Att legitimera sig elektroniskt i tjänsten Seminariespår 4 Välkomna!!!
Syfte Att ge en bild av det utgångsläge e-legitimationsnämnden nu har när man tar över frågan om e-legitimering i tjänsten Identifiera några nyckelfrågor som är viktiga för att skapa en arkitektur som gör det möjligt för olika aktörer att erbjuda respektive använda generella metoder och verktyg för e-legitimering i tjänsten inom både offentlig och privat sektor
Att legitimera sig elektroniskt i tjänsten Flera väletablerade lösningar finns både inom offentlig och privat sektor, men de är inte allmänt accepterade Mycket diskussion och utredningar i flera varv, bland andra Kammarkollegiets förstudie Organisationslegitimering (FS: 2009-04) Utredningen om Svensk e-legitimation (dec 2010)
Utredningen om Svensk e-legitimation (dec 2010) Viktigt att regelverket även gäller för e-tjänstelegitimationer, men de omfattas inte av valfrihetssystemet (tjänstekoncessionen) användningen av dem är inte ersättningsgrundande de bör hanteras separat (ej av e-legitimationsnämnden) ur ett upphandlings- och utförarperspektiv För anställda inom landsting bör landstinget själv vara utfärdare även om det tekniskt är en annan part som är utfärdare; motsvarande synsätt bör tillämpas för annan offentlig verksamhet Samråd med SKL viktigt Synpunkter på frågan om personnummer i legitimationen och numrets utlämnande
Presentationer 1. Kammarkollegiets förstudie Organisationslegitimering (Jan Lundh, Kammarkollegiet) 2. Försäkringskassans arbete med en myndighetsgemensam e-tjänstelegitimation (Magnus Enmarker, Försäkringskassan) 3. Tjänstelegitimering inom hälso- och sjukvårdssektorn (Lennart Eriksson, CeHis) 4. Kammarkollegiets planerade upphandling av tjänstekort (Jan Lundh, Kammarkollegiet) 5. En personlig betraktelse av läget för e-legitimering i tjänsten (Wiggo Öberg, MSB)
Kammarkollegiets förstudie Organisationslegitimering Förstudie FS:2009-04 Jan Lundh 2012-01-25
Förstudiens syfte Att analysera och klarlägga förutsättningarna för en generell ramavtalsupphandling och rekommendera om en upphandling skulle göras Utgick från behovet av elektronisk legitimering i samband med informationsutbyte mellan organisationer Grundat på Vervas rapport till regeringen: Slutrapport om säkert informationsutbyte och säker hantering av elektroniska handlingar, 2008:12
Möjlig omfattning Hela det paket av tjänster, produkter och metoder som används i samband med elektronisk legitimering för juridiska personer och deras företrädare sammanfattas under begreppet organisationslegitimering vilket omfattar: - E-tjänstelegitimationer - Servercertifikat - Stämpelcertifikat
Förstudiens slutsatser Behov finns av e-tjänstelegitimationer E-tjänstelegitimation med organisationsnummer och id för fysisk person i certifikatet för privata och offentliga organisation Affärsmodell där legitimerande part (organisationen) avropar från ramavtal och betalar för organisationslegitimeringen
Upphandling Tre separata upphandlingar skulle göras för: - E-tjänstelegitimationer - Servercertifikat - Stämpelcertifikat samt tjänster för stöd och kontroll
Försäkringskassans arbete med en myndighetsgemensam e-tjänstelegitimation Magnus Enmarker Magnus Enmarker MCA Presentation 2012-01-11 Sida 11
Myndighets CA - Bakgrund Bakgrunden till skapandet av Myndighets CA var att generaldirektörerna för Arbetsförmedlingen, Försäkringskassan och Skatteverket i september 2007 skrev under ett avtal om samverkan mellan myndigheter där ett av målen var att ge medborgaren större tillgänglighet. I samband med ovan så tecknade även Försäkringskassan och Skatteverket ett avtal för etablering av Servicekontor. En av förutsättningarna var att kortinloggning till PC n enbart ska behöva ett kort och ett certifikat samt vara skalbar vad gäller handläggare, kontor och deltagande myndigheter. Resultat var att Försäkringskassan fick uppdraget att skapa en PKIlösning med en gemensam CA, portal och identifieringskort där vi standardiserar på minsta gemensamma nämnare. Denna gemensam CA valde vi att kalla Myndighets CA. Magnus Enmarker MCA Presentation 2012-01-11 Sida 12
