Høringssvar forslag til strategi for eid og e-signatur i offentlig sektor

Like dokumenter
Felles sikkerhetsinfrastruktur for elektronisk kommunikasjon med offentlig sektor.

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling

Strategi for eid og e-signatur i offentlig sektor. Høringsmøte FAD 11. April 2007

Nye felles løsninger for eid i offentlig sektor

Høring - forslag til strategi for bruk av eid og e-signatur i offentlig sektor. Trondheim kommune Malvik kommune Stjørdal kommune Frosta kommune

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Saksframlegg. Trondheim kommune. Høring - forslag til strategi for bruk av eid og e-signatur i offentlig sektor Arkivsaksnr.

Elektroniske MEG! Hvordan Difi bidrar til utvikling av elektroniske tjenester. Servicekonferansen 2010

Høringssvar om eid og esignatur

Høringssvar Felles elektronisk tjenesteyting i offentlig sektor

Altinn, Difi og MinSide. Samarbeid og grenseoppgang. Altinndagen - Hallstein Husand

Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: T.Lind 042 HØRINGSSVAR - RAPPORT OM EN FELLES MELDINGSBOKS

Felles sikkerhetsportal for elektronisk kommunikasjon med offentlig sektor.

Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF

Offentlig digitalisering i siget

Kristian Bergem. Direktoratet for forvaltning og IKT

Stig Hornnes Rådgiver - FAD 19. April 2012

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Regjeringens digitaliseringsprogram Sett fra Brønnøysund med Altinn-briller

Hva har vi gjort og hva har vi tenkt å gjøre?

FORSLAG OM INNFØRING AV OBLIGATORISK ELEKTRONISK FAKTURA I STATEN HØRINGSUTTALELSE

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Felles veikart for nasjonale felleskomponenter i regi av Skate. Digitaliseringskonferansen 2015 vidar.holmane@difi.no

din vegvisar i det offentlege

Offentlige informasjonsinfrastrukturer

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Nasjonalt eid-program

Veikart for nasjonale felleskomponenter

Samordning, samarbeid og samhandling

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

Elektroniske tjenester i offentlig sektor - Difis rolle. Hans Christian Holte

Disposisjon. Digitalt førstevalg og Digitaliseringsprogrammet

Hva løser ID-porten?

Status for arbeidet med ID-Porten, eid i markedet

Designguide for ID-porten. Versjon 2.0

Digital postkasse til innbyggere

Høring rapport om felles meldingsboks

Veikart for nasjonale felleskomponenter

Digitalt først og fremst. Bærum Seniornett 11. Februar Bekkestua Bibliotek.

Dato: 2. desember 2011

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Autentisering av ansatte

Målbildet for digitalisering arkitektur

Feide Nøkkel til den digitale skolen

På nett med innbyggerne Regjeringens digitaliseringsprogram

Sikker digital dialog GITTE CECILIE LANGAAS KIHL & HANNE MELBY

Regjeringens digitaliseringsprogram. Statssekretær Tone Toften

14:20-14:50 Digital post mellom offentlige virksomheter

Digitalt førstevalg og felleskomponenter

Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening

Brønnøysundregistrene forholdet til kommunene og utviklingen i framtida Kristine Aasen og Bredo Swanberg

Fornying av offentlig sektor, herunder eid. Hans Christian Holte

Sikker digital dialog GITTE CECILIE LANGAAS KIHL & HANNE MELBY

Utvikling gjennom samarbeid tiden er moden. NOKIOS oktober 2008 Direktør Hans Christian Holte

Felleskomponenter. Samhandlingsarena - Semicolon 2 Bjørn Holstad

Samarbeid for digital forenkling. Direktør Lars Peder Brekk Brønnøysundregistrene Altinndagen 1. desember 2014

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Regjeringens digitaliseringsprogram & kommunesektoren

Om eid-programmet og ID-porten. Standardiseringsrådet 16. september 2010 Birgitte J. Egset

Offentlige informasjonsinfrastrukturer

Erfaringer med bruk av

Når en statisk forvaltningskultur møter en dynamisk teknologiutvikling. Arild Haraldsen Partnerforum

Offentlige informasjonsinfrastrukturer

Sikker digital posttjeneste. Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret

Vår ref BJOL

Ny langsiktig strategi for Altinn

Nasjonale fellesløsninger i effektivt samspill med sak- og arkivsystem. Torgeir Strypet

DRI2001 / FINF september Utvikling av en offentlig nettjeneste: MinSide. 21. september 2006 Marius Pellerud 1

Innhold. Modernisering av folkeregisteret Status og planer i arbeidet AFIN-seminar Felles IKT-løsninger, Modernisering av folkeregisteret

Nasjonalt ID-kort og eid Sikker e-forvaltning

DIFI nasjonale fellesløsninger for offentleg sektor

«Difi som leverandør av fellesløsninger» Digitaliseringskonferansen 2016 Torgeir Strypet

Spørsmål. #brukar

Hva kan Altinn gjøre for deg? NOKIOS, Trondheim 21.september 2011 Cat Holten Brønnøysundregistrene

ID-porten Utviklingsplan 2016

enorge 2009 og IKT i offentlig sektor

Digitalt førstevalg Norge

Modernisering av folkeregisteret ekommune-konferanse 2012 Trondheim,

Samordning av digitaliseringsarbeidet i kommunal sektor KS FIKS. Astrid Øksenvåg

Høringssvar NOU 2010:2 Håndhevelse av offentlige anskaffelser

Brønnøysund, 19. september Ellen Marie Langen - Marianne Strypet -

Direktoratet for forvaltning og IKT. Kravspesifikasjon. bilag 1 konsulentoppdragsavtalen - samfunnsøkonomisk analyse av eidprogrammet

Sikker digital posttjeneste

Digital postkasse til innbyggere

Digitalisering gjennom standardisering og bruk av felleskomponenter. Lars Tveit Direktør Collaboration & Business Solutions Regional Consulting

Spørsmålsorientert veiledning til eforvaltningsforskriften

Designguide for ID-porten. Versjon 2.0

Dagens agenda. Det store bildet. Tre hovedelementer i arbeidet med utvikling av IKT i det offentlige

Styret i D-IKT behandlet saken i sitt møte den , og vedtok å avgi vedlagte høringsuttalelse.

Virksomhetssertifikater og roller på bedriftsnivå. onsdag 12. mars 2008 Ståle Rundberg

Digitalisering av offentleg sektor - hvilke forventninger har regjeringen og departementet til dere?

Bergen kommune Kjetil Århus Direktør digitalisering og innovasjon Mai 2017

mellom innbyggerne og det offentlige

Statens legemiddelverk. Generelt om Altinn. EYRA - Digital samhandling med Statens legemiddelverk

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser.

Høringsversjon Strategi for eid og e-signatur i offentlig sektor Versjon 1.0

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Disposisjon. Digitalt førstevalg

Transkript:

Fornyings- og administrasjonsdepartementet Postboks 8004 Dep. 0030 Oslo Norge.no Njøsavegen 2 6863 Leikanger Tlf: 57 65 50 00 E-post: post@norge.no Org.nr: 987 464 283 www.norge.no Leikanger, 14.5.2007 Høringssvar forslag til strategi for eid og e-signatur i offentlig sektor Viser til høringsbrev av 13.03.2007, ref 200700605-KDB 1, om forslag fra arbeidsgruppen nedsatt av Fornyings- og administrasjonsdepartementet til Strategi for eid og e-signatur i offentlig sektor 2 Løsningene Norge.no forvalter er i stor grad basert på at eid og e-signatur er enkelt tilgjengelig for innbyggerne. Forsinkelsene og problemene knyttet til etablering av den offentlige sikkerhetsportalen skaper utfordringer blant annet for arbeidet med Minside. Strategiforslaget som foreligger er derfor et viktig steg for å kunne etablere gode felles sikkerhetsløsninger. Forslaget bærer preg av grundige og gjennomtenkte løsninger. Konklusjon Generelt støtter vi arbeidsgruppens anbefalinger om offentlige, budsjettfinansierte fellesløsninger (eid nivå 3, eid nivå 4, virksomhetssertifikater og samtrafikknav). Vår erfaring med etablering og drift av den felles innloggingsløsningen for offentlige tjenester (Minid), viser at behovet for økonomiske avtaler mellom brukersteder og forvaltere av offentlige fellesløsninger skaper en betydelig utfordring, og bør så langt som mulig unngås. Det er lagt ned betydelig innsats under etableringen av Minid i forhold til etablering, forvaltning og etatenes tilpasning til løsningen. Norge.no legger vekt på at erfaringene fra dette arbeidet må videreføres i nye løsninger som etableres. Vi støtter videre anbefalingen om at Brønnøysundsregistrene får ansvaret for virksomhets-id som en naturlig forlengelse av etatens ansvar idag. Når det gjelder eid for private, støtter vi anbefalingen om å basere eid nivå 3 på formidling av autentiseringsmekanisme via Skatteetatens utsendinger. For nivå 4 støtter vi forslagets alternativ A, men på grunn av usikkerheten som ligger i å basere seg på nasjonalt ID-kort, mener vi det er viktig å vurdere nærmere andre mulige bærere av eid, som f.eks. NAVs helsetrygdekort, ettersom det kan være en raskere løsning enn nasjonalt ID-kort. 1 Se: http://www.regjeringen.no/nb/dep/fad/dok/horinger/horingsdokumenter/2007/horing--forslag-til-strategi-forbruk-av/-4.html?id=454624 2 Se: http://www.regjeringen.no/upload/fad/vedlegg/ikt-politikk/utkast_eidstrategi_13.03.07.pdf

Norge.no støtter anbefalingen om etablering av et samtrafikknav og at etater pålegges å legge tilrette for bruk av felles eid på nivå 3 og 4 gjennom en egen forskrift. Det er også viktig at samtrafikknavet forvaltes av en virksomhet med nødvendig ansvar for forvaltning av fellesløsninger og samordning av offentlige iktløsninger. Norge.no har opparbeidet erfaring med brukerstøtte og forvaltning av løsningen siden etableringen av Minid. Erfaring fra dette arbeidet viser behovet en felles sikkerhetsløsning har for et godt, sentralisert brukerstøtteapparat. En rekke av brukerstedene er små med begrenset ikt-kompetanse på feltet og er derfor avhengig av et sterkt forvaltningsapparat. Bekymring 1 fare for stillstand i utbredelsen av eid-løsninger Vår viktigste bekymring er knyttet til faren for at forslagene i rapporten skal gi en vente-og-se -holdning for virksomheter som har eller er i ferd med å etablere nett-tjenester som forutsetter autentisering (eid). Sannsynligheten for å lykkes med anbefalingene i strategien vil etter vår mening øke dersom 1) fellesløsninger på eid-området allerede har en stor grad av utbredelse blant offentlige virksomheter, og 2) brukerne allerede er vant med at eid er del av en infrastruktur som fungerer på tvers av tjenester (læringseffekt). Etter vår mening kan en vente-og-se -holdning forebygges ved at strategien blir tydeligere på at de foreslåtte løsningene skal baseres på gjenbruk av eksisterende løsninger. Dette kan gjøres ved å fastlå at integrasjonsmekanismen mellom innloggingsløsningen og nett-tjenestene baseres på den åpne standarden som er valgt i dagens fellesløsning for Minside og Altinn (SAML 2.0 fra OASIS/Liberty Alliance). Alternativt, og med enda større grad av forutsigbarhet, kan det fastslås at den nye løsningen som et minimum vil ha samtrafikk (være føderert med) dagens løsning. En virksomhet som er eller blir tilknyttet dagens felles innloggingsløsning, vil dermed få tilgang til den foreslåtte løsningen uten å måtte foreta endringer på egen løsning. Når det gjelder gjenbruk av eksisterende løsning ønsker vi også å påpeke noen nærliggende muligheter for videreutvikling av Minid som kan være relevante. For det første kan Minid utvides til å håndtere flere autentiseringsmekanismer, for eksempel en nivå 4-eID. For det andre kan løsningen utvides til også å støtte signering av webskjema. I samspill med meldingsboksen i Minside kan dette trolig også dekke behovet for et digitalt arkiv. Når det gjelder videreformidling av identitet gjøres dette allerede idag mellom Minid og brukerstedene, men dette kan også settes opp mellom Minid og andre identitets-tjenester. Vi arbeider idag med å sette opp en testforbindelse med FEIDE for slik føderering. Med andre ord kan Minid raskt dekke minst tre, og i samspill med Minside trolig alle fire funksjonene som er nevnt som minste felles multiplum for et offentlig samtrafikknav på side 52. Vi vil også påpeke at vi i disse dager aktiverer signering av den identitets-bekreftelsen (assertion) som brukerstedene mottar når brukeren er innlogget for å tilfredsstille krav fra NAV om sterkere uavviselighet. En slik signering gjør det mulig for brukerstedet å logge denne identitets-bekreftelsen på en måte som langt på vei oppfyller kravet til uavviselighet på nivå 4 (brukerstedet vil ikke selv kunne produsere eller endre et slikt bevis i etterkant 3 ) 3 Tabellen på side 82, cellen nederst til høyre.

Grunnlaget for utvidelsesmulighetene i Minid ligger i at løsningen baserer seg på kraftige, åpne standarder, og en teknisk plattform som støtter disse samt flere beslektete/videreutviklete standarder. En standard som støttes av Minids plattform, og som etter vår mening er relevant for eid-strategien, slik at den kan inkluderes i videreutvikling og fremtidige løsninger, er ID-WSF. Denne standarden innebærer en utvidelse fra autentisering av en bruker til brukerens autorisering av gjenbruk av opplysninger f.eks. fra folkeregisteret for å forhåndsutfylle skjema på nettet. Dette er brukerstyrt, og ikke begrenset til offentlige nett-tjenester, noe som innebærer at premisset om at det offentlige ikke har mange nok tjenester som brukes ofte nok til at det offentlige kan være pådriver for utbredelse av eid, ikke trenger å være riktig. Gjennom ID-WSF vil også bruk av private nett-tjenester innebære interaksjon med offentlige netttjenester. 4 I forbindelse med videreutvikling er det også viktig å understreke at en tydelig formulering om at dagens løsning skal gjenbrukes, er avgjørende for at vi skal kunne forsvare å gjøre tilpasninger av løsningen som brukerstedene og brukerne etterspør. For eksempel kan innføring av engangspassord på sms gjøre det aktuelt for noen brukersteder å avvikle sin egen innloggingsløsning, noe som innebærer en innsparing for brukerstedet og det offentlige samlet sett. Bekymring 2 behov for midlertidig fellesløsning for nivå 4 Relatert til vår bekymring om at strategien skal føre til en stopp i virksomhetens bruk av eid gjennom dagens fellesløsninger, er vår andre hovedbekymring at forslaget til eid på nivå 4 (alternativ A, nasjonalt ID-kort) ligger for langt frem i tid spesielt ettersom det er usikkerhet knyttet til etterspørselen etter et nasjonalt ID-kort. Norge.no er bekymret for at mangel på eid på nivå 4 i fellesløsninger som Minside skal føre til forsinkelser i etableringen av nett-tjenester med personsensitive opplysninger. En rekke potensielle tjenesteleverandører til Minside har gitt signaler om at de ikke ønsker å starte utviklingen av slike tjenester før et alternativ er på plass i Minside. I denne forbindelse har vi to forslag. For det første foreslår vi i at dagens fellesløsning for innlogging (Minid) utvides med en eid på nivå 4 f.eks. fra en privat tilbyder med stor utbredelse i markedet. Vi mener dette er bedre enn at den enkelte virksomhet må basere seg på de løsningene som tilbys i markedet direkte, slik det anbefales på side 45. Det andre forslaget er å øke etterspørselen etter eid på høyere sikkerhetsnivå. Dette er en grunnleggende problemstilling. I arbeidsgruppens anbefaling side 34 vises det til at antallet offentlige elektroniske tjenester som innbygger vil komme i kontakt med gjennom et år er forholdsvis lavt. Vi mener at det motsatte kan være tilfelle dersom vi åpner for at brukerne får gjenbruke personopplysninger fra det offentlige i interaksjon med private nett-tjenester, ved hjelp av ID-WSF (se over). 4 Se for eksempel scenarioet i pkt 2.1.2 (side 11) i Liberty ID-WSF Web Services Framework Overview [http://www.projectliberty.org/liberty/content/download/889/6243/file/liberty-idwsf-overview-v2.0.pdf]. Å gi brukeren mulighet til å ta med seg informasjon fra offentlige registre i interaksjon med private tjenester er for det første et vesentlig steg på veien til en brukervennlig og brukerorientert forvaltning. Vel så viktig er likevel rettssikkerhets- og personvernaspektet ved det. Altfor få benytter innsynsretten i personopplysningsloven, og utdaterte, ufullstendige og gale opplysninger om personer blir derfor ikke rettet. Ved at brukerene gjennom ID-WSF får gjort bruk av opplysningene sine, vil det gi et betydelig løft i motivasjonen for å rette opp feil, noe som kommer forvaltningen til gode gjennom bedre datakvalitet. Dessuten vil gjenbruk av f.eks. folkeregisteropplysninger gi bedre datakvalitet i de skjemaene brukeren fyller ut (mindre skrivefeil).

Nærmere om forretningsmodellen I vårt arbeid med etableringen av innloggingsløsningen for Minside har vi erfart nødvendigheten av gode avtaler mellom brukersted og samtrafikknav -løsninger. Norge.no støtter og ønsker å peke på viktigheten av premissene og forutsetningene arbeidsgruppen har lagt til grunn for sine vurderinger, spesielt er økonomisk forutsigbarhet og enkle ansvars- og avtaleforhold viktig for å lykkes i en nyetablering. En rekke leverandører konkurrerer i dag om markedet for eid og samtrafikknav for statlig og kommunal sektor. Norge.no tror at kun et offentlig eiet samtrafikknav som forvaltes gjennom en virksomhet med sentrale offentlige samordningsoppgaver vil kunne lykkes i dagens markedssituasjon. Norge.no støtter arbeidsgruppens forslag basert på en sentralisert forretningsmodell. Våre erfaringer fra Minside tilsier at det er svært vanskelig å få mindre etater og kommuner til å inngå en avtale med en fellesløsning som Minid dersom virksomheten skal dekke kostnadene med løsningen. Vi tror at den totale gevinsten blir større ved en sentralisert løsning enn med en desentralisert løsning. Norge.no ønsker også å peke på at 30 kommuner og 5 etater allerede har inngått en avtale med Norge.no om gratis bruk av innloggingsløsningen for Minside. Flere etater og kommuner forventes også å signere avtalen innen kort tid. Vi mener at det vil være svært vanskelig i etterkant å innføre en betalingstjeneste i disse etatene. Enkelte uklarheter I arbeidsgruppens anbefaling er det videre et par forhold vi er usikre på. For det første er vi usikre på forholdet mellom det anbefalte samtrafikknavet og muligheten for å gjenbruke dagens innloggingsløsning. Vi arbeider med å teste en sammenkobling (føderering) mellom den felles innloggingsløsningen og FEIDE. Dette vil i praksis kunne gi samtrafikk mellom de to sikkerhetsuniversene disse to løsningene etablerer. For det andre er vi usikre på kravene til sikkerhetsnivå 3 i vedlegg 1 (side 83). Det siste kulepunktet under Sikkerhetnivå 3 angir Engangspassordlister sammen med fast passord og brukernavn. I dagens felles innloggingsløsning brukes passordene (PIN-kodene) flere ganger (rullerer). Er ikke dette med i sikkerhetsnivå 3? I kapittel 3 kan vi ikke se at Minside (som bruker Minid) er beskrevet under 3.4 (erfaringer) og 3.5 (fremtidig behov). Basert på Skatteetatens pinkoder, når løsningen brorparten av befolkningen og har over 200 000 registrerte brukerkontoer. I Minside skal tilgang til tjenestene skilles på sikkerhetsnivå og behovet for eid nivå 3 og 4 er sammenfallede med blant annet Altinns behov. Autentisering i Minside er basert på et fremtidig samtrafikknav. Tjenesteleverandører (TL) til Minside har pekt på at investeringene som er lagt ned i den enkelte etats knytning til Minid bør videreføres. Minid er bygd rundt standardiserte løsninger som støtter fremtidige behov for Minside. Denne løsningen kan dekke behovet for autentisering og signering knyttet til Minsides tjenester. Signaler fra TL antyder at en rekke tjenester som vil trenge eid nivå 4 kan være tilgjengelig i løpet av 2008. Innbyggere uten D-nummer, innbyggere uten fastbopel og norske statsborgere i utlandet dekkes i dag dårlig av PIN-kodene fra SKD. Norge.no ønsker at det tas et sentralt ansvar for å løse disse problemene.

Ove Nyland direktør Norge.no Tor Alvik seksjonssjef, Minside

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding