Säker digital kommunikation Informationsmöte 12 december 2017
Säker digital kommunikation Informationsmöte 12 december 2017
IDAG Syfte och deltagare Ta del av resultatet från etableringen av projektet Säker digital kommunikation Målgrupp är offentliga aktörer som vill veta vad Säker digital kommunikation innebär och även planerna för fortsatt arbete och medverkan 2018
Agenda 10.00 10.15 10.15 10.30 10.30 12.00 12.00 12.45 12.45 14.00 14.00 14.30 14.30 14.45 14.45 14.55 15.00 Inledning Petter Könberg & Anna Gillquist Kort om projektet Malin Domeij Presentation av resultat från höstens arbete LUNCH Frågestund FIKA Hur går vi vidare Summering och fortsatt arbete Avslut
Att tänka på under förmiddagen Webbsändning - Gemensam frågestund under eftermiddagen: Både verksamhet, teknik och informationssäkerhet Spara frågor till frågestunden Använd gärna webbchatten Tänk på vilken information ni vill ha om projektet 2018
Ställ frågor via webbsändningen
Kort information om projektet Malin Domeij, projektledare
Säker digital kommunikation Projektetablering hösten 2017 Inera är projektägare Gemensamt digitalt sätt att utbyta integritetskänslig information Kommuner, landsting, statliga myndigheter, privata utförare och även privatpersoner Motverka stuprörslösningar Säker hantering
Syfte med projektetableringen Tydliggöra behovet av säker digital kommunikation Visa på potentialen med att utbyta information digitalt på ett enhetligt, effektivt, säkert och överenskommet sätt Skapa samsyn - bidra till vilja och förmåga att genomföra projektet från 2018 Sätta fokus - förmedla vilka prioriteringar och avgränsningar som görs och varför
Nuläge hos kommuner och landsting* Tidsödande 71 % Vet inte om meddelandet kommer till rätt mottagare 38 % Svårt att hitta adressater 23 % Befintliga kanaler: fax, brev, telefonsamtal, vanlig epost Störst behov inom hälso- och sjukvård, socialtjänst, skola Sekretesskyddad information 98 % Säkerhetsbrister 80 % Motringning krävs 47 % Vet inte om meddelandet kommer fram 38 % Vanlig e-post 32 % *Källa: SKLs nuläges- och behovsanalys 2016
Enskilda lösningar införs men alla gör på sitt sätt Önskan är att myndigheterna enas om ett gemensamt sätt att utbyta information
Mobil fax för att hantera underskrift Socialnämndens ordförande har med sig faxen för att vara beredd att skriva under ordförandebeslut. Exempel från Halmstads kommun
Alla möten SJUKSKÖTERSKA KURATOR SKÖTARE ARBETSTERAPEUT SJUKSKÖTERSKA Somatisk vård BEHANDLINGSHEM Beroendevård ALKOHOLTERAPEUT SOCIONOM TANDLÄKARE SJUKGYMNAST DISTRIKTSSKÖTERSKA Missbruksvård Psykiatrisk vård LÄKARE LÄKARE SJUKSKÖTERSKA AVGIFTNING BOSTADSFÖRETAG PSYKOLOG PSYKOTERAPEUT Individ med psykisk funktionsnedsättning RSMH Socialt liv och sammanhang Familj och sociala nätverk PERSONLIGT OMBUD SOCIONOM IFO SKULDSANERARE KYRKAN HEMMA HOSARE POLIS FÖRVALTARE FÖRSÄKRINGSKASSAN KRONOFOGDEN BISTÅNDSBEDÖMNING RÖDA KORSET SKATTEVERKET Försörjning ARBETSFÖRMEDLARE SJUKSKÖTERSKA FÖRSÄKRINGS- BOLAG Boende HANDLEDARE SYSSELSÄTTNING BOENDESTÖD Sysselsättning OSA-HANDLEDARE HANDLEDARE ÖPPEN VERKSAMHET
23 kommuner, landsting, regioner och statliga myndigheter
Hösten 2017: Inte göra jobbet men veta VARFÖR och VAD Få med alla på tåget BESLUT AP 4 AP 3 Dokumentation AP 1 Innebörd AP 2 Arkitekturdrivande krav Styrande principer Gemensamma krav och principer för realisering i första version Mappning mot edelivery Direktiv 2018 inkl. resursbehov och budget Genomförande Resurser, finansiering mm 2018 Sammantaget 3-årig tidshorisont Målbild Typflöden Konceptuellt lösningsförslag Informationssäkerhet Behov 28/8 30/9 27/10 30/11 15/12
