Utbredelse av PKI-anvendelser i offentlig sektor. Strategivalg

Utbredelse av PKI-anvendelser i offentlig sektor. Strategivalg. 17.2.2005.

Innholdsfortegnelse Sammendrag...3 Bakgrunn...4 Innledning - prosess...4 Formål...5 Statusbeskrivelse offentlige tiltak og markedsutviklingen...5 Erfaringer i andre nordiske land...6 Den danske modellen...6 Den svenske modellen...7 Den finske modellen...8 Ulike modeller for ordninger som kan bidra til samordnet spredning og bruk av PKI i offentlig sektor i Norge...8 Modeller for prising av PKI-relaterte tjenester og produkter...9 Premisser og prioriteringskriteria for en ny felles ordning innen bruk av PKI i offentlig sektor...9 Vurdering av mulige tiltak for samordnet spredning og bruk av PKI i offentlig sektor...11 Anbefalte tiltak for samordnet utrulling og bruk av PKI i offentlig sektor...14 Konsekvenser av de foreslåtte tiltak...16 2

Sammendrag Notatet gir følgende anbefalinger om strategi for samordnet utbredelse av eid/e-signatur anvendelser (PKI) i offentlig sektor på kort (2005) og mellomlang sikt (ut 2006): Kort sikt (2005): Staten, ved Brønnøysundregistrene, inngår en rammeavtale om tjenester fra en sikkerhetsportal, med funksjoner knyttet til autentisering og signering, tiltrodd arkivering samt tjenester for felles pålogging i tjenesteportaler. Det forutsettes at portalen integrerer løsninger fra flere PKI-leverandører som oppfyller den felles kravspesifikasjonen for offentlig sektor. Rammeavtalen skal inngås med én leverandør, som skal kunne innestå for at de PKI-løsninger som blir integrert i portalen oppfyller nødvendige krav. Det vil stilles krav om at minst 3 ulike, godkjente leverandører av PKI skal kunne brukes gjennom sikkerhetsportalen. Godkjenning vil kunne skje gjennom at PKI leverandøren frivillig sertifiserer seg i en offentlig godkjenningsordning, dersom slik finnes, eller ved at portalleverandøren, gjennom en uavhengig evaluering, inngår en avtale med PKI-leverandørene om å innestå for deres PKI-løsninger. Portalleverandøren skal ikke kunne nekte å godta en offentlig sertifisert PKIleverandør som underleverandør. Rammeavtalen for portaltjenester gjøres obligatorisk for alle nye brukere av PKI (dvs. de som ikke benytter allerede eksisterende avtaler) i staten og anbefales sterkt i kommunesektoren. Mellomlang sikt (ultimo 2005-2006): Staten, ved Brønnøysundregistrene, inngår en rammeavtale om virksomhetssertifikater og personsertifikater til bruk internt i offentlige virksomheter, for både nivå Høyt og Standard. Avtalen skal forutsette full samtrafikk mellom aktuelle PKI-leverandører. Det etableres, så raskt som mulig, en eller flere frivillig(e), offentlig(e) godkjennings- /sertifiseringsordning(er). Ordningen(e) kan baseres på den hjemmelen og tilhørende forskrift, som det nå arbeides med å innføre i e-signaturloven eller ordningen kan også være forankret i eforvaltningsforskriftens 27, der det gis hjemmel til å opprette et Koordineringsorgan med tilliggende fullmakter til å vurdere og godkjenne sikkerhetsløsninger til bruk i elektronisk kommunikasjon i og med forvaltningen. Ordningen(e) skal kunne sertifisere leverandørenes løsninger ifht om de samsvarer med krav nedfelt i den felles kravspesifikasjon med ev. oppdateringer og presiseringer. Det kan være hensiktsmessig å ha separate ordninger for godkjenning av PKI-løsninger som oppfyller krav til sikkerhetsnivå Standard og krav til sikkerhetsnivå Høyt. Dette vil måtte utredes nærmere ifm arbeidet med å opprette ordningen(e). Både rammeavtalen om en sikkerhetsportal og rammeavtaler om eid/e-signatur til bruk internt i offentlig sektor skal inngås også på vegne av kommunesektoren og skal således gjelde for hele offentlig sektor. 3

Bakgrunn Gode sikkerhetsløsninger er en forutsetning for å kunne benytte elektronisk kommunikasjon i stor skala i offentlig sektor. Utvikling av elektroniske tjenester for borgere og næringsliv skaper en utfordring knyttet til samordnet utvikling, tilrettelegging og bruk av sike sikkerhetsløsninger. Regjeringen har derfor i juni 2004 besluttet at det skal utarbeides en felles kravspesifikasjon for PKI i offentlig sektor og at det videre skal inngås felles rammeavtaler på grunnlag av kravspesifikasjonen som skal kunne brukes av hele offentlig sektor. Spørsmålet om avtalene og/eller kravspesifikasjonen skulle gjøres obligatorisk skulle behandles på et senere tidspunkt. PKI legges til grunn som foretrukken sikkerhetsløsning for autentisering og signering i offentlig sektor, fordi: - det er ønskelig at publikum skal kunne bruke én og samme sikkerhetsløsning ved all elektronisk kontakt med offentlig sektor, og at det ikke etableres ulike løsninger i ulike etater som har publikumskontakt - PKI vurderes som sikker nok teknologi når det gjelder utstrakt gjenbruk mot mange ulike tjenester - det er ønskelig at publikum skal kunne bruke samme sikkerhetsløsning mot offentlig sektor som mot private tjenesteytere - det er ønskelig at sikkerhetsløsninger i størst mulig grad skal kunne fungere sammen, både innen den enkelte sektor og mellom sektorer, samtidig som kostnader ved disse reduseres - det er behov for elektronisk signatur, både fra borgere, næringsliv og forvaltning, og PKI vurderes som eneste tilgjengelige teknologi som gir mulighet for å knytte avsender til meldingsinnhold på en standardisert måte. Innledning - prosess Kravspesifikasjon for PKI i offentlig sektor ble lagt frem i november 2004 og senere godkjent av Moderniseringsdepartementet og av Kommunenes Sentralforbund i desember 2004. Arbeidsgruppen som utarbeidet spesifikasjonen fikk så forlenget mandat til å drøfte ulike typer modeller når det gjelder samordnet bruk av PKI-baserte løsninger i elektronisk kommunikasjon med og i offentlig sektor. Slike modeller ble systematisk drøftet allerede i NOU 2001:10 Uten penn og blekk, kap. 9 - Forvaltningens strategi for bruk av sertifikattjenester. Situasjonsbildet når det gjelder markedets evne til å forsyne forvaltningen med relevante løsninger har endret seg siden da. Det er også høstet noen erfaringer fra tidligere og nåværende felles avtaler. Gruppen har hatt 5 møter det siste i januar 2005, for å drøfte ulike modeller for hvordan PKI (e-signatur og eid) kan tas i bruk av forvaltningen og forvaltningens brukere på en kostnadseffektiv og samordnet måte. Dette notatet sammenfatter gruppens drøftelser. Advokatfirma Simonsen og Føyen DA ved Arve Føyen og Birgitte Araldsen bisto gruppen med juridisk betenkning når det gjelder anskaffelsesmodeller og andre rettslige rammebetingelser for utbredelse av PKI i forvaltningen. Formål Dette notatet gir noen vurderinger når det gjelder policy for forvaltningens samordnete utrulling og bruk av PKI-basert elektronisk ID og elektronisk signatur mv. Notatet gir videre anbefalinger når det gjelder hvilke strategier som den norske offentlige sektor bør velge på kort og lang sikt innen dette område. Kravspesifikasjon for PKI i offentlig sektor, ver. 1.02 4

av januar 2005 ligger til grunn med nødvendige forutsetninger og definisjoner knyttet til bruk av PKI. Statusbeskrivelse offentlige tiltak og markedsutviklingen Forvaltningsnettsamarbeidet inngikk en rammeavtale i mai 1999 om bruk av sertifikattjenester og smartkort internt i forvaltningen (statlige og kommunale etater). Avtalen omfattet tre ulike leverandører. Det ble fremsatt krav om kryssertifisering av disse før salget over rammeavtalen kunne starte. En kryssertifiseringsavtale ble undertegnet våren 2000. Så vidt kjent, ble det foretatt kun ett avrop over denne avtalen. Avtalens varighet var til 1. juli 2000, med opsjon på 1 års forlengelse. Opsjonen ble tatt i bruk. Etter at avtalen gikk ut sommeren 2001, ble det arbeidet med et grunnlag for en ny rammeavtale innenfor rammen av Forvaltningsnettsamarbeidet. Dette arbeidet ble ikke fullført, da Forvaltningsnettsamarbeidet ble nedlagt ved et regjeringsvedtak høsten 2001. Rikstrygdeverket inngikk på vegne av helsevesenet en rammeavtale for etablering av PKItjenester med én leverandør i januar 2003. Rammeavtalen dekker behov Rikstrygdeverket og helsevesenet har for etablering av en løsning for elektronisk samhandling mellom aktører i helsevesenet. Avtalen skal kunne avropes av disse aktører, for å etablere løsninger hos disse for samhandling med Rikstrygdeverket og mellom hverandre. Samme løsning skal også kunne brukes for kommunikasjon med publikum, og skal bl.a. gjøre det mulig å gi pasienter tilgang til egen helseinformasjon. Avtalens varighet er 2 år, med opsjon for forlengelse to ganger i 1 år. Avrop på rammeavtalen (utenom kjøp foretatt av RTV selv) har vært begrenset til nå, men ventes å skyte fart utover i 2005, etter at det er satt inn tiltak fra Sosial- og helsedirektoratet for å stimulere fastleger til å knytte seg til nasjonalt helsenett, herunder anskaffe PKIløsninger over denne avtalen. Alle landets apoteker har allerede anskaffet et virksomhetssertifikat over denne avtalen og en utrulling til sykehusene er planlagt. Altinn-prosjektet (et samarbeid mellom Skattedirektoratet, Brønnøysundregistrene og SSB), inngikk en avtale om utvikling og drift av en felles innrapporteringsportal fra næringslivet til statlige etater oktober 2002. Løsningen ble gjort tilgjengelig i desember 2003 for de tre deltagende etater. Våren 2004 ble det etablert en permanent Altinn Sentral Forvaltning i Brønnøysundregistrene som overtok avtaleforvalter-rollen fra Skattedirektoratet. Avtalen som ble inngått inneholdt en PKI-opsjon (med ulike alternativer iht definerte sikkerhetsnivå) som kunne utløses dersom en deltagende etat hadde behov for det. Denne opsjonen ble senere endret, og det endrede opsjonstilbudet var gyldig til 1. oktober 2003.Altinn-samarbeidet ble vinteren 2004 utvidet med Statens lånekasse for utdanning, som meldte behov for en PKIløsning basert på smartkort. PKI-opsjonen (Buypass) ble dermed utløst i juli 2003, i første omgang for å teste en pilotløsning med omfang på ca 300 personlige brukere. Lånekassen akter å tilby en PKI-støttet løsning til flere brukere i 2005, men forutsetter da at de ikke skal bære kostnaden ved anskaffelse av smartkort og lesere til brukere selv. Brukerne som har skaffet seg denne løsningen vil samtidig kunne benytte denne til alle andre tjenester som er tilgjengelig i Altinn. Altinn har ikke kontraktsmessige bindinger vedrørende PKI, men opsjonene har "lagt lista" med tanke på prisnivå. Det er ikke ønskelig med nye, prisdrivende krav ifht dette nivå. Videre er det arkitektonisk lagt opp til at integrasjon mot nye PKI aktører skal være plug and play. En ny kravspesifikasjon/avtale må opprettholde denne intensjonen. Altinn-samarbeidet omfatter nå også Konkurransetilsynet og det er planer om å tilslutte flere statlige etater til dette avtaleverket i løpet av 2005. 5

