av krypteringsnycklar Algoritmer och nyckellängder må vara viktiga, men det är trots allt nyckelhanteringen som är allra viktigast och det är där allra mest krut skall läggas. Redan i slutet av 1800- talet konstaterade holländaren Auguste Kerckhoffs att säkerheten i ett välgjort krypteringssystem enbart ska vara beroende av att man hemlighåller nyckeln. Drygt 100 år senare verkar denna till synes enkla princip ha fallit i glömska med tanke på återkommande skräckexempel som att krypteringsnycklar mailas i klartext. Arbetsgruppen utgår från att varje organisation har en riktlinje, instruktion eller motsvarande som beskriver hur krypteringsnycklar skall lagras, utbytas, förnyas etc. Denna information skall inom ramen för samarbetet kunna delges annan ingående part. Krypteringsalgoritmer och nyckellängder Få kommuner har tagit någon aktiv ställning kring val av krypteringsalgoritmer och nyckellängder utan de väljs ofta på någon form av inrådan, kanske används en standardinställning i den programvara som används för ändamålet. Självklart bör varje organisation ha en uppfattning om vilka krypteringsalgoritmer och vilka nyckellängder som skall förordas. Med krypteringsalgoritmer avses symetriska algoritmer, asymmetriska algoritmer och hash algoritmer. Arbetsgruppen utgår från att varje organisation har en riktlinje, instruktion eller motsvarande som beskriver vilka krypteringsalgoritmer och nyckellängder som förordas. Denna information skall inom ramen för samarbetet kunna delges annan ingående part. Certezza AB Thomas Nilsson