Myndighets CA - Beslut Minsta gemensamma nämnaren Kort Personnummer Identitet vs behörigheter Delegerad utställning (distans) Java kort Återanvändbarhet Kortprofil Kort design Försäkringskassans kort Servicekontorens kort Magnus Enmarker MCA Presentation 2012-01-11 Sida 13
Myndighets CA Nutid/Framtid Nutid Servicekontoren (1,5 år) Försäkringskassan (utrullning pågår) Projekt pågår/ska startas (2012) Framtid SSL servercertifikat Ansökan till populära webbläsare Revision ska ske regelbundet Självbetjäningsportal S/Mime certifikat Kvalificerade certifikat Magnus Enmarker MCA Presentation 2012-01-11 Sida 14
Tjänstelegitimering inom hälso- och sjukvårdssektorn Lennart Eriksson CeHis
www.cehis.se 2012-01-30 sid 16 Från idé till handlingsprogram Nationell ehälsa 2006-2009 2010-2013 16 SITHS En liten pusselbit i det stora hela
www.cehis.se 2012-01-30 sid 17 Krav på användningsområden SITHS-certifikatet används för flera syften Inloggning till bl. a: Pascal, NPÖ, mm Datorer HSA SITHS i kombination med HSA Grund för SSO Säker e-post Inpassering Fysisk ID-handling Tydliga krav för patientsäkerheten Starkt visa vem du är! Tydligt underteckna dina beslut! Rätt sändare! Rätt mottagare! Skyddad information! SITHS kort handlar om våra identiteter, på ett elektroniskt sätt. Ett ID-kort i datorn, men vi kallar dem certifikat. Det viktiga med SITHS kortet är att elektroniskt kunna visa vem man är; oavsett var man är och var den information man behöver för sitt arbete finns. 17
www.cehis.se 2012-01-30 sid 18 Kort innehåll Organisationens logga Chip för lagring av e-legitimationer Inbyggd funktion för beröringsfri inpassering (RFID-chip) Baksida: Magnetremsa för t ex inpassering Baksida: Streckkod
www.cehis.se 2012-01-30 sid 19 Roller som behöver bemannas Roller som behöver bemannas när en organisation ansluter till SITHS är: RA (Registration Authority eller ansvarig kortutgivare). Säkerhetsansvarig. Registeransvarig. KRA (Kort RA eller korthandläggare). LRA (Lokal RA eller Reservkortshandläggare). Support.
www.cehis.se 2012-01-30 sid 20 HSA (Hälso och sjukvårdens adressregister) Underlag för säkerhet Källa för att skapa SITHS certifikat Källa för säkerhetstjänster Underlag för Sökningar 1177 (Vårdråd på telefon) (Egenskapsbaserad behörighet och SAML-biljett) Behörighet i Mina vårdkontakter Vården på Webben Telefonkatalog Hitta kollegor i Sverige Skapar konton i behörighetssystem (AD) Skapar e-postkonton
www.cehis.se 2012-01-30 sid 21 Federationer / andra bärare av SITHS certifikat Vad måste uppfyllas? Tillräckliga RAPS, RA m.fl. nivåer Tillräckligt säker korthantering Tillräcklig organisation för hantering av reservkort, support m.m. Avtal för tillit m.m Certifierade granskare (jmfr revisorer) A B C Styrgrupp (intressenter) Federationsoperatör (.se) SAML metadata Tillitsramverk Regelverk Avtal AL3 AL3 LoA3 LoA3 Identitetsutfärdare (IdP) https://idp.organisation.se Identitetsutfärdare (IdP) https://idp.organisation.se Identitetsutfärdare (IdP) / https://idp.organisation.se/ / -SAML Intyg - VEM, VAD, TILLITSNIVÅ, EGENSKAPER, ATTRIBUT E-tjänsteleverantör (SP) E-tjänsteleverantör (SP) https://sp.organisation.se/ E-tjänsteleverantör (SP) https://sp.organisation.se/ https://sp.organisation.se/
Kammarkollegiets kommande upphandling av tjänstekort Jan Lundh 2012-01-25
