Virksomhetssertifikater og roller på bedriftsnivå onsdag 12. mars 2008 Ståle Rundberg
2 Kartleggingen viser at det i snitt er behov for 3,8 virksomhetssertifikater pr. enhet. Bred kartlegging av behov
Antall enheter i ER 1) Hovedenheter Organisasjonsledd Underenheter 1 000 000 900 000 800 000 35 000 0 847 000 700 000 Antall enheter 600 000 500 000 400 000 300 000 200 000 915 000 potensielle brukere av virksomhetssertifikater 100 000 0 Offentlig sektor 27 000 3 000 3 000 Privat sektor 1) Det er talt opp alle underenheter der det finnes to eller flere pr. hovedenhet/organisasjonsledd 3
NAV s bedrifter 983887457 ARBEIDS- OG INKLUDERINGSDEPARTEMENTET STAT 889640782 ARBEIDS- OG VELFERDSETATEN ORGL 991012133 NAV FYLKESLEDD ORGL 974652250 NAV Akershus ORGL 974650932 NAV AKERSHUS BEDR 991359389 NAV AKERSHUS BEDR 984252196 NAV AKERSHUS ARBEIDSLIVSSENTER SENTER FOR INKLUDERENDE ARBEIDSLIV BEDR 990228728 NAV ASKER BEDR 974722151 NAV ASKER ARBEID BEDR 974706148 NAV ASKER TRYGD BEDR 991359583 NAV AURSKOG HØLAND BEDR 974706229 NAV AURSKOG-HØLAND TRYGD BEDR 974706083 NAV BÆRUM TRYGD BEDR 974722038 NAV EIDSVOLL ARBEID BEDR 974706857 NAV EIDSVOLL TRYGD BEDR 974706393 NAV ENEBAKK TRYGD BEDR 974706369 NAV FET TRYGD BEDR 992255773 NAV FORVALTNING LILLESTRØM BEDR 992256729 NAV FORVALTNING LILLESTRØM AVD STRØMMEN BEDR 992256850 NAV FORVALTNING SKI BEDR 992257601 NAV FORVALTNING SKI AVD BÆRUM BEDR 974705516 NAV FROGN TRYGD BEDR 991378111 NAV GJERDRUM BEDR 974706776 NAV GJERDRUM TRYGD BEDR 41 bedrifter, bare i Akershus 888 bedrifter totalt under NAV Fylkesledd 974706970 NAV HURDAL TRYGD BEDR 974722046 NAV JESSHEIM ARBEID BEDR 974722011 NAV LILLESTRØM ARBEID BEDR 974706482 NAV LØRENSKOG TRYGD BEDR 991378243 NAV NANNESTAD BEDR 974706962 NAV NANNESTAD TRYGD BEDR 974706822 NAV NES TRYGD BEDR 974705613 NAV NESODDEN TRYGD BEDR 991359516 NAV NITTEDAL BEDR 974706741 NAV NITTEDAL TRYGD BEDR 974705621 NAV OPPEGÅRD TRYGD BEDR 974706385 NAV RÆLINGEN TRYGD BEDR 874722022 NAV SANDVIKA ARBEID BEDR 974706571 NAV SKEDSMO TRYGD BEDR 974722003 NAV SKI ARBEID BEDR 988463736 NAV SKI ARBEID AVDELING NESODDEN BEDR 974705176 NAV SKI TRYGD BEDR 974706288 NAV SØRUM TRYGD BEDR 974706784 NAV ULLENSAKER TRYGD BEDR 974705141 NAV VESTBY TRYGD BEDR 974705222 NAV ÅS TRYGD BEDR 4
Sikker elektronisk kommunikasjon ved hjelp av virksomhetssertifikater Virksomhetssertifikater har som oppgave å identifisere virksomheter som er registrert i Enhetsregisteret Virksomhetssertifikater er en del av en velegnet infrastruktur for sikker elektronisk kommunikasjon mellom virksomhetene og i en viss grad mot borgerne Infrastrukturen legger til rette for en sikker elektronisk kommunikasjon uten at partene må ha en forutgående dialog med inngåelse av avtale og utlevering og installering av sertifikater 6
Sikkerhetsaspekter som blir ivaretatt ved hjelp av virksomhetssertifikater Integritet Uavviselighet Autentisering 7
Virksomhetssertifikater i et sektorperspektiv Offentlig forvaltning Offentlig forvaltning Autentisering Autentisering Privat næring Elektronisk brevhode Borgere Autentisering Kryptering og dekryptering Pålogging og videreformidling Privat næring Borgere eforvaltningsforskriften 14. Sertifikat for forvaltningsorgan (virksomhetssertifikat) (1) Forvaltningsorgan som benytter elektronisk signatur kan benytte sertifikat som identifiserer forvaltningsorganet (virksomhetssertifikat). (2) Hvis det skal benyttes sertifikat ved underretning om enkeltvedtak og varsling etter 8 og ved høringer etter 11, bør det benyttes virksomhetssertifikat. 5. Formidling av taushetsbelagte opplysninger og personopplysninger til forvaltningen (4) Ved kryptering av melding til forvaltningen skal forvaltningsorganets krypteringsnøkkel eller krypteringsnøkkel til en nærmere angitt enhet ved forvaltningsorganet benyttes. 8
Virksomhetssertifikater i et sektorperspektiv EU-direktiv om elektroniske signaturer (1999) Privat næring 9 esignaturloven (2001) Privat næring Autentisering Autentisering Offentlig forvaltning eforvaltningsforskriften (2004) Elektronisk brevhode Forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere (2005) Kryptering og dekryptering Pålogging og videreformidling Autentisering Borgere Offentlig forvaltning Sertifikatutsteders kontrakt med sertifikatinnehaver Sertifikatutsteders utstederserklæring Borgere
Forutsetninger for vid utbredelse og hyppig bruk av virksomhetssertifikater Teknisk interoperabilitet Kostnadsmessig forutsigbarhet Omforent juridisk plattform som støtter grunnstrukturene i Enhetsregisteret Brukermedvirkning i hele realiseringsprosessen. 10
Tjenestetrappa fra st.meld. nr. 17 (2006-2007), Eit informasjonssamfunn for alle 11 Utbredelse av virksomhetssertifikater er en forutsetningen for å nå trinn 4 i tjenestetrappa
Struktur for sertifikattjeneste Sertifikatutsteder (CA) Kortutsteder Nøkkelutsteder Katalogtjeneste og statustjeneste Verifiserings-/ valideringstjeneste Registreringsenhet (RA) Varslingstjeneste Brukerservice Sertifikatinnehaver (automatisert prosess og/eller bruker som disponerer sertifikat) Sikker informasjonsutveksling med eller ssikret informasjonsutveksling uten forutgående utvekslingsavtale el. Integritetssikret informasjonsutveksling Sertifikatmottaker (bruker) 12
Brønnøysundregistrene som CA Ekstern leverandør IT-avdelingen Næringsavdelingen med Enhetsregisteret IT-avdelingen Sertifikatutsteder (CA) Kortutsteder Nøkkelutsteder Katalogtjeneste og statustjeneste Verifiserings-/ valideringstjeneste Opplysningsavdelingen Registreringsenhet (RA) Varslingstjeneste Brukerservice Sertifikatinnehaver (automatisert prosess og/eller bruker som disponerer sertifikat) Sikker informasjonsutveksling med eller uten forutgående utvekslingsavtale el. Sertifikatmottaker (bruker) 13
Prosjekt virksomhetssertifikater - Brønnøysundregistrene som CA Forutsatt tildeling i revidert budsjett Prosjektstart primo juni 2008 Produksjonssetting medio januar 2010 14
Behov for sammtrafikknav med tilleggstjenester Privat næring tilleggstjenester for: Privat næring Autentisering Autentisering Offentlig forvaltning tjenesteeieres fagsystemer Altinn tjenesteproduksjon med tilleggstjenester sluttbrukersystemer Elektronisk brevhode Altinns tjenesteproduksjon Kryptering og dekryptering Pålogging og videreformidling Autentisering Arkiv Autorisasjon forutsetning: teknisk interoperabilitet Borgere Offentlig forvaltning kostnadsmessig forutsigbarhet omforent juridisk plattform Borgere 16
Eksempel på framtidig bruk av virksomhetssertifikater i Altinn Integritetssikring av innsending fra sluttbrukersystem Autentisering Virksomhetssertifikater kan alltid benyttes der det er tilstrekkelig å identifisere en enhet Autentisering av sluttbrukersystemer Autentisering av personer uten bruk av fødselsnummer (også utenlandske personer) Anonymisering av etatens saksbehandlere 17
Eksempel på framtidig bruk av virksomhetssertifikater i Altinn Roller og rettigheter Virksomhetssertifikater kan benyttes som rollesertifikater Virksomhetssertifikater kan benyttes for ende til ende kryptering 18
Virksomhetssertifikat som rollesertifikat Daglig leder, eller person som har fått delegert rettighet fra daglig leder, kan foreta bestilling av virksomhetssertifikater Ved bestilling kan bestiller velge å delegere en eller flere av sine delegerbare rettigheter til sertifikater Utleveringen av sertifikater baseres på rekommandert sending til personlig DSF adresse Daglig leder, eller person som har fått delegert rettighet fra daglig leder, sørger for utlevering i egen enhet og i underliggende bedriftsenheter 19
Katalogtjeneste Ende til ende kryptering Bruker Etat Bruker Altinn Etat Ordinære data Sensitive Sensitive data data 3DES nøkkel til bruker 3DES Bruker 3DES nøkkel til etat Etat 21
Tilleggstjenester i Altinn Tilleggstjenestene i Altinn må fungere på tvers i tjenesteproduksjonen Tilleggstjenestene må tilgjengeliggjøres for enkelt å kunne benyttes i sluttbrukerløsningene Tilleggstjenestene må tilgjengeliggjøres for enkelt å kunne benyttes i tjenesteeiernes fagsystemer Tilleggstjenestene planlegges og realiseres i dagens Altinn? som del av Altinn programmet 22
Behovet for samtrafikknav og virksomhetssertifikater i Altinn Brukerbehovene er drivkraften til riktige løsninger Mange tjenesteeiere kommer med krav til Altinn som kan løses med virksomhetssertifikater og tilpasninger i samtrafikksfunksjonaliteten Vi ønsker, og er avhengig av, sterk brukermedvirkning i hele prosessen 23