Markedet for PKI i Norge er i en turbulent periode, med flere initiativer til igangsetting av ulike utrullingstiltak og med pågående strategivurderinger hos aktørene når det gjelder lønnsomhet og hensiktsmessighet av konkurrerende delinfrastrukturer. Det mangler en enhetlig, interoperabel infrastruktur, men delinfrastrukturer er i ferd med å vokse frem: - BankID ( mål: 2 mill nettbankkunder) - Buypass/Norsk Tipping (mål: 2,1 mill tippekunder) - Mobil PKI, der Telenor Mobil hevder å ha en kundemasse med 2 mill PKI-klare SIM-kort og der Netcom vurderer å rulle ut egen infrastruktur, med sine eiere i ryggen - Skandiabanken med lukket (foreløpig) infrastruktur for over 200.000 kunder - ErgoGroup med tilbudet til helsevesenet (190.000 ansatte og pasienter på sikt som målgruppe) Ergo Group er en totalleverandør som tilbyr PKI-løsninger basert på personsertifikater og virksomhetsertifikater. Telenor tilbyr også tilsvarende. Begge med utgangspunkt i sertifikatutsteder Zebsign, deleid av Telenor og Ergo Group i fellesskap. Zebsign er også utstederen av Buypass-sertifikater. Tilbydere av BankID er de enkelte banker. Det er i skrivende stund vanskelig å gi oversikt over mengden av kunder som faktisk benytter sertifikater i sammenheng med tjenester fra offentlig sektor. Erfaringer i andre nordiske land Den danske modellen Den danske modellen er basert på en sentral innkjøpsavtale mellom Videnskabsministeriet (VTU) og 1 leverandør (TDC). Avtalen har en løpetid på fire år og omfatter alle offentlige enheter under den statlige, amtslige og kommunale forvaltning, dog ikke offentlig eide aksjeselskaper. Det er definert ett sikkerhetsnivå for personer og det benyttes ikke virksomhetssertifikater. Sertifikater til borgere (OCES 1 ) og næringsliv finansieres av VTU og er gratis for brukeren. Sertifikater til ansatte i offentlig virksomhet tilbys under rammeavtalevilkår med en flat rate. Bruk (validering) av sertifikater er gratis for partene i all kommunikasjon i eller med offentlig sektor. For bruk av sertifikater utenfor offentlig sektor må det inngås egen avtale og finansieringsmodellen er basert på at det betales for bruk. Avtalen med leverandøren (TDC) er utformet slik at leverandøren har et ansvar og et sterkt insentiv for å bidra til utbredelsen av sertifikater. 1/3 av avtalens verdi utløses ved at man når kontraktsfestede mål for antall utstedte sertifikater. Det er for andre gang at den danske forvaltning inngår sentrale avtaler om PKI. Den første avtalen, i 2001, om kvalifiserte signaturer, der brukere selv måtte betale 125 Dkr for et sertifikat, ble brukt i svært liten grad. Under nåværende avtalen er målsettingene for utrulling av sertifikater til publikum ikke helt nådd, men det er pr. høsten 2004 utstedt ca 227.000 OCES- sertifikater til borgere og over 32.000 ansatt-sertifikater, samt ca 700 virksomhetssertifikater. Det er 42 offentlige etater som tilbyr tjenester som kan nås ved bruk av OCES og 12 private virksomheter (bl.a. godtar Skandiabanken i Danmark OCES for 1 Offentlige certifikater for elektroniske services 6

lånetilsagn online). Det er 10 offentlige etater som har anskaffet ansattsertifikater til ulik bruk. København kommune, som har en av de største elektroniske borgerportaler i landet, benytter OCES i tilgang til sine tjenester (høsten 2004 er det 80% av brukere som benytter OCES og 20% brukere som benytter PIN-koder fra skatteetaten, fra 1.1.05 skal kun OCES benyttes). Den svenske modellen Den svenske modellen har to hovedkomponenter, en rammeavtale for ID-tjenester som integreres i egne tjenester og en rammeavtale for outsourcing av større deler av elektroniske tjenester. Det er Statskontoret som inngår og administrerer rammeavtalene. Nyeste komponent (juni 2004) er en rammeavtale med fem leverandører av ID-tjenester. Avtalen omfatter personsertifikater (personlig e-legitimation), ansatt- og virksomhetssertifikater. Tre av leverandørene er banker og disse leverer kun personsertifikater, både sw (mjukt) og smartkort. Prisstrukturen er basert på startkost, månedsavgift og transaksjonspriser som hovedalternativ. Det nevnes også en Takpris for å sette en kostnadsgrense. Det er laget pakkeløsninger (kommunpaket og startpaket) med faste priser for virksomheter med lavere volumer. Eneste leverandør av virksomhetssertifikater er Steria, og her er prismodellen ikke transaksjonsbasert. I tillegg er det april 2004 etablert en rammeavtale om en Infratjänst- ett lätt tillgängligt tjänstealternativ till egen utveckling och drift av viktiga funktioner. Tjenesten skal tilby et antall ferdige funksjoner for e-tjenester og informasjonsoverføring mellom offentlige virksomheter. En av basistjenestene er kontroll av e-legitimasjon og e-underskrift. Det fremgår ikke av dokumentene på Statskontorets web om det ligger noen form for subsidier eller andre typer insentiver. Den finske modellen Finland har tidlig valgt å satse på PKI som foretrukken teknologi ved tilgang til elektroniske tjenester fra offentlig sektor. Det ble brukt store ressurser på å etablere en offentlig utsteder av sertifikater på svært høyt sikkerhetsnivå. Utstederen er det finske folkeregisteret, som benytter politiet som registreringstjeneste. Utstedelse av sertifikater på smartkort er blitt knyttet til søknad om forenklet pass. Det er uklart hvor mange slike kort er blitt utstedt pr. i dag, men estimater fra 2003 var på ca 16.000 kort. Utbredelsen av løsningen ble hindret av flere faktorer: - krevende utstedelsesprosedyre med personlig fremmøte 2 ganger - brukeren måtte selv betale merkostnaden ved å få et elektronisk ID kort (ca 5 euro), fremfor bare et forenklet pass - kortleser-infrastrukturen manglet og besørgelse av dette ble overlatt til brukerne - det manglet interessante elektroniske tjenester som kortet kunne benyttes til - folkeregisteret må konkurrere på like vilkår med andre sertifikattilbydere i markedet. Det finske folkeregisteret forhandlet, både med banksektoren og med mobilselskapene, om gjenbruk av deres sertifikater i disse aktørers infrastrukturer. Forhandlingene har nå ført frem til at folkeregisteret, i samarbeid med TeliaSonera, tilbyr et borgersertifikat som skal legges inn i SIM-kortet på telefonen. Sertifikatet skal gjøres tilgjengelig for publikum i januar 2005. 7

