AMS utbetalning av statsbidrag till arbetslöshetskassorna

Relevanta dokument
AMS utbetalning av statsbidrag till arbetslöshetskassorna

AMS utbetalning av statsbidrag till arbetslöshetskassorna

Redovisning av slutsatser från granskningen av Arbetsförmedlingens utbetalning av statsbidrag till arbetslöshetskassorna år 2008

Återbetalning av statsbidrag

Statsbidragshanteringen inom arbetslöshetsförsäkringen. Rapport 2019:3

Underrättelser som inte kommit arbetslöshetskassan tillhanda

Återbetalning av statsbidrag

Arbetslöshetskassan Alfa Granskning av ekonomi. Rapport 2017:13

Uppbörden av finansieringsavgift från arbetslöshetskassorna

Riktlinjer för informationssäkerhet

Underlagspromemoria om det finansiella flödet i arbetslöshetsförsäkringen och IAF:s sanktioner mot arbetslöshetskassor

FÖRVALTNINGSRÄTTEN DOM Mål nr I LINKÖPING GA F IInspektionen f!lr

Effektmätning

Informationsutbytet mellan arbetslöshetskassorna, CSN och Försäkringskassan

FÖRVALTNINGSRÄTTENSAVGÖRANDE

Riktlinjer för informationssäkerhet

Finansieringen av arbetslöshetsförsäkringen

Anne-Marie Qvarfort. Kopia för kännedom: Arbetslöshetskassan Alfa Dnr 2009/422TO 1 (1)

3 Lag (1973:370) om arbetslöshetsförsäkring

Paraplysystemets säkerhet och ändamålsenlighet

IAFs redovisning av uppdrag i frågan om uttag av ränta vid ekonomiska återkrav inom arbetslöshetsförsäkringen (N2006/1051/A)

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

Kostnadsutvecklingen för anslaget 22:8 Bidrag till administration av grundbeloppet (Arbetslöshetskassan Alfa)

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Arbetslöshetskassornas medlemsavgiftsfordringar

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Arbetslöshetskassornas eget kapital

Innehåll. Sammanfattning Promemorians lagförslag... 5 Förslag till lag om ändring i lagen (1997:239) om arbetslöshetskassor...

Arbetslöshetskassornas fordringar gällande felaktigt utbetald arbetslöshetsersättning

Ekonomigranskning 2015

Ansökningshandlingen ska vara utformad på sådant sätt att den endast avser inträde i en arbetslöshetskassa.

Granskning av Arbetslöshetskassan Alfas ekonomi

Granskning av arbetslöshetskassornas årsredovisningar Rapport 2017:14

Granskning av arbetslöshetskassornas årsredovisningar Rapport 2018:12

Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet

Meddelad i Linköping. MOTPART Inspektionen för arbetslöshetsförsäkringen FÖRVALTNINGSRÄTTENSAVGÖRANDE

Felaktigt utbetalad arbetslöshetsersättning Fordringar, återkrav och återbetalningar. Rapport 2017:17

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Instruktioner entreprenörer Elektroniska blanketter 29-31

Granskning av arbetslöshetskassornas årsredovisningar 2015

Budgetunderlag för budgetåren för Inspektionen för arbetslöshetsförsäkringen (IAF)

Granskning av beslut efter inkomna underrättelser vid Småföretagarnas arbetslöshetskassa

Anmälan hos Arbetsförmedlingen via e-tjänst, telebild eller telefon

Kompletterande aktörer och Arbetsförmedlingens kontrollarbete Säkerställer Arbetsförmedlingen en korrekt avvikelserapportering?

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

3 En arbetslöshetskassas beslut att bevilja en inträdesansökande medlemskap ska vara skriftligt.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

2 En ansökan om medlemskap ska vara skriftlig och undertecknad.

Arbetslöshetskassornas handläggning av ärenden rörande personer med anställning i företag som hyr ut arbetskraft

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Arbetslöshetskassornas verkställighet av domar

Arbetslöshetskassorna som administratör av aktivitetsstöd

Arbetslöshetskassornas beslutsordningar

Omprövning av utträde vid bristande betalning

Omfattning av arbete före period med arbetslöshetsersättning

Hantering av uteslutning och frånkännande

Krav på webbläsare. Manual för arbetslöshetkassorna. De webbläsare som är kompatibla med portalen är minst Internet Explorer 6.x och Firefox 2.

