Framtidens säkra elektroniska identifiering Framväxt och användning av e-legitimationer Karin Hedström Institutionen för ekonomisk och industriell utveckling Linköpings universitet & Handelshögskolan Örebro universitet
Agenda FUSe-projektet i korthet Fokus på två fallstudier Återkommande teman i fallen Utmaningar och möjligheter för framtiden Illustrationerna hämtade från Vem är vem på nätet? En studie om elektronisk identifiering
Forskarna informatiker och statsvetare i samverkan Finansierat av Myndigheten för samhällsskydd och beredskap (MSB)
CASE I: E-ID I SKOLAN
eid i skolan Studier av implementering och användning av säker inloggning till lärplattformar och e-tjänster i skolan Flera aktörsgrupper Skolledning Lärare Administratörer Elever Föräldrar Kommunens handläggare Kommunens IT-samordnare
Bakgrund Varför studera skolor Skolan en viktig organisation där en stor mängd information, inklusive känslig information, utbyts mellan olika aktörer IT-system har använts under en lång tid i skolan lärplattformar Skollagen (2011) kräver kontinuerlig uppföljning av eleven, skriftliga omdömen och digital IUP Ökande administration i skolan Utbildningsförvaltning och e-förvaltning Linköpings eprogram (2006), Linköpings Digitala Agenda (2012) E-tjänster ska underlätta för alla att leva och verka i Linköpings kommun
Lärplattformar och e-tjänster i skolan Pedagogik, administration & kommunikation Lärplattform Skriftliga omdömen, IUP FRONTER E-tjänst: anmälan f. vårdplats, inkomstanmälan Närvaro/frånvaroregistrering DEXTER Extens Kommunens kärndatabas Skolvalet E-tjänst Skriftliga omdömen, IUP Närvaro/frånvaroregistrering SKOLA 24 Personaladministration Heroma TRIO Lärplattform Skriftliga omdömen, IUP Intranät Schoolsoft LINSAM X, Y, Z X, Y, Z X, Y, Z
Urvalet Baserat på en kartläggning av IT-system som används i skolor i Linköpings kommun Totalt 56 grundskolor: 45 kommunala och 11 friskolor 5 skolor (grundskola + gymnasium) från olika skolområden, varav 4 kommunala + 1 friskola 3 stora ( 300 e.) + 2 små ( 300 e.) Linköpings kommun Utbildningsförvaltningen IT-enheten
Användning av säker inloggning till lärplattformar och e-tjänster kopplade till skolan Inloggningen sker huvudsakligen med id + lösenord (elever och lärare) eid (vårdnadshavare) Relativt få föräldrar hade vid fallstudiens genomförande utnyttjat den möjligheten
Erfarenheter av användning Skolorna har kommit olika långt i användningen av FRONTER, beroende på Rektors inställning Skolans interna organisation Arbetsmodeller för IUP Ledarskap IT-kompetens bland lärare Gymnasierna var först ut och använder systemet mer aktivt
Implementering av säker inloggning till lärplattformar och e-tjänster i skolan Nya arbetsmodeller Skollagen Oklart uppdrag för (några) rektorer: hur och i vilket syfte ska FRONTER användas i skolan Oklart för lärare, i några skolor, att FRONTER ska användas Dagens inloggning uppfattas som smidig, men inte säker eid i dagens upplägg med många aktörer involverade Svårt för användaren att få problemet löst (vem har ansvar) eid uppfattas som för omständligt av föräldrarna Lärarna vägrar att använda privata eid för identifiering/inloggning i IT-system i skolan Behov av säker och lättanvänd inloggning hemifrån
CASE II: E-ID I VÅRDEN
Fallstudien - eid i vården Breddinförande av e-tjänstekort (start i maj 2012) 14 000 användare totalt Utsedd projektgrupp (på uppdrag från styrgrupp) 500-600 kort tidigare utgivna (dock utan funktion) Projekt förlängt (tidigare mål februari 2013) Tydlig styrning på tid Vi studerade ett införande under själva införandet
E-tjänstekortet motiven Lagkrav Patientdatalagen 1 juli 2008 Loggning, spärr och sammanhållen journal Ökad patientsäkerhet och skydd av känsliga uppgifter Stark autentisering Åtkomst av patientuppgifter Flerfaktorautentisering enligt Socialstyrelsens krav SITHS-kortet Uppfyller SOSFS 2008:14* *Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14)
E-tjänstekortet motiven Ökad säkerhet Åtkomst Utskrifter Inpassering Standardiserade delar Kort, certifikat, kortläsare etc Kopplingar till nationella tjänster NPÖ, Pascal, Mina vårdkontakter etc
Genomförande Intervjurunda 1 (september oktober 2012) SITHS-ansvarig, IAM-frågor Informationssäkerhetsansvarig, landstingsjurist Delprojektledare, breddinförande Projektledare, teknisk konsult Intervjurunda 2 (november 2012 maj 2013) Vårdcentral 1 + Vårdcentral 2 Klinik Roller: Verksamhetschef, ITR, Läkare alt. SSK, USK, Administrativ Seminarier/kvalitetssäkring: tre omgångar
Införandets karaktär Hög fart (stark tidsstyrning) Utgångspunkt i ett tydligt beslut Stegvis enhetsvis Initialt fokus på enkla enheter Problem och undantag (ad hoc snarare än a priori) (t ex hygienkrav/smittorisker, integration) Nyckelpersoner (högt beroende och belastning) (t ex support) Parallell framväxt av rutiner
Föreställningar om eid i vårdvardagen lösa kraven på stark autentisering ett ID som talar om vem jag är det har nog att göra med säkerhet 19
Det här med att skapa nytta det jag tror skulle ge mest effekt är att kunna betala i kaffeterian eller ha till kaffeautomat. och till våra kopieringsmaskiner har vi ju också kort. Men. Jag använder det inte för privata saker. Bara för arbete Jag vet några som använder kortet för skattemyndigheterna och sånt Jag tror att dom största protesterna kommer om man inkluderar nyckel på eid-kortet. För om du glömmer att ta hem kortet på kvällen så kommer du inte in på jobbet sen på morgonen 20
Identifierade utmaningar En stor och heterogen organisation Kommunicera, skapa nytta och förståelse (nå ett stort antal) Hantera identitetsspecifika specialfall Skyddad identitet, temporära kort, samordningsnr, studenter etc Hantera skillnader i verksamhet och användande Öppen, sluten och kritisk vård, stationär vs flexibel arbetssituation IT för olika ändamål Hantera kritisk vårdnära IT (hygienkrav, medicinsk IT) Vårdverksamhet utanför den egna organisationen Privata vårdgivare (tekniska och organisatoriska förutsättningar etc)
FALLÖVERGRIPANDE SLUTSATSER
eid En avgränsad teknisk artefakt? I ett avseende, ja men inkluderar samtidigt det tekniska, organisatoriska och politiska Det behövs m a o kontextuella studier om eid
24 eid i olika sammanhang
Tillit, risk och legitimitet Vilken roll spelar eid för att bygga upp medborgarnas tillit för myndigheternas e-tjänster? Vilka risk- och integritetsaspekter innebär användningen av en viss inloggningslösning? Är användarna medvetna om dessa? Privat vs. yrkesmässig användning av eid Vad är viktigt för att vi ska uppfatta en offentlig organisation som legitim? Hur kan eid och e-tjänster påverka legitimiteten?
Ansvarsutkrävande Många inblandade aktörer (offentliga och privata) skapar otydlighet Oklar ansvarsfördelning Krångligt eller flexibelt ur användarsynpunkt Staten kan inte vara ansvarig för alla delar vid sk. nätverksstyrning Viktigt att kunna förutse möjliga problem Vem har ansvar för att sprida eid som lösning och bidra till att öka dess användning? Vad händer när eid inte fungerar?
Utmaningar och möjligheter Vikten av att se elektronisk identifiering som en del av en helhet. Att klara balansen mellan det komplexa och det alltför snäva perspektivet (fokus enbart på teknik). eid som artefakt finns i olika sammanhang och påverkar där såväl individer, organisationer som samhälleliga aspekter. Samspelet mellan dessa skikt är viktigt att förstå och beakta för att åstadkomma en fungerande helhet kring elektronisk identifiering. Rollen man är i när man använder eid påverkar vilka val man gör och hur man vill legitimera sig elektroniskt. Rollen påverkar också vad som fungerar att använda rent praktiskt, men också vad man känner tillit till och vad man är bekväm med.
Utmaningar och möjligheter Vilken roll man har gör också att man uppfattar eid och problem relaterade till säkerhet på olika sätt. En teknikkonsult uppfattar med största sannolikhet eid på ett annat sätt än till exempel verksamhetsansvariga och användare. Högsta säkerhet är inte alltid rätt säkerhet. Värdet på informationen som ska skyddas måste sättas i relation till sammanhanget och användarna. Även i rätt tid är viktigt informationen måste vara punktlig. Även säkra lösningar måste uppfattas som enkla att använda. Krångliga säkerhetslösningar uppmuntrar till arbetssätt som inte alltid gynnar den faktiska säkerheten. Hög teknisk säkerhet och god användbarhet kan ofta vara svårt att kombinera.
Tack för att ni lyssnade! Frågor och kommentarer?
www.liu.se