Norge satser på offentlig eID-løsning

Norge befinner seg i det europeiske bunnsjiktet når det gjelder bruk av elektronisk identifikasjon eller -signatur, såkalt eID, viser to forskjellige rapporter, utarbeidet av henholdsvis EU og IBM (se figur 1). Dette arbeidet ble ytterligere forsinket da regjeringen for et år siden trakk seg fra samarbeidet med private aktører om den såkalte sikkerhetsportalen på grunn av uenighet knyttet til forretningsmodellen (se tekstboks). Nå ønsker en regjeringsoppnevnt arbeidsgruppe å ut­arbeide systemer for eID i offentlig regi.

Bredbånd til alle har vært slagordet til regjeringen. Og den første – og tilsynelatende mest krev­ende – delen i den norske IT-grunnmuren er i ferd med å bli bygd.

Men virkeliggjøringen av det digitale fremtidssamfunnet går likevel på krabbegir. Før man får på plass et skikkelig elektronisk identifikasjonssystem, vil ikke internett og bredbåndets muligheter la seg utnytte i sin fulle bredde med offentlig saksbehandling, legekonsultasjoner og andre personsensitive tjenester.

De fleste europeiske landene arbeider på høygir med å løse disse utfordringene. Det er få som har kommet veldig langt. Seniorrådgiver Katarina de Brisis i Fornyings- og administrasjonsdepartementet (FAD) er overbevist om at det omfattende arbeidet, inkludert de mange tilbakeslagene, vil betale seg på veien mot den digitale fremtiden: «Innføringen av en elektronisk legitimasjon som virker på tvers av landegrensene vil være like viktig i utviklingen av den digitale økonomien som allmenngjøringen av internett på 90-tallet,» mener de Brisis, som har vært leder for arbeidsgruppen som har utarbeidet et strategiforslag for eID i den offentlige forvaltningen.

Forrige uke ble høringsrunden for arbeidsgruppens forslag for strategi for eID avsluttet. Mandag Morgen har ut fra høringsuttalelsene og samtaler med eksperter på området, identifisert følgende hovedutfordringer :

Norge i bunnsjiktet: Norge ligger i dag i Europas bunnsjikt i utbredelse av elektroniske identi­teter og signaturer. Men også de flinke landene sliter med utbredelse av tjenester som krever offentlig eID.

eID ikke ute av startgropen: Først den siste tiden har det gått opp for myndigheter og eksperter hvor skjellsettende overgangen til digitale identi­teter vil være.

Private eller offentlige løsninger: Det finnes i dag flere mulige, teknologiske løsninger. Blant annet det systemet bankene benytter. Men skal private ha kontrollen over borgernes identitet?

Norge nær sisteplass

Norge ligger på bunnen når det gjelder bruk av elektroniske identiteter og signaturer De svake resultatene bekymrer likevel ikke Katarina de Brisis. I stedet er det langt viktigere å ha blikket godt festet inn i fremtiden, mener hun. De Brisis anslår at det fortsatt vil gå minst 10 år før den digitale grunnmuren også omfatter en globali­sert identitets- og signaturløsning. Denne utviklingen vil spille en viktig rolle i utviklingen av det digitale fremtidssamfunnet, mener de Brisis, som sammenligner utviklingen av eID med allmenngjøringen av internett på 1990-tallet.

«Dagens umodne løsninger gjør at land som tilsynelatende lykkes godt, ikke nødvendigvis får stor effekt ut av sine løsninger,» sier de Brisis, og viser til erfaringer fra Sverige. Svenskene ligger i dag på 4. plass i EUs undersøkelse om utbredelse av e-signaturer i befolkningen, 20 plasser foran Norge. Likevel opplever ikke de Brisis at den svenske offentlige sektor er kommet langt i bruk av digitale tjenester. Høye priser på bruk av identitet­ene, som leveres fra svenske private aktører gjennom en felles rammeavtale, har hindret dette. Hun oppfatter i stedet at Danmark, på 10. plass i EU-under­søkelsen, har kommet lenger med sin modell basert på offentlig finansiering av eID.

Disse erfaringene, kombinert med det mislykkede forsøket på å etablere en sikkerhetsportal med private Bankenes Betalingssentral som operatør, gjør at arbeidsgruppen for eID i offentlig forvaltning ønsker at det offentlige skal beholde kontrollen over eID selv.