2016:25 Företag utan verksamhet. Uppföljning initierad av IAF

Begäran om ändringar i lagen (1997:238) om arbetslöshetsförsäkring (ALF) och förordningen (1997:835) om arbetslöshetsförsäkring

Riksgäldskontorets författningssamling

FÖRVALTNINGSRÄTTEN I LINKÖPING BAKGRUND,YRKANDEN DOM

3 Metod och genomförande

Meddelad i Linköping. KLAGANDE Akademikernas erkända arbetslöshetskassa Box 3536 I03 69 Stockholm

Kvartalsredovisning. Antalet EU-intyg hänförliga till EGförordning. arbetslöshetsersättning Tredje kvartalet 2004

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Granskning av arbetslöshetskassornas årsredovisningar 2011

Kronofogdemyndigheten

Antal nya beslut om arbetslöshetsersättning grundad på studerandevillkoret 2005

Bilaga 3c Informationssäkerhet

Regleringsbrev för budgetåret 2018 avseende Inspektionen för arbetslöshetsförsäkringen

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Regleringsbrev för budgetåret 2017 avseende Inspektionen för arbetslöshetsförsäkringen

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Arbetslöshetsersättning inom EU Estland

IAF. Begäran om ändringar i lagen (1997:238) om arbetslöshetsförsäkring (ALF) och förordningen (1997:835) om arbetslöshetsförsäkring

Granskning av beslut efter inkomna underrättelser vid Hotell- och restauranganställdas arbetslöshetskassa

Revisionsrapport. Löpande granskning 2009

Koncernkontoret Området för informationsförsörjning och regionarkiv

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Bidragsmottagare är den som söker eller får bidraget. Den budget som har godkänts av bidragsgivaren skall följas.

Allmänna villkor för bidrag till föreningar, stiftelser m.fl. Bidragsgivare är regeringen eller Regeringskansliet.

Folke Bernadotteakademins villkor för stöd till projektverksamhet som främjar genomförandet av FN:s säkerhetsrådsresolution 1325

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Stark autentisering i kvalitetsregister

Riktlinjer för hantering av enskildas privata medel inom social- och äldrenämnden

IAF:s granskning av företagarärenden: Handelsanställdas arbetslöshetskassa

Konsekvensbeskrivning som avser föreskrifterna (IAFFS 2014:6) om arbetslöshetskassor

ANVÄNDARVILLKOR FÖR E-CURIA tillämpliga på parternas företrädare

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Folke Bernadotteakademins allmänna villkor för stöd till verksamhet som främjar genomförandet av FN:s säkerhetsrådsresolution 1325

Regleringsbrev för budgetåret 2016 avseende Inspektionen för arbetslöshetsförsäkringen

EyeNet Sweden stark autentisering i kvalitetsregister

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Budgetunderlag för budgetåren

Transkript:

2006:11 AMS utbetalning av statsbidrag till arbetslöshetskassorna 2006-06-29 Dnr 2006/553

2

Arbetsmarknadsstyrelsens (AMS) utbetalning av statsbidrag till arbetslöshetskassorna I regleringsbrevet för 2006 har regeringen uppdragit åt Inspektionen för arbetslöshetsförsäkringen (IAF) att den 1 juli 2006, till regeringen och Arbetsmarknadsstyrelsen (AMS), påtala slutsatser från granskningen av utbetalningen av statsbidraget till arbetslöshetskassorna. Denna rapport utgör IAF:s redovisning som senast den 1 juli 2006 skall lämnas till regeringen. Rapporten har utarbetats inom IAF på tillsynsenheten av Ritva Malmqvist, Camilla Pettersson och Carina Wiksholm. Inspektionen för arbetslöshetsförsäkringen, IAF, startade sin verksamhet i Katrineholm den 1 januari 2004. IAF svarar för den samlade tillsynen och andra statliga uppgifter som gäller arbetslöshetsförsäkringen. Inspektionen för arbetslöshetsförsäkringen, IAF Box 210 641 22 Katrineholm Tfn: 0150-48 70 00 E-post: iaf@iaf.se www.iaf.se 3

4

Innehåll Sammanfattning... 7 Bakgrund och genomförande... 8 Rutinerna i samband med utbetalning av statsbidrag... 10 Nulägesbeskrivning... 10 Beslut om behörigheter i samband med ansökan om statsbidrag... 12 AMS avstämningar i samband med utbetalningen av statsbidrag... 12 AMS avstämning mot a-kassornas redovisning... 12 AMS avstämning av återbetalningar... 13 Rutiner för elektronisk hantering... 14 Översiktlig beskrivning av den nya webbaserade statsbidragshanteringen... 14 Autentisering och åtkomstkontroll... 15 Elektronisk signering... 15 Elektronisk signering och överföring av statsbidragsansökan... 16 Slutsatser... 18 5