Befintligt ramavtal Ansvaret för ramavtal inom området övertogs i början av 2011 från RPS Enbart en leverantör - Gemalto AB Giltigt till 2012-08-31, Förlängning som längst till 2013-08-31 Etablering av referensgrupp
Avtalets omfattning Del A - Tjänstekort med eller utan EID-chip och beröringsfri inpasseringsfunktion m m Del B ID-kort för Försvarsmakten med eller utan EID-chip m m Programvara för hantering av korten Kortläsare Avropsberättigade är staten m fl
Kommande upphandling Arbete med tjänstekort synkroniseras med arbeten kring e-tjänstelegitimationer Förstudie hösten 2012 Upphandling våren 2013
Personlig reflektion Wiggo Öberg, MSB
Personlig reflektion Wiggo Öberg, MSB MSB-s intresse i denna fråga är kopplat till behovet av en säker infrastruktur för elektronisk kommunikation och säkra elektroniska tjänster i privat och offentlig sektor. MSB medverkar i e-delegationen med det syftet. MSB har också ett uppdrag att granska säkerheten i konceptet för e- legitimationer.
Reflektioner kring e-tjänstelegitimationer Grundbehovet Tillit vid relation mellan tjänsteman och annan organisation. Många vittnar om behovet varför tar det så lång tid till lösning. Svår affärsmodell Värna om Grundprinciperna Sträva efter kortlösningar eller motsvarande Endast id-information på e-leg. Organisationers ansvar Förväntan på att e-legnämnden löser allt. Kravbilden är genom tidigare utredningar tämligen klarlagd. Starta ett pilotprojekt under e-delegationen.
Wiggos reflektioner forts. Varför är det så dramatiskt med identifiering i tjänsten? Krånglar vi till det alldeles i onödan? Vad är det mer än fördomar som hindrar att en privat e-leg som användaren fått via sin arbetsgivare används, med stöd av attribut som anger organisationstillhörighet? Börja utveckla en lösning kraven är definierade! Alla frågor behöver inte ha ett svar när man startar.
Diskussion
Exempel på nyckelfrågor 1. Är det viktigt att aldrig lägga in roller och behörigheter i e- legitimationen? 2. Är det viktigt att personnummer inte ingår i en e-legitimation som används för legitimering i tjänsten? 3. Måste man använda en särskild e-tjänstelegitimation när man ska legitimera sig elektroniskt i tjänsten?
e-legitimering i tjänsten, skiss Användare 1 Anställd e-leg som man fått i i tjänsten Utfärdare av Identitetsintyg Användare 2 Myndighet/företag (i (i rollen som arbetsgivare) Attributsintygstjänst Privat e-leg som man skaffat själv Utfärdare av Identitetsintyg Regelverk Inklusive tillitsramverk och tekniskt ramverk Basstruktur offentlig och privat sektor Funktioner för - godkännande - uppföljning - test Nämnden i rollen som ansvarig för Bastrukturen
Exempel på nyckelfrågor 1. Är det viktigt att aldrig lägga in roller och behörigheter i e- legitimationen? 2. Måste man använda en särskild e-tjänstelegitimation när man ska legitimera sig elektroniskt i tjänsten? 3. Är det viktigt att personnummer inte ingår i en e-legitimation som används för legitimering i tjänsten? 4. Vem är utfärdare av en e-legitimation man får i tjänsten? 5. Finns det olika metoder att kommunicera elektroniskt i tjänsten?
Tre metoder att kommunicera elektroniskt i tjänsten, skiss e-leg gentemot interna system Myndighetens/ företagets egna system Användare kommunikation mellan internt och externa system behörighetsinfo hanteras i det interna systemet Offentlig e-tjänsteleverantör Privat e-tjänsteleverantör Anställd e-leg gentemot externa system behörighetsinfo måste skickas med, hämtas från extern källa eller finnas hos den externa aktören
Att legitimera sig elektroniskt i tjänsten Mycket är redan gjort men det gäller att generalisera och att koordinera Tack för att ni deltagit!