Det är aldrig för sent att ändra sig – som tur är

E-delegationens förslag till elektronisk identifiering har förutsättningar att bli bra

ETT ORD PÅ VÄGEN TILL E-DELEGATIONEN Som svensk och gammal centralbyråkrat har jag otåligt väntat på e-delegationens betänkande, som äntligen kom i måndags, den 19 oktober. Det glädjer också en gammal säkerhetsveterans hjärta att ordet informationssäkerhet förekommer mer än 20 gånger. Den föreslagna infrastrukturen för elektronisk identifiering är även den ett stort steg i rätt riktning.

 

 

 

E-delegationens uppdrag är att lämna förslag till en strategi för myndigheternas arbete med e-förvaltning. Den strategi som delegationen nu föreslår redovisar hur myndigheterna kan öka sin produktivitet och effektivitet samt öka samhällets utvecklingsförmåga och innovationskraft genom e-förvaltning.

 


Kommentar till e-delegationens förslag

 

I betänkandet föreslår E-delegationen också en samordningsfunktion som ska ha som uppdrag att samordna federerad identitet i Sverige. Detta i sig är ett stort steg i rätt riktning för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv.

Jag har deltagit i diskussioner och drivit frågan om federerade lösningar tillsammans med Leif Johansson från SUNET och Fredrik Ljunggren från Kirei under flera år. Som reaktion på e-delegationens betänkande har vi också författat ett blogginlägg där vi föreslår att samordningsfunktionen får i uppdrag att samordna federerad identitet i Sverige för att etablera den samhällsviktiga infrastruktur för elektronisk identifiering som krävs för både offentlig verksamhet och näringsliv och även skissat på en modell för hur det kan te sig mer konkret.

Det är mycket viktigt att uppbyggnaden görs på ett sätt så att hela samhället kan dra nytta av infrastrukturen. Därför anser vi att utgångsläget för federerad eID i Sverige bör:

  • vara baserad på öppna standarder,
  • ge ett fullgott skydd av den personliga integriteten,
  • vara teknikneutralt,
  • vara tillräckligt kostnadseffektivt, och
  • vara tillgängligt för aktörer i alla delar av samhället.

 

 


Allvarliga brister i den nuvarande modellen

 

I ett sextio sidor långt avsnitt beskriver e-delegationen både hur det ser ut nu och vad man föreställer sig i framtiden, inklusive en plan för genomförande. Vi ska dock komma ihåg att vi inte kan vara riktigt säkra på att det blir rätt även om det som står i betänkandet ger förutsättningar för att det skulle kunna bli rätt, för som så många gånger förr ligger djävulen i detaljerna. Det är nog inte heller alla som jublar åt den vändning som frågan har tagit. En hel del aktörer har investerat i den nuvarande lösningen med en utformning och affärsmodell som varken är tillräckligt långsiktig eller hållbar.

I nuvarande lösning saknas enkla och billiga identifieringsmetoder för tjänsteleverantörer som vill utnyttja eID för identifiering av användare i sina respektive lösningar. Befintliga system för eID kräver dessutom, förutom avtal med certifikatutgivaren, ofta en relativt omfattande teknisk infrastruktur för att fungera. En förenkling av modellen skulle göra det lättare att börja använda eID.

Den nuvarande modellen har dessutom brister i flexibilitet genom att inte ta hänsyn till att olika typer av e-tjänster har olika behov av säkerhetslösningar. Nuvarande utfärdare har till och med infört delvis olika lösningar, som inte följer en enhetlig standard. Detta är till stora delar e-delegationens egna ord. Det är svidande kritik. Men nu är tiden kommen. Gör om. Gör rätt.

 

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society. Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.

(Källa: Trendspaning.se

http://www.trendspaning.se/veckans-sakerhetsspaning/2009-10-23_eid/index.xml)