6

Sammanfattning Den 6 februari 2006 driftsattes nya interaktiva webbaserade statsbidragssystemet Steak 1 på samtliga arbetslöshetskassor (a-kassor). I samband med införandet av det nya systemet har hanteringen av AMS utbetalning av statsbidrag kommit att förändras i vissa avseenden. Då nya Steak endast varit i drift en kortare tid anser IAF att det i dagsläget inte är meningsfullt att göra någon större granskning av system och rutiner. Rapporten fokuserar bland annat på vissa lösningar som har valts i detta webbaserade system för att kunna avgöra huruvida den elektroniska hanteringen av statsbidragsansökan sker på ett säkert och tillförlitligt sätt över öppna nätverk såsom Internet. En av de frågor som behandlats i tidigare rapporter har gällt säkerställande av behörigheter hos a-kassepersonal i samband med ansökningar om statsbidrag. IAF kan konstatera att AMS numera upprättar avtal med respektive a-kassa. AMS ställer även krav på att a-kassorna till avtalen skall bifoga gällande beslutsordning. IAF har tidigare påtalat att AMS inte gör någon avstämning av utbetalat belopp i statsbidrag mot a-kassornas redovisning av erhållet belopp. AMS uppger nu att någon form av avstämning mot a-kassornas redovisning kommer att införas. Vidare anser IAF att det är av vikt att AMS stämmer av och kontrollerar att belopp som a-kassorna redovisar som återbetalningar i statsbidragsansökan också betalas in till AMS. AMS har uppgett att rutiner finns för att kontrollera uteblivna inbetalningar samt för att påminna de a-kassor som inte betalar in återbetalningar. IAF anser dock att AMS bör ändra sin rutin till att även omfatta en kontroll av återbetalningarna efter att påminnelse gjorts. AMS har uppgett att det finns flera fördelar med det nya webbaserade Steak. Det har exempelvis medfört ökad tillgänglighet för handläggarna hos a-kassorna, systemet har byggts på en mera modern teknik och det finns inte något nyckelpersonberoende längre. 1 Detta är ett systemstöd för a-kassorna och AMS för administrationen av ansökan om statsbidrag vid utbetalning av arbetslöshetsersättning. 7

IAF kan dock konstatera att identifiering och autentisering 2 av användare inte baseras på en säker identifiering med hjälp av PKI/kryptoteknik. IAF kan även konstatera att den befintliga lösningen för att signera statsbidragsansökan inte heller baseras på säker signering och kryptering med hjälp av PKI/kryptoteknik. Detta innebär således att det saknas förändringsskydd och att det inte går att säkerställa att den elektroniska ansökan inte har förvanskats otillbörligt under överföringen. Det har dock införts vissa andra kontroller för att öka säkerheten och tillförlitligheten i den elektroniska hanteringen. IAF bedömer att det är olämpligt att AMS överger den extra kontroll som den skriftliga statsbidragsansökan innebär innan AMS infört en rutin för säker elektronisk identifiering och överföring av statsbidragsansökan. Enligt AMS har en analys av risker, sårbarheter och skadekonsekvenser genomförts innan införandet av nya Steak. Någon dokumenterad risk- och sårbarhetsanalys för att säkerställa den elektroniska hanteringen finns dock inte. Bakgrund och genomförande Enligt regleringsbrevet för budgetåret 2006 avseende Arbetsmarknadsverket (AMV) disponerar AMV anslag 22:2 ap.2 bidrag till arbetslöshetsersättning. Anslagsbeloppet får användas för statsbidrag enligt förordningen (1997:836) om arbetslöshetskassor. Arbetsmarknadsstyrelsen (AMS) betalar ut statsbidrag till arbetslöshetskassorna i omedelbar anslutning till a-kassornas utbetalning av arbetslöshetsersättning enligt lagen (1997:238) om arbetslöshetsförsäkring. IAF har i uppdrag att inom ramen för tillsynen följa upp AMS utbetalning av statsbidraget. År 2005 uppgick summan av utbetald arbetslöshetsersättning från landets trettiosju a-kassor, inkomstrelaterad ersättning och grundbelopp, till totalt 31 189 miljoner kronor 3. IAF har i fyra tidigare rapporter (den 1 juni och den 1 november 2004 samt den 1 juli och den 1 november 2005) till regeringen redovisat slutsatser från granskningen av AMS hantering av utbetalningen av statsbidrag till a-kassorna. 2 Verifiering av uppgiven identitet. 3 Källa: A-stat 8

IAF:s rapportering har bland annat omfattat resultaten från den granskning som gjorts av säkerheten och rutinerna kring utbetalningen av statsbidrag till a-kassorna. Granskningen har även omfattat det administrativa system, Steak, som används vid administrationen av utbetalningarna. Vidare har rapporteringen redovisat den uppföljning som gjorts för att se vilka åtgärder AMS vidtagit för att förbättra rutinerna och säkerheten kring statsbidragshanteringen utifrån de brister som IAF påtalat. Vid de senaste två rapporteringstillfällena (1 juli och 1 november 2005) kunde IAF konstatera att AMS ännu inte infört rutiner för: Säkerställande av att behörigheter i samband med hanteringen av statsbidragsansökningar hos a-kassorna tilldelas i enlighet med respektive a-kassas beslutsordning. Avstämning av utbetalt belopp i statsbidrag mot a- kassornas redovisning av erhållet belopp. IAF kunde dock konstatera att anledningen till att några åtgärder ännu inte vidtagits var att AMS under våren och sommaren 2005 arbetat med att ta fram det nya systemet. I samband med arbetet kring detta skulle, enligt AMS, även rutinerna ses över och däribland de som IAF framfört synpunkter på. Vad gäller systemsäkerheten konstaterades i IAF:s rapport den 31 oktober 2005 att inga utestående frågor fanns. Ett flertal av tidigare påpekanden skulle komma att vara åtgärdade eller överspelade i och med införandet av nya Steak. Efter tester av systemet och pilotdrift hos två a-kassor sattes det i drift hos samtliga a-kassor den 6 februari 2006. IAF har valt att inte göra en fullständig analys av nya Steak i dagsläget eftersom systemet inte har varit i drift tillräckligt länge. En granskning av det nya systemet och utbetalningsrutinerna kommer således att krävas när systemet varit i drift en längre tid. Denna rapport består av två delar; Rutinerna i samband med utbetalningen av statsbidrag och Rutiner för elektronisk hantering. Rapporten omfattar bland annat en nulä 9

gesbeskrivning, ett avsnitt om avstämningar kring statsbidragshanteringen och ett avsnitt om elektronisk signering. Informationsinhämtandet har främst skett genom att ett antal frågor ställts till AMS. Vidare har aktuella frågor diskuterats vid ett möte med företrädare för AMS. Då presenterades även det nya systemet i korthet. Rutinerna i samband med utbetalningen av statsbidrag Nulägesbeskrivning Den 6 februari 2006 driftsattes nya Steak på samtliga a- kassor. AMS uppger att implementeringen i stort har fungerat bra och att a-kassorna utan större problem har kommit igång med att använda systemet. IAF har även inhämtat information beträffande implementeringen från nio a-kassor av varierande storlek. Av svaren framgår att a-kassorna anser att övergången till de nya rutinerna i samband med införandet av nya Steak har fungerat bra. A-kassorna anser även att AMS lämnat tillräcklig information inför införandet av det nya systemet. Ingen av dessa a-kassor har upplevt några större problem med det nya systemet eller de nya rutinerna. Införandet av nya Steak har medfört att vissa rutiner i samband med hanteringen av statsbidraget har ändrats, bland annat att a-kassorna sänder ansökan om statsbidrag elektroniskt. Under en övergångsperiod skickar dock a-kassorna även ansökningar på papper för att säkerställa autenticiteten 4 på de elektroniska ansökningarna. Tanken var från början att a-kassorna skulle registrera en tidsplan avseende planerade utbetalningsdagar i Steak. AMS har dock beslutat att en funktion skall byggas i Steak där AMS hämtar utbetalningsdagar från OAS (akassornas handläggarsystem för arbetslöshetsersättning), eftersom dagarna redan finns registrerade där. Vidare skall administrationen av ändringar i tidsplanerna genomföras av AMS. I dagsläget överförs tidsplanerna via fil per a-kassa från OAS till Steak med hjälp av Arbetslöshetskassornas samorganisation (SO). Det är en förutsättning att tidsplaner finns registrerade i Steak för 4 Äktheten 10