Sammen med et mer pragmatisk syn på hvilke sikkerhetsløsninger som trengs for ulike typer ­tjenester, vil dette gi større bruk av de offentlige tjenestene, mener de Brisis.

Det er å skyte over mål å kreve avansert eID av brukeren bare for å reservere seg mot reklame, mener de Brisis, og viser til forslaget om å dele inn kravene til identifikasjon i fire sikkerhetsnivåer (se tekstboks).

Foreløpig er det viktigere at tjenestene får mange brukere på et tilstrekkelig sikkerhetsnivå, enn at alle benytter de beste sikkerhetsløsningene, mener hun. På sikt tror hun likevel at eID på det høyeste nivået vil kunne benyttes for samtlige tjenester.

Elektronisk ID fortsatt i startgropen

Mye tyder på at det vil ta tid før eID og e-signatur finner sin form. Per i dag finnes det et tilfeldig lappeteppe av private og offentlige initiativ, med ulike sikkerhetsnivåer. På sikt vil det være behov for en samordning som bidrar til at ulike identiteter kan fungere om hverandre, slik arbeidsgruppen legger opp til i sitt forslag til samtrafikknav (se tekstboks), samtidig som identitetene integreres tett mot de fleste tjenester og programmer.

«Det er først nå i det siste at kompleksiteten i de globale utfordringene med eID har gått opp både for ekspertene og det offentlige,» sier de Brisis. Hun mener den største utfordringen ligger i å bli enige om et felles system for identifikasjon. I Norge benyttes fødselsnummeret som en unik identifikator. Bare et fåtall land benytter en tilsvarende løsning. Likevel trekker ekspertene frem at en ny, felles internasjonal infrastruktur for digital identifikasjon vil gi store gevinster for alle landene, og derfor vil presse seg frem.

Marked eller stat

Økt sikkerhet gir også økt mulighet for kontroll. Og økt kontroll utfordrer internetts åpne og flate struktur, der alle brukere har lik tilgang til ressurs­ene og lik mulighet til å benytte seg av sin ytringsfrihet. Denne tradisjonelle strukturen utfordres av økt behov for personvern i forbindelse med nye tjenester.

I tillegg reiser utviklingen av eID spørsmål om hvem som skal ha kontrollmyndighet. Bør private aktører konkurrere på like vilkår med det offentlige, eller bør de elektroniske identitetene være et forhold mellom borger og stat?

«Skal vi som innbyggere i et land få bekreftet vår identitet uten å være kunde et sted? Det er ikke unaturlig at myndighetene kan ha en rolle å spille her,» fremhever de Brisis som poengterer at dette til syvende og sist er et politisk spørsmål.

I strategiutkastet legges det opp til at den norske staten i fremtiden skal levere eID gjennom et nytt, nasjonalt ID-kort. Dette kortet vil kunne bli et slikt alternativ til private eID-tilbydere. Samtidig reduseres de private aktørenes, BankID og BuyPass, muligheter til å prise sine tjenester på en måte som er ugunstig for forbrukerne og staten.

I den nylig avsluttede høringsrunden stiller de private aktørene seg skeptisk til at en offentlig eID-løsning vil få tilstrekkelig volum på bruken til at investeringen kan forsvares. I tillegg mener de private at staten undervurderer kostnadene med å opprette et eget, offentlig alternativ.

Interesseorganisasjonen Abelia ber departementet utarbeide en egen strategi for å oppnå tilstrekkelig bruk av tjenestene.

De private aktørene gir også beskjed om at de ønsker å få mulighet til å koble sine eID-alternativer opp mot de offentlige tjenestene. De etterlyser klarere signaler om staten ønsker dette, eller om regjeringen vil gå for en ny monopolløsning. Det er dette som vil bli stridens eple til høsten, når politikerne starter behandlingen av strategien.

Tekstboks

Bristen i den digitale grunnmuren

Anslag fra Fornyings- og administrasjonsdeparte­mentet viser at 95 prosent av den norske befolkningen kan få tilgang til bredbånd hvis de ønsker det i dag. En prognose utført av konsulentselskapet Nexia i vinter anslår at 98 prosent av norske innbyggere vil ha mulighet for å bestille bredbånds internett ved utgangen av 2007.

I tillegg har regjeringen bevilget ytterligere en kvart milliard kroner i revidert nasjonalbudsjett. Dette skal sørge for at de rødgrønne når Soria Moria-målet om full bredbåndsdekning innen utgangen av 2007.

Men uten gode løsninger for digital identitet og signatur forblir internett en «informasjonsmotorvei», og ikke en fullverdig kanal for leveranser av tjenester gjennom døgnåpen forvaltning og utveksling av nødvendig informasjon for å kunne utføre sensitive oppgaver, som for eksempel legekonsultasjoner for privatpersoner eller samhandling mellom helseinstitusjoner.

Denne biten av den digitale grunnmuren strever svært mange land i verden med å bygge. Få har lykkes. Og Norge er blant de landene i Europa som har kommet kortest i utviklingen – dersom man legger rangeringer foretatt av IBM og EU til grunn.

Dette skyldes blant annet samarbeidet mellom det offentlige og de private aktørene som skulle levere identitetene til Sikkerhetsportalen strandet i fjor på grunn av uenighet knyttet til forretningsmodellen.

Tekstboks

Nordiske løsninger

Sverige – Det offentlige har inngått rammeavtaler med flere banker og teleoperatøren Telia om å benytte deres eID-er. Ifølge de Katarina de Brisis i Fornyings og administrasjonsdepartementet er løsningen lite brukt av offentlige tjenestetilbydere i Sverige da den blant annet viser seg å være dyr å ta i bruk.

Danmark – Har inngått rammeavtale med teleselskapet TDC. Ordningen baserer seg på en enkel PKI-løsning som lastes ned til PC, men som ikke oppfyller avanserte krav. Den enkle løsningen har ledet til at ganske stor bruk i offentlig sektor, men den løsningen er ikke god nok til å omfatte avanserte tjenester, for eksempel innen helse.

Finland – Leverer eID via et borgerkort. Høyt gebyr for anskaffelse og få tjenester ga liten utbredelse. Har nå frikoblet eID fra borgerkortet, slik at eID-en etter hvert også kan leveres via mobiltelefon eller andre kort. Dette gjør det nå mulig å bruke eID med for eksempel bankkort.

Norge – Sikkerhetsportalen, et samarbeid med BankID, ble lagt ned sommeren 2006. FAD avsluttet nylig en høringsrunde for ny strategi. Avventer politisk behandling. Inntil videre brukes midlertidige systemer basert på pin-koder.

Tekstboks

Forslag til nytt norsk rammerverk

I den fysiske verden legitimerer vi oss gjennom fysisk oppmøte og en signatur på et papirark. I den digitale verden eksisterer ingen fysisk relasjon, og dermed må verifikasjon av identitet bygges på andre prinsipper.

I strategiforslaget for eID i offentlig sektor er sikkerheten delt inn i fire nivåer:

Nivå 1: Ingen autentiseringskrav, det vil si at en ikke behøver å verifisere at man er den man gir seg ut for. Løsninger som omfatter selvvalgt ­brukernavn og passord eller kun fødsels­nummer.

Nivå 2: Påloggingsinformasjon sendt til adresser fra Folkeregistrert eller Enhetsregistrert. Kan være faste passord, passordlister eller passordkalkulator. Krever at uvedkommende «stjeler» postforsendelse, for å kunne misbrukes.

Nivå 3: Påloggingsinformasjon sendt fra Folke­registrert, med sikring av at riktig person tar informasjonen i bruk. Dette kan være passordkalkulator sikret med PIN-kode som sendes

separat i posten, engangspassord sendt til mobiltelefon i kombinasjon med postsendt kode eller lignende.

Nivå 4: Kun PKI løsninger som krever at en tredjepart verifiserer den krypterte forbindelsen mellom bruker og tjeneste. Brukeren må også hente en av identifiseringsfaktorene ved personlig oppmøte.

Samtrafikknav: En ordning som gjør det mulig for brukerne å bevege seg fritt over til andre ­tjenester på samme eller lavere sikkerhetsnivå enn det nivået brukeren er logget inn på. Også private aktører vil kunne levere eID-er til offentlige tjenester hvis de får lov til å koble seg opp til samtrafikknavet.