Kontakt    +45 7025 6425

Hvordan bliver 2019 for os eID-entusiaster?

For os, der arbejder med it-sikkerhed, med forkærlighed for sikre elektroniske identiteter, var 2018 et år med fokus på to-faktor identifikationsløsninger. 

Efter at det i mange år har været tydeligt, at passwordsikkerhed er udfordret, samtidig med at vi gerne vil bruge online tjenester mere og dele flere data, var 2018 året, hvor to-faktor identifikationsløsninger for alvor kom inden for begivenhedshorisonten hos it-afdelingerne rundt omkring i virksomheder og organisationer.

Det er optakten til kulminationen i 2019 på flere års forarbejde.

Det begyndte med et voksende sikkerhedsbehov, en tilhørende standardisering med eIDAS-forordningen fra EU og NSIS-standarden i Danmark samt udbud og etablering af flere store forretningssystemer. 

Fx Fælleskommunal Rammearkitektur og Aula bliver nu rullet ud til brugerorganisationerne med et krav om to-faktor sikring af adgangen til data.

To-faktor handler om beskyttelse af data

Som privatbruger handler beskyttelse af passwords og ens elektroniske identitet om beskyttelse af egne data hos de online tjenester, vi gerne vil anvende.

I arbejdssammenhæng handler beskyttelse af de elektroniske identiteter derimod typisk om beskyttelse af andres data. Og om at den dataansvarlige har pligt til at sikre, at adgangen til data beskyttes på et tilstrækkeligt niveau.

Vi har illustreret dette i nedenstående slide fra vores kundeseminar i 2018 med Fælles Medicinkort som eksempel. 

Dataansvarlig og sikringsniveauer.jpg

 

Så når vi nu udvikler to-faktor sikkerhedsløsninger til medarbejderne, handler det om beskyttelse af data og robust ansvarsfordeling, hvor medarbejderen også kan holdes ansvarlig for sine anvendelser af data.

De seneste 15 år har OCES og NemID været den eneste veldefinerede standard for identiteters sikringsniveau i Danmark. Derfor har hovedreglen altid været anvendelse af NemID, hvis adgang til følsomme data skulle beskyttes. Med NSIS-standarden fra 2016 har vi fået tre forskellige veldefinerede sikringsniveauer: Lav, Betydelig og Høj. 

NSIS sikringsniveau Betydelig forventes at blive gennemgående krav ved adgang til personfølsomme data, mens NSIS sikringsniveau Høj primært forventes krævet i sundhedssektoren.

Naturlig udvikling

Dette er en naturlig udvikling og afspejler, at behovene hos tjenesteudbydere er meget bredere og mere alsidigt, end da vi begyndte på digital signatur i 2003. 

I 2019 tager vi for alvor hul på denne nye verden med flere sikringsniveauer, men denne modernisering kommer dog ikke helt uden håndarbejde hos tjenesteudbydere og brugerorganisationer. 

Tjenesteudbyderne skal begynde en klassificering af data og en opdeling af funktionalitet, sådan at brugerne kan tilgå de mindre følsomme data på en let måde, og så lave ”step-up” identifikation, når der er behov for adgang til følsomme data.

Brugerorganisationerne skal enten basere sig på at anvende selvstændige elektroniske identiteter, såsom det MitID, der skal afløse NemID, eller forberede sig på, at deres egne interne identiteter, brugeradministration, to-faktorløsninger og fødereringsteknologi skal revideres i compliance med NSIS sikringsniveauerne, sådan at man kan føderere interne identiteter imod de kommende NemLog-in3 erhvervsidentiteter og give adgang til eksterne tjenester igennem de interne identiteter.

Hos Signaturgruppen har vi forberedt os på dette siden 2016, begyndende med udvikling af SoloID løsningerne og gennemførelsen af de første ”NSIS gapanalyser” hos kommunerne. Herunder gives et eksempel fra én af vores kommunale NSIS gapanalyser, som viser udgangspunktet for kravsopfyldelse af de enkelte krav i NSIS sikringsniveau Betydelig. 

Ledelsesresume.jpg

NSIS-kravene kommer med over 90 punkter godt rundt i alle de dele af organisationen, der har med sikkerheden af de interne identiteter at gøre. Fra registrering af medarbejder til reset af password, beskyttelse af fødererings-server og årlig auditering af det hele. 

Den foreløbige konklusion er, at det bliver en krævende opgave for alle organisationer at blive compliant til NSIS sikringsniveau Betydelig, næsten uanset nuværende status. For kommunerne, som kender procedurer og krav for registrering af NemID til borgere i Borgerservice, kommer dette dog næppe som en overraskelse.

I 2019 skal to-faktor løsningerne understøtte brugerne i dagligdagen

I slutningen af 2018 får vi afklaringen på udbuddet, om hvem der skal levere afløserne for NemID medarbejdersignatur, når de nye erhvervsidentiteter bliver en del af NemLog-in3 i 2021. Og i marts 2019 bliver udbuddet om MitID, afløseren for privat NemID, afgjort. 

Signaturgruppen har i 2018 sammen med Nets været meget aktive i det kæmpestore tilbuds-arbejde, og har i dialogerne med kunder og interessenter opstillet et stærkt bud på denne fremtid.  Nu håber vi selvfølgelig på at få lov at levere løsningerne også!

Til sommer 2019 skal kommunerne give skolepersonale mulighed for at logge på Aula og læringsportaler med en to-faktor løsning, når personalet skal arbejde med følsomme persondata. Efterfølgende skal personale i dagtilbud have samme muligheder. 

Dette projekt kommer til at fylde utrolig meget i foråret 2019, hvor Signaturgruppen skal hjælpe et meget stort antal kommuner med at blive klar.

Kommunerne burde være på plads

Og egentlig burde kommunerne allerede være på plads, for da de sluttede sig til fælleskommunal rammearkitektur i sin tid, bekræftede kommunen også, at deres brugere er autentificeret på niveau Betydelig (3). 

Og for at afslutte som vi startede med fokus på den dataansvarlige, så vil de dataansvarlige for tjenesterne SAPA, KY og KSD som udgangspunkt kunne pege på kommunen, hvis der opstår sager om GDPR-forhold eller sikkerhedsincidents ved adgang til data i disse systemer.

Så for os, der arbejder med it-sikkerhed, med forkærlighed for sikre elektroniske identiteter, bliver 2019 et utrolig spændende år, hvor de seneste års forberedelser når ud til brugernes dagligdag. 

Nu er der næppe så mange brugere, som holder af forandringer, men i Signaturgruppen har vi i hvert fald forberedt os på at hjælpe kommunerne med at understøtte det rigtige sikkerhedsniveau uden at sætte produktivitet og brugervenlighed over styr i brugernes dagligdag. Og så glæder vi os til at følge og understøtte udviklingen på området sammen med vores kunder de næste år.

Udfyld dine kontaktoplysninger så vil vi kontakte dig med mere info om produktet.