Säker digital kommunikation Innebörd Säker digital kommunikation innebär information som kommuniceras, mellan två eller flera parter, där ingen utom avsändare, mottagare och de/den det berör, vilka är kända (identifierade) för varandra, kan ta del av informationen. Informationsdelning säkras enligt, för informationen gällande, lagar och regelverk. Informationen är spårbar. LÅNAD FRÅN SLLs DEFINITION, FASTSTÄLLD I PROJEKTSTYRGRUPPEN 28/9-17
Resultat från projektetableringen Ansvariga för respektive del
Genomgång av resultat Leverans 4 Förslag på PoC och fortsatt arbete Malin Domeij Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Malin Domeij Leverans 3:3 Informationssäkerhet Moa Malviker Wellermark Säker digital kommunikation Leverans 2:1 Typflöden Malin Domeij Leverans 3:2 Konceptuellt lösningsförslag Per Mützell Leverans 3:1 Krav och principer Per Mützell Leverans 2:2 Behov generella insikter och handläggarresor Elisabeth Toftén
Målbild Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Malin Domeij Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Målbild med Säker digital kommunikation Myndigheter / organisationer Samma förutsättningar oavsett utförare (offentlig, privat utförare av offentligfinansierad verksamhet) Vi utbyter information digitalt på enhetligt, effektivt, säkert och överenskommet sätt Alla ingår i samma federation, vi har gemensamma begrepp och principer där så behövs och ett fastställt tillitsramverk Ge förutsättningar för samverkan med leverantörer av lösningar i federationen Möjliggöra säker digital kommunikation även utanför Sveriges gränser Vi använder/förhåller oss till relevanta standarder Handläggare och verksamhet Lätt att skicka och ta emot information i min yrkesutövning Rätt avsändare, mottagare och säker överföring av känslig information Minska administration Trygghet genom att inte personlig eller känslig information sprids till obehöriga Samma förväntan på spårbarhet och tjänst oavsett verksamhet Snabbare handläggning och beslut Privatpersoner och andra intressenter
Aktörer och flöden Annan intressent Privatperson Statlig myndighet Statlig myndighet Privat utförare EU / edelivery Samverkan med andra länder Kommun Kommun Landsting Landsting Privat utförare Privat utförare
Steg mot säker digital kommunikation Säkert strukturerat utbyte Vanlig e-post fax, post, telefon Säkert strukturerat utbyte Säkert ostrukturerat utbyte Vanlig e-post, fax, post, telefon Säkert strukturerat utbyte Säkert ostrukturerat utbyte (Kvarstående behov) LÅNAD FRÅN LANDSTINGET I VÄRMLAND
Typflöden Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Malin Domeij Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Syfte Beskriva hur ett generiskt kommunikationsflöde eller informationsutbyte ser ut mellan aktörer Typiska och stora behov av säker digital kommunikation Känslig och ostrukturerad information
2 typflöden socialtjänst och migration Uppdrag psykisk hälsa Karin 30 år Migrationsverkets skyddsprocess (asyl, bosättning, familjeåterförening) Fatima från Syrien Syften Ökad trygghet genom att inte personlig eller känslig information sprids till obehöriga. Snabbare handläggning och beslut. Samma förväntan på spårbarhet och tjänst oavsett verksamhet.
Socialtjänst SJUKSKÖTERSKA KURATOR SKÖTARE ARBETSTERAPEUT SJUKSKÖTERSKA Somatisk vård BEHANDLINGSHEM Beroendevård ALKOHOLTERAPEUT SOCIONOM TANDLÄKARE SJUKGYMNAST DISTRIKTSSKÖTERSKA Missbruksvård Psykiatrisk vård LÄKARE LÄKARE SJUKSKÖTERSKA AVGIFTNING BOSTADSFÖRETAG PSYKOLOG PSYKOTERAPEUT Individ med psykisk funktionsnedsättning RSMH Socialt liv och sammanhang Familj och sociala nätverk PERSONLIGT OMBUD SOCIONOM IFO SKULDSANERARE RÖDA KORSET KYRKAN HEMMA HOSARE POLIS FÖRVALTARE FÖRSÄKRINGSKASSAN KRONOFOGDEN BISTÅNDSBEDÖMNING SKATTEVERKET Försörjning ARBETSFÖRMEDLARE SJUKSKÖTERSKA FÖRSÄKRINGS- BOLAG Boende HANDLEDARE SYSSELSÄTTNING BOENDESTÖD Sysselsättning OSA-HANDLEDARE HANDLEDARE ÖPPEN VERKSAMHET
Migration Livshändelsen Ny i Sverige Fram till uppehållstillstånd (del 1) Söker uppehållstillstånd Söker boende Söker försörjningsstöd Söker info om rättigheter och skyldigheter Söker hälsovård Aktörer vid kommunikation med den enskilde: Migrationsverket, landsting
Migration Livshändelsen Ny i Sverige Efter uppehållstillstånd (del 2) Söker folkbokföring Söker arbete Söker utbildning Söker familjeåterförening Söker skola för barnen Aktörer vid kommunikation med den enskilde: Migrationsverket, Arbetsförmedlingen, kommun, Försäkringskassan, Skatteverket
Socialtjänst informationsutbyte mellan aktörer Privat arbetsgivare Karins barn Karin Försäkringskassan Arbetsförmedlingen Annan intressent Privatperson Statlig myndighet Statlig myndighet Privat utförare Kommun Kommun Landsting Landsting Privat utförare Privat utförare Privat boendestöd Socialtjänst Skola Psykiatri BUP
Migration informationsutbyte mellan aktörer Utfärdare av UTkort (privat aktör) Fatimas familj Fatima MV Polisen SKV FK AF CSN Kronofogden Asylboende (privat aktör) Annan intressent Privatperson Statlig myndighet Statlig myndighet Privat utförare Utlandsmyndighet Kommun Kommun Landsting Landsting Privat utförare Privat utförare Skola Socialtjänst Primärvård mm.
Socialtjänst EXEMPEL FRÅN WORKSHOP 2
Migration EXEMPEL FRÅN WORKSHOP 3
Socialtjänst Exempel Boendestöd Aktörer: Kommun (socialtjänst), Landsting, Boendestöd (privat utförare) Kommun (socialtjänst) Ansökan om boendestöd Begäran om läkarutlåtande Läkarutlåtande Beslut om boendestöd Muntligt Brev e-tjänst Muntligt Brev Brev Brev Brev Fax? Karin Landsting (vårdgivare) Karin Privat boendestöd
Migration Exempel: Anknytning av medborgarskap Aktörer: Skatteverket, Försäkringskassan, Arbetsförmedlingen, Pensionsmyndigheten, CSN, Kronofogden, Migrationsverket, Kommun(?) Migrationsverket Migrationsverket Utlandsmyndighet Utlandsmyndiget Ansökan Kontroll i register Intervju Beslut om UAT Beslut på papper Digitalt Via utlandsmyndighet (papper) IT-system Muntligt Digitalt ebrev Digitalt Digitalt Delgivning Respektive Polismyndig -heten Skatteverket Respektive, barn Fatima Försäkringskassan, Skatteverket, Arbetsförmedlingen, Pensionsmyndigheten, CSN, Kronofogden Utfärdare av UT-kort (privat aktör) Respektive, barn
Migration generellt informationsutbytesbehov Aktörer: Migrationsverket, Försäkringskassan, Skatteverket (folkbokföring), Arbetsförmedlingen, Polisen, kommuner Arbetsförmedlingen Försäkringskassan Skatteverket Information om tillstånd, klassning, ersättning Polismyndighet Kommuner Kommuner Kommuner Kommuner Kommuner Kommuner Kommuner Brev, telefon, mail Migrationsverket
Typflöden Generella insikter Mer strukturerat informationsutbyte mellan statliga myndigheter finns lösningar redan idag Typiska informationsutbytesbehov - Kalla till och samordna mötestider - Samla in information inför ärendehandläggning och möten - Delge information efter möten och beslut Juridiken styr privatpersonen ofta bärare av eget ärende proaktivitet? Potential digitalt hela vägen, slippa motringning, fråga om status i ärende
Behovsfångst Generella insikter och handläggarresor Elisabeth Toftén Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Om intervjuerna 11 intervjuer under vecka 44-45 Orosanmälan, SIP, överlämningsmöte mellan Socialtjänst och Arbetsförmedling, överlämningsmöte Försäkringskassan och Arbetsförmedlingen och boendestöd Per telefon eller fysiskt Alla digitalt mogna och hade idéer på effektiviseringar och förbättrad säkerhet.
Generella insikter De digitala inslagen som finns är uppskattade En hel del underlag skickas per post och man önskar digitala alternativ Mycket tid går åt till att boka mötestider och man önskar smidiga digitala lösningar Man har idéer på att utveckla de digitala lösningar som finns eller nya Polisen faxar mest
Generella insikter Informationsinhämtning från domstolar sker via fax Mejl används mest av skolor Telefon verkar användas mest för kontakt med läkare och mötesbokning Samtliga intervjuade är mycket digitala Smarta digitala lösningar underlättar transparens och ökar rättssäkerheten för brukaren Dokument och beslut som skrivs under lagras ofta i fysisk akt eller i arkivet
Överlämningsmöte mellan socialtjänst och AF när person inte kan delta i etableringsplan FÖRE UNDER EFTER Sökande ger sitt samtycke att AF får tala om ärendet med kommunen. AF kontaktar kontaktperson inom kommunen per mail. Kontaktperson återkommer per telefon. Ärendet behandlas. Mötestid för gemensamt överlämningsmöte med socialsekreterare bokas Kommun och AF har svårt att nå varandra per telefon. Önskar en digital lösning för att dela underlag och boka tider. Överlämningsmötet äger rum. Vid hel överlämning tas läkarutlåtanden, utlåtande från egna specialister (arbetsterapeuter, psykologer), beslut om etableringsplan och ev avslagsbeslut med. Finns det en e-tjänst använder jag den Vid t ex en halv överlämning behövs mer samverkan kring den sökande. Underlag som rör etableringsplanering och insatser tas med som är bra för kommunen att känna till Skulle ge så mycket större kundnytta och förkorta ledtider om vi kunde maila varandra och dela kalendrar Tidsödande att få in medicinska underlag. Förfrågan skickas per post med bifogat samtycke. Tar 3-4 månader att få in ett läkarintyg. Krävs ofta flera påminnelser. Önskar kunna göra förfrågningar och få underlag från vården digitalt.. Ofta är det den sökande som får förmedla info mellan kommun och AF vid så kallad halv överlämning. Stöd för effektiv samplanering mellan kommun och AF saknas Den sökande lämnas över till socialtjänsten Ibland gör kommunen avslag på 50 %. Då kommer personen tillbaka och vill få hjälp från AF. Då är det svårt för AF att få underlag från socialtjänsten på kommunen
Hantera boendestöd Tycker journalsystemet fungerar väldigt smidigt [..] är säkert, underlättar att kunna skicka sekretessuppgifter i mail [..] Vi behöver inte skicka en massa papper per post. Det mesta finns digitalt. Anmälan kommer oftast in via telefon eller mail FÖRE UNDER EFTER Anmälan journalförs digitalt. Ansökan läggs i fysisk akt. Kan ta lång tid att få in läkarutlåtande. Sker via postgång och telefon. Sekretessuppgifter skickas per post. vilket inte känns säkert. Boka möte med person X per telefon Person X tar med sig information Samtycke inhämtas från x Finns det en Möte genomförs. e-tjänst använder jag den Minnesanteckning ar dokumenteras av handläggare i verksamhetssystemet. Socialsekreterare inhämtar underlag som läkarutlåtande och funktionsbedömningar. Info om att samtycke bifogas förfrågningsunderlaget som oftast skickas per post. Handläggare gör. utredning och fattar beslut Beslut skickas till person X med post Handläggare lägger beställning via verksamhetssystem. Där finns även utredningen Utföraren tar del av beställning och utredning i verksamhets -systemet Utföraren notifieras att beställning finns via säker mail i verksamhetssystem Boendestödjaren för social journal i verksamhetssyste met Vid behov sker kommunikation om X mellan socialtjänst och utförare via säker mail i verksamhetssystem
Rekommendation Fånga behov inom äldreomsorg, polis, kriminalvård och inom det så kallade Fatima-caset. Undersök möjligheten att på kort sikt skapa möjlighet att mejla och boka möten med en redan känd mottagare. Därefter okänd mottagare inom känd organisation. Se över hur den lösning som finns idag kan nyttjas av betydligt fler vårdgivare samt även mellan kommun och vård. Utveckla de plattformar som finns idag till att möta fler behov. Lyft fram goda exempel på SKL:s deladigitalt.se på digitala plattformar från till exempel Halmstad och Falkenberg. Arbeta enligt tjänstedesignkonceptet
Krav och principer Per Mützell Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Säker digital kommunikation - Styrande principer Öppenhet och standarder öppna upp för externa innovatörer Privacy-by-design Gemensamma begrepp adressera organisation mm. Eget ansvar för intern arkitektur Återanvänd på enhetligt sätt gemensamt förvaltat
Drivande krav på en lösning Säkra adresser & kontaktytor Skalbarhet Informationssäkerhet Autentisering Konfidentialitet Spårbarhet Dataintegritet Riktighet Tillgänglighet Robusthet
Principer för adressering Säkra adresser & kontaktytor Skalbarhet Informationssäkerhet Autentisering Konfidentialitet Spårbarhet Dataintegritet Riktighet Tillgänglighet Robusthet Tillämpa standarder för global identifiering av avsändare och mottagare Varje organisation ansvarar för sin egen adressinformation Hantera manuellt eller återanvända befintliga adresskällor Söka och bläddra bland säkra mottagare
Konceptuellt lösningsförslag Per Mützell Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Principer för säker digital kommunikation Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Adressera organisation, men även en viss del av organisationen, t.ex. ett funktionsområde alt. privatperson Organisation Gemensam infrastruktur Organisation Lokalt ansvar för bl.a. - Lokal lösning/integration - Identitets och åtkomsthantering för handläggare/medarbetare Hitta säker adressat Skicka Ta emot Bli notifierad Få kvittens Robusthet och spårbarhet hanteras hos resp. aktör genom kö, omsändning och loggning Säker digital kommunikation över internet Krypterad kommunikation Säker avsändare Säker mottagare Skydd mot förvanskning Text, dokument, bild och ljud stöd för olika format och ostrukturerat innehåll Skicka Ta emot Bli notifierad Få kvittens
Standarder och tekniska specifikationer Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Gemensam infrastruktur Organisation Lokalisera mottagare Metadatatjänst - möjligheterna till kommunikation Organisation Certifikat - spärrtjänst B B Integration med C verksamhetssystem Accesspunkt Säker transport A C Accesspunkt
Kommunicera säkert med privatpersonen / företaget Principer & regelverk för för tillit tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Organisation Gemensam infrastruktur Mina meddelanden FAR - Förmedlingsadressregister (Skatteverket) Privatperson, företagare Extern e-tjänst Säker länk till e-tjänst, ärende osv. Brevlådeoperatör Min myndighetspost, Kivra, e-boks, Digimail osv. E-leg
Vägval & ansatser Kan man få till en standard så att vi kan kravställa stöd för detta mot våra produktoch tjänsteleverantörer? Säker digital kommunikation ska också vara möjlig utanför Sveriges gränser
Vägval & ansatser Ansats: Kärnan för säker digital kommunikation baseras på ramverket edelivery ett byggblock i EU-kommissionens Connecting Europe Facility (CEF), för säker meddelandehantering, som i sin tur bygger på öppna globala standarder Hitta säker adress till organisation Säker transport Dynamik Distribuerat / federativt Utbyggbart, ta fram anpassad meddelandeprofil!
Informationssäkerhet Moa Malviker Wellermark Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Säker digital kommunikation ur ett informationssäkerhetsperspektiv Organisation A Säker digital kommunikation Organisation B A dressbok A dressbok Personuppgiftsansvarig för de personuppgifter som skickas och tas emot Ansvarig för sin adressbok Ansvarig för val av verktyg för kommunikation via SDK Måste iaktta externa krav TF, OSL, GDPR, arkivlagen, LOU och special- eller sektoriella lagstiftningar Ansvarar för för att kommunikationen sker på ett säkert sätt med lämpliga säkerhetsåtgärder såsom kryptering Inget ansvar för innehållet i kommunikationen Personuppgiftsansvarig för de personuppgifter som skickas och tas emot Ansvarig för sin adressbok Ansvarig för val av verktyg för kommunikation via SDK Måste iaktta externa krav TF, OSL, GDPR, arkivlagen, LOU och special- eller sektoriella lagstiftningar
Genomfört Informationsanalys Input från projektdeltagare och initierade dokument Remiss i projektets informationssäkerhetsgrupp Generellt: känsliga personuppgifter och uppgifter som omfattas av sekretess Kartläggning av externa krav på informationsöverföringen i lösningen Identifierat gemensamma externa krav t.ex. PUL/GDPR, OSL, LOU och arkivlagen Identifierat exempel på sektorsspecifik lagstiftning och föreskrifter
Genomfört Kravställning på säker identitet/inlogg Hur ska användare av Säker digital kommunikations identiteter kunna verifieras? Remiss i projektets informationssäkerhetsgrupp Generellt: tvåfaktorsautentisering Föreslås omhändertas i det fortsatta arbetet Risk- och konsekvensanalys Identifierat risker och åtgärdsförslag via analys av arbetsgruppen i projektet Föreslås omhändertas i det fortsatta arbetet
Genomfört Informationsklassificering (MSB:s modell) av den konceptuella lösningen Betydande (Tillgänglighet, riktighet och konfidentialitet) Remiss i projektets informationssäkerhetsgrupp Tagit fram krav via Klassa som blir applicerbara på Säker digital kommunikation
Förslag på fortsatt arbete I delrapporten för informationssäkerhet finns punkter med förslag på fortsatt arbete, t.ex. Konkretisera kraven på säker identitet utifrån eidas och E-legitimationsnämnden Utarbeta principer för ett tillitsramverk jfr med checklista för SGSI Utreda vilka faktiska krav som finns på signalskydd/kryptering Utforma utkast på gemensamma riktlinjer kopplat till Säker digital kommunikation Genomföra en ny riskanalys
Förslag på Proof of Concept och fortsatt arbete Malin Domeij Leverans 4 Förslag på PoC och fortsatt arbete Huvudleverans: Direktiv för fortsatt genomförande 2018 Leverans 1 Målbild och behov Leverans 3:3 Informationssäkerhet Säker digital kommunikation Leverans 2:1 Typflöden Leverans 3:2 Konceptuellt lösningsförslag Leverans 3:1 Krav och principer Leverans 2:2 Behov generella insikter och handläggarresor
Förslag på delar i Proof of Concept? Ta rygg på andra liknande initiativ, hämta erfarenheter Testa och verifiera hantering av verksamhetsadresser (kontaktytorna) Provtryck kravbilden i lösningskonceptet Involvera leverantörer Avstämning mot befintliga kommunikationsramverk hos ingående parter Test av hela flödet, fånga användbarhetsperspektivet Kräver anpassad produkt/lösning med stöd för säker digital kommunikation
Förslag på Proof of Concept PRELIMINÄR Syfte med PoC Verifiera ansatsen Säker digital kommunikation inklusive edelivery som grund. Teknisk inriktning prioritet på att göra det absolut nödvändiga för hur Säker digital kommunikation kan realiseras i första version.
Mål PRELIMINÄR Sverige ska ha en standardiserad förmåga till säker digital kommunikation mellan offentliga aktörer och privata utförare av offentligfinansierad verksamhet, och som på sikt även ska medge förmedling via kommunikationskanaler till privatpersoner och andra intressenter.
Genomförande 2018 PRELIMINÄR Direktiv 2019 för fortsatt arbete Huvudleverans 1: HUR realisera första version av Säker digital kommunikation verifierad i Proof of Concept Tekniska specifikationer Förslag på förvaltningsstrategi Prototyper Förslag på regelverk för informationsutbyte Säker digital kommunikation Referensimplementationer av gemensam infrastruktur Förslag på tillitsramverk Huvudleverans 2: Förslag på ramverk och regelverk Gemensam testmiljö för PoC
Gemensamma delar Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Organisation Gemensam infrastruktur Skyddsmekanismer, krav på krypton osv. Betrodda tjänster Organisation säkerhetscertifikat mm. Regelverk & avtalsmallar C B A B Specifikationer/gränssnitt - leverantörsmedverkan Proof Of Concept Testbänk Gemensamma tjänster, C etablering/förvaltning
Samverkan med aktörer PRELIMINÄR Samverkan med aktörer (kommuner, landsting och statliga myndigheter) som parallellt arbetar med att etablera egen förmåga (bl.a. it-verktyg för användare) inom säker digital kommunikation. Det ska finnas specifikationer som aktörerna kan vidareutveckla och anpassa efter egna förutsättningar för att ansluta till Säker digital kommunikation och inför anskaffning/utveckling av verktyg för användare.
Varje aktör: Lokala delar Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer C: Aktören ansvarar för val av verktyg Organisation Aktören ansvarar för att individen är säkert identifierad och behörig till informationen B: Publicerar adressinformation och förmågor. Egen eller delad B A Etablering av förmågan SDK - egen/samverka/upphandla accesspunkt osv. Integration vilka system ska användarna kunna jobba i Identitetshantering och behörighet medarbetare Lösning säker inloggning Organisationens kontaktytor - adressinformation Hantera avtal (informationsutbyte med andra aktörer, leverantörer) Lokalt införande verksamhet, lokal förvaltningsorganisation, instruktioner C A: Etablerar säker kommunikation Tillhandahåller spårbarhet
Frågestund
Syfte Möjlighet att ställa specifika frågor och diskutera resultatet Verksamhet, t.ex. behov, typflöden Arkitektur, t.ex. principer, konceptuell lösning Informationssäkerhet, t.ex. informationsanalys, tillitsramverk Frågor? I förväg, från webbchatten, under tiden
Ett axplock av frågor som diskuterades Önskan, förhoppning, krav: att kunna använda säker digital kommunikation vid överföring direkt från en myndighet till en annan myndighet. Om man kan få till en standard => vi alla tillsammans kan kravställa stöd mot våra produkt- och tjänsteleverantörer. Samtidigt också behov av att manuellt kunna skicka information. Några frågeställningar: Att komma överens om ett kommunikationsgränssnitt kommer antagligen inte att vara tillräckligt för att få en bra kommunikation. Vi ser också att det är nödvändigt att: - Titta över och komma överens om arbetsmetodik på båda sidor av gränssnittet för att kommunikationen skall fungera bra. - Komma överens om ansvarsfördelningen, idag finns det oklarheter i när överföring av ansvar mellan kommuner och regioner skall ske. - Säkerställa att alla som behöver information får tillgång till relevant information. När det handlar om kommunikation så är lagringen/skydd av data väldigt viktigt. Var är det tänkt att data ska ligga någonstans, då det inte är bra om det finns kopior av samma data om t ex medborgare, för det är väl inte tanken att data ska skickas varje gång? Vår civilminister berättade igår att data ska läsas från ett och samma ställe för alla aktörer som ska ta del av data läs rättighet. Är det TLS-kopplingar som är lösningen?
Ett axplock av frågor som diskuterades Att ansöka om skola för barnen bör väl även vara under processen fram till uppehållstillståndet? Jag ser Polisen på flera ställen i presentationen och inser att de på ett eller annat sätt har ett behov av säker digital information till både kommuner, landsting och andra statliga myndigheter, men att de inte är med i samverkan. Finns det en förklaring till detta? Finns det någon partner som ni rekommenderar när det gäller ersättning av fax? Någon aktör som uppfyller alla krav för att ersätta t.ex. fax? Om alla ska samarbeta bör det finnas aktörer som vill det också och då tänker jag att vissa uppfyller krav som ni rekommenderar. Den fråga som vi funderar på är hur förslaget ska hantera en central "nyckelhantering" för identifikation av användare.
Hur går vi vidare?
Förslag till direktiv 2018 PRELIMINÄR Genomförande föreslås påbörjas så snart det är möjligt 2018 efter inledande förberedelser. Det absolut nödvändiga för att i en Proof of Concept verifiera konceptet Säker digital kommunikation i första version. Samverkan med kommuner, landsting och statliga myndigheter som parallellt bedriver/påbörjar eget arbete Förslag till förvaltningsstrategi tas fram
Gemensamma delar Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Organisation Gemensam infrastruktur Skyddsmekanismer, krav på krypton osv. Betrodda tjänster Organisation säkerhetscertifikat mm. Regelverk & avtalsmallar C B A B Specifikationer/gränssnitt - leverantörsmedverkan Proof Of Concept Testbänk Gemensamma tjänster, C etablering/förvaltning
Standarder och tekniska specifikationer Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer Gemensam infrastruktur Organisation Lokalisera mottagare Metadatatjänst - möjligheterna till kommunikation Organisation Certifikat - spärrtjänst B B Integration med C verksamhetssystem Accesspunkt Säker transport A C Accesspunkt
Varje aktör: Lokala delar Principer & regelverk för tillit Informationssäkerhet, informationsutbyte, standarder och tekniska specifikationer C: Aktören ansvarar för val av verktyg Organisation Aktören ansvarar för att individen är säkert identifierad och behörig till informationen B: Publicerar adressinformation och förmågor. Egen eller delad B A Etablering av förmågan SDK - egen/samverka/upphandla accesspunkt osv. Integration vilka system ska användarna kunna jobba i Identitetshantering och behörighet medarbetare Lösning säker inloggning Organisationens kontaktytor - adressinformation Hantera avtal (informationsutbyte med andra aktörer, leverantörer) Lokalt införande verksamhet, lokal förvaltningsorganisation, instruktioner C A: Etablerar säker kommunikation Tillhandahåller spårbarhet
Fortsatt arbete 2018-2020 PRELIMINÄR Direktiv Direktiv Direktiv Direktiv Plan Plan Plan Plan Etablering VARFÖR (behov, mål) VAD (lösn.förslag, krav och principer) Spec. och ramverk mm Budget, resurser Specifikationer Utveckling Testmiljö Ramverk, regelverk Proof of Concept Verifiera konceptet: HUR realisera lösning på kort sikt Pilot, införande Piloter hos aktörer Införande hos aktörer Ev. gemensam upphandling av lokal förmåga hos vissa aktörer Gem. förvaltning Förvaltning, införandestöd Införande hos aktörer Gem. förvaltning och vidareutveckling Höst 2017 Vår 2018 Höst 2018 2019 2020 77
Hur påverkas kommuner, landsting/regioner och statliga myndigheter Känna till att arbetet är igång Ha beredskap i budgeten 2018 och framåt för genomförande Bidra till gemensamt resultat
Hur vill ni få mer information om projektet? Dokumentation (PPT) från idag inera.se Dokumentation från projektet kontakta Emilia Virhage VAD vill ni veta? NÄR, hur ofta? HUR, vilka kanaler (informationsmöte, nyhetsbrev, webb, )
Summering och nästa steg
TACK för idag! Reprislänk till webbsändningen kommer
Kontaktpersoner Malin Domeij, projektledare, Malin.domeij@skl.se, telefon 073-274 3025 Emilia Virhage, projektadministratör, Emilia.virhage@inera.se Sara Meunier, projektägare Inera, Sara.meunier@inera.se Anna Gillquist, styrgruppsrepresentant SKL, Anna.gillquist@skl.se