Strategi for en samfunnsinfrastruktur for elektronisk signatur og elektronisk ID i Norge.

Transkript

1 Strategi for en samfunnsinfrastruktur for elektronisk signatur og elektronisk ID i Norge. 20. juni

2 Innholdsfortegnelse 1. Innledning 1.1 Gruppens mandat og sammensetning, kort om arbeidet 1.2 Om problemstillingen 1.3 Visjon og målsettinger for strategien 1.4 Sammendrag av rapportens konklusjoner 2. Situasjonsbeskrivelse PKI i Norge 2.1 Tjenester og prosjekter som støttes av PKI 2.2 Markedet for åpen PKI og for lukket PKI 2.3 Gjeldende lovgivning med betydning for PKI 2.4 Utviklingstrekkene fremover 2.5 Viktige tiltak innen IT-politikken som påvirker PKI-innføring 2.6 Faktorer som fremmer og hindrer utbredelse av PKI i det norske samfunnet 3. Myndighetenes mulige rolle i sikker elektronisk identifisering 3.1 Samordnete, standardiserte løsninger for eid i Norge 3.2 Behovet for eid, generelt, mulige ID utstedere 3.3 Krav til eid/smartkort-løsning 3.4 Situasjon i dag og perspektiver fremover 4. Krav til samfunnets infrastruktur for elektronisk signatur og eid 4.1 Roller i en samfunnsinfrastruktur for elektronisk signatur og eid 4.2 Forholdet mellom samarbeid og konkurranse 4.3 Krav til en samfunnsinfrastruktur for elektronisk signatur og eid 4.4 Elementer i en samfunnsinfrastruktur for elektronisk signatur og eid 4.5 Tillitskapende tiltak 5. Alternative strategier for utvikling av en samfunnsinfrastruktur for elektronisk signatur og eid - konklusjoner 6. Strategi for harmonisert innføring av PKI i Norge 6.1 Strategi 6.2 Handlingsplan 6.3 Satsningsområder 6.4 Forutsetninger økonomi, lovendringer mv. Vedlegg. 1 Handlingsplan 2 Alternative strategier for utvikling av en samfunnsinfrastruktur for elektronisk signatur og eid - konsekvensvurderinger 3 Tjenester og prosjekter som støttes av PKI. 4 Faktorer som hindrer og fremmer utbredelse av PKI i det norske samfunnet. 2

3 1. Innledning Formålet med etablering av et Forum for PKI i Norge har vært fundert på visjonen om at PKI-arbeidet skal bidra til økt verdiskapning og konkurranseevne gjennom mer effektiv ressursbruk i et enklere og sikrere Norge. En slik visjon forutsetter at: Alle egnede tjenester skal tilbys elektronisk private og offentlige Alle skal kunne bruke elektroniske løsninger forbrukere, bedrifter, offentlig forvaltning på en enkel måte og med en sikkerhet tilpasset tjenestens karakter. Allment tilgjengelig elektronisk signatur og elektronisk ID (eid) er en forutsetning for å realisere disse målsettingene på en samfunnsøkonomisk nyttig måte. 1.1 Gruppens mandat og sammensetning, kort om arbeidet Mandat: Utvikle strategier og handlingsplaner for å få til en harmonisert utrulling av PKI - baserte løsninger som støtter flest mulig nyttige tjenester for brukere i Norge, herunder: formulere kravene til samfunnsinfrastruktur for PKI, vurdere samordnede, standardiserte løsninger for eid og utrulling av eid, utvikle strategier for høy penetrasjonsgrad av PKI i det norske samfunnet, påvise effektiviseringspotensialet av eksisterende tjenester med PKI og identifisere brukerstedsinteresser i dette, utarbeide en bred handlingsplan for utbredelse av infrastruktur for sikker bruk av PKI i norske husstander. Gruppen besto av: Søren H. Ødegården, Storebrand (leder) Terje Kolnes, ZebSign Lars Venger Gunnarsson, Integris/ FO/S Thorhallur Gudmundsson, Control Bridge Magnar Aukrust, Justisdepartementet Erik Lindmo, DnB Grete Sørensen, BankID Jon Ølnes, PKI Consulting Services Hilde K. Storvig, Brønnøysundregistrene Arnulf Wold, Statens lånekasse for utdanning Stein Onsrud, Norsk Tipping Kai Schøne, Telenor Katarina de Brisis, NHD (sekretær) Gruppens resultatmål har vært å legge frem et strateginotat som skisserer ulike alternativer og kommer med konkrete forslag når det gjelder: - hvilke krav kan stilles til en infrastruktur, hvem skal utvikle kravene, hvem innfri og hvordan - hvordan få utnytte eksisterende og kommende eid - tilbud i markedet slik at man oppnår kritisk masse; hvilke målgrupper/tjenester 3

4 - hvordan få tjenesteleverandører i privat og offentlig sektor med på bruk av en infrastruktur, forutsetninger - kort handlingsplan med tids- og ansvarsangivelser samt prioriteringer med hensyn til tiltak som må gjennomføres for å løse de ovenstående problemstillinger. Gruppen hadde følgende frist: innspill til budsjettprosessen 2003 (medio februar 2002); dette ble behandlet på Forumets møte den Sluttresultat primo mai Gruppens medlemmer har alle aktivt bidratt til utformingen av rapporten, ved å skrive enkeltkapitler eller vedlegg, enkeltvis eller i samarbeid i mindre grupper. Gruppens sekretær har hatt ansvaret for redigering av rapporten og skriving av noen kapitler. Således reflekterer enkeltkapitler enkelte medlemmers ståsted og utgangspunkt for tilnærmingen til problemstillingen. Dette gjelder særlig kapittel. 3, skrevet av Justisdepartementet og kapittel 4, skrevet av representant fra BankID - samarbeidet. Gruppen har ikke hatt en deltaker som kunne representere forbrukerinteresser. Denne dimensjonen er derfor ikke ivaretatt i rapporten på en bred nok måte. PKI Forum vil likevel arbeide med forbrukerspørsmål knyttet til anvendelse av PKI i oppfølgingen av strategirapporten. 1.2 Om problemstillingen. PKI teknologi muliggjør samfunnsmessig effektivisering for alle elektroniske tjenester. enorge bør derfor være interessert i å utnytte disse mulighetene. Det er imidlertid noen utfordringer for at denne teknologien skal kunne bli samfunnsmessig regningssvarende: 1. Høna og egget utfordringen hvordan kan elektronisk signatur og eid gjøres allment tilgjengelig innen rimelig tid samtidig med at et stort nok antall interessante elektroniske tjenester tar denne signaturen / eid i bruk, slik at kritisk masse av brukere oppnåes raskt for at investeringskostnader kan dekkes. 2. Nettverksøkonomi nytten er størst hvis alle kan benytte samme infrastruktur hvordan oppnår Norge slike fordeler uten at det samtidig skapes monopol ulemper. Det er beregnet 1 en samfunnsmessig gevinst ved å ta i bruk elektroniske signaturer på en koordinert måte på ca 15 milliarder kroner. Utfordringen ligger i å legge til rette for, og å bygge opp en samfunnsinfrastruktur for elektroniske signaturer/eid med utgangspunkt i et fungerende marked for PKI - tjenester, og på en slik måte at høyt volum på bruk oppnåes innen kort tid. Dette fordrer en koordinert innføring av kommersielt tilgjengelige, standardbaserte løsninger for elektronisk signatur/eid i tilstrekkelig mange elektroniske tjenester, både offentlige og private, med god appell og nytteverdi for brukere, herunder bedrifter, borgere og andre. 1 Se kap

5 Det kan tenkes at de ulike aktørene som vil tilby eller bruke PKI setter enkelte premisser for at Norge skal få til en løsning på høna og-egget utfordringen og samtidig oppnå økonomiske fordeler og begrenser ulempene. Forutsetningene omtales blant annet i kapittel 4. Gruppen har lagt denne problemformuleringen til grunn, samt tatt utgangspunkt i eksisterende markedssituasjon for PKI i Norge i sitt arbeid. Gruppen har også tatt utgangspunkt i at PKI-teknologien er kjent og det er derfor unnlatt i rapporten å definere den. Det vises for øvrig til PKI-Forumets nettsider for nærmere informasjon om teknologien og dens forutsetninger. Den foreslåtte strategien og handlingsplanen har en 2-3 års horisont og skal sees i sammenheng med handlingsplanen enorge 2005 lagt frem av regjeringen i mai enorge - handlingsplanen viser til PKI-Forumets strategi i sin målsetting under omtale av tilgjengelighet og sikkerhet (kapittel 2.3.). 1.3 Visjon for PKI og målsetninger for strategien. En allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur og eid, basert på PKI-teknologi som muliggjør autentisering, digital signering og konfidensialitet av elektronisk kommunikasjon, vil bidra til økt verdiskaping og konkurranseevne gjennom en mer effektiv ressursbruk i et enklere og sikrere Norge. Strategien viser hvordan en samfunnsinfrastruktur for PKI som støtter opp under digital forvaltning også kan støtte målsettinger om elektronisk handel og elektronisk forretningsdrift med fokus på samhandling mellom offentlig sektor og næringslivet. Strategien skal samtidig vise at slik infrastruktur er en forutsetning for digital forvaltning. Strategien synliggjør hvilke gevinster de aktuelle aktører kan hente ved å bygge og bruke en slik samfunnsinfrastruktur for PKI. Aktørene er leverandører av PKI/eID, tjenesteleverandører. Herunder inngår offentlige etater som tilbyr elektroniske tjenester og brukere (forbrukere og bedrifter/andre typer virksomheter). Strategien beskriver fremgangsmåten for å oppnå enighet om valg av standarder for teknisk interoperabilitet, herunder hvilke virkemidler som må til for at offentlige etater som holder på egne standarder blir overstyrt for å følge fellesstandarder for å sikre bedre samkjøring av infrastruktur. Nivå av standardisering bør ligge på et felles minimum, men slik at dette styres av enkelhet og lav kostnad for å ta PKI i bruk hos sluttbrukeren. Det er skissert flere alternative strategier for å etablere en samfunnsinfrastruktur for PKI. Den anbefalte strategi innebærer en middelvei i forhold til enten ukoordinert eller tungt offentlig styrt utvikling. Begrunnelsen for dette er at Norge får realisert en større verdiskapning gjennom en harmonisert utvikling enn det vi på kort sikt kan forvente som resultat dersom markedet ikke påvirkes til utvikling i samfunnsgagnlig retning. 5

6 1.4 Sammendrag Denne rapporten fremmer en visjon, en strategi og en handlingsplan for å etablere en samfunnsinfrastruktur for elektronisk signatur og eid i Norge. Målgruppen for rapporten er beslutningstakere i privat og offentlig sektor som kan bidra til at en slik infrastruktur blir realisert i det skisserte tidsperspektivet. En slik samfunnsinfrastruktur er en vesentlig forutsetning for at informasjonsteknologiens potensial skal kunne utnyttes fullt ut til økt verdiskaping, samt styrket konkurranseevne for næringslivet og til effektiv oppgaveløsning i offentlig sektor. Infrastrukturen foreslåes etablert i et frivillig samarbeid mellom aktørene i privat og offentlig sektor. Myndighetene skal kunne bidra til etablering av infrastrukturen gjennom å vedta nødvendige reguleringer samt fjerne unødige rettslige hindringer for bruk av elektronisk signatur/eid. Samtidig skal myndighetene stimulere offentlige tjenestetilbydere til å ta i bruk elektronisk signatur/eid på en koordinert måte og stimulere markedsaktørene til koordinert opptreden med tanke på felles samfunnsinteresser. Strategien baserer seg på at privat sektor, offentlig sektor og de to sektorene i samarbeid gjennomfører nødvendige tiltak innen: Samtrafikk og interoperabilitet mellom sertifikatutstedere Rollefordeling, avtaleverk og felles krav til løsninger mellom leverandørene av komponenter i infrastrukturen Koordinering av offentlige og private tjenestetilbydernes autentiserings- og signeringsløsninger Identifisering, iverksetting og finansiering av fellesprosjekter ( prosjektklynger ) Avklaring av regelverket nødvendig deregulering og reregulering. Det forutsettes at de foreslåtte tiltakene skal være gjennomført innen utgangen av Gjennomføring av strategien forutsetter at det skjer en nødvendig forankringsprosess hos de aktuelle aktørene i forkant. Det forutsettes videre at myndigheter kan bidra med offentlige midler i størrelsesorden 100 millioner kroner for å sikre at infrastrukturen kommer på plass innen forespeilet tidsramme. 6

7 2. Situasjonsbeskrivelse av PKI i Norge 2.1 Tjenester som er støttet av PKI og utbredelse av disse Det finnes få leverandører av åpne PKI-løsninger i dag. ZebSign AS 2 er en stor aktør som tilbyr sertifikater på ulike plattformer. Det er forventet at bankene i Norge vil starte utstedelse og bruk av BankID 3 høsten Microsofts Passport-løsning ser ut til å ha liten utbredelse i Norge foreløpig, men enkelte aktører i helsevesenet har vurdert løsningen som nyttig for sine formål. VeriSign (en stor global aktør innen sertifikatutstedelse) ser ikke ut til å ha nevneverdige markedsandeler i Norge når det gjelder andre typer sertifikater enn serversertifikater. Mulige fremtidige store sertifikatutstedere kan være: ZebSign (dvs Posten og Telenor) Bankene (BankID og Identrus) Microsoft (Passport) Utenlandske aktører (f.eks. Verisign, Liberty Alliance mfl.) Store arbeidsgivere (internt utstedte sertifikater som kan anvendes eksternt) Andre teleoperatører (NetCom m.fl.) Bruk av digitale signaturer som teknologi er lite utbredt i Norge i dag. I vedlegg 2 er det gjort rede for mulige årsaker til dette. Selv om utbredelsen av digitale signaturer bare er i begynnelsesfasen, er det gjennomført en del prøveprosjekter. Flere store aktører har også satt bruk av elektronisk signatur/eid i regulær drift. I vedlegg 1 gis det en del eksempler på tjenester og prosjekter som anvender eller prøver ut elektronisk signatur/eid i dag. 2.2 Markedet for åpen og lukket PKI En åpen PKI er en PKI som kan benyttes av flere aktører til ulike anvendelser, i motsetning til en lukket PKI, som vanligvis benyttes til én type anvendelse. Åpen PKI innebærer imidlertid ikke at sertifikatkataloger og/eller tilbaketrekkingslister ligger åpent tilgjengelig på Internett. Det innebærer heller ikke at det ikke skulle være nødvendig å inngå avtaler med aktører som deltar i en slik form for PKI. De fleste anvendelser av PKI i Norge i dag er en eller annen form for lukket PKI. Det antas at dette skyldes at markedet og løsningene for åpen PKI ikke er godt nok kjent og utviklet. I de tilfellene hvor tjenester kjøpes fra en 3. part er det veldig liten forskjell på åpen og lukket PKI. En forskjell mellom åpen og lukket PKI er at det er mulig å ha full råderett over rutiner og policy innenfor lukket PKI. For små interne anvendelser kan det være enklere og billigere å utvikle og drifte en løsning selv. Dersom organisasjonen har behov for å benytte en PKI-løsning for kommunikasjon utenfor virksomheten, antas det at en åpen PKI vil bli mer og mer attraktiv, både funksjonelt og økonomisk. Å dele på kostnader for infrastruktur samtidig som en kan ha 2 Et selskap eid i fellesskap (50%-50%) av Posten Norge BA og Telenor AS 3 BankID-samarbeidet i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen, har som mål å etablere en samordnet infrastruktur for PKI i banknæringen 7

8 samhandling med flere medlemmer i et verdinettverk, er vektige argumenter for en åpen løsning. Interessenter som kan være pådrivere for bruk av åpen PKI i Norge antas å være bank og forsikring, statlige etater, kommuner, Posten, teleoperatører og Norsk Tipping. Det antas at alle eller de fleste av disse aktørene er interessert i å støtte opp om åpne løsninger slik at effekten av en infrastruktur blir best mulig for samfunnet. 2.3 Gjeldende lovgivning med betydning for PKI PKI forum har en egen fokusgruppe for Jus og regelverk. Denne gruppen vil kartlegge status innenfor sitt område. Gruppen skal legge frem en statusrapport om rettsbildet med kommentarer, herunder: lover og forskrifter andre rammebetingelser bransjeregulering avtaleregulering presentasjon av problemer hos leverandører, brukere og andre erregel-prosjektet til Nærings- og handelsdepartementet er gjennomført. Prosjektet beskrives i Ot.prp. nr. 108 ( ) og Ot.prp. nr. 9 ( ) og forslagene ble vedtatt uten endringer i Stortinget. Lov om endringer i diverse lover for å fjerne hindringer for elektronisk kommunikasjon trådte i kraft 1. januar En forskrift om elektronisk kommunikasjon med og i forvaltningen, med hjemmel i revidert forvaltningslov, skal etter planen tre i kraft 1. juli Lov om elektronisk signatur trådte i kraft allerede 1.juli Med disse to lovvedtak og påfølgende arbeid med forskriftsverket finnes ikke lenger vesentlige juridiske hindringer for å ta i bruk elektronisk kommunikasjon med elektronisk signatur i Norge. Ett unntak er tinglysing. Mange aktører blir bremset i sine planer og ønsker om å tilby elektroniske tjenester fordi tinglysing enda skjer manuelt og papirbasert. Dette gjelder for eksempel banker som ikke kan få tinglyst pant i eiendom eller løsøre raskt og automatisk. Det gjelder kommuner som ikke kan få tinglyst forpliktelser og betingelser knyttet til byggeløyve og tillatelser like raskt og automatisk. Problemstillingen drøftes i Stortingsmelding /2002. Det opplyses i meldingen om at Justisdepartementet jobber med å fjerne de juridiske hindringene som i dag oppleves som et problem. Nærings- og handelsdepartementet har besluttet å videreføre eregel-prosjektet hvor Tinglysning vil være ett av prioriterte temaer fremover. 2.4 Utviklingstrekkene fremover I Norge og ellers er det en stor utvikling av nye elektroniske tjenester som er tilpasset og kommuniserer en til en med publikum. I mange tilfeller vil tjenesten ønske å vite hvem brukeren er og i noen tilfeller ønsker en å binde opp brukeren med å presentere elektroniske avtaler som signeres elektronisk. Utvilklingen er kommet så langt at mange i dag opplever problemer med for mange brukernavn og passord og huske på. Dette kan føre til at brukeren benytter samme navn og passord over alt. 8

9 Det forenkler, men uthuler sikkerheten. Samtidig er det begrenset hva det er mulig å få til av bindende avtaler basert på vanlig passord. Etter 11. september 2001 har oppmerksomheten rundt sikkerhet økt i hele den vestlige verden. Sikkerhet har kommet på den politiske dagsorden. Trusselbildet vedrørende datakriminalitet retter seg nå mer mot elektroniske tjenester og infrastruktur enn før. En sterk kandidat for å forenkle denne kompliserte hverdagen og samtidig ivareta tryggheten er elektronisk signatur/eid. Biometriske metoder som identifiserer personer mer direkte, vil i fremtiden bli bedre og billigere enn de fremstår i dag. Disse blir snart å finne integrert i mobiltelefoner og annet utstyr. Metoden er et bra supplement, men egner seg ikke for å identifisere personer over åpne nett eller for elektronisk signatur. Myndighetene i EU, USA og Canada er blant dem som har gjort mest for å legge til rette for en harmonisert innføring av elektronisk signatur/eid. Danmark har besluttet å bruke 3G mobilauksjonsmidler til å legge til rette for at alle innbyggerne kan benytte elektronisk signatur mot alle offentlige tjenester. En viktig forutsetning for suksess kan være at en klarer å dele verdien ved besparelser mellom tjenesteyter og bruker. For bedriftsmarkedet og internt i forvaltningen må gevinster synliggjøres. For å hente gevinstene raskere er det viktig at folk raskt aksepterer å kommunisere elektronisk. Det antas at en forenkling for brukeren vil kunne bidra til at tiden det tar å oppnå aksept for elektroniske tjenester reduseres noe. Det er mange prosjekter i gang der det jobbes med løsninger som skal benytte digitale signaturer, og den videre utviklingen vil være styrt av hvor godt disse prosjektene lykkes. Dette gjelder spesielt prosjekter der det er samarbeid mellom ulike aktører og hvor store brukergrupper vil kunne legge en føring på den videre utviklingen. Høsten 2002 vil bankene komme med en løsning, BankID, som i første fase vil bli benyttet i en videreføring av de elektroniske banktjenester som allerede eksisterer. Hensikten er imidlertid at BankID også skal kunne brukes mot andre tjenesteleverandører som aksepterer BankID, basert på en mest mulig åpen PKIløsning. Internasjonale aktører som VeriSign har vist interesse for det norske markedet. Det antas at markedet vil bli interessant når større kjøp innen det offentlige blir utlyst. Det antas at flere løsningsalternativer enn BankID og ZebSign på flere bærere vil øke hastigheten i utviklingen. En god samordning mellom de to initiativene vil også trolig bidra positivt til økt utrullingshastighet. Skjemaer og skjemavelde koster det norske samfunnet årsverk per år og bidrar til å dempe etableringslysten i mindre virksomheter. Skattedirektoratet, 4 I følge Nærings- og handelsminister Ansgar Gabrielsen foredrag Rockefeller

10 Statistisk sentralbyrå og Brønnøysund-registrene samarbeider om en felles, alternativ innrapporteringskanal for næringslivet basert på web-teknologi (AltInnprosjektet). Dette vil forenkle kommunikasjonen fra bedrifter til staten. Bruk at digitale signaturer har en rolle i prosjektet. Det ville vært en fordel dersom andre store etater som Trygdeetaten og kommunene sluttet seg til den samme felles løsningen. 2.5 Viktige tiltak innen IT-politikken som påvirker PKI-innføring Den første enorge planen ble lagt frem i juni Dette var en IT-politisk handlingsplan som satte opp mål for hvordan IT kunne bidra til et bærekraftig kunnskapssamfunn i Norge, som en del av det globale informasjonssamfunnet. Nærings- og handelsdepartementet, som er ansvarlig for IT-koordinering mellom ulike sektorer, har nå lagt frem en ny nasjonal IT-politikk i dokumentet enorge Publisering av de nasjonale handlingsplaner for IT er tett koblet sammen med EUsatsinger innen IT. Således var enorge en direkte oppfølger av EU sin eeurope plan. På siste EU toppmøte i Barcelona (15. til16. mars 2002) ble eeurope 2005 planen vedtatt som en viktig del av EUs nye strategi for utviking av det europeiske kunnskapssamfunnet. Et viktig element i eeurope 2005 skal være informasjonssikkerhet. Tilgjengelige og sikre infrastrukturer for elektronisk kommunikasjon og samhandling er ett av regjeringens prioriterte områder for innsats i enorge EU har den 28.januar 2002 publisert en Rådsresolusjon om en felles tilnærming og særskilte tiltak innen nettverks- og informasjonssikkerhet. Resolusjonen tar til orde for at det gjennomføres en rekke tiltak for å styrke informasjonssikkerheten i elektronisk kommunikasjon og informasjonssystemer i unionen. Resolusjonen ber blant annet medlemslandene om ved slutten av 2002 å ta betydelige skritt for å få frem mer effektive og interoperable sikkerhetsløsninger basert på anerkjente standarder der det er mulig, i deres e-forvaltning og offentlig elektronisk innkjøp, slik at man kan introdusere elektroniske signaturer i de tjenester som krever sterk autentisering for å kunne tilbys online. Statsråd Victor Norman la frem sin redegjørelse Fra ord til handling om modernisering, forenkling og effektivisering av offentlig sektor i januar Redegjørelsen slår fast at elektronisk forvaltning skal være innfallsporten til offentlige tjenester og det skal gjennomføres tverrgående samordningstiltak innen bruk av IKT i forvaltningen. En egen enhet for modernisering er opprettet i Arbeids- og administrasjonsdepartementet. Enheten har ansvaret for koordinering av gjennomføringen av strategier beskrevet i redegjørelsen. 10

11 2.6 Faktorer som fremmer og hindrer utbredelse av PKI i det norske samfunnet Faktorer som fremmer PKI Statlige initiativer - Offentlig innrapportering - Tilrettelegging for infrastruktur - Navnekonvensjoner for sertifikater - Norsk deltakelse i internasjonale PKI fora - PKI i utdanningen - Bevisstgjøring av premissgivere Kontinuerlig fokus på sikkerhet - Åpenhet og oppmerksomhet rundt sikkerhetstrusler - Evaluering av løsninger Markedsmessige forhold - Konkurranse blant tjenesteleverandører - Konkurranse blant PKI-leverandører - Tydeliggjøring av nytten av PKI-løsninger - Synliggjøring av interoperabilitet Faktorer som hindrer utbredelse av PKI Kostnader - Kompleksitet i innføringen av PKI - Kostbart med egen infrastruktur - Høna og egget problemstillingen Tekniske forhold - Proprietære løsninger - Få anvendelser som er forberedt for PKI - Behov for klient-programvare - Fleksible tekniske systemer er komplekse Sikkerhetsmessige forhold - Nøkkellagre gir dårligere brukervennlighet - Organisasjoner ønsker styring av sikkerhet i sine egne systemer - Billige løsninger har begrensede konfigurasjonsmuligheter - Enkelte PKI-løsninger gir lite ekstra sikkerhet Organisasjon og formelle forhold - Behov for en større driftsorganisasjon - Uklar formulering av behov for PKI - Lovmessige forhold over landegrenser - Få offentlige piloter innen elektronisk saksbehandling 11

12 Kompetanse - Manglende kompetanse hos brukere - Manglende kompetanse hos organisasjoner som skal innføre PKI - Lite fokus på PKI i IT-sikkerhetsopplæringen - Det tar tid å endre forbrukeradferd, flere brukere er fornøyd med dagens løsninger enkeltvis. For fullstendig oversikt og drøfting av faktorer som fremmer og hindrer utbredelse av PKI i samfunnet, se vedlegg 2. 12

13 3. Myndighetenes mulige rolle i sikker elektronisk identifisering 3.1 Samordnede, standardiserte løsninger for eid i Norge For brukerne vil det ofte fremstå som ønskelig å kunne greie seg med én elektronisk ID som dekker ulike behov (flerbruksløsninger). Noen bruksområder vil kreve at brukeren innehar en spesiell nøkkelbærer, som for eksempel mobiltelefon ved mobil handel og betaling eller et smartkort ved adgangskontroll eller kontroll av grensepassering. Et slik utgangspunkt vil imidlertid kreve samordnede løsninger. Dette vil etter omstendighetene kunne skape grunnlag for kostnadsbesparelser hos brukeren, uten å lage konkurransehindre. Gjennom vedtatte standarder vil det fortsatt kunne være mulig å konkurrere om for eksempel kortutstedelse, uten at dette går ut over den grunnleggende funksjonaliteten (for brukerne) i ulike kort. Å etablere muligheten for brukere til å skaffe seg eid som i utgangspunktet kan dekke alminnelige behov (for eksempel elektronisk kommunikasjon mot myndigheter og med privatpersoner), hindrer ikke utstedelse av eid for spesielle formål. Behovet for eid til spesielle formål kan være motivert ut fra ulike hensyn, som behov for særlig høy sikkerhet ved visse typer tjenester eller ønske om å etablere pseudonymer. For eksempel kan det stilles særskilte krav til sikkerhetsnivå ved adgang til sensitive informasjonssystemer, som ikke vil bli dekket innenfor et alminnelig flerbrukskonsept. I mange sammenhenger vil det også være behov for å koble eid med personnummeropplysninger i det sentrale folkeregisteret. Ved bruk av elektronisk kommunikasjon mot offentlig myndighet, for eksempel for beregning og utligning av skatt, er det et krav om å oppgi personnummer som kan kontrolleres mot Folkeregisteret. 3.2 Generelt behov for eid og mulige ID utstedere Som del av PKI skal eid først og fremst kunne knytte et dokument (kommunikasjon) til identifisert avsender og mottager (autentisering). For å skape tillit og forutberegnelighet i elektronisk handel, er det avgjørende å vite hvem avtaler er inngått med (ikke-fragåelse). Et viktig bruksområde for eid i offentlig forvaltning vil ligge i utviklingen av elektronisk samhandel mellom borger og myndigheter. For å skape sikkerhet i rettighets- og plikt forhold, vil bruken av kvalifisert eid være en avgjørende forutsetning, for eksempel på skatteområdet. Innenfor deler av offentlig tjenesteproduksjon og i helsesektoren vil det dessuten være av avgjørende betydning å ha en sikker identifisering av rettighetshaver, samtidig som vedkommende sikres mot innsyn fra andre. Sikring mot innsyn fra uautoriserte, såkalt konfidensialitetssikring, antas å kunne benyttes som en tilleggstjeneste, for eksempel ved at man har tilgang til en hensiktsmessig kryptering. Sikker eid vil kunne få en økende betydning for å kontrollere tilgangen til sensitive informasjonssystemer. Etter omstendigheten vil man her måtte operere med svært høye sikkerhetsnivåer. Det vil således være dels et kostnadsspørsmål om, og i 13

14 hvilken utstrekning, sikkerhetskravet kan dekkes innenfor rammen av flerbruksløsninger. Et mulig brukerområde for eid, ligger i løsninger der denne kan kombineres med en visuell ID. Dette kan være aktuelt der man ønsker a etablere ID-kort, for eksempel i form av offisielle reisedokumenter, der dette kan kombineres i en smartkortløsning som også åpner for elektronisk kontroll for eksempel ved grensepassering. Samtidig kan kortet åpne for andre brukerområder. Eksempel på utvikling av et slik smartkort, som samtidig fungerer som offisielt id-kort og reisedokument, kjenner vi fra Finland. Smartkort-løsninger åpner også mulighet for i fremtiden å legge inn biometriske parametre (f eks fingeravtrykk) og vil kunne åpne for nye muligheter for sikker id kontroll for adgang til sensitive områder. Slike løsninger diskuteres også i enkelte fora opp mot f eks kravene til enkel og sikker id fastsettelse ved kontrollen med luftfartssikkerhet og grensekontroll. 3.3 Krav til eid/smartkort-løsning Elektronisk ID som skal fungere som flerbruksløsning ut fra det nevnte, vil kreve at man etablerer en ekte ID for brukeren. Dette vil i de fleste sammenhenger innebære at det ved utstedelse av elektronisk ID må foretas en kontroll mot den fysiske personen, ID-innehaveren. Dette vil være en nødvendig forutsetning for å forsikre seg om at det etableres riktige rettsforhold gjennom den elektroniske kommunikasjonen, for eksempel ved bruk mot myndighetene. Gjennom eid vil det også måtte etableres en mulighet til å fremskaffe fødselsnummer eller å koble den elektroniske ID mot Folkeregisteret, blant annet der denne skal brukes mot offentlige etater. Hensynet til god og sikker kontroll av identiteten forutsetter at det stilles bestemte krav til gjennomføring av kontrollen, uavhengig av hvem som utsteder eid. Standarder og prosedyrer for slik identitetskontroll må delvis kunne baseres på annen pålitelig dokumentasjon (for eksempel pass), eller også at kontrollen blir gjennomført av en offentlig myndighet. Det kan ligge effektiviseringsgevinster i at myndigheter tilbyr (mot betaling) fellesløsninger for identitetskontroll/registrering. En mulighet er for eksempel å vurdere om det sentrale passregister kan gjøres tilgjengelig for utstedere av eid/smartkort. (Bankkort og tilsvarende ID-kort utstedes i dag ofte på grunnlag av at rekvirenten kan fremvise annet ID-bevis som for eksempel pass.) Dette vil imidlertid dels være et reguleringsspørsmål i forhold til passloven med forskrifter, dels et spørsmål om praktisk og teknologisk tilrettelegging av tilgangen. eid basert på en smartkortløsning fremstår på litt lengre sikt som en mulig løsning for å skape brukervennlige fleksible og mobile løsninger med et stort flerbrukspotensiale. Det kan for eksempel nevnes at SIM-kort i mobiltelefon også er et smartkort som kan lagre en elektronisk ID. Etablering av et bestemt sikkerhetsnivå med en bestemt nøkkelbærer vil være et hensiktsmessighets- og kostnadsspørsmål, men for å etablere flerbruksløsninger som gir en rimelig god dekning for alminnelige behov, forutsettes at man etablerer en riktig balanse mellom blant annet sikkerhetskrav og brukervennlighet. 14