Ulike modeller for ordninger som kan bidra til samordnet spredning og bruk av PKI i offentlig sektor i Norge Det vises her til vedlegg 1, Juridiske og organisatoriske problemstillinger knyttet til etablering av ordninger for forvaltning av elektronisk ID (e-id) og PKI-baserte løsninger for elektronisk signatur (e-signatur) til bruk ovenfor offentlig forvaltning utarbeidet av Simonsen Føyen Advokatfirma DA. En av hovedkonklusjonene i utredningen når det gjelder anskaffelsesmodeller er at det ikke er tillatt i gjeldende regelverk å inngå parallelle rammeavtaler, dvs. rammeavtaler med flere leverandører samtidig. Det foregår dog en regelverksrevisjon som muligens kan åpne for en oppmyking av denne regelen fra 2006. Det vises ellers til kapitlet i dette notatet om vurdering av ulike tiltak. Modeller for prising av PKI-relaterte tjenester og produkter Det vises til vedlegg 2, notat Elektronisk ID og signatur (PKI) betalings- og kostnadsdelingsmodeller utarbeidet av Moderniseringsdepartementet. Notatet er av informativ karakter og anbefalingene vil måtte drøftes konkret i forbindelse med gjennomføring av de ulike tiltakene i strategien. Notatet beskriver dog de to hovedmodeller for prising av elektronisk ID / e-signatur: prising av bruk (transaksjonsbasert prising hver enkel validering av en eid eller en e-signatur medfører en liten kostnad; prisen kan avhenge av volumet av transaksjoner (volumrabatter) og type validering eid vil mest sannsynlig være rimeligere å validere enn en e-signatur) prising av utstedelse/vedlikehold av en eid / e-signatur (eks. stykkpris og et årsabonnement) og fri bruk. Notatet drøfter videre hvilke prisingsmodeller egner seg for hvilke typer eid / e-signatur. Valg av prisingsmodell og fastsettelse av enhetspris kan også avhenge av type anvendelse en elektronisk ID eller e-signatur benyttes i. Eksempelvis vil validering av signatur på et elektronisk skjema sendt via en nettleser kreve en annen løsning enn validering ev en e- signatur på en e-post. Premisser og prioriteringskriteria for en ny felles ordning innen bruk av PKI i offentlig sektor. Følgende overordnede premisser kan legges til grunn: - Nødvendig infrastruktur for bruk av eid og e-signatur i forvaltningen og mot forvaltningen skal leveres av markedet - Dynamikken og tilbudet i markedet for PKI skal utnyttes på en samfunnsøkonomisk sett mest effektiv måte. Herunder: Konkurransen i markedet skal opprettholdes Løsninger som brukes av det offentlige må også kunne benyttes mot tjenester som tilbys av private leverandører (e-handel osv.) - Eksisterende felles avtalestrukturer må ikke forstyrres i en alvorlig grad. - Det skal være enklest mulig for et offentlig brukersted å tilrettelegge for PKIbasert autentisering, signering og kryptering. Flest mulig brukere / kommunikasjonspartnere kan benytte løsningen Enklest mulig avtalestruktur Enklest mulig teknisk integrasjon med egne systemer - Samtrafikk mellom de aktuelle tilbydere av PKI skal være mulig. - Det skal være forutsigbarhet i driftskostnader for både brukere og for forvaltningen 8

- Det skal være enkelt og helst kostnadsfritt for brukere i privat sektor (borgere og bedrifter) å skaffe seg og sette i drift en PKI-løsning som kan brukes mot forvaltningen - Den anskaffede eid/esignatur bør kunne benyttes til kommunikasjon mot flest mulig tjenester i offentlige etater og også til tjenester i privat sektor, som vil akseptere et slikt eid/esignatur. - Det bør legges opp insentiver for til at PKI-løsningene blir utbredt i stor skala innen en tidsramme på ut 2006. Flere av disse målsettingene kan være innbyrdes i konflikt, og det må derfor foretas en avveining og prioritering av kriteriene. Det synes å foreligge en enighet om at kostnadskontroll for forvaltningen er et svært viktig premiss for eventuelle felles ordninger. Samtidig er stor skala utbredelse i befolkningen en viktig premiss for utvikling av offentlige elektroniske tjenester, som skal kunne benytte eid og/eller e-signatur ( høna-og-egget utfordringen: det er ingen gevinst i å utvikle tjenester som forutsetter en sikkerhetsløsning som bare få brukere besitter). Dersom man benytter transaksjonsbaserte prisingsmodeller, vil storskala-bruk skape utfordringer for offentlige etater mhp kostnadskontroll, særlig dersom forutsetning om gratis bruk av elektroniske tjenester for publikum/andre brukere skal legges til grunn. Samtidig står brukervennlighetsog forenklingsperspektivet (for brukere) sterkt, særlig i lys av e-forvaltningsforskriften og de generelle politiske målsettinger innen modernisering av offentlig sektor. Dette knytter seg spesielt til satsingen på portaler som MinSide for publikumsrettede tjenester og Altinn for tjenester rettet mot næringslivet. Slike portaler, der flere etater skal kunne tilby sine tjenester, vil være svært viktige drivere for utbredelse av eid og e-signatur og derved bidra til å skape nødvendig kritisk masse av sertifikater som oppfyller det offentliges krav. Tidsplaner for utvikling av MinSide skaper en spesiell utfordring for valg av kortsiktig strategi, da det er politisk uttalt at det er ønskelig å tilby en slik portal så raskt som mulig, og helst sommeren 2005. Samtrafikk er en problemstilling som underbygger premisset om forenkling og effektivisering, sett fra offentlige virksomheters side (brukersted-forenkling). Samtrafikk skaper store utfordringer rent teknisk, men de største ligger nok i de forretningsmessige forhold, dvs. behovet for mange avtaler med ulike aktører som kan validere gyldigheten av eid/e-signaturer, når man ikke kan forholde seg til kun én leverandør. Samtrafikk mellom ulike eid/e-signatur løsninger innebærer følgende: For sluttbrukeren at hun ikke trenger å motta en eid fra hver enkel leverandør av PKI for å kunne benytte flere ulike elektroniske tjenester fra offentlig sektor For den offentlige virksomheten (brukerstedet) at denne ikke behøver å inngå en avtale med hver enkel leverandør av eid for å kunne tilby sine tjenester over nett, heller ikke at det behøves en teknisk integrasjon av alle tilgjengelige eidmottaksløsninger i etatens systemer; kun én løsning må integreres og kun én avtale trenges å inngå. En forutsetning for at dette skal kunne være mulig er at aktuelle PKI-leverandører enten inngår bilaterale avtaler om s.k. kryssertifisering av sine løsninger og innestår for dem overfor aktuelle brukersteder, eller at de inngår avtaler med én, felles aktør (en sikkerhetsportal) som kan være bindeleddet mot aktuelle brukersteder. Det er imidlertid noen forutsetninger som vil være viktige for at dette skal kunne skje: 9

PKI-leverandører skal kunne dokumentere, på en hensiktsmessig måte, at deres løsninger oppfyller kravene nedfelt i den felles kravspesifikasjonen PKI-leverandører må ha tilstrekkelige forretningsmessige incentiver for å inngå nødvendige avtaler med hverandre eller med den ene felles aktøren. Samtrafikk er et høyt prioritert krav på kort sikt, og det offentliges samlede kjøpekraft kan benyttes til å tvinge markedet til å legge til rette for dette fra starten av en storskala utrulling av PKI i offentlig sammenheng. Dersom man ikke gjør et slikt grep, kan gjennomføring av samtrafikk på et senere tidspunkt bli svært vanskelig, om ikke umulig. Et minimumskrav er at det finnes samtrafikk for bruk av eid/e-signatur i offentlig sektor. På sikt er det også ønskelig at det foreligger samtrafikk med tjenester i privat sektor. Dette krever at alle PKI-aktører med utbredelse i det norske markedet inngår avtaler med hverandre, der de gjensidig anerkjenner hverandres løsninger og blir enige om de forretningsmessige vilkår når det gjelder ansvar, erstatningsregler mv. Det ansees som realistisk å fremme krav om samtrafikk i offentlig sektor dette kan trolig enklest oppnåes ved å gå for en modell der alle aktuelle PKIleverandører inngår avtaler med en aktør som kan være bindeleddet mot offentlige brukersteder. Forutsigbarhet med hensyn på teknisk løsning er også en viktig forutsetning for offentlige etater, særlig der etaten ønsker å integrere PKI-løsninger selv, men også der integrasjon mot en felles aktør (sikkerhetsportal) er aktuell. Budsjett- og planleggingsløp i offentlig sektor er langsiktige og låst til forholdsvis rigide tidshorisonter det er derfor nødvendig å skape klarhet i hva slags type løsninger som vil bli tilgjengelig og på hvilken måte etatene og kommunene kan ta dem i bruk. En felles aktør (sikkerhetsportal) kan i så måte bidra med en forenkling i form av ett, felles grensesnitt mot flere ulike PKI-leverandører. For virksomheter som velger å tilby sine tjenester gjennom en tjenesteportal som Altinn eller MinSide, vil det tekniske grensesnittet kunne forenkles yterliggere dersom en sikkerhetsportal tilbyr en identitetsformidler-funksjon. Ut fra den ovenstående drøftingen av innbyrdes relasjoner mellom de ulike kriterier for strategivalg, kan en konkludere med at det høyest prioriterte hensynet er etatenes kontroll med utgiftene til innføring og bruk av PKI-løsninger, særlig der en transaksjonsbasert modell for bruk er aktuell. Dette henger nøye sammen med rask utbredelse blant aktuelle brukere (publikum). Den tredje prioriteringen knytter seg til størst mulig forenkling for offentlige brukersteder og omfatter samtrafikk samt klart og standardisert teknisk grensesnitt mot etatens egne systemer. Samtidig danner den politiske prioriteringen av utviklingstakten for tjenesteportalene som Altinn og MinSide et grunnleggende premiss for valg strategi på kort sikt. Vurdering av mulige tiltak for samordnet spredning og bruk av PKI i offentlig sektor Når en skal knesette en felles strategi, er det behov for å danne seg en oversikt over tilgjengelige virkemidler og over mulighetsrommet for handling. På grunnlag av erfaringer fra andre nordiske land, de juridiske vurderinger, og gjennomgang av ulike prisings- og forretningsmodeller for bruk av PKI, kan følgende alternative virkemidler for å realisere en samordnet spredning og bruk av PKI i offentlig sektor vurderes: 1. Frivillig offentlig sertifiserings-/godkjenningsordning for PKI-løsninger i markedet. Ordningen skal kunne verifisere om aktuelle løsninger oppfyller krav i den felles kravspesifikasjonen for offentlig sektor. Ordningen skal jevnlig publisere lister over godkjente leverandører. 10

2. Rammeavtale om tjenester fra en sikkerhetsportal som tilbyr samtrafikk mot flere PKIleverandører. Sikkerhetsportalens tjenester bør omfatte validering av person eid/esignatur (begge sikkerhetsnivå), og inkluderer også tekniske løsninger for integrasjon hos aktuelle brukersteder. Portalen bør også kunne tilby løsninger som gjør det mulig å tilby identitetsformidler-funksjon for tjenesteportaler. Inngåes med en aktør som er ansvarlig for underliggende avtaler med aktuelle PKI-leverandører. 3. Rammeavtale om eid/e-signatur for personer (begge sikkerhetsnivå), med fullstendig PKI-løsning, inklusive validering. Inngåes direkte med en PKI-leverandør. 4. Rammeavtale for eid/e-signatur (begge sikkerhetsnivå) for personer som ønskes benyttet i profesjonell sammenheng, dvs. som ansatt i en offentlig virksomhet. Kan legge opp til lokal validering. Inngåes direkte med en PKI-leverandør. 5. Rammeavtale for virksomhetssertifikater (til bruk både direkte av en autorisert person og til automatisk bruk fra en virksomhetsserver). Kan legge opp til lokal validering. Inngåes direkte med en PKI-leverandør. 6. En sentral konsernavtale der det foretas et sentralt innkjøp av ulike typer PKIløsninger, fra flere leverandører samtidig. Forhåndsavtalt bruksomfang. Brukersteder må forplikte seg til kjøp i forkant og tar løsningene i bruk umiddelbart etter avtaleinngåelse (ingen avrop). En spesiell utfordring er forsyning av publikum med eid dersom dette skulle skje ved at offentlige etater avroper sentrale avtaler på vegne av brukere av sine tjenester, kan dette føre til et koordineringsproblem, ved at samme bruker kan bli forsynt med et sertifikat fra flere ulike offentlige etater. Alternativt kan det offentlige basere seg på at PKI-leverandørene tar seg av utrullingen av eid til publikum. Følgende scenarier er ment som en illustrasjon av mulighetsrommet for samordning av PKIutrulling og bruk i offentlig sektor. Et 0-scenario innebærer at etater foretar anskaffelse og implementering av PKI-løsninger hver for seg. Den felles kravspesifikasjonen ligger til grunn, ev. med en veiledning og noen maler for standardavtaler for kjøp av PKI-tjenester og produkter. Scenarioet medfører at det ikke er lagt til rette for noen felles anstrengelser i å rulle ut, eller dele kostnader ved utrulling og bruk, av PKI-løsninger til brukere. Det forutsettes at markedet sørger for utrulling og at etater foretar ev. kjøp på grunnlag av ensidig kost-nytte vurdering for den aktuelle anvendelsen som de tilbyr. I et slikt scenario vil samtrafikk bli et stort problem, da enkeltkjøp i liten grad kan bidra til at samtrafikk etableres. Et 1-scenario innebærer scenario 0, og i tillegg et sentralt tilbud om hjelp til å vurdere om løsninger i markedet er egnet. Dette løses ved at det etableres en (frivillig) sertifiserings- /godkjenningsordning der leverandørene i markedet kan få sine løsninger vurdert mot de krav som er nedfelt i den felles kravspesifikasjonen med ev. presiseringer og tillegg. Vurderinger gjort av det organet som vil administrere ordningen kan legges til grunn når en offentlig virksomhet skal gjennomføre en anskaffelse av PKI i markedet. Et 2-scenario innebærer et 0-scenario eller 1-scenario samtidig med felles tiltak for å tilrettelegge for rask og samordnet utrulling av eid/e-signatur. Her kan det tenkes at en tjenesteportal benyttes for å tilby en registreringstjeneste til brukere, der det legges opp til gjenbruk av autentiseringskoder mottatt tidligere fra det offentlige (eks. PIN-koder), for å skaffe seg en eid. Dette kan gjelde eid både på nivå Standard og Høyt. For det siste må det også legges opp egnede utleveringsprosedyrer, f.eks. på offentlige kontorer. Scenariet kan ha 11

betydning dersom offentlig sektor ønsker at det raskt oppstår en kritisk masse av brukere, og dette ikke overlates til markedet alene. De tre ovennevnte scenarier vil ikke løse utfordringen knyttet til kostnadskontroll, da hver enkel etat vil måtte forholde seg til de forretningsmessige vilkår for bruk av eid som PKIleverandørene vil stille. Ved å utnytte statens og kommunenes samlede kjøpekraft kan det imidlertid legges premisser for prisings- og betalingsvilkår som vil legge til rette for rimelig god kostnadskontroll ved PKI-bruk mot offentlige tjenester. Likedan kan felles innkjøpsordninger bidra til å løse samtrafikk-spørsmålet. Et 3-scenario innebærer at det inngåes sentrale rammeavtaler om bruk av person eid/esignatur, som stipulerer visse transaksjonsmengder og etablerer et (for begge parter) forutsigbart kostnadsdekningsregime. Dette scenario kan også sees i sammenheng med scenario 1 og 2. Når det gjelder virksomhetssertifikater (eid for virksomheter), er det også hensiktsmessig å vurdere sentrale rammeavtaler, særlig når det allerede finnes slike avtaleordninger (eks. RTV sin) fra før. I forbindelse med bruk av person eid samt virksomhets eid internt i offentlig sektor kan det avtales betaling for utstedelsen av en eid, og ikke for bruken av den. Målsetting om oppnåelse av samtrafikk kan realiseres med ulike modeller for samspill aktørene imellom (ref. kravspesifikasjonens vedlegg 4). I dagens markedssituasjon løses samtrafikk-problemet rent teknisk gjennom én, felles integrasjonsløsning mot aktuelle PKIleverandører, som gjør det mulig å enkelt foreta sjekk av eid/e-signatur (modell B1/B2 i vedlegget). Løsningen krever imidlertid forretninsgmessige avtaler med alle aktuelle PKIleverandører, noe som kan være dyrt og vanskelig å håndtere for mindre offentlige brukersteder. Dette kan avhjelpes ved modell der én, felles aktør (f.eks. en sikkerhetsportal) også ivaretar avtaler med relevante PKI-leverandører (modell C1 i vedlegget). I en åpen samfunnsinfrastruktur (dvs. der alle kan samspille med alle) bør samtrafikk etter modell med full kryssertifisering el.l. avtale mellom PKI-leverandørene tilstrebes (modell A2 i vedlegget). Erfaringer fra tidligere forsøk på dette (ref. Forvaltningsnettsamarbeidet) viser imidlertid at en slik modell fordrer kompliserte forhandlinger om forretningsmessige forhold som kan ta tid og kan forsinke utrullinger av eid hos brukere. Videre er bankenes avtalemessige struktur, som ble lagt til grunn for BankID, en kompliserende faktor i forhold til å oppnå en samtrafikk-modell av typen A2, da interbank-avtalene i utgangspunktet ikke åpner for at en bank, som har inngått en samtrafikk-avtale med en aktør utenfaor bankvesenet, kan innestå for forpliktelsene knyttet til dette på vegne av alle de andre bankene i BankID-samarbeidet. Et 4-scenario innebærer et 3-scenario der det inngåes en sentral rammeavtale med én aktør om en sikkerhetsportal, som foretar den nødvendige tekniske integrasjon og som også sørger for nødvendige forretningsmessige avtaler med aktuelle PKI-leverandører. En slik felles sikkerhetsportal bør også kunne tilby en identitetsformidler-funksjon, samt ivaretar behovet for et felles teknisk grensesnitt mot brukersteder og muliggjør samtidig en felles pålogging i tjenesteportaler, som MinSide eller Altinn. Dersom man skal vurdere de ulike scenariene ut fra borgerens perspektiv, der enkel og gratis bruk er sentralt, kan man slå fast at scenario 0 og 1 ikke er særlig egnet til å ivareta disse krav. Heller ikke scenario 2 er egnet alene, selv om det i hvert fall legger opp til enkel utrulling. Dersom man skal oppnå enkel bruk av eid/e-signatur, må scenario 3, og helst 4 legges til 12

grunn, i kombinasjon med at de elektroniske tjenester som benytter PKI tilbys via tilrettelagte tjenesteportaler. Anbefalte tiltak for samordnet utrulling og bruk av PKI i offentlig sektor En strategi for samordnet bruk av eid/e-signatur i offentlig sektor må ta hensyn til utvikling av sentrale tjenesteportaler. Altinn-utvikling og MinSide-utvikling vil være de viktigste premissgivere, når det gjelder tjenester på nett rettet mot næringslivet og publikum. På kort sikt (2005) anbefales derfor følgende tiltak: 1)Det inngås en rammeavtale om en sikkerhetsportal, med funksjoner knyttet til autentisering og signering, tiltrodd arkivering samt formidling av identitet vha en identitetsmegler. Varighet bør være maks. 3 år. Avtalen inngåes på vegne av staten og kommunene. 2)Det legges til grunn at portalen integrerer minimum 3 leverandører av PKI som oppfyller kravspesifikasjonen. Portalleverandøren garanterer for PKI-løsningene og er kontaktleddet mot den statlige/kommunale kjøper. Det tas forbehold om at den offentlige avtaleparten kan godkjenne underleverandørene til sikkerhetsportalen. 3) Verifikasjon av at en PKI-leverandør oppfyller kravspesifikasjonen for offentlig sektor skjer enten ved at denne fremlegger en sertifiering fra en offentlig ordning eller ved at det foretas en uavhengig IT-revisjon som dokumenterer dette. 4) Portalleverandøren skal ikke kunne nekte å godta en offentlig sertifisert PKI-leverandør som underleverandør. 5) Rammeavtalen omfatter tjenester fra portalen (autentisering, signeringstjenester mv.) og integrasjonstjenester (basert på standard grensesnitt)som utføres på kjøpstidspunktet. 6) Det bør åpnes for konkurranse om underleveranser av tjenester innen elektronisk arkivering, langtidslagring, notar-funksjoner mv. til portalen. 7) Det legges opp til faseinndelt levering av funksjonalitet, f.eks. 1. fase der det leveres kun autentisering av begge typer eid (Høyt og Standard) og der identitetsformidling er tilgjengelig. 8)Sikkerhetsportalen skal håndtere person eid/e-signatur av typen Høyt og Standard og skal kunne kommunisere med ulike typer systemer (nettlesere, fagsystemer, e-post-programmer). 9) Sikkerhetsportalen skal kunne tilby krypteringsfunksjonalitet ved at det gis adgang til Virksomhetssertifikater til offentlige virksomheter. Det må avklares om man skal gi adgang til personsertifikater for kryptering. 10) Sikkerhetsportalen skal kunne håndtere sertifikater fra brukere som har anskaffet slike under eksisterende avtaler (RTV og Altinn). 11) Rammeavtalen for portaltjenester gjøres obligatorisk for alle nye brukere av PKI (dvs. de som ikke benytter allerede eksisterende avtaler) i staten og anbefales sterkt i kommunesektoren. Dette av hensyn til å sikre at aktuelle PKI-leverandører med stor potensiell utbredelse i markedet ikke velger å holde seg utenfor sikkerhetsportalen. 12) Rammeavtalen utlyses og forvaltes av Brønnøysundregistrene. 13) Det stilles tilgjengelig sentrale stimuleringsmidler til å ta sikkerhetsportalen i bruk. Midlene benyttes til å støtte masseutrulling av sertifikater av både typen Høyt og Standard (jfr. scenario 2), integrasjon av portalgrensesnittet i aktuelle offentlige tjenester og til frikjøp av bruk av portalen i en startperiode. Det stipuleres at det vil være behov for ca 16 mill. kr. til dette formål. En avtale der det offentlige betaler et fast beløp for bruk i startfasen vil gi leverandørene en viss forutsigbarhet mhp omsetning på avtalen, og den vil gi etatene et handlingsrom mhp raskt å ta i bruk portalens tjenester og derved kunne tilby tjenester som krever sterk autentisering og ev. signering. 13

På mellomlang sikt (ultimo 2005-2006) anbefales det følgende tiltak: 1) Det inngås en rammeavtale om virksomhets eid for: Bruk direkte av personer til signering av vedtak, utgående brev etc., ev. gjennom et fagsystem Bruk til signering av meldinger som går automatisk (signering i server) 2) Avtalen omfatter kjøp av eid med årsvedlikehold og kjøp av integrasjonspakke/grensesnitt. 3) Det inngås en rammeavtale om person eid/e-signatur til bruk internt i virksomheter, for både nivå Høyt og Standard. 4) Bruk av slike eid skal også kunne håndteres av sikkerhetsportalen (portalen skal også tilby tjenester for lokal validering). 5) Begge typer avtaler inngåes på vegne av staten og kommunene, med varighet på inntil 3 år. 6) RammeavtalenE utlyses og forvaltes av Brønnøysundregistrene. Videre anbefales det at det allerede i løpet av 2005 startes arbeidet med å etablere en frivillig, offentlig sertifiserings-/godkjenningsordning, med sikte på å få en slik ordning på plass ultimo 2005. Ordningen kan baseres på den hjemmelen, som det nå arbeides med å innføre i e- signaturloven, som følge av Stortingets anmodningsvedtak om likestilling av visuell og elektronisk legitimasjon i forbindelse med den nye hvitvaskingsloven og tilhørende forskrifter. Alternativt kan ordningen være forankret i eforvaltningsforskriftens 27, der det gis hjemmel til å opprette et Koordineringsorgan med tilliggende fullmakter til å vurdere og godkjenne sikkerhetsløsninger til bruk i elektronisk kommunikasjon i og med forvaltningen. Ordningen kal kunne sertifisere/godkjenne leverandørenes løsninger etter krav nedfelt i den felles kravspesifikasjon med ev. oppdateringer og presiseringer. Det vil måtte avklares om ordningen vil kunne godkjenne PKI-samtrafikk-løsninger, og hvordan en slik godkjenning ev. kan organiseres og gjennomføres. Videre må det vurderes om det skal opprettes en eller to ordninger, hhv. for sikkerhetsnivå Høyt og Standard. Det kan være ulike vurderingsprinsipper som kan ligge til grunn for sertifisering/godkjenning på disse to nivåer. Det vil også måtte avklares hvilken offentlig myndighet ordningen skal legges til, ev. om det skal opprettes et nytt, offentlig eller halvoffentlig organ for dette formål (eks. etter mønsteret av tscheme-odningen i Storbritannia). Konsekvenser av de foreslåtte tiltak Ut fra tidsrammer lagt for dette arbeidet og den ønskelige fremdriften i utvikling av offentlige elektroniske tjenester, er det på nåværende tidspunkt vanskelig å utrede alle konsekvenser av tiltakene. En kort vurdering kan gis i forhold til eksisterende rammeavtale for PKI i helsesektoren og den videre utviklingen av Altinn-portalen. Videre kan konsekvenser for utviklingen av MinSide-portalen vurderes. PKI i helsesektoren. Rammeavtalen er hittil i hovedsak tatt i bruk for person ID i profesjonell sammenheng (dvs. ikke av publikum) og bruk av virksomhetssertifikater. Det er lagt opp til at samme type personlige sertifikater som utstedes under denne avtalen skal kunne brukes av publikum mot offentlige tjenester. Dette skal håndteres av den foreslåtte nye rammeavtalen om en 14

sikkerhetsportal. En ny rammeavtale om virksomhetssertifikater i 2006 vil være et alternativt tilbud til det som nå tilbys på helse-rammeavtalen. Altinn-utvikling. Altinn-portalen arbeider nå med utvikling av en egen, integrert, begrenset sikkerhetsløsning av den typen som en sikkerhetsportal. Det virker naturlig at denne løsningen erstattes med bruk av den felles sikkerhetsportalen. Altinn vil med sin etablerte brukermasse være viktig drahjelp for å ta eid/e-signatur i bruk i stor skala i en tidlig fase. MinSide-utvikling. Implementering av en bærekraftig felles påloggingsløsning i denne portalen vil være sterk avhengig av at det finnes en felles sikkerhetsportal som kan tas i bruk. Jo lenger det tar å få på plass en rammeavtale om en slik portaltjeneste, jo større forsinkelser vil det oppstå i etablering av en fullverdig tjenesteportal for borgere. Det er samtidig en gjensidig avhengighet mellom MinSide-utviklingen og PKI-utbredelsen, som er avhengig avanvendelser som benytter seg av eid/e-signatur. Får ikke MinSide tilgang til en fullgod PKI-løsning, kan resultatet bli at det etableres midlertidige løsninger, som vil være suboptimale, både for etatene som er med, og for brukere. Slike løsninger vil da også skape problemer for at en rammeavtale om en sikkerhetsportal vil bli tatt i bruk, dersom den da ikke skulle gjøres obligatorisk for statlige etater. 15