att a-kassorna över huvud taget skall kunna skapa ansökningar om statsbidrag i systemet. Ytterligare en förändring i rutinerna är att a-kassorna numera kan registrera ändringar i statsbidragsansökan genom att öppna en sparad ansökan och göra nödvändiga justeringar. Tidigare inkom sådana ändringar från a- kassorna till AMS via exempelvis fax. AMS registrerade sedan dessa i Steak. Ändringar i en redan avsänd ansökan kan enligt AMS bli aktuell bland annat i EES-ärenden. Det nya systemet gör det även möjligt för a-kassorna att själva ta fram olika rapporter. Dessa innehåller bland annat statistiska uppgifter avseende tidigare ansökningar, utifrån vilka AMS har betalat ut statsbidrag. Exempelvis kan statistik tas fram över hur mycket som betalats ut i form av olika ersättningsslag. Denna typ av rapportering kunde a-kassorna tidigare endast erhålla vid begäran från AMS. IAF har frågat AMS om de nya rutinerna skulle kunna medföra någon risk för att a-kassorna skulle kunna göra felregistreringar i systemet som skulle kunna få ej önskvärda konsekvenser. AMS har svarat att de fel som a- kassorna skulle kunna åstadkomma är att exempelvis av misstag registrera fel belopp i statsbidragsansökan. Någon annan felregistrering av väsentlig betydelse, frivilligt eller ofrivilligt, kan de inte göra. För de fall fel belopp registreras finns två kontroller: Uppgifterna i statsbidragsansökan och eventuella ändringar i ansökan skall hos a-kassorna alltid bekräftas av två personer. När statsbidragsansökan inkommer till AMS görs en avstämning av ansökt belopp mot beloppet i den fil från OAS som a-kassan skickat till banken. Filen, som AMS hämtar från banken, innehåller information av betydelse för att utbetalning till ersättningstagare skall kunna göras. Om det vid avstämningen uppstår en differens kontaktas aktuell a-kassa för kontroll. I och med att införandet av nya Steak har medfört en del förändringar i rutinerna har även dokumentationen kring rutinerna uppdaterats. IAF har dock inte gjort någon särskild granskning vad gäller innehållet i rutinbeskrivningarna. 11

Beslut om behörigheter i samband med ansökan om statsbidrag En av de frågor som behandlats i tidigare rapporter har gällt säkerställandet av behörigheter hos a-kassepersonal i samband med ansökningar om statsbidrag. IAF har tidigare påtalat att AMS inte ställt några krav på a-kassorna för att säkerställa behörigheter i samband med hanteringen av statsbidragsansökningar. En sådan kontroll är självklar med tanke på de stora belopp som årligen betalas ut i arbetslöshetsersättning. IAF har vidare uttryckt att det är rimligt att en sådan kontroll av behörighet stäms av mot respektive a-kassas beslutsordning. AMS har tidigare meddelat IAF att detta skulle ses över i samband med att ett nytt system, och därmed nya rutiner, arbetades fram. AMS har nu arbetat fram ett avtal med villkor avseende ansökan om statsbidrag. Avtal har upprättats mellan AMS och var och en av a-kassorna. Detta skedde innan driftsättningen av det nya systemet. I avtalen skall bland annat uppgifter lämnas om användarna av systemet och behörig/behöriga firmatecknare hos respektive av a-kassa. AMS ställer även krav på att den för respektive a-kassa gällande beslutsordningen skall bifogas till avtalen. De upprättade avtalen är giltiga ett kalenderår och skall förnyas årligen. Dessutom förbinder sig a-kassorna i avtalen att vid förändringar av uppgifterna omgående meddela AMS. AMS avstämningar i samband med utbetalningen av statsbidrag AMS avstämning mot a-kassornas redovisning IAF har i tidigare rapporter påtalat att AMS inte gör någon avstämning av utbetalat belopp i statsbidrag mot a-kassornas redovisning av erhållet belopp. Enligt regleringsbrevet för budgetåret 2006 avseende Arbetsmarknadsverket disponerar AMV anslag 22:2 ap. 2 bidrag till arbetslöshetsersättning. Anslagsbeloppet får användas för statsbidrag enligt förordningen (1997:836) om arbetslöshetskassor. En avstämning av utbetalat be 12

lopp i statsbidrag mot a-kassornas redovisning av erhållet belopp skulle främst syfta till att följa upp att anslag 22:2 ap. 2 används till det som det är avsett för. Vid kontakt med AMS den 8 juni 2006 var AMS överens med IAF om att det är rimligt att AMS inför någon form av avstämning mot a-kassornas redovisning. AMS skall nu fundera kring på vilket sätt underlag för avstämning skall inhämtas från a-kassorna. AMS avstämning av återbetalningar I de statsbidragsansökningar som a-kassorna sänder till AMS skall även eventuella belopp som skall återbetalas till AMS redovisas. Beloppen redovisas under posterna återbetalning från ersättningstagare samt återbetalning från arbetslöshetskassan. Dessa innebär följande: Återbetalning från ersättningstagare Belopp som redovisas under denna rubrik är en skuld som har återbetalats från ersättningstagare till a-kassan och skall återbetalas till AMS. Återbetalning från arbetslöshetskassan - belopp som redovisas under denna rubrik är statsbidrag som a- kassan skall betala tillbaka till AMS och som inte längre kvarstår som skuld hos ersättningstagaren. Det kan exempelvis handla om statsbidrag som a-kassan skall återbetala till AMS efter beslut från IAF. I anslutning till att arbetslöshetskassan sänder in statsbidragsansökan skall också belopp avseende återbetalningar inbetalas till AMS (kommentar till 5 AMSFS 2004:9). IAF anser att det är av vikt att AMS stämmer av och kontrollerar att belopp som redovisas under ovan nämnda poster också betalas in till AMS. Rutiner finns för att stämma av att inbetalning till AMS sker avseende de belopp som redovisas under ovan nämnda poster för återbetalning. AMS rutin innefattar även en påminnelse då en a-kassa inte betalat in de i statsbidragsansökan redovisade återbetalningarna. Om återbetalning från a- kassa inte har skett efter påminnelse skickar AMS information om detta till IAF. Därmed upphör AMS kontroll av att återbetalningarna betalas tillbaka. Om de aktuella beloppen inte inkommer så antas det vara ett resultat av att IAF har beslutat att återbetalning inte behöver göras. 13

Då AMS svarar för anslaget 22:2 ap 2 kan inte IAF, som tillsynsmyndighet, vara en del av den löpande uppföljningen av detta anslag. Således bör AMS ändra sin rutin till att även omfatta en kontroll av återbetalningarna efter att påminnelse gjorts. Rutiner för elektronisk hantering Den här delen av rapporten syftar huvudsakligen till att svara på frågan om hur man vet att det endast är behöriga användare som får åtkomst till systemet och att den elektroniska handlingen är äkta och inte har förvanskats under överföringen. Översiktlig beskrivning av den nya webbaserade statsbidragshanteringen A-kassorna kan lämna en ansökan om statsbidrag i form av en elektronisk handling genom att identifiera sig i det nya interaktiva webbaserade systemet Steak. Detta system är klassat som ett samhällsviktigt system med höga krav på riktighet 5 och tillgänglighet 6. Steak tillhandahålls och administreras av AMS. Ca 250 användare hos a-kassorna har åtkomst till Steak och behörighet att registrera och signera den elektroniska ansökan om statsbidrag. I Steak utförs ett antal moment dels hos a-kassan och dels hos AMS. Följande beskriver kortfattat vad som händer från och med att statsbidragsansökan skapats till dess att den blivit registrerad som utbetald i Steak. 1. Identifiering och autentisering av användare. Handläggare hos a-kassan loggar in sig i systemet via inloggningssidan till Steak med sitt användarnamn och bekräftar detta med sitt lösenord. 2. Skapa ansökan. Handläggare hos a-kassan väljer från startsidan en av systemets huvudfunktioner Statsbidragsansökan för att skapa en ny ansökan. Underlaget för statsbidragsansökan hämtas från OAS och handläggaren granskar att uppgifterna är riktiga och korrekta. Handläggaren skapar ansökan genom att ange sitt lösenord och be 5 Riktighet syftar till att informationen som hanteras av systemet ska vara och förbli korrekt, aktuell och fullständig. 6 Tillgänglighet syftar till att informationen kan nås av behöriga användare när den behövs. 14

kräftar detta genom en knapptryckning. Statsbidragsansökan får status Ny och den blir tillgänglig för signering. 3. Signera ansökan. En ansökan eller ändring i statsbidragsansökan måste alltid signeras av en annan behörig handläggare hos a-kassan. När denna handläggare har verifierat att uppgifterna i ansökan är riktiga och korrekta anger hon/han sitt lösenord och bekräftar detta genom en knapptryckning. Statsbidragsansökan får status Signerad och den blir tillgänglig för AMS att godkännas alternativt underkännas. 4. Utbetalning av statsbidrag. När AMS har godkänt statsbidragsansökan görs en statsbidragskörning från AMS, Riksgälden får underlaget och Föreningssparbanken betalar ut. Statsbidragsansökan får status Utbetald i Steak. Spårbarhet till genomförda aktiviteter ovan finns i funktionen Ansökan historik som visar när aktiviteten utfördes och av vem. Den pappersbaserade rutinen används tillsvidare parallellt med den elektroniska hanteringen. Autentisering och åtkomstkontroll Åtkomst till Steak medges via webben och användarna hos a-kassorna identifierar sig till systemet genom inloggning med användarnamn och lösenord. Den befintliga lösningen för identifiering och autentisering av användare är så kallad enfaktor-identifiering 7. Autentisering av klientdatorer sker inte, dvs. användarna behöver inget eget certifikat och kan använda valfri PC-dator som är uppkopplad mot Internet för att få åtkomst till Steak. Elektronisk signering Elektronisk signering eller underskrift på en handling är en elektronisk motsvarighet till en namnteckning och syftar bland annat till att göra det möjligt att identifiera 7 Enfaktor-identifiering innebär att autentisering av användare görs med hjälp av användarnamn och lösenord. Tvåfaktorautentisering innebär att användaren autentiseras med hjälp av något denne även har, t.ex. certifikat lagrat på ett smart card, och uppfyller kraven för högre grad av säkerhet. 15

undertecknaren och att eventuell förvanskning av uppgifterna kan upptäckas. Statsbidragsansökan skrivs numera under även elektroniskt i Steak av handläggare hos a-kassorna. Signering av ansökan sker i samarbete mellan två olika handläggare då den ena skapar en ny ansökan eller gör ändringar i ansökan och den andra verifierar uppgifterna. Denna process sker genom att handläggarna anger sina lösenord och bekräftar genom en knapptryckning. Kontroller som har införts för att åstadkomma en säkrare hantering av den elektroniska statsbidragsansökan består bland annat av att det har införts så kallad dualitet, så att en ensam handläggare inte kan genomföra samtliga arbetssteg ensam från början till slut. Det krävs därmed att två behöriga handläggare är involverade i dessa steg, så att den ena skapar en ny ansökan och den andra verifierar uppgifterna i ansökan genom signering. När statsbidragsansökan inkommer till AMS görs en avstämning av ansökt belopp mot filen som AMS hämtar från utbetalande bank. A-kassorna skickar tillsvidare även ett pappersunderlag av statsbidragsansökan till AMS. Elektronisk signering och överföring av statsbidragsansökan AMS anser att fördelarna med det nya systemet som stödjer den elektroniska hanteringen bland annat är att det förenklar hanteringen jämfört med tidigare rutiner i form av pappers- och faxunderlag. Systemet bygger också på en mera modern teknik och är befriad från det stora nyckelpersonberoendet som fanns förknippat med det gamla systemet, då en ensam konsult hade utvecklat och hade all kunskap om systemet. Tillgängligheten har ökat för a-kassorna, eftersom handläggarna inte är bundna till en enda fysisk plats utan kan lämna in statsbidragsansökan och signera dessa uppgifter från en valfri dator som är uppkopplad mot Internet. AMS uppger att det har utförts en analys av eventuella risker, sårbarheter och skadekonsekvenser innan införandet av nya Steak. AMS har dock ej redovisat vilken metod som har använts i analysen och det finns ingen dokumenterad risk och sårbarhetsanalys. Den befintliga lösningen i Steak vad gäller elektronisk identifiering brukar graderas som en av de osäkra varianterna för att veta att användaren är den som han/hon utgett sig att vara (användarnamn i kombination med 16

PIN-kod brukar graderas som ännu osäkrare lösning). Denna lösning uppfyller inte kraven för tekniska, administrativa och rättsliga krav i elektronisk identifiering (eid), enligt Statskontorets/Vervas ramavtal som baseras på den globala standarden för PKI 8 /kryptoteknik. IAF kan även konstatera att den befintliga lösningen för att signera statsbidragsansökan inte heller baseras på den globala standarden för PKI/kryptoteknik. Därmed uppfyller inte den här typen av elektronisk signatur kraven för tekniska, administrativa och rättsliga krav för elektronisk underskrift, dvs. avancerad eller kvalificerad elektronisk signatur enligt Statskontorets/Vervas ramavtal. Detta innebär således att det inte går att säkerställa att den elektroniska ansökan inte har förvanskats otillbörligt under överföringen. Säkerheten att rätt belopp betalas ut höjs eftersom en avstämning av innehållet sker hos AMS mot de inhämtade uppgifterna från banken. När det gäller Internetbaserade system och elektroniska överföringar via Internet är det särskilt viktigt att genomföra en utförlig och dokumenterad analys av eventuella risker och skadekonsekvenser. Detta för att säkerställa hanteringen redan innan utvecklingsarbetet påbörjas och definitivt innan systemet tas i drift. I analysen bör också hänsyn tas till informationens och systemets säkerhetsklassning, t.ex. om systemet är så kallat samhällsviktigt system med höga säkerhetskrav. Det bör därmed säkerställas att endast behöriga användare får åtkomst och tillträde till systemet via Internet samt att den elektroniska ansökan om statsbidrag inte kan förvanskas otillbörligt under överföringen via Internet. AMS anser att avtalet som har träffats mellan AMS och a-kassorna gör att säkerheten är lika god som den är i den vedertagna lösningen som baseras på PKI/kryptoteknik. Det är viktigt att det finns en tillförlitlig rutin för styrning och begränsning av tilldelade behörigheter till användarna, så att endast ett fåtal användare med behov har denna behörighet hos a-kassorna. 8 Public Key Infrastucture (PKI) hanterar de tre grundfunktionerna för säker identifiering, signering och kryptering. Denna teknik finns som grund i vägledning för myndigheters användning av e-legitimationer och elektroniska underskrifter som utarbetats på uppdrag av regeringen inom ramen för SAMSET och E-nämnden i samverkan med flera stora myndigheter. 17

IAF:s uppfattning är att den befintliga lösningen i Steak inte uppfyller kraven för god informationssäkerhet. IAF bedömer därför att det är olämpligt att AMS överger den extra kontroll som den skriftliga ansökan innebär innan AMS infört en rutin för säker elektronisk identifiering och överföring av statsbidragsansökan. Slutsatser Utifrån den information IAF erhållit, dels från AMS och dels från ett antal tillfrågade a-kassor, förefaller implementeringen av nya Steak ha fungerat bra. Hur väl det nya systemet som helhet och de delvis nya rutinerna fungerar, inte minst säkerhetsmässigt, får en framtida granskning utvisa. Vad gäller avstämningar i samband med statsbidragshanteringen kan det konstateras att AMS nu ser över på vilket sätt avstämning mot kassornas redovisning skall göras. IAF förutsätter att en rutin för en sådan avstämning införs så snart det är praktiskt möjligt. Utifrån de rutiner AMS har för uppföljning av återbetalningar av statsbidrag har IAF noterat att ingen uppföljning görs i de fall då AMS har skickat påminnelse till en a-kassa. IAF anser att AMS bör utöka den nuvarande rutinen till att även omfatta en kontroll av återbetalningar efter att påminnelse gjorts. Det nya webbaserade Steak innebär att ansökningarna om statsbidrag skapas och överförs elektroniskt. För att åstadkomma en säkrare hantering av den elektroniska ansökan har följande kontroller införts: Behöriga handläggare måste identifiera sig i systemet med sitt användarnamn och bekräfta detta med sitt lösenord. Så kallad dualitet, dvs. en ensam handläggare kan inte genomföra samtliga arbetssteg från början till slut. IAF kan dock konstatera att identifiering och autentisering av användare inte uppfyller tekniska, administrativa och rättsliga krav för en säker identifiering av användare. Den befintliga lösningen för elektronisk signering uppfyller inte heller krav som ställs för säker signering och kryptering av elektroniska meddelanden. 18

IAF bedömer således att det är olämpligt att AMS överger den extra kontroll som den skriftliga ansökan innebär innan AMS infört en säker lösning för identifiering och signering. AMS har uppgett att en analys av risker, sårbarheter och skadekonsekvenser har genomförts innan införandet av nya Steak. Någon risk- och sårbarhetsanalys för att säkerställa den elektroniska hanteringen finns dock inte dokumenterad. AMS har heller inte redovisat vilken metod som använts i analysen. 19

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss