Embed Size (px)
Citation preview
Udkast til
Tværoffentlig strategi for identitets- og rettighedsstyringBrugere, fuldmagter, delegering, rettigheder og adgangskontrol
Indholdsfortegnelse1 Executive summary.............................................................................................................................5
1.1 Valg af retninger........................................................................................................................71.2 Retning 1: Udvikling af funktionalitet i tværoffentlige identitets- og rettighedsstyringsløsninger....................................................................................................................71.3 Retning 2: Bindinger for offentlige tjenester..............................................................................71.4 Retning 3: Scope med semi-offentlige og private tjenesteudbydere.........................................81.5 Scenarier....................................................................................................................................81.6 Konklusion..................................................................................................................................9
2 Læsevejledning.................................................................................................................................103 Kontekst og scope.............................................................................................................................11
3.1 Udenfor scope i version 0.5......................................................................................................134 Proces................................................................................................................................................145 Beskrivelse af identitets- og rettighedsstyringsdomænet.................................................................15
5.1 Ord og begreber.......................................................................................................................206 Sammenhæng til andre projekter.....................................................................................................217 Situationsbeskrivelse........................................................................................................................21
7.1.1 Registrering / Identifikation..................................................................................................227.1.2 Autentifikation......................................................................................................................237.1.3 Autorisation..........................................................................................................................237.1.4 Signering..............................................................................................................................237.1.5 Tjenester..............................................................................................................................247.1.6 Sammenhænge på tværs.....................................................................................................24
8 Trends...............................................................................................................................................249 Forretningsbehov..............................................................................................................................26
9.1 Personers behov – borgere og medarbejdere..........................................................................269.2 Brugerorganisationernes behov (virksomheder og myndigheder som arbejdsgivere)............289.3 Tjenesteudbydernes behov (både offentlige og private).........................................................309.4 Skismaer i forretningsbehov....................................................................................................33
10 Vision...........................................................................................................................................33
1
11 Strategiske principper..................................................................................................................3411.1 Princip: Tværoffentlige identitets- og rettighedsstyringsløsninger baseres på en kerne af fælles komponenter i samspil med decentrale komponenter..............................................................3511.2 Princip: Tværoffentlige identitets- og rettighedsstyringsløsninger udvikles med fokus på at minimere omkostninger og risici for både den offentlige sektor og for samfundet generelt...............3511.3 Princip: Brugerne skal have mulighed for så forskelligartede løsninger som hensyn til omkostninger tillader...........................................................................................................................3611.4 Princip: Byg tværoffentlig identitets- og rettighedsstyring i overensstemmelse med internationale standarder og løsninger................................................................................................36
12 Strategiske mål og indsatsområder.............................................................................................3612.1 Om de strategiske valg............................................................................................................3712.2 Indsatsområde: Sammenhængende identitets- og rettighedsstyringsløsninger på tværs.......38
12.2.1 Grundlæggende initiativer...............................................................................................3912.2.2 Fællesoffentlige initiativer................................................................................................3912.2.3 Initiativer i forhold til semi-offentlige og private..............................................................40
12.3 Indsatsområde: Mere effektiv administration af brugere og rettigheder for virksomheder og myndigheder........................................................................................................................................4112.4 Indsatsområde: Bedre håndtering af rettigheder (fuldmagter og samtykker) for borgere......42
13 Styring på tværs..........................................................................................................................4213.1 Styring af føderationer.............................................................................................................4213.2 Styringsmodel for føderationer................................................................................................4313.3 Styring af indsats på tværs......................................................................................................44
14 Forretningsmæssige gevinster.....................................................................................................4415 Bilag A: Ordliste...........................................................................................................................4716 Bilag B: Oversigt over kilder og baggrundsmateriale..................................................................4717 Bilag C: Katalog over initiativer....................................................................................................47
17.1 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs/Grundlæggende initiativer..............................................................................................................................................47
17.1.1 Udarbejde referencearkitektur.........................................................................................4717.1.2 Udarbejde trust framework for digitale identiteter...........................................................4717.1.3 Etablering af en dansk eID gateway (eIDAS)....................................................................4917.1.4 Udvikling og modning af standarder................................................................................4917.1.5 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Grundlæggende initiativer......................................................................................................50
17.2 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs/ Fællesoffentlige initiativer..............................................................................................................................................50
17.2.1 Udvikling af sammenhæng mellem føderationer eller i nuværende løsninger.................5017.2.2 Serviceeftersyn af de tværgående identitets- og rettighedsstyringsløsninger.................5117.2.3 Oversigt over myndighedsbehov......................................................................................5117.2.4 Understøttelse af privacy i identitets- og rettighedsstyring.............................................5117.2.5 Brug af Uni-Login i andre sektorer....................................................................................5217.2.6 Sundhedsområdet migrerer over til de fællesoffentlige standarder.................................5317.2.7 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Fællesoffentlige initiativer......................................................................................................53
2
17.3 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs / Initiativer i forhold til semi-offentlige og private....................................................................................................53
17.3.1 Analyse af, hvordan identitets- og rettighedsstyringsløsninger kan stilles til rådighed for semi-offentlige og private tjenesteudbydere....................................................................................5317.3.2 Åbning af offentlige føderationer for private identitets- og rettighedsstyringstjenester. .5417.3.3 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Initiativer i forhold til semi-offentlige og private.................................................................................................54
17.4 Initiativer for mere effektiv administration af brugere for virksomheder og myndigheder......5517.4.1 Bedre sammenhæng i administration af væsentlige tjenester.........................................5517.4.2 Udvikling af attributtjenester til rettighedsformål............................................................5617.4.3 Certificering af virksomheder/myndigheder til at indgå i føderationer............................5617.4.4 Roadmap for mere effektiv administration af brugere for virksomheder og myndigheder
5717.5 Initiativer for bedre håndtering af rettigheder (fuldmagter) for borgere.................................57
17.5.1 Udbredelse af digitale fuldmagter (hvor borgere digitalt kan give fuldmagt)..................5717.5.2 Udbredelse af papirfuldmagter på tværs, der gøres digitale af betroet part...................5817.5.3 Udbredelse af løsninger der understøtter borgeres opgaver i forhold til værgemål og egne børn 5817.5.4 Udvikling og udbredelse af digitale samtykkeløsninger...................................................59
3
DokumenthistorikVersion Dato Initialer Ændringer0.1 14.11.14 BDK,
PETHDokumentstart med disposition og indklippet råmateriale
0.1.1 21.11.14 PETH, BDK
Indarbejdet kommentarer fra projektmøde og fra TGRedigeret så råmateriale indklippet begrænses.
0.2 05.12.14 BDK,PETH,NBU
Indarbejdet kommentarer fra workshop 1 med referencegruppen.Sammenskrevet og en del afsnit udbygget.
0.3 30.12.14 PETH,BDK
Indarbejdet kommentarer fra workshop 2 og 3 med referencegruppen.
0.4 19.01.14 PETH,BDK
Det samlede materiale er gennemredigeret og omskrevet.Indarbejdet kommentarer fra styregruppen.
0.49 02.02.15 PETH,BDK
Indarbejdet tilrettede begreberIndarbejdet input fra
- Thomas Gundel- Marianne Sørensen- Michael Bang Kjeldgaard- Charlotte Jacoby- Morten Jørsum- Morten Mølgaard Petersen, RSD- Audun Jøsang, Norge
Indarbejdet input fra workshop i referencegruppen 27.1.15Indarbejdet input fra projektgruppemøde 28.1.15
0.5 06.02.15 PETH, BDK
Indarbejdet drøftelser på styregruppemøde 3.2.15
0.5.1 18.03.15 MBKJE Termen ”brugerstyring” ændret til ”identitets- og rettighedsstyring”
4
Om denne versionDenne version 0.5 af strategien er et udkast, der dels skal give overblik over domænet og de centrale udfordringer og muligheder, og dels give konkrete bud på, hvor der er særligt behov for videre analyse med henblik på etablering af grundlag for centrale strategiske beslutninger, som understøtter en moderne, effektiv, fleksibel og brugervenlig tværgående infrastruktur for identitets- og rettighedsstyring.
Version 0.5 af strategi og referencearkitektur skal fungere som et offensivt udspil, der lægges frem til dialog med nøgleinteressenter med henblik på at udarbejde version 1.0, som bliver den første komplette version af strategien og referencearkitekturen.
1 Executive summaryIndførelsen af Digital signatur i Danmark fra 2003 markerer begyndelsen på en tværoffentlig indsats for identitets- og rettighedsstyring i Danmark. Næste større milepæl var etableringen af NemLog-in fra 2008. Denne udbygning af en tværoffentlig indsats for identitets- og rettighedsstyring er sket som en følge af digitaliseringen og er i vid udstrækning også en forudsætning herfor.
Med dette udkast til en tværoffentlig strategi for identitets- og rettighedsstyring er det ønsket at skabe et grundlag for yderligere tiltag i tværoffentlig identitets- og rettighedsstyring og udpege mål og pejlemærker for en udvikling af tværoffentlig identitets- og rettighedsstyring, der understøtter den fortsatte digitalisering i Danmark i samspil med vores omverden.
I arbejdet med udkastet har der vist sig stor enighed på mange områder, og der er en række løsninger på plads eller på vej. Det ses også i udkast til tværoffentlig referencearkitektur for identitets- og rettighedsstyring.
Der er grundlæggende forretningsmæssige behov for høj sikkerhed i digitale tjenester, og identitets- og rettighedsstyring er en del af de nødvendige sikkerhedsløsninger. Der er som nævnt løbende opbygget tværoffentlige identitets- og rettighedsstyringsløsninger, og der er derfor ikke presserende behov for nye, store løsninger. Der er snarere behov for en sammenhængende strategi for de mange indsatser, og for hvor ambitiøst målsætningerne skal forfølges. Det gælder ikke kun i forhold til identitets- og rettighedsstyring men også i forhold til, hvordan tjenester anvender de fælles identitets- og rettighedsstyringskomponenter. Her kan der så træffes valg af scope for, hvor langt strategien skal række i forhold til offentlige tjenester, semi-offentlige tjenester og private tjenester.
Når der er etableret rammer for at skabe sammenhæng i de enkelte aktørers indsatser, giver det også grundlag for fælles beslutninger vedrørende udvikling af trust framework, attributtjenester, håndtering af fuldmagter, osv., og for tjenesteudbyderes beslutninger vedrørende tilretning af eksisterende løsninger til de nye rammer.
Der er med udkastene til strategi og referencearkitektur for identitets- og rettighedsstyring præsenteret forslag til målsætninger, indsatser og principper for udviklingen både fællesoffentligt og hos forskellige myndigheder.
Der lægges op til en række valg i tre dimensioner: Skal strategi og referencearkitektur udelukkende være vejledende eller er der politisk vilje og
økonomi til at gøre dem bindende? Hvor langt skal strategien være vejledende eller bindende i forhold til offentlige tjenester, semi-
offentlige tjenester og private tjenester? På hvilke områder skal der gøres en indsats?
Disse valg spiller sammen med valg i nogle grundlæggende skismaer.
Der er et skisma mellem brugervenlighed contra brugervalg, hvor det ikke udelukkende er en fordel at give brugerne flere valg, idet kompleksiteten dermed også stiger.
5
Et andet skisma er i forhold til privacy contra service. Skal hensynet til privacy stå over det offentliges mulighed for at give god service på grundlag af data om borgeren? Kan brugerne overskue konsekvenserne af deres valg? Hvordan håndteres krav om privacy i forhold til borgernes forventning til og samfundets tradition for, at det offentlige passer på data om borgerne? Hvem ejer data om borgerne?
Skal strategi og referencearkitektur udelukkende være vejledende eller er der politisk vilje og økonomi til at gøre dem bindende?Hvis der alene fastlægges en vejledende strategi og referencearkitektur, vil udvikling af nye identitets- og rettighedsstyringsløsninger sandsynligvis ske mere ensartet end nu, og der vil være mulighed for uformel koordinering mellem aktørerne. Ansvar ligger lokalt.
Stærkere bindinger kan medføre hurtigere etablering af sammenhænge til gavn for brugerne og mere effektive løsninger. De styringsredskaber, der er til rådighed, hvis der ønskes mere end blot uforpligtende vejledninger og anbefalinger, kan fx være kombinationer af følgende:
at gøre strategi og referencearkitektur – eller dele heraf – forpligtende. Det vil indebære ”følg eller forklar” samt fastlæggelse af, hvem der skal vurdere aktørernes valg
at supplere dette med forpligtende roadmaps, aftaler om finansiering (fx i de årlige økonomiforhandlinger), markedsføring og støtte til udbredelse og en styringsorganisation fx som programorganisationen for grunddata
at gøre dele af strategi og referencearkitektur obligatorisk, fx i form af lovkrav (som det i dag er gjort i forhold til obligatorisk digital post og selvbetjening og dermed indirekte til NemID)
at kombinere med økonomiske incitamenter (som det i dag er gjort ved at gøre NemID gratis for borgere og de første 3 NemID gratis for virksomheder)
Hvor langt skal strategien være vejledende eller bindende i forhold til offentlige tjenester, semi-offentlige tjenester og private tjenester? vedrører dels forretningstjenester, dels identitets- og rettighedsstyringstjenester.
I forhold til forretningstjenester er det i dag obligatorisk for offentlige tjenester med fortrolige data at anvende NemID og NemLog-in, mens der ikke er krav til semi-offentlige og private tjenester. Semi-offentlige og private tjenester opkræves betaling for at anvende NemID. Hvilke krav skal der stilles i fremtiden og på hvilke vilkår?
I forhold til private identitets- og rettighedsstyringstjenester (private virksomheder som leverandører af tillidstjenester fx brokere, log-in tjenester og identitetsgaranter) lægger strategien op til, at disse kan indgå i føderationer via fælles trust framework.
Private og semi-offentlige organisationer i rollen som brugerorganisationer er allerede omfattet af krav til tværgående identitets- og rettighedsstyring i kraft af krav om obligatorisk digital post og selvbetjening, som betyder, at de skal anvende NemID og NemLog-in brugeradministration.
På hvilke områder skal der gøres en indsats?Strategien lægger op til valg på en række områder, der kan give bedre og mere effektive identitets- og rettighedsstyringsløsninger, bedre brugeroplevelser på tværs af tjenester og identitets- og rettighedsstyring, og bidrage til at nå målsætninger som øget privacy.
Særligt privacy kræver afvejning af, hvilken vægt privacy skal have i udformningen af fællesoffentlige identitets- og rettighedsstyringsløsninger? Der er mange ønsker om at give privacy øget vægt, men også få beslutninger i form af love og forordninger. Skal nye generationer af identitets- og rettighedsstyringsløsninger designes til privacy inden der er truffet politiske beslutninger? Hvis man venter til der er truffet politiske beslutninger, vil det tage lang tid at implementere efterfølgende.
Forslagene i det følgende er på forskellige niveauer gående fra forslag til analyser, udarbejdelse af planer, bredt dækkende forslag og mere detailprægede forslag.
6
1.1 Valg af retningerDe relevante scenarier for tværoffentlig identitets- og rettighedsstyring, kan defineres ud fra valg af ambitionsniveau i tre retninger. I det følgende beskrives valgmulighederne for udvikling af tværoffentlig identitets- og rettighedsstyring i disse tre retninger med forskelligt scope.
I den første retning er scope udvikling af funktionaliteten i tværoffentlige identitets- og rettighedsstyringsløsninger med prioritering mellem en række initiativer.
Dette kan suppleres med det scope at lægge bindinger på de offentlige tjenester, der anvender tværoffentlige identitets- og rettighedsstyringsløsninger med henblik på at skabe bedre brugeroplevelser og mere effektive arbejdsgange for borgere, virksomheder og myndigheder (Retning 2).
Som supplement eller alternativ kan der sættes fokus på ændrede vilkår eller eventuelt bindinger for semi-offentlige og private tjenesteudbydere (Retning 3).
De enkelte initiativer er beskrevet med overskrifter. I kapitel 12 præsenteres initiativer i oversigtsskemaer, og i kapitel 17 er de beskrevet mere detaljeret.
1.2 Retning 1: Udvikling af funktionalitet i tværoffentlige identitets- og rettighedsstyringsløsninger
Her er scope udvikling af tværoffentlige identitets- og rettighedsstyringsløsninger. Strategi og referencearkitektur gøres bindende (”følg-eller-forklar”) suppleret med forpligtende roadmaps, aftaler om finansiering i økonomiaftaler og en styringsorganisation fx som programorganisationen for grunddata.
Der er identificeret en række initiativer, der kan prioriteres: Udarbejde referencearkitektur Udarbejde trust framework for digitale identiteter Etablering af en dansk eID gateway (eIDAS), hvilket sker i NemLog-in-regi Udvikling og modning af standarder Oversigt over myndighedsbehov Brug af Uni-Login i andre sektorer Sundhedsområdet migrerer over til de fællesoffentlige standarder Udvikling af attributtjenester til rettighedsformål Udbredelse af løsninger der understøtter borgeres opgaver i forhold til værgemål og egne børn Udvikling og udbredelse af digitale samtykkeløsninger Understøttelse af privacy i identitets- og rettighedsstyring
Hvis der vælges 2020 som milepæl, vil det være muligt for hovedparten (og muligvis alle) de omfattede aktører at gennemføre ændringerne senest i forbindelse med et nyudbud. De tjenester, der skal drage nytte af ændringerne, vil dog først kunne implementere ændringerne sidst i perioden eller efter 2020 og så i forbindelse med nyudbud.
1.3 Retning 2: Bindinger for offentlige tjenester Her er scope at lægge bindinger på de offentlige tjenester, der anvender tværoffentlige identitets- og rettighedsstyringsløsninger med henblik på at skabe bedre brugeroplevelser og mere effektive arbejdsgange for borgere, virksomheder og myndigheder.
De forpligtende elementer i dette scope er:
7
Udvikling af sammenhæng mellem føderationer Serviceeftersyn af de tværgående identitets- og rettighedsstyringsløsninger Bedre sammenhæng i administration af væsentlige tjenester Certificering af brugerorganisationer (virksomheder/ myndigheder som arbejdsgivere) til at
indgå i føderationer Udbredelse af digitale fuldmagter (hvor borgere digitalt kan give fuldmagt) Udbredelse af papirfuldmagter på tværs der gøres digitale af betroet part
1.4 Retning 3: Scope med semi-offentlige og private tjenesteudbydereHer er scope ændrede vilkår eller eventuelt bindinger for semi-offentlige og private tjenesteudbydere.
De forpligtende elementer i dette scope er: Åbning af offentlige føderationer for private identitets- og rettighedsstyringstjenester Offentlige identitets- og rettighedsstyringsløsninger til semi-offentlige og private
tjenesteudbydere
1.5 ScenarierOvennævnte kan kombineres til fire hovedscenarier.
Det første scenarie omfatter alene udvikling af funktionalitet i tværoffentlige identitets- og rettighedsstyringsløsninger, idet der kan vælges, hvilke af de nævnte initiativer, der skal prioriteres.
I scenarie 2 kombineres scenarie 1 med bindinger for offentlige tjenester.
I scenarie 3 kombineres scenarie 1 med ændrede vilkår eller eventuelt bindinger for semi-offentlige og private tjenesteudbydere.
I scenarie 4 kombineres scenarie 1 med både bindinger for offentlige tjenester og ændrede vilkår eller eventuelt bindinger for semi-offentlige og private tjenesteudbydere.
Figur 1 Scenarier for udvikling af tværoffentlig identitets- og rettighedsstyring
1.6 KonklusionDe oplæg til beslutninger og prioriteringer, der er nævnt i det foregående og som uddybes i strategien, er input til arbejdet med strategien frem til version 1.0.
8
I den proces forventes der drøftelser af, om vision, strategiske principper, mål og initiativer er de relevante, og hvordan der skal prioriteres. Der kan således både komme flere initiativer til, ligesom nogle af de nævnte initiativer kan udgå.
Figur 2 Samlet overblik over strategien
Det samlede overblik over strategien viser fra toppen visionen, de strategiske principper, de to mål samt de tre indsatsområder.Under hvert indsatsområde ses de tilhørende initiativer, præsenteret i forhold til de tre retninger, der kan vælges for implementering af strategien.
9
2 LæsevejledningDokumentet beskriver i det følgende de fire hovedområder:
Projektet, dets scope og de sammenhænge, det indgår i Baggrund og formål Målbillede, indsatsområder og initiativer Realisering af strategiens målbillede
Dokumentet omfatter en indføring i identitets- og rettighedsstyring, og det er skrevet så enkelte afsnit kan læses hver for sig. Der er derfor en del gentagelser i dokumentet.
Projektet, dets scope og de sammenhænge, det indgår iAfsnit 3. Kontekst og scopeBeskrivelse af, at denne strategi er udarbejdet til at danne grundlag for at målrette, strukturere og prioritere indsatsen for at skabe sammenhængende, effektive, sikre og brugervenlige løsninger på tværs af domæner nationalt og transnationalt – og at fokus er på det tværgående, dvs. adgang til tjenester på tværs af organisationer.
Afsnit 4. ProcesBeskrivelse af Digitaliseringsstyrelsens igangsættelse og organisering af projektet i to faser og gennemførelsen af fase 1 omkring fire workshops med referencegruppen – og resulterende i version 0.5 af de to dokumenter.
Afsnit 5. Beskrivelse af identitets- og rettighedsstyringsdomænetBeskrivelse af domænet, dels i form af de opgaver og brugersituationer, der skal håndteres i forbindelse med styring af adgang til digitale tjenester, og dels introduktion af de centrale begreber identifikation, autentifikation, autorisation, signering, føderation, sikkerhedsdomæne, mv.
Afsnit 6. Sammenhæng til andre projekterKort beskrivelse af sammenhængen til de væsentligste andre projekter, både i Digitaliseringsstyrelsens regi og i andet regi, der relaterer til de forhold, der adresseres i dette projekt.
Baggrund og formålAfsnit 7. SituationsbeskrivelseKort beskrivelse af situationen i dag (AS IS og planlagte initiativer og udbud), der er præget af, at der er flere ukoordinerede løsninger, og at der er et stigende behov for koordinering og sammenhæng.
Afsnit 8. TrendsOplistning med kort beskrivelse af de trends, både forretningsmæssige og teknologiske, der forventes at få indflydelse på udviklingen fremover indenfor identitets- og rettighedsstyringsdomænet.
Afsnit 9. ForretningsbehovEn gennemgang af de forretningsbehov, der danner grundlag for udarbejdelsen af strategien og referencearkitekturen. Forretningsbehovene beskrives ud fra flere synsvinkler, idet interessenterne har flere roller, som har betydning for behov:
Behov hos borgere Behov hos virksomheder og myndigheder som brugerorganisationer og arbejdsgivere Behov hos virksomheder og myndigheder i forhold til deres roller som tjenesteudbydere
Målbillede, indsatsområder og initiativerAfsnit 10. VisionEn kort beskrivelse af den vision, strategien sigter mod at realisere, og de mål og gevinster, der sigtes mod at nå med de indsatser, strategien lægger op til.
Afsnit 11. Strategiske principperIdentitets- og rettighedsstyringsstrategien skal hjælpe med til, at der handles strategisk i hverdagen, og det er derfor nødvendigt med fælles overordnede, strategiske principper.
10
Afsnit 12. Strategiske mål og indsatsområderBeskrivelse af de strategiske mål for den tværoffentlige strategi for identitets- og rettighedsstyring på tværs, og af de indsatsområder, der skal i fokus for at realisere disse mål samt de konkrete initiativer.
Realisering af strategiens målbilledeAfsnit 13. Styring på tværs En sammenhængende identitets- og rettighedsstyring, der bygger på føderationer og dermed arbejdsdeling mellem mange aktører, kræver en række grundlæggende styringsmæssige tiltag og aftaler med regler, standarder, godkendelsesprocedurer og kontrolmekanismer, der skal skabe den nødvendige tillid og interoperabilitet.
Afsnit 14. Forretningsmæssige gevinsterKort beskrivelse af de væsentligste gevinster, der forventes at kunne opnås med den indsats, der initieres med dette projekt, og som forventes at være drivende for den kommende udvikling på området.
BilagBilag A: Ordliste (separat dokument)Bilag B: Oversigt over kilder og baggrundsmateriale (separat dokument)Bilag C: Katalog over initiativer
Målgruppe for strategienMålgruppen er strategiske beslutningstagere indenfor digitalisering og it, typisk digitaliseringschefer, it-chefer, afdelings- og kontorchefer og andre med rollen som systemejer.
KilderDenne strategi bygger i meget høj grad på desk research, og da der er udarbejdet meget godt materiale på området, er nogle afsnit i store dele kopieret fra gode kildematerialer. Det gælder ”Fællesoffentlige identitets- og rettighedsstyringsløsninger – En analyse af sikkerhedsstandarder og –løsninger” fra sundhedsområdet og ”Modelpapir sikkerhed” fra KOMBIT.
3 Kontekst og scopeDenne tværoffentlige strategi for identitets- og rettighedsstyring er udarbejdet til at danne grundlag for at målrette, strukturere og prioritere indsatsen for at skabe sammenhængende, effektive, sikre og brugervenlige løsninger på tværs af domæner nationalt og transnationalt. Fokus er således på det tværgående, dvs. adgang til tjenester på tværs af organisationer, herunder føderering på tværs af sikkerhedsdomæner med gensidig tillid via trust frameworks.
Scope omfatter både brugeradministration og adgangskontrol, herunder det der på engelsk betegnes Credential and Identity Management (CIM), Identity Rights Management (IRM), Access Control (AC) og Identity and Access Management (IAM/IdAM).
De centrale opgaver og begreber, der indgår i scope, er illustreret i følgende figur:
11
Figur 3 Overordnet overblik over identitets- og rettighedsstyring
De centrale begreber er: Identifikation (registrering) Autentifikation Autorisation (registrering og adgangskontrol)
Desuden indgår Signering
på grund af de tætte sammenhænge mellem identitet og signatur.
Scope er identitets- og rettighedsstyring på tværs af myndigheder og virksomheder mv. – ikke identitets- og rettighedsstyring inden for den enkelte organisation. I den udstrækning den enkelte organisation skal spille sammen med den tværoffentlige identitets- og rettighedsstyring, kan der være behov for snitflader og krav til procedurer, sikkerhed mv. i organisationer, herunder til virksomheders administration af medarbejderes rettigheder i eksterne løsninger med hensyn til adgang til offentlige tjenester. Standarder og anbefalinger vedrørende identitets- og rettighedsstyring på tværs vil desuden ofte være relevant for organisationernes egen identitets- og rettighedsstyring.
Scope omfatter både anvendelse af borgere og medarbejdere i virksomheder og myndigheder.
Strategien omfatter offentlige tjenesteudbydere. Fokus er på identitets- og rettighedsstyring i forhold til offentlige tjenester – herunder adgang for såvel borgere som offentlige og private brugerorganisationer. Strategien omfatter rollen som leverandør af identitets- og rettighedsstyringstjenester (identitetsudbydere, attributtjenester, mv.) i forhold til offentlige tjenester, både offentlige og private leverandører (Nets er eksempelvis privat leverandør og ejer NemID). Scope omfatter desuden private virksomheders mulighed for at anvende bruger-/rolledata og login systemer til deres tjenester.
Strategi og referencearkitektur får derfor konsekvenser for og kan anvendes af private virksomheder, foreninger mv.
EksemplerScope inkluderer således eksempelvis:
12
ATP der både er en myndighed/offentlig organisation og en privat virksomhed (hvilket betyder, at kun dele af tjenesterne kan anvende NemLog-in)
Private aktører på sundhedsområdet, som er private virksomheder, men som set fra et borgerperspektiv er offentlige, fx praktiserende læger
Aktieselskaber mv. der er offentligt ejet, fx DSB og forsyningsselskaber
Scope for strategi og referencearkitektur vedrører ikke kun, hvordan virksomheder kan anvende disse, men i høj grad at borgere og brugere er påvirket af grundlæggende valg vedrørende
Hvem kan anvende NemID, til hvilke tjenester og på hvilke betingelser? Hvem kan anvende Single-sign-on (SSO)-tjenester som NemLog-in? Hvilke offentlige identitets- og rettighedsstyringsdata kan/må private aktører genbruge. Kan en
privat identitetsgarant anvende offentlige data til at øge registreringskvaliteten for en bruger? Er den offentlige infrastruktur noget private kan anvende og bygge oven på? Hvilke attributter vil det offentlige udstille til private aktører?
På nogle områder vil strategi og referencearkitektur stille krav i forhold til offentlige tjenester, mens private tjenesteudbydere kan være omfattet af strategiens og referencearkitekturens krav, hvis de vil tilsluttes offentlige føderationer. I øvrigt vil private tjenesteudbydere kunne anvende strategiens standarder og anbefalinger.
Scope er både personbrugere og systembrugere (system-til-system-integration) og dermed potentielt ”internet of things”. Scope er således i bred forstand adgang til digitale tjenester/løsninger herunder også eksempelvis velfærdsteknologi.
Scope omfatter både centrale løsninger, som eksempelvis NemID og NemLog-in, og domænespecifikke løsninger som eksempelvis de løsninger, der eksisterer og er på vej i uddannelsessektoren, sundhedssektoren, miljøområdet og kommunerne.
Det geografiske og organisatoriske scope er danske løsninger, som skal kunne interagere på tværs af domæner nationalt og/eller transnationalt, herunder i EU, men i princippet også globalt.
Denne strategi for næste generation af identitets- og rettighedsstyring skal indgå i den næste digitaliseringsstrategi og umiddelbart anvendes i forhold til Digitaliseringsstyrelsens forberedelse af næste udbud af NemID og af øvrige myndigheders udvikling af it-systemer. Endvidere vil strategien kunne være grundlag for det kommende udbud af andre centrale offentlige løsninger som fx næste generation NemLog-in.
Det tidsmæssige scope er som udgangspunkt den kommende digitaliseringsstrategiperiode, dvs. 2016-2020. Der må dog gerne indgå anbefalinger til initiativer i 2015, ligesom der gerne må indgå forslag til pejlemærker med en længere tidshorisont.
3.1 Udenfor scope i version 0.5Økonomiske spørgsmål i forbindelse med identitets- og rettighedsstyring behandles ikke, fx finansiering og betalingsforhold for det offentlige og for private.
Det er nødvendigt, at dette indgår i arbejdet frem mod version 1 af strategien, da der ikke kan gives anbefalinger og træffes valg, uden at økonomi indgår.
I det videre arbejde med strategien bør der indgå overvejelser om risici og håndtering af disse ved sammentænkning og sammenhæng på tværs. Dette kan eksempelvis håndteres gennem en privacy analyse, der identificerer påvirkning af privacy, behov for tiltag, der øger privacy, samt vigtige dilemmaer og balancer mellem privacy andre faktorer som økonomi, sikkerhed, digitalisering og fleksibel adgang til data.
13
4 ProcesDigitaliseringsstyrelsen har igangsat udarbejdelsen af en tværoffentlig strategi for identitets- og rettighedsstyring med tilhørende referencearkitektur som et projekt i to hovedfaser:
Fase 1 skal resultere i Version 0.5 , som har karakter af et diskussionsoplæg, der dels skal give overblik over domænet og de centrale udfordringer og muligheder, og dels give konkrete bud på, hvor der er særligt behov for videre analyse med henblik på etablering af grundlag for centrale strategiske beslutninger, som understøtter en moderne, effektiv, fleksibel og brugervenlig tværgående infrastruktur for identitets- og rettighedsstyring.
Fase 2 skal resultere i Version 1.0 , som er den første komplette version af strategien og referencearkitekturen. Efter fase 1 vil der være behov for en række supplerende uddybende analyser af delementer, herunder indsamling af supplerende oplysninger og inddragelse af interessenter, for at skabe det samlede grundlag for udarbejdelsen af Version 1.0. Fase 1 gennemføres i perioden november 2014 til februar 2015. Version 0.5 til strategi og referencearkitektur skal fungere som et offensivt udspil, der lægges frem til dialog med nøgleinteressenter i første kvartal 2015. Den baseres primært på desk-top research af eksisterende viden, allerede gennemførte analyser mv., og på en bearbejdelse heraf på workshops med en ekstern faglig referencegruppe med deltagelse af repræsentanter for
Digitaliseringsstyrelsen, NemID Digitaliseringsstyrelsen, NemLogin Styrelsen for It og Læring, Uni-Login WAYF-sekretariatet, DeIc, DTU NSI, SSO på Sundhedsdomænet Miljøministeriet, Miljøportalen Erhvervsstyrelsen, Virk.dk KOMBIT, Adgangsstyring KL Danske Regioner
De workshops, der gennemføres i fase 1, har ikke til formål at nå frem til færdige løsninger, som alle har trykprøvet og detailkommenteret. Målet er derimod at få alle relevante perspektiver frem og fremstille dem struktureret og så overskueligt, at den efterfølgende dialog kan lede frem til velovervejede og dækkende konklusioner. Udkastet (Version 0.5) skal således ikke nødvendigvis indeholde konsensussvar på alle områder, men tværtimod gerne fremhæve de væsentlige spørgsmål, der bør indgå i den efterfølgende dialog.
Arbejdet i fase 1 er tilrettelagt indholdsmæssigt i dette forløb:
Indsamling og gennemgang af kilderDataindsamlingen startede med udarbejdelse af et overblik over de informationer, der er nødvendige for at beskrive
• Forretningsbehov• Strategi for identitets- og rettighedsstyring• Referencearkitektur
og afdække, hvilke delområder, der indgår i scope, og afgrænsning i forhold til tilgrænsende områder, der ikke indgår i scope.
ForretningsbehovPå grundlag af det indsamlede materiale er der udarbejdet en oversigt over de forretningsbehov, der skal styre indholdet af strategi og referencearkitektur. Forretningsbehovene tager udgangspunkt i de udfordringer, offentlige virksomheder fremover skal være i stand til at håndtere med løsninger på (bl.a.) de områder, der er i scope for den kommende strategi og referencearkitektur for identitets- og rettighedsstyring.
14
Synopsis og udkast til strategi og referencearkitekturPå grundlag af de indsamlede elementer er der udarbejdet indhold og forslag til dispositioner for de to dokumenter (synopsis). Disse er drøftet og udviklet i samspil med Digitaliseringsstyrelsen og referencegruppen.
Udkast til strategi og referencearkitektur, version 0.5Resultaterne fra de afholdte workshops er indarbejdet i udkastet til strategi og referencearkitektur, så de fremstår som sammenhængende og tilgængelige dokumenter, hvor de identificerede faglige problemstillinger enten er velbeskrevet eller hvor det fremgår, hvad der udestår til drøftelser med interessenterne og til senere versioner.
5 Beskrivelse af identitets- og rettighedsstyringsdomænetIdentitets- og rettighedsstyring omfatter en række opgaver, som skal løses i forbindelse med styring af adgang til digitale tjenester – og til ressourcer og tjenester mere generelt.
Digitalisering kræver informationssikkerhed, og identitets- og rettighedsstyring er et af midlerne til at sikre det valgte niveau af informationssikkerhed. Deraf følger, at det er en forudsætning, at identitets- og rettighedsstyring har et tilstrækkeligt højt sikkerhedsniveau både for de enkelte komponenter i identitets- og rettighedsstyring og for samlede identitets- og rettighedsstyringsløsninger.
Aktiviteterne i identitets- og rettighedsstyring gennemføres både i forbindelse med det enkelte system eller tjeneste, for en virksomhed eller myndighed, og i forbindelse med tjenester, som virksomheder eller myndigheder stiller til rådighed for andre.
Hovedaktiviteterne er• Registrering af brugerens identitet og tildeling af akkreditiver (samlet betegnet
Identifikation), så brugeren kan bevise sin identitet. Registrering omfatter også den løbende vedligeholdelse (administration) heraf
• Autentifikation af brugeren, der ønsker adgang til tjenester, dvs. validering af brugerens identitet på grundlag af de fremviste akkreditiver
• Autorisering af brugeren, opdelt i• Registrering/administration af brugerens rettigheder i form af roller og/eller andre
attributter i den aktuelle sammenhæng samt administration af adgangspolitikker for tjenester
• Adgangskontrol, dvs. håndhævelse af adgangspolitikker der styrer, hvilke handlinger brugeren må udføre på hvilke tjenester på grundlag af brugerens rolle og/eller andre attributter i den aktuelle sammenhæng
Dette beskrives detaljeret i det følgende.
Figur 4 Identitets- og rettighedsstyringsdomænets hovedelementer
15
Brugersituationer1
Når to parter, personer eller systemer, udveksler tjenester (information eller service), er der altid en afsender (tjenesteudbyder/Service Provider) og en modtager (tjenesteaftager/Service Consumer). Tjenester kan have en begrænset modtagerskare, og når dette er tilfældet, har tjenesteudbyderen behov for at sikre sig, at tjenesteaftageren må modtage informationen (eller sagt mere generelt: Om tjenesteaftager skal have adgang til den udbudte tjeneste).
Vi kender det fra posthuset, hvor det kræver et kørekort eller lignende at få udleveret en pakke (posthuset er udbyder af en pakkeudleveringstjeneste). Et sådan identitetsbevis betegnes akkreditiv (engelsk: Credential) og det er blevet tildelt af en identitetsgarant (Credential Service Provider), der i forbindelse med tildelingen har verificeret brugerens identitet (Proofing), i eksemplet med kørekortet, Rigspolitiet.
At fastslå/genkende en identitet ud fra udstedte akkreditiver, kalder vi autentifikation. I eksemplet med postkontoret kontrollerer postmedarbejderen, at kørekortet er:
1) Ægte, dvs. udstedet af en myndighed, postmedarbejderen har tillid til2) Validt, dvs. ikke udløbet eller frakendt 3) Udstedt til tjenesteaftageren, dvs. at ejeren af kortet ligner billedet på det og at underskriften
på kortet ligner den, tjenesteaftageren sætter på kvitteringen.
Hvis alle disse check falder positivt ud, kan postmedarbejderen have tillid til hvem personen er.
Herefter kontrollerer postmedarbejderen:4) At pakken er stilet til den pågældende person, eller at vedkommende har en fuldmagt fra den
person, som pakken er stilet til5) At vedkommende kan fremvise postvæsenets udsendte advisering af pakkeforsendelsen
Hvis dette er tilfældet, taler vi om, at vedkommende er autoriseret til at modtage pakken (har autoriseret adgang til tjenesten). At afgøre, om en person er autoriseret til en tjeneste eller ej, betegner vi adgangskontrol (Access Control). Adgangskontrollen følger en formuleret politik (Policy) for kontrol i forbindelse med anvendelse af tjenesten. I det beskrevne eksempel fremgår denne af forretningsbetingelser eller sikkerhedspolitikken formuleret af Post Danmark.
I posthuseksemplet er der behov for høj sikkerhed for, at postmedarbejderen skal vide præcist og sikkert, hvem kunden er. Der er andre situationer, hvor der er brug for meget lidt viden hos tjenesteudbyderen om kunden. Fx skal en spiludbyder alene vide, at kunden er over 18 og ikke er på en spærreliste, og behøver således ikke at kende kundens identitet, hvis de to oplysninger kan bekræftes på anden vis (af en tredjepart begge har tillid til). E-handelstjenester har brug for at kende navn og adresse. Strategi og referencearkitektur skal også kunne dække disse situationer, både af hensyn til brugerens privatliv og af hensyn til tjenesteudbyderen, som har økonomisk fordel i at håndtere så få informationer om brugeren som muligt (håndtering af fortrolige persondata er omkostningskrævende).
Den (logiske) komponent i et sikkerhedsdomæne, som varetager autentifikation, kaldes en login-tjeneste (Identity Provider (IdP)) og adgangskontrol baseret på eksplicitte adgangspolitikker foretages af et såkaldt Policy Enforcement Point (PEP). Bemærk, at der er tale om logiske komponenter, der fysisk kan realiseres på forskellig vis. I eksemplet med pakkeforsendelsen blev kontrol af modtagerens identitet (autentifikation), kontrol af adkomst til pakke (autorisation) og udlevering af pakke (udbudt tjeneste) varetaget af samme postmedarbejder.
En tjenesteudbyder kan også selv stå for at udstede akkreditiver. Dette kendes fra mange systemer i dag, som har deres egen identitets- og rettighedsstyring. Her oprettes en bruger typisk med et brugernavn og et kodeord gældende for det enkelte system. Hvis en tjenesteaftager skal tilgå flere systemer og tjenester bliver denne model hurtigt upraktisk. For hver tjenesteudbyder/system skal brugeren nemlig have et akkreditiv med det administrative ekstraarbejde dette medfører for hver enkelt tjenesteudbyder og for tjenesteaftager, der skal holde styr på alle de forskellige akkreditiver
1 Dette afsnit er bearbejdet fra NSI Fællesoffentlige brugerstyringsløsninger – En analyse af sikkerhedsstandarder og –løsninger
16
(f.eks. brugernavne og kodeord), som måske er ret forskellige og som måske udløber og skal fornyes på forskellige tidspunkter.
I større organisationer med mange systemer og tjenester har man derfor arbejdet på at konsolidere identitets- og rettighedsstyring, således at de enkelte brugere kun skal anvende ét akkreditiv (typisk brugernavn og kodeord) indenfor organisationen. Med NemID er der nationalt etableret et sæt af akkreditiver (certifikater med nøgler). Her er det Nets DanID A/S der er identitetsgarant (Credential Service Provider (CSP)). DanID har en række betroede (lokale) registreringsenheder (Registration Authority), der varetager den fysiske identifikation og registrering af personer (eller systemer), og DanID udsteder på baggrund af disse registreringer et certifikat, som den registrerede kan benytte til at bevise sin identitet med overfor andre (såkaldt Relying Parties), der har tillid til DanID som identitetsgarant.
De væsentligste elementer og deres sammenhæng kan illustreres med nedenstående figur:
Credential Service Provider (CSP)
Serviceaftager
Identity Provider (IdP)
Policy Enforcement Point (PEP)
Akkreditiv
Tillid
Tillid
Serviceudbyder
Tillid
§Politik for adgang
til service
Registration Authority (RA)Tillid
SecurityToken
Figur 5 Væsentlige begreber i et tjenestekald og deres sammenhæng
17
Bemærk, at tjenesteudbyders tillid til at det er de rette personer (eller systemer) der får adgang til en tjeneste beror på en række faktorer. Tjenesteudbyderen skal have tillid til at adgangskontrollen (Policy Enforcement Point) kun videregiver tjenestekald, der overholder politikken for adgangen til tjenesten. Adgangskontrollen (PEP) bygger på tillid til, at en login-tjeneste (IdP) på en sikker måde har kunnet fastslå tjenesteaftagers identitet (autentificere vedkommende). Login-tjenesten har tillid til, at den der har udstedt akkreditiverne (Credential Service Provider, CSP) har gjort dette til de rette personer (nemlig de samme personer, som registreringsenheden, RA, har identificeret og registreret oplysninger på), og identitetsgaranten (Credential Service Provideren) har tillid til, at registreringsenhederne har kunnet foretage en sikker identifikation (og registrering) af tjenesteaftagerne (den stiplede pil til højre i figuren).
Som det fremgår af figuren optræder et såkaldt security token (adgangsbillet). Dette udstedes af Identity Provideren (IdP) og benyttes i kommunikationen til tjenesteudbyderen (med dennes adgangskontrol, Policy Enforcement Point, PEP). Et security token er en ”adgangsbillet” med tidsbegrænset gyldighed til en eller flere tjenester. Det er adgangsbilletten, der giver adgang til tjenesten – ikke det akkreditiv som er udstedt til tjenesteaftager.
Hvis man holder funktionaliteter adskilte, når man implementerer sikkerhedsløsninger, opnår man tilsvarende fordele. Det vil eksempelvis være muligt at understøtte nye autentifikationsprotokoller ved at eksisterende Identity Providers (IdP’er) implementerer den nye protokol eller ved at etablere nye IdP’er – uden at dette kræver ændringer ved de enkelte tjenesteudbydere eller adgangskontroller. En løsere kobling mellem de enkelte funktioner tillader også, at man kan implementere funktionerne ved forskellige parter og på forskellige niveauer. Eksempelvis har der været en gevinst ved at gå sammen om etablering af en udsteder af digitale certifikater (Credential Service Provider), mens registreringsenheder bedst er blevet placeret der, hvor man har styr på hvem, der er medarbejdere i organisationen, altså lokalt.
Sikkerhedsdomæner og føderationerTjenesteudbydere, der har tillid til de samme adgangsbilletter (security tokens), og dermed til de udstedende Identity Providers og Security Token Services, siges at befinde sig i samme sikkerhedsdomæne2.
Et sikkerhedsdomæne omfatter typisk flere organisationer med hver sin fysiske sikkerhedsperimeter, som er det fysiske eller logiske område inden for hvilken fjendtlig indtrængen forsvares.
Når parter i forskellige sikkerhedsdomæner enes om fælles standarder for identitets- og rettighedsstyring, fælles sikkerhedspolitikker og aftaler, og tilbyder tjenestekald på tværs af sikkerhedsdomænernes grænser, siges der at være etableret en føderation. En sådan føderation er altid baseret på tillid mellem de parter, der indgår i føderationen. En føderation kan siges at være et sikkerhedsdomæne i sig selv (men et sikkerhedsdomæne er ikke nødvendigvis en føderation).
Tillid er en altafgørende forudsætning for at etablere en fødereret identitets- og rettighedsstyringsløsning. Det er nødvendigt at koordinere risikovurderinger og valg af niveau for og håndtering af informationssikkerheden. Dette sker ved etablering af et såkaldt trust framework. For at alle parter kan have tillid til hinanden ekspliciterer, harmoniserer og standardiserer et trust framework forskellige aspekter af sikkerhed, herunder politikker, sikkerhedsmæssige tiltag og fælles sprog.
I den fødererede model sker registrering af borgere hos en registreringsmyndighed, mens brugeradministrationen for medarbejdere (oprettelse og nedlæggelse af brugere samt tildeling af jobfunktionsroller) lokalt i organisationens egen brugeradministrationsløsning (f.eks. Active Directory eller anden Identity Management løsning). Herved undgås dobbelt vedligehold af de samme brugere, og administrationen sker tættest på brugerne, med størst viden om deres jobfunktioner og med størst sikkerhed for korrekthed og hurtig respons på ændringer.
I den modsatte ende vil selve håndhævelsen af adgange til systemerne (adgangskontrollen eller Policy Enforcement) ske lokalt i systemerne på baggrund autentifikation og autorisation af brugeren. Konkret vil sikkerhedsinfrastrukturen sørge for, at der udstedes en adgangsbillet indeholdende kalderens identitet samt tildelte roller, som den lokale adgangskontrol kan bygge på.
2 Bemærk at dette er en noget anden definition af domæne, end den man bruger indenfor Directory (AD) verdenen.
18
Komponenterne i den overordnede model er illustreret i nedenstående figur (fra kravspecifikationen til KOMBIT Adgangsstyring):
Figur 6 Komponenterne i identitets- og rettighedsstyring
Modellen giver en hensigtsmæssig ansvarsfordeling, idet brugerne kan vedligeholdes lokalt men få adgang centralt (med single sign-on), og samtidig giver den en ønskværdig arkitekturmæssig de-kobling mellem forretningstjenester og den enkelte organisations infrastruktur. Således kan den enkelte kommune frit vælge den teknologi og de værktøjer, man ønsker at administrere brugerne med.
På samme måde, som adgangsbilletter (security tokens) kan benyttes til at skabe sammenhæng mellem forskellige sikkerhedsdomæner, kan de også benyttes til at skabe sammenhæng mellem føderationer (der jo i sig selv udgør et sikkerhedsdomæne). Men kommunikation og omvekslinger af adgangsbilletter gør det ikke alene.
Vi skelner mellem, hvad der ligger ”indenfor” en etableret føderation i termer af anvendte politikker, standarder og teknologier, samt hvad der ligger ”imellem” de føderationer, der skal kobles sammen:
Figur 7 Sammenhæng mellem føderationer
19
5.1 Ord og begreberSe særskilt bilag ”Ordliste - Tværoffentlig strategi og referencearkitektur for identitets- og rettighedsstyring”.
6 Sammenhæng til andre projekterDer er flere projekter og aktører på identitets- og rettighedsstyringsområdet med behov for at skabe og sikre sammenhæng.
Aktuelt (2014-2015) forberedes udbud af næste generation NemID og derefter følger udbud af NemLog-in. I arbejdet med NemID rejses en række problemstillinger, som ikke kun vedrører NemID men hele identitets- og rettighedsstyringsområdet.
Uni-Login’s rolle er til overvejelse i forbindelse med udbud af brugerportalen på skole og institutionsområderne – fx om Uni-Login kan anvendes i bredere sammenhæng end nu.
National Sundheds-it (NSI) har i foråret 2014 gennemført en analyse af sikkerhedsstandarder og –løsninger, som opstiller et teknisk målbillede og en vision for identitets- og rettighedsstyring.
Sideløbende er KOMBIT i gang med udbud af adgangsstyring for fælleskommunale løsninger.
Ud over dette er der generelt aktiviteter for at udvikle og udbrede de enkelte identitets- og rettighedsstyringsløsninger.
Rundt omkring identitets- og rettighedsstyring er der en række forhold, der påvirkes af udviklingen i identitets- og rettighedsstyring og som påvirker identitets- og rettighedsstyring.
Udviklingen i informationssikkerhed og cybersikkerhed stiller krav om bedre sikkerhed omkring identitets- og rettighedsstyring og stiller øgede krav til sikre identiteter. Et eksempel er kravene i Hvidvaskningsdirektivet, som stiller høje krav til sikker identitet. Regeringen har i 2014 lanceret en strategi for cyber- og informationssikkerhed, som vil have betydning for hele sikkerhedsdomænet og dermed også identitets- og rettighedsstyringsområdet.
Udviklingen i sikkerhed – eller mangel på samme i sammenhæng med den stigende digitalisering - har betydet et øget fokus på privacy. Konkret arbejder Folketingets Retsudvalg på en udredning om privacy og borgernes deltagelse i forvaltningen af data om sig selv fx i forbindelse med forvaltningsopgaver på velfærdsområderne.
Indsatsen for udvikling af grunddata og bedre løsninger til at stille grunddata til rådighed, kan få betydning for identitets- og rettighedsstyring, både i forhold til identitet og autorisation.
7 SituationsbeskrivelseDe senere års udvikling på identitets- og rettighedsstyringsområdet har medført, at der er etableret en række løsninger i samarbejde mellem interessenter, og at disse løsninger ganske vist sikrer sammenhæng inden for afgrænsede delområder, men at der ikke er en overordnet sammenhæng i initiativer og løsninger.
20
Figur 8 Oversigt over løsninger og aktører
Note til figur: Figuren viser en række løsninger og aktører på identitets- og rettighedsstyringsområdet og på tilgrænsende områder. Fx viser den venstre boks med grunddata de forskellige grunddataregistre, der leverer attributter til identitets- og rettighedsstyring. I den højre boks med tjenester viser feltet med Digital post, at Digital post som tjeneste har egen autorisationsløsning.
Situationen er i dag præget af, at der er flere forholdsvis ukoordinerede løsninger (NemID/NemLog-in, SOSI-STS på sundhedsområdet, KOMBITs identitets- og rettighedsstyring, WAYF på undervisningsområdet, Miljøportalen m.fl.). Der findes ikke den sammenhængende tværoffentlige strategi og governance, der i stigende grad efterlyses fra flere sektorer. Der er overlap, sub-optimering og dublering af løsninger med økonomiske konsekvenser. Der er stor usikkerhed hos myndigheder i forbindelse med it-investeringer – særligt i forbindelse med udbud, hvor der er brug for at kravspecificere løsninger, der skal kunne holde 5-6 år, er der behov for at kende retningen, man skal orientere sig imod.
7.1.1 Registrering / IdentifikationRegistrering og verifikation af identitet løses af flere aktører, hvor NemID har en særlig rolle som den ”statsautoriserede” identitet, som dels har en fastlagt kvalitet (sikringsniveau, assurance level), dels er obligatorisk i en række sammenhænge. NemID har (ultimo 2014) mere end 4,5 mio. borgeridentiteter og 1,1 mio. medarbejderidentiteter. NemID er gratis for offentlige tjenester og borgere, mens private tjenester skal betale for brugen. Ligeledes skal virksomheder og myndigheder betale for medarbejderidentiteter ud over de første tre.
En anden leverandør af identitet er Uni-Login, som også leverer identitet. Uni-Login skønnes at have mere end 1 mio. identiteter.
Desuden har myndigheder og store virksomheder egne systemer til identitets- og rettighedsstyring (fx AD), som håndterer både identitet, autentifikation og autorisation.
Et gennemgående problem på tværs af de mange kilder til identitet er sikringen af, at identiteter ændrer status ved dødsfald, stillingsændringer mv.
Ud over de nævnte offentlige identitetstjenester er der en række private identitetstjenester (fx Facebook og Google) og mange private tjenester har egen identitetsløsning (fx har Just Eat egen registrering af brugere).
For brugerne betyder de mange identitetstjenester, at de selv skal oprette og holde styr på deres forskellige identiteter med forskellige brugernavne og akkreditiver. Og set fra et brugersynspunkt er det ikke forståeligt at fx nogle praktiserende læger har eget identitetssystem i stedet for at anvende NemID.
21
For tjenesteudbyderne betyder det omkostninger til administration af egne løsninger eller betaling for brug af andre identiteter som NemID samt et uens sikkerhedsniveau.
7.1.2 AutentifikationDer er også her en række løsninger, som dækker forskellige delområder, og som i større eller mindre omfang har sammenhæng. Fx understøtter flere af autentifikationsløsningerne NemID, mens kun Uni-Login understøtter sit eget eID.
NemLog-in kan kun anvendes af offentlige tjenester, men serviceaftagerne kan godt være private virksomheder. I sammenhæng med reglerne for adgang til CPR-data, betyder det meget forskellige muligheder for at få adgang til data om brugerne – for nogle tjenester for mange data, for andre for få.
Figur 9 Sammenhæng mellem autentifikation, attributter og organisationstype
Det er vanskeligt for private tjenester at få adgang til en brugers adresse fra CPR, og der er ikke mulighed for at få en oplysning som ”er under 18 år”.
7.1.3 AutorisationOpgaven med autorisation er i meget mindre omfang end autentifikation dækket af fælles løsninger og løses i højere grad i de enkelte tjenester og applikationer. En væsentlig forklaring på dette er, at autorisation er meget forretningsnært og -specifikt, og derfor er det vanskeligere at bygge fælles løsninger.
Der er etableret en fælles løsning i NemLog-in, der dækker en række bredt anvendte tjenester.
Der er en konkret udfordring i forbindelse med fuldmagter, som er efterspurgt i forbindelse med den obligatoriske digitalisering. Der er etableret en fuldmagtsløsning i NemLog-in, men den er kun udbredt til to tjenester (november 2014), og derfor er den set fra et brugersynspunkt ikke et reelt tilbud.
Adgangskontrol udføres oftest af de enkelte tjenester, men det kan også tænkes at ske i centrale funktioner.
7.1.4 SigneringOpgaven med signering løses med NemID. Det er dog kun 1% af transaktionerne med NemID borger (POCES), der er signeringstransaktioner.
7.1.5 TjenesterDer er forskellige autentifikationsløsninger, og kun få tjenester anvender rettighedsdelen af NemLog-in. Til gengæld er det nogen af de helt store erhvervsløsninger som fx NemRefusion og ATP, der benytter
22
NemLog-in’s rettighedsadministration, så anvendelsen af løsningen er særdeles udbredt blandt danske virksomheder (mere end 220.000 er tilsluttet).
7.1.6 Sammenhænge på tværsI processen i forbindelse med udbud af NemID er der indkommet en række høringssvar, hvor brugerne efterlyser bedre løsninger ikke kun i forhold til NemID, men i forhold til identitets- og rettighedsstyring mere generelt.
Også i Erhvervsstyrelsens Virksomhedsanalyse peges der på behovet for bedre sammenhæng mellem særligt de offentlige løsninger NemID og NemLog-in på en række områder, også med konsekvenser for de måder, tjenesterne fungerer på i samspil med de fælles identitets- og rettighedsstyringsløsninger.
8 TrendsBehovet for en tværoffentlig strategi og referencearkitektur for identitets- og rettighedsstyring kommer som følge af en række trends, både forretningsmæssige og teknologiske:
Den gennemgribende digitalisering globalt og i Danmark betyder, at der er mange digitale tjenester med mange brugere. Både tjenester og brugere har behov for identitets- og rettighedsstyring med forskellige niveauer af sikkerhed og understøttelse af privacy – og med sammenhæng i identitets- og rettighedsstyring på tværs af tjenester og brugere.
Ny lovgivning stiller nye krav til infrastruktur og løsninger. Som eksempler kan nævnes persondataforordningen, eIDAS forordningen mv.
Den fortsatte udvikling af de digitale tjenester til borgere og virksomheder kræver i stadig større grad sammenspil (interoperabilitet) på tværs af myndigheder og virksomheder.
Der bliver flere og flere muligheder for at registrere data, og brugerne er i høj grad beviste om og kræver genbrug af data – det accepteres ikke længere, at data skal indtastes manuelt hvis brugeren ved at data allerede er til stede digitalt.
De nye samarbejdsformer fordrer større behov for at understøtte forretningsprocesser på tværs af organisationer og domæner. Dette stiller nye krav til identitets- og rettighedsstyring – hver applikation og tjeneste kan ikke længere ”eje” brugeren. Grunddataprogrammet er et fint eksempel på dette. Et andet eksempel er monopolbruddet på det kommunale område, hvor centrale kommunale løsninger sendes i udbud under en flerleverandørstrategi.
Den fællesoffentlige digitaliseringsstrategi (2011-2015) indebærer obligatorisk digital selvbetjening og digital post med deraf følgende krav om NemID. Den indebærer ligeledes, at NemLog-in er obligatorisk for myndigheder.
Øget fokus på privacy. Der kan forventes ny og strammere regulering med hensyn til sikkerhed og privacy både i EU og Danmark (Persondataforordning, iIDAS forordningen). Privacy-perspektivet omfatter mulige ønsker og krav til samtykke, transparens, brugerinvolvering og sikkerhedskrav i løsninger – og brugerens magt over egne data / medejerskab til data.
Øget brug af velfærdsteknologier som betyder nye behov for at knytte brugere og udstyr sammen med tilstrækkelig sikkerhed (da der fx skal overføres sundhedsdata om brugeren fra udstyr til blodtryksmåling til centrale løsninger).
Nye virksomhedsformer (netværksbaserede) stiller krav til ny identitets- og rettighedsstyring. Involvering af stadig flere aktører på området stiller større krav til governance og
leverandørsamarbejde (Vendor Relation Management).
De teknologiske trends er fx Øget brug af mobile løsninger som smartphones og tablets, og forventning om nye typer
enheder i de kommende år. Flere og flere applikationer, som anvendes af organisationer, placeres udenfor firewall (fx i
skyen). Brugerne køber / plukker tjenester efter behov og forventer sammenhæng og ikke dublerede brugeroprettelser.
23
Cloud, social, mobile er megatrends, som påvirker på mange planer. Brugerne er ikke nødvendigvis ansatte i traditionel forstand, er ikke nødvendigvis oprettet i virksomhedens egen identitets- og rettighedsstyring, sidder ikke nødvendigvis bag organisationens firewall, og arbejder eventuelt for flere virksomheder samtidigt.
Pervasive computing – computerkraft indlejret i hverdagsprodukter. Sammensmeltning af person og enhed.
Internet of things, som både McKinsey og Gartner forudsiger vil slå igennem i de kommende 5-10 år. I Danmark betyder velfærdsteknologier og telemedicinske teknologier behov for at ”ting” kan identificeres og kobles til en person samt få adgang til tjenester.
Behov for at afskærme applikationer fra den underliggende infrastruktur for at opnå agilitet. En række nye teknologier og standarder udvikles med deraf følgende ændring af markedet.
Eksempler er OpenID Connect, UMA, U2F mv.
I forhold til håndtering og digitalisering af identitets- og rettighedsstyring er der følgende tendenser De omfattende ændringer beskrevet ovenfor har betydet udvikling af nye arkitekturer,
koncepter og løsninger både for virksomhedernes interne identitets- og rettighedsstyring og tværgående identitets- og rettighedsstyringsløsninger. Eksempler på dette er fødererede koncepter og koncepter med fokus på privacy (UProve og IdentityMixer).
Der arbejdes med at automatisere håndteringen af at styre livscyklus for en persons eller et systems identitet og rettigheder
Der kan fortsat forventes udvikling af koncepter og teknologier – men udviklingen går i retning af specialiserede komponenter som kan interagere (fx kan føderationskoncepter bygge på forskellige underliggende teknologier til fx adgangsbilletter). De specialiserede komponenter vil bygge på åbne snitflader, åbne standarder og modularisering.
Brugercentriske sikkerhedsmodeller opstår og med disse koncepter som life management platforms, agenter mv. Med disse redskaber får brugerne mulighed for at få et samlet overblik over deres data samt styre deres samtykker, politikker, adgange, interaktioner mv. Med andre ord empowerment af brugerne.
En bevægelse hvor Identity and Access Management (IAM) med fokus på personers adgang til systemer suppleres med Identity Relationship Management (IRM) med fokus på at styre de relationer, som personer, systemer og udstyr har til hinanden:
Figur 10 Fra IAM til IRM
24
9 ForretningsbehovIdentitets- og rettighedsstyring er et nøgleelement i de enkelte organisationers infrastruktur, og identitets- og rettighedsstyring på tværs er i kraft af digitaliseringen og anvendelsen af internettet også af meget stor betydning i borgeres og medarbejderes adgang til tjenester på internettet.
Udvikling af identitets- og rettighedsstyring sker dels på baggrund af udviklingen af digitalisering generelt, både i virksomheder og på tværs. Det betyder, at identitets- og rettighedsstyring er under stadig udvikling, og at der på mange områder stadig sker udvikling af koncepter og teknologier. På andre områder tegner der sig koncepter og teknologier for føderering, som har nået stor modenhed og udbredelse.
Forretningsbehovene tager udgangspunkt i de udfordringer, offentlige virksomheder fremover skal være i stand til at håndtere med løsninger på (bl.a.) de områder, der er i scope for denne strategi for identitets- og rettighedsstyring, dvs. behov vedrørende sammenhængende, effektive, sikre og brugervenlige løsninger på tværs af domæner nationalt og transnationalt.
Forretningsbehovene beskrives ud fra flere synsvinkler, idet interessenterne har flere roller, som har betydning for behov:
Behov hos personer – både som borgere og medarbejdere/studerende Behov hos virksomheder og myndigheder som brugerorganisationer og arbejdsgivere, hvor der
forventes at være forskelle i behov hos store og små. Særligt forventes der forskelle på virksomhedsområdet mellem enkeltmandsvirksomheder, mellemstore og store virksomheder
Behov hos virksomheder og myndigheder i forhold til deres roller som tjenesteudbydere
Herudover beskrives de tre anvendelsesscenarier, der relaterer til brugerrettighedsstyring: Brugsscenarier, der involverer interne eller eksterne brugere af tjenester (personer eller
systemer), og som foregår i daglige arbejds- og driftssituationer, hvor tjenester aktuelt anvendes og ressourcer tilgås.
Administrative scenarier, der typisk involverer sikkerhedsadministratorer, og primært omfatter rettigheds- og brugeradministration og administration af adgangspolitikker.
Kontrolscenarier, der involverer revisorer og sikkerhedsansvarlige, og som baseres på logs/ revisionsspor, der produceres under gennemførelsen af brugerrettighedsstyringen, certifcering.
Brugernes behov i forhold til identitets- og rettighedsstyring er både for velfungerende identitets- og rettighedsstyring – og for at den anvendes af tjenester. Derfor er en række behov relateret til tjenesteudbyderes implementering af identitets- og rettighedsstyringsløsninger.
De internationale aspekter er ikke særskilt behandlet. De beskrevne forhold gælder både nationalt og transnationalt. I tillæg hertil er der behov for gode løsninger til følgende:
Udlændinge i Danmark og danskere i udlandet Identitet og autentifikation i international sammenhæng med identitetstjenester og attributter
på tværs af lande Signering af udlændinge og på tværs af landegrænser
9.1 Personers behov – borgere og medarbejdereMed digitaliseringen har størstedelen af den danske befolkning mindst en og oftest flere digitale identiteter
• NemID (evt. både som borger og medarbejder)• Google• Facebook• osv.
NemID er i praksis obligatorisk i kraft af lovkrav om digital post og digital selvbetjening. Når noget bliver obligatorisk, så ønsker borgeren også at være tryg ved det, og forventer at dem der har stillet kravene, fokuserer på sikkerheden. Man forventer, at data er let tilgængelige – og at det tvungne system er så smart som teknologien tillader.
25
Personer anvender de digitale identiteter fra mange typer brugerudstyr (smartphones, tablets, PC’er).
Mange personer har primært fokus på brugervenlighed og mindre på sikkerhed og privacy. For disse personer skal der være mulighed for at vælge så meget brugervenlighed som hensyn til lovgivning og sikkerhed tillader. Brugbarheden skal løses for alle typer brugergrupper. Valgfrihed er et aspekt i brugbarheden.
Andre personer har fokus på sikkerhed og privacy. For disse personer skal der være mulighed for løsninger, hvor personen selv kan kontrollere, hvilke data tjenester får adgang til, og der skal være mulighed for anonymitet. Nogle personer ønske selv at have magten eller medejerskabet til data om dem selv.
Generelt har personer behov for • Sikker identitet (med begrænset risiko for identitetstyveri)• Brugervenlig og let login – med mulighed for at anvende eID til mange tjenester (både
offentlige og private)• Handicaptilgængelige løsninger• Sikker login• Respekt for privacy
Nogle personer ønsker bedre muligheder i forhold til Adgang til akkreditiver der er tilpasset brugerens behov, brugssituationer, brugerudstyr Valg mellem flere leverandører af identitet Mulighed for afledte eller sammenkædede identiteter Men også det modsatte – at holde forskellige identiteter adskilte af hensyn til privacy. Fx
adskillelse mellem min identitet i banken, hos min arbejdsgiver og i offentlige tjenester. Håndtering af at man som person er ansat – og har flere ansættelser Pseudonymisering skal være mulig – tjenester skal kunne ”vide” at det er den samme person
fra gang til gang uden nødvendigvis at personen er identificeret.
De forskellige behov og ønsker kan ofte være i indbyrdes modstrid, både set fra den enkelte persons synspunkt og set for brugerne på tværs. Det betyder, at beslutningstagerne skal afveje forskellige hensyn og ikke vil kunne tilfredsstille alle behov hos alle.
Både borgere og tjenester har brug for at autentificere personer på flere sikringsniveauer. Det gælder både i forhold til registreringsniveau og autentifikationsniveau (fx både med 1, 2 og 3 login-faktorer).
Indførelse af et lavere autentifikationssikringsniveau for offentlige tjenester betyder, at de offentlige tjenester skal skelne mellem hvilke data i tjenesterne, der kun stiller krav til en faktor, og hvilke der har krav til fortrolighed, som kræver to faktorer. Hvor bankerne forholdsvis let kan lave denne skelnen mellem kontokig og overførsler af penge, er det langt vanskeligere at skelne i offentlige tjenester.
En del borgere har behov for at kunne give andre fuldmagt til at løse opgaver for sig (i forhold til det offentlige kaldes det partsrepræsentation). Behovet for at få løst opgaver med fuldmagt gælder både borgere, som kan afgive fuldmagt digitalt og andre som har behov for at kunne afgive fuldmagten på papir. Det medfører et behov for en betroet part, som kan omsætte papirfuldmagten til en digital fuldmagt. Et andet aspekt af fuldmagt (samtykke) er at kunne give en bank fuldmagt til at hente ens skatteoplysninger elektronisk i forbindelse med en låneansøgning, således at borgeren ikke selv skal printe dem ud og sende dem til banken.
For de borgere, som skal afgive fuldmagt – og for de borgere som får en fuldmagt – er der behov for administrative løsninger til at administrere fuldmagter.
På tilsvarende måde betyder digitaliseringen et behov for digitalt samtykke og for administrative løsninger hertil. Sundhedsdomænet har behov for at kunne håndtere patientens samtykke til deling af data. Der vil være tilsvarende behov på andre områder som socialområdet (f.eks. i forhold til velfærdsteknologier), undervisning og kriminalforsorg.
26
BrugsscenarierI forhold til de konkrete løsninger har borgerne behov for løsninger, der
Kan anvendes på forskellige typer udstyr Kan dække mange forskellige brugerkompetencer og behov Kan dække behovet i mange tjenester
Administrative scenarier Brugeren har behov for efter eget valg at kunne samle eller sammenkæde identiteter, eller lave
afledte identiteter, hvor brugeren kan bruge sit NemID til at danne identiteter hos andre identitetsudbydere med bedre løsninger
Brugeren har behov for administrative løsninger til at styre samtykker til dataudveksling, styre fuldmagter til at agere på vegne af borgeren, selv agere med fuldmagt fra andre, se ”min historik” etc.
Brugeren har behov for at kunne dele sine data med de tjenester (både private og offentlige), som de måtte ønske. Et eksempel er at give en tredjepartstjeneste adgang til borgerens data hos myndigheder / registre / Datafordeleren.
Brugere har behov for at kunne optræde mere eller mindre anonymt fx med pseudonym. Ligeledes udtrykker borgerne ønske om, at deres færden ikke kan spores på tværs af tjenester, hvilket ikke kan undgås med den nuværende indretning af NemID og NemLog-in.
Kontrolscenarier Brugerne har behov for privacy, om end i forskelligt omfang. Nogle brugere ønsker mulighed
for at kunne kontrollere, hvilke attributter der sendes til hvilke tjenesteudbydere. Brugere har behov for indsigt i, hvilke aktiviteter deres digitale identiteter udfører. Det vedrører
dels anvendelse af de digitale identiteter, dels kontrol af andres adgang til data om brugeren. Som hovedregel skal denne kontrol dog ligge i tjenester, ikke i identitets- og rettighedsstyringen
Et mindre segment stiller tekniske krav, fx i form af forslag til konkrete standarder.
9.2 Brugerorganisationernes behov (virksomheder og myndigheder som arbejdsgivere)Virksomheder og myndigheder er forskellige i forhold til deres behov som brugerorganisationer, både i forhold til deres størrelse og i forhold til, hvilke tjenester de skal anvende. Det gælder også fx foreninger.
Mange meget små virksomheder og andre organisationer har brug for meget enkle løsninger til autentifikation og signering og i nogle tilfælde kan brugeradministration automatiseres og dermed ikke optræde synligt for virksomheden.
Små og mellemstore virksomheder, foreninger og anpartsselskaber med flere medarbejdere har behov for enkel brugeradministration, hvor rettigheder administreres manuelt ét samlet sted eller ensartet på tværs af offentlige selvbetjeningsløsninger.
Større virksomheder har brug for forskellige løsninger, der både kan omfatte manuel indtastning, digital provisionering og eventuelt føderering. Større virksomheder har egen identitets- og rettighedsstyring, og de kan generelt have behov for god sammenhæng mellem deres egen identitets- og rettighedsstyring og ekstern identitets- og rettighedsstyring. Generelt opfattes det som en byrde både at skulle vedligeholde brugerne lokalt samt i et antal eksterne brugeradministrationsløsninger.Mange virksomheder og myndigheder har behov for løsninger til NemID der baseres på nøglefil (på fx PC, smartcard og signaturserver) af hensyn til robusthed og anvendelse i interne systemer. 3.-parts virksomheder (fx revisorer, advokater), koncerner mv. har særlige behov i forhold til let at kunne agere på virksomheders/kunders vegne og til at administrere dette.
27
Myndigheder har generelt samme behov som større virksomheder, men myndigheder har også særlige behov i forhold til adgang til tjenester i forbindelse med løsning af opgaver på tværs af myndigheder, fx på sundhedsområdet.
Virksomheder og myndigheder har behov for nem og sikker adgang til eksterne tjenester, både webbaserede og gennem lokale applikationer. Da der er mange – og et stigende antal – eksterne tjenester, har virksomheder og myndigheder behov for at have ensartede metoder til at tilgå disse tjenester. En situation, hvor hver tjeneste tildeler egne brugernavne og akkreditiver, vil allerede nu være til stor ulempe for mange virksomheder, og dette problem vil øges fremover, hvis der ikke sikres ensartede løsninger.
EksempelKommunerne har behov for at de forskellige statslige myndigheders tjenester arbejder med samme arkitekturer og modeller for identitets- og rettighedsstyring, så kommunerne ikke skal håndtere flere forskellige identitets- og rettighedsstyringsløsninger i forhold til sundhed, det sociale område, personregistreringen (Kirkeministeriet), miljøområdet (Miljøportalen).
For mange virksomheder betyder nem og sikker adgang en løsning, der svarer til og eventuelt er identisk med den løsning, de anvender som borger. Det samme kan gælde i forhold til foreninger og nogle typer af virksomheder.
Andre virksomheder har brug for en klar adskillelse mellem borgerløsninger og medarbejderløsninger, herunder selv at kunne kontrollere de tekniske løsninger i sammenhæng med virksomhedens egen tekniske infrastruktur.
En række af processerne omkring at styre en livscyklus for en persons eller et systems identitet og rettigheder er forholdsvis ens på tværs af organisationer. En national vejledning i best practice for håndtering og automatisering af disse processer vil både højne kvaliteten af håndteringen af og reducere omkostningerne for identitets- og rettighedsstyring hos de offentlige organisationer.
EksempelI Grunddataprogrammet sker der et afgørende sceneskift, når ”silosystemer” (eksempelvis ejendomsstamregister ESR) erstattes af samarbejdende grunddataregistre, hvor aktører kan ajourføre på tværs af de enkelte grunddataregistre og kan hente grunddata fra Datafordeleren.Dette fordrer en sikkerhedsløsning, som understøtter ”Single Sign-on” på tværs af grunddataregistre og Datafordeleren. For kommunerne er der eksempelvis behov for, at løsningen hænger sammen med de løsninger til brugeradministration og adgangsstyring, der er ved at blive implementeret under den fælleskommunale rammearkitektur i regi af KOMBIT.Situationen vil være uholdbar for den enkelte aktør - fx den kommunale medarbejder - hvis vedkommende skal logge ind individuelt på hvert enkelt grunddataregister hhv. Datafordeleren, hver gang der skal hentes eller opdateres data – eller hvis brugernes adgang skal administreres i mange forskellige systemer. Der er således behov for, at aktører i en og samme arbejdsgang og med ét log-on kan opdatere et eller flere grunddataregistre og samtidig få adgang til grunddata fra Datafordeleren. I modsat fald kan man risikere, at de forventede effektiviseringer ikke kan opnås, fordi arbejdsgangene bliver mere ressourcekrævende end antaget i den opstillede business case.
BrugsscenarierMedarbejdernes anvendelse omfatter både browserscenarier (webbaseret login) og system-system scenarier (identitetsbaserede webtjenester).
Administrative scenarierBrugerorganisationerne har behov for en høj grad af sammenhæng og effektivitet i administrationen af medarbejdernes digitale identiteter.
Der er behov for en brugergrænseflade til administration, for digital provisionering og for fødererede løsninger, hvor administration sker i egen identitets- og rettighedsstyringsløsning.
Offentlige brugerorganisationer anvender typisk et directory (fx AD) og ønsker derfor løsninger med snitflader hertil (provisionering) og føderering (SAML).
28
Det samme gælder mange private virksomheder. Set fra virksomhedernes synspunkt mangler der fælles tværgående løsninger (til fx NemID, NemLog-in, Digital post, Skat) for at administrere offentlige adgange.
Mange virksomheder har behov for at få styr på deres mange forskellige eksisterende løsninger (legacy), og ønsker at arbejde frem med større ensartethed, sammenhæng og automatisering, eksempelvis automatisering af begivenheder i
en identitets livscyklus: Ansætte, tildele identitet og koordinere identiteter, tildele rettigheder, ændre rettigheder, afslutte og lukke.
arbejdsgange og provisionering
KontrolscenarierBrugerorganisationer har behov for kontrol af medarbejdernes anvendelse af digitale løsninger på virksomhedens vegne, da det både juridisk og kommercielt kan være forpligtende for brugerorganisationen, hvad en medarbejder gør. Desuden er dette nødvendigt for at opfylde lovkrav som eksempelvis persondataloven.
9.3 Tjenesteudbydernes behov (både offentlige og private)Også tjenesteudbyderne har meget forskellige behov og løsningsmuligheder indenfor identitets- og rettighedsstyring. For langt de fleste forretningstjenester er identitets- og rettighedsstyring et nødvendigt ”onde”, som gerne må løses af ekstern infrastruktur, således at tjenesten kan frigøres fra at håndtere denne kompleksitet.
For tjenesteudbyderne er det et fælles behov at kunne modtage logins og rettighedsdata på en standardiseret måde, og gerne så tjenesteudbyderne afskærmes fra ændringer på identitets- og rettighedsstyringssiden. NemLog-in er et eksempel på en løsning, der afskærmer offentlige tjenesteudbydere fra ændringer i NemID som fx overgangen fra Java til Javascript. NemLog-in vil ligeledes kunne håndtere logins fra andre identitetsgaranter, fx fra andre EU-lande.
Offentlige tjenesterEn stor del af de offentlige tjenester rummer fortrolige data, som er dækket af sikkerhedskrav i Persondataloven, og som dermed skal anvende NemID og NemLog-in. Anvendelsen af NemLog-in giver adgang til forskellige tjenester som
PID/RID til CPR Signering Brugeradministration – af rettigheder Fuldmagt Security Token Service (STS)
Flertallet af offentlige tjenester har behov for at kende borgerens CPR-nummer (og i nogle tilfælde medarbejderens).
Andre offentlige tjenester (fx i forbindelse med renovation, lokalebestilling mv.) har ikke samme sikkerhedskrav og nøjes med mindre stærk identifikation og autentifikation end NemID.
Nogle offentlige tjenester anvender rettighedsinformation fra NemLog-in, mens andre selv håndterer administration af rettigheder og fuldmagter. Det gælder fx Skat, eTinglysning og Digital Post. Årsagerne til, at nogle tjenester etablerer egen administration af rettighedsdata er, at løsningerne er opbygget før NemLog-in kunne tilbyde dette, eller at det ved første øjekast vurderes mere brugervenligt at håndtere brugerrettigheder i tilknytning til tjenesten. For virksomhederne er udfordringen, at offentlige tjenester, der ikke benytter de fælles løsninger, bidrager til at skabe et fragmenteret billede, hvor det hurtigt bliver administrativt tungt og uoverskueligt.
Myndigheder er qua forvaltningsloven omfattet af reglerne om partsrepræsentation, og deres tjenester skal derfor understøtte anvendelse af fuldmagt. I modsat fald skal myndigheden etablere manuelle løsninger til partsrepræsentation.
Med eIDAS forordningen, som er vedtaget af EU-parlamentet, er offentlige tjenester underlagt krav om at kunne anerkende elektroniske ID-løsninger fra andre medlemslande. For at ikke alle tjenester skal
29
etablere den nødvendige funktionalitet selv, er der behov for, at den fællesoffentlige infrastruktur kan håndtere kompleksiteten med at integrere med de øvrige EU-landes løsninger.
Endelig er der i de senere år opstået et stigende behov for sikkert og effektivt at kunne administrere adgange til web services, som udstiller følsomme data. Dette behov skyldes dels en større og større grad af ”serviceorientering” i den offentlige sektor, dels at traditionelle teknikker til identitets- og rettighedsstyring for systemer opfattes som værende administrativt tunge og ofte med sikkerhedsmæssige udfordringer. Som eksempel kan nævnes, at systemadgang ofte opsættes manuelt, samt sjældent holdes tilstrækkeligt vedlige eller er ”synlige” i administrationsværktøjer. Et klassisk eksempel er udfordringen ved, at adgange tabes, når certifikater udløber.
Private tjenesterTjenester i den finansielle sektor har stærke sikkerhedskrav, dels af hensynet til de økonomiske risici, dels af hensyn til hvidvaskningsloven og -direktivet.
Tjenester i spilsektoren er forpligtet ved lov til at anvende stærk autentifikation svarende til NemID (OCES) samt at kontrollere, at identiteten ikke er omfattet af spærrelisten. Spiltjenesterne har ikke et behov for præcis identifikation med navn.
En række tjenester har lavere sikkerhedskrav end ovennævnte men har stadig brug for sikker identifikation med færre oplysninger om brugeren. Det er fx e-handelstjenester, der har brug for at kende borgerens adresse eller tjenester, der har brug for at kende brugerens alder (fx over/under 18 år). For disse tjenester er der økonomiske fordele ved kun at kende ikke-fortrolige data, da der i så fald ikke skal anvendes ressourcer på at sikre fortrolige data. Dette behov opfyldes ikke af de nuværende, fællesoffentlige identitets- og rettighedsstyringsløsninger.
Et andet eksempel er ”Den blå Avis”, som har brug for at kunne garantere mod svindel ved at sælgerne har en NemID-valideret identitet. For Den blå Avis er det tilstrækkeligt at kende brugerens PID og dermed have bevis for, at brugeren har et NemID. I tilfælde af lovovertrædelser kan politiet så efterforske og finde brugerens identitet.
Private tjenester kan ikke anvende NemLog-in og kun anvende PID og RID cpr-match. Med PID cpr-match kan tjenesten få oplyst, om der er match mellem et PID- og et af brugeren oplyst cpr-nummer. Se http://www.nets.eu/dk-da/Produkter/Sikkerhed/NemID-tjenesteudbyder/supplerende-produkter/PID-RID-cpr-tjenester/Pages/Muligheder-med-PID-RID-cpr-tjenester.aspx. Med denne ordning kan en privat tjeneste altså kun få adgang til brugerens CPR nummer, hvis brugeren indtaster dette i tjenesten.
For tjenesteudbydere, der bygger forretningstjenester, er det ofte dyrt og komplekst selv at bygge identitets- og rettighedsstyring specifikt til løsningen. Der er en fordel at få identitets- og rettighedsstyring som en tjeneste eller som koncepter, således at udviklingsressourcerne kan koncentreres om kerneforretningen i tjenesten.
Identiteter, akkreditiver, attributter og adgangeTjenester har forskellige behov vedrørende sikkerhed for brugerens identitet – afhængigt af graden af følsomhed og risici. Brugerne skal kunne autentificeres på mindst det sikringsniveau, der svarer til tjenesternes fortrolighedsniveauer.
Tjenesteudbyderne har for nogle tjenester behov for at kunne sikre, at en bruger kun får adgang til ressourcer eller data, der relaterer til den enkelte brugers aktuelle opgave. Sundhedsdomænet har eksempelvis behov for løsninger, der kan sikre, at kun sundhedspersonale der reelt har en relation til behandlingen af en patient får adgang til patientdata (behandlerrelation).
Tjenesteudbyderne har behov for adgang til forskellige attributter, afhængigt af de konkrete behov. Derfor bør identitets- og rettighedsstyringsinfrastrukturen kunne levere differentierede sæt af attributter, hvorved der også kan tages hensyn til brugernes privacy (princippet om ’minimum disclosure’).
KontrolTjenesteudbydere har behov for kontrol med, hvem der har logget ind og udført hvilke handlinger i tjenester.
30
Tjenesteudbyderne har derfor behov for, at identitets- og rettighedsstyringsløsninger stiller relevante logningsdata til rådighed og rapporterer om sikkerhedshændelser, som kan have betydning for, om personer uretmæssigt har fået adgang til tjenester.
Forretningstekniske behovEtablerede tjenester har behov for kontinuitet (bagudkompabilitet).
Offentlige tjenester anvender NemLog-in og ønsker derfor, at NemLog-in håndterer identiteter og attributter, herunder om andre identitetsudbydere end NemID kan indgå.
Private tjenester anvender NemID direkte gennem tjenesteudbyderpakken eller gennem en privat login-tjeneste (NemAdgang fra KMD eller Sikker Adgang fra DSI_NEXT http://www.dsinext.dk/produkter/sikker-adgang.aspx). Som det ses i figuren herunder leverer DSI-NEXT login på grundlag af flere kilder til identitet.
Figur 11 Sikker Adgang fra DSI-NEXT (Kilde: http://www.dsinext.dk/produkter/sikker-adgang.aspx)
For offentlige tjenester er SAML obligatorisk standard mellem NemLog-in og de offentlige tjenester. For private tjenester er XMLDSig standard mellem NemID og tjenester.
BrugsscenarierDet er et fælles behov for tjenesteudbyderne at kunne modtage logins og rettighedsdata på en standardiseret måde, og gerne så tjenesteudbyderne afskærmes fra ændringer på identitets- og rettighedsstyringssiden.
Tjenesteudbyderne har forskellige behov for sikringsniveauer, som identitets- og rettighedsstyringsinfrastrukturen derfor må kunne honorere.
Administrative scenarierFra tjenesteudbydernes synsvinkel er formålet med at overlade identitets- og rettighedsstyring til andre aktører i identitets- og rettighedsstyringsinfrastrukturen at reducere de administrative opgaver samt egne udviklings- og vedligeholdelsesomkostninger.
Nogle tjenesteudbydere har etableret egne løsninger, før der var fælles løsninger, eller de ser væsentlige ulemper ved at overlade administration af rettighedsdata til identitets- og rettighedsstyringstjenester og har derfor etableret egne løsninger til dette.
KontrolscenarierTjenesteudbyderne har til kontrolformål behov for, at identitets- og rettighedsstyringsløsninger stiller relevante logningsdata til rådighed og rapporterer om sikkerhedshændelser, som kan have betydning for, om personer uretmæssigt har fået adgang til tjenester.
31
9.4 Skismaer i forretningsbehovAktørernes behov kan i nogle tilfælde løses med samme løsninger, mens der for andre behov opstår skismaer mellem forskellige behov i samme brugergruppe eller forskelle i behov mellem aktørerne.
Der er et skisma mellem hensynet til brugervenlighed og hensynet til at lade brugeren selv træffe valg. Flere valgmuligheder betyder, at kompleksiteten stiger, hvilket for mange brugere vil opleves som mindre brugervenligt.
Bredere adgang og mere sammenhæng på tværs kan i nogle borgernes ører lyde som samkørsel af data og dermed mindre hensyn til privatlivets fred. Det kan øge kravet om reel pseudonymisering.
Brugernes behov for bedre brugeroplevelse på tværs af tjenester betyder udgifter for tjenesterne til at koordinere og lave tekniske tilpasninger.
En række behov betyder øgede udgifter for det offentlige, som skal prioriteres i forhold til andre behov og i forhold til gevinsterne ved løsninger.
10 VisionDet strategiske afsæt for den tværoffentlige strategi for identitets- og rettighedsstyring er Digitaliseringsstrategi 2011-2015, som har fokus på digitalisering for borgere og virksomheder og på tættere offentligt digitalt samarbejde. Der arbejdes i 2014-2015 med en ny digitaliseringsstrategi, som kan danne et nyt afsæt. Denne version af strategien bygger på Digitaliseringsstrategi 2011-2015.
Identitets- og rettighedsstyringsstrategien skal understøtte fokusområder og initiativer i Digitaliseringsstrategien.
Identitets- og rettighedsstyringsstrategien indgår derfor som et væsentligt element i digitaliseringen af Danmark.
På baggrund af ovenstående forretningsmæssige gevinster fastlægger strategien følgende vision:
VisionStrategien for tværoffentlig identitets- og rettighedsstyring skalskabe rammer for, at borgere, virksomheder, myndigheder, deres medarbejdere og systemerkan bruge effektive og brugervenlige identitets- og rettighedsstyringsløsninger til at tilgå tjenester på tværspå en måde, som fremmer sikkerhed, tillid, privatlivsbeskyttelse, valgmuligheder og innovation,og som øger anvendelsen af tjenester.
Visionen er at skabe rammer for identitets- og rettighedsstyring og dermed skabe grundlag for, at parterne kan udvikle identitets- og rettighedsstyring. På nogle områder lægges der op til bindinger, mens der på andre områder mere er tale om noget parterne kan vælge til.
Strategien sætter mål og retning for identitets- og rettighedsstyring i Danmark og i samspil med udlandet, både som følge af EU's tiltag (eIDAS-forordningen) og den internationale teknologiske udvikling, som Danmark har store fordele ved at udnytte og være en del af.
32
Det er centralt i visionen – og en følge af dens scope – at den omfatter både borgere, virksomheder og myndigheder og deres medarbejdere. Identitets- og rettighedsstyringsstrategien dækker også brugere i form af systemer og ting (fx velfærdsteknologi og intelligent boligudstyr).
Det er visionen at strategien bidrager til, at identitets- og rettighedsstyringsløsninger har tilstrækkelig høj sikkerhed i balance med effektivitet og brugervenlighed. Både sikkerhed, effektivitet og brugervenlighed fremmes ved, at identitets- og rettighedsstyring er sammenhængende. Med sammenhæng følger genkendelighed, så brugerne kan kende forskel på de sikre løsninger og forsøg på snyd.
Strategien har fokus på tjenester på tværs og er relevant også for virksomheders og myndigheders egne identitets- og rettighedsstyringsløsninger.
Strategien skal fremme brugernes tillid til digitale tjenester og skal understøtte brugernes meget forskellige krav til privatlivsbeskyttelse. Både i forhold til privatlivsbeskyttelse og på mange andre områder skal strategien understøtte at brugerne har valgmuligheder.
Strategien skal fremme innovation både i forhold til identitets- og rettighedsstyring og i forhold til anvendelse af nye typer af tjenester og udstyr.
Strategien skal sikre, at udviklingen indenfor identitets- og rettighedsstyring i den offentlige sektor sker koordineret og sammenhængende, således at der findes et fælles pejlemærke for udviklingen, og så dublering og suboptimering undgås.
Strategien afgrænses fra spørgsmål om hvorledes de enkelte tjenester iværksætter passende processer for bruger-/rettighedsstyring og fører den nødvendige løbende kontrol hermed i de enkelte fagsystemer.
11 Strategiske principperEn strategi har kun værdi, hvis den følges loyalt og konstruktivt, og hvis dens anvisninger eraf en sådan art, at de kan bidrage med værdi til hverdagens små og store beslutninger.Identitets- og rettighedsstyringsstrategien skal hjælpe med til, at der handles strategisk i hverdagen, og det erderfor nødvendigt med få, men uomgængelige principper for strategisk handling.
Disse principper fremgår nedenfor.
11.1 Princip: Tværoffentlige identitets- og rettighedsstyringsløsninger baseres på en kerne af fælles komponenter i samspil med decentrale komponenter
I opbygningen af en digital infrastruktur har det offentlige gentagne gange opnået gode resultater ved at gå sammen om at opbygge en fælles kerne, som fungerer i samspil med decentrale komponenter. Det gælder fx NemID, NemLog-in og grunddataprogrammet.
Rationale Infrastrukturløsninger kræver store investeringer og kan som oftest kun opbygges ved at
flere parter går sammen. Der er besparelser ved at opbygge en kerne i fællesskab, som alle kan anvende – i stedet
for at der udvikles flere komponenter, som delvist dækker samme opgaver. En fælles kerne af infrastruktur og principper giver et operationelt grundlag for at opbygge
løsninger med den målsatte sammenhæng og kvalitet.
Implikationer Ambitioner og omfang af den fælles kerne skal aftales mellem de centrale parter Der er løbende behov for at tage stilling til balancen mellem den fælles kerne og de
decentrale.
33
11.2 Princip: Tværoffentlige identitets- og rettighedsstyringsløsninger udvikles med fokus på at minimere omkostninger og risici for både den offentlige sektor og for samfundet generelt
Infrastrukturløsninger er omkostningstunge at udvikle. Da de anvendes af mange, er de desuden omkostningstunge at ændre, da det medfører omkostninger hos mange aktører i kernekomponenternes økosystemer. Det betyder behov for at udvikle og ændre med fokus på at minimere både omkostninger og risici, ikke kun for kernekomponenterne, men for alle økosystemer.
Rationale Omkostningseffektivisering og risikominimering er uomgængelige politiske krav, der skal
tilgodeses for at sikre mulighederne for en fortsat udvikling af digitale løsninger på et økonomisk og kvalitetsmæssigt forsvarligt grundlag.
Identitets- og rettighedsstyring på tværs skal understøtte mange aftagersystemer, som har indrettet snitflader og nogle gange systemerne internt efter kernekomponenterne. Aftagersystemerne er desuden driftsmæssigt meget afhængige af kernekomponenterne. Udviklingen af kernekomponenterne skal derfor ske, således at aftagersystemerne får tid til at tilpasse til nye snitflader, og på måder, så risici for manglende tilgængelighed minimeres.
Implikationer Ved fastlæggelse af såvel overordnede strukturer og principper som design af konkrete
løsninger skal der tages stilling til potentielle muligheder for omkostningseffektivisering og risikominimering.
Byg videre på de gode erfaringer og løsninger Nye løsninger og versioner skal implementeres med hensyn til migrering af tilsluttede
systemer i forhold til teknik, tidsplaner og økonomi.
11.3 Princip: Brugerne skal have mulighed for så forskelligartede løsninger som hensyn til omkostninger tillader
Brugerne, som her omfatter borgere, medarbejdere, virksomheder og myndigheder som brugerorganisationer og tjenesteudbydere, skal have tilgodeset meget forskelligartede behov afhængig af brugssituationen, det anvendte udstyr, virksomhedens karakter, størrelse og sikkerhedsbehov. Hensyn til forskelligartede brugerbehov skal balanceres mod hensyn til omkostninger, idet mere ensartede løsninger ofte kan være billigere at udvikle og drive.
Rationale Tværoffentlig identitets- og rettighedsstyring skal understøtte stort set alle borgeres,
virksomheders og myndigheders behov og skal derfor indrettes efter deres meget forskellige præferencer og egenskaber:o Personer har forskellige digitale kompetencer og anvendelsesmønstreo Virksomheder og myndigheder har forskellige størrelser, ejerskabsforhold, digitale
kompetencer og anvendelsesmønstreo Tjenesteudbydere har forskellige ejerforhold (offentlig, semioffentlig, privat), krav til
sikkerhed og brugergrupper Målrettet dækning af forskellige forretningsmæssige behov øger brugertilfredshed og
effektivitet.
Implikationer Standarder og komponenter skal værre så fleksible at de kan anvendes til differentierede,
målrettede løsninger. Alle aktører skal foretage afvejningen mellem hensyn til brugernes forskellighed og krav til
bedst udnyttelse af ressourcer.
34
11.4 Princip: Byg tværoffentlig identitets- og rettighedsstyring i overensstemmelse med internationale standarder og løsninger
Tværoffentlig identitets- og rettighedsstyring indgår i et samspil med det internationale på flere måder. Flertallet af tekniske løsninger er udviklet i udlandet og arkitekturer og standarder er udviklet i internationale samarbejder. Dansk identitets- og rettighedsstyring på tværs skal lægge sig tæt op ad den internationale udvikling.
Rationale Anvendelse af standarder og løsninger med internationalt scope betyder bedre og billigere
løsninger, der kan indgå i sammenhæng Lokale identitets- og rettighedsstyringsløsninger anvender generelt internationale
produkter, der efterlever internationale standarder, og internationalt baserede løsninger og standarder vil derfor lette samspillet mellem det lokale og det tværgående.
Implikationer Det skal altid undersøges, hvilke internationale standarder det er muligt at anvende, evt.
med dansk profilering Danske profileringer skal begrænses til at dække forhold i økosystemet, som er specifikt
danske og som ikke kan ændres til at følge internationale standarder (fx CPR-data).
12 Strategiske mål og indsatsområderDe strategiske mål for den tværoffentlige strategi for identitets- og rettighedsstyring på tværs er:
Mål A: Brugervenlighed på tværs af løsninger for borgere, virksomheder, myndigheder og deres medarbejdereDet er målet at skabe brugervenlighed på tværs af løsninger for borgere, virksomheder, myndigheder og deres medarbejdere.Der indgår mange dimensioner i, hvad brugervenlighed er – og det er også afhængigt af den enkelte brugers præferencer. Derfor skal brugervenlighed opnås ved at afveje de forskellige hensyn og tage hensyn til brugernes forskellighed.Øget brugervenlighed kan opnås ved at give brugerne mulighed for at kunne vælge mellem flere løsninger. For nogle brugere er flere valgmuligheder væsentlig for en positiv brugeroplevelse, mens andre foretrækker enkle løsninger uden valgmuligheder.
Øget brugervenlighed skal opnås ved, at brugerne kan genbruge samme identitet og akkreditiver i flere sammenhænge og ikke tvinges til at afgive de samme oplysninger igen og igen. Det opnås ved at skabe sammenhæng i de identitets- og rettighedsstyringsløsninger, som tjenester anvender. Sammenhænge betyder, at tjenesterne kan modtage logins fra flere identitetsgaranter med standardiserede snitflader.
Mål B: Effektiv administration af identiteter og rettighedsdataDet er målet at skabe en mere effektiv administration af identiteter og rettighedsdata for både borgere, virksomheder og myndigheder.
En effektiv administration skal bl.a. opnås med bedre sammenhæng i brugeradministration mellem forskellige tjenester, og med respekt for borgeres, virksomheders og myndigheders forskellige behov. Konkret kan det at administrere fuldmagter og rettigheder i mange forskellige siloløsninger blive opfattet som besværligt og ineffektivt. Der er således store forskelle på de administrative behov hos borgere, enkeltmandsvirksomheder, små og store virksomheder.
Ud fra de to overordnede mål er der valgt tre indsatsområder i strategien: at skabe sammenhængende identitets- og rettighedsstyringsløsninger på tværs, at give effektiv administration af brugere og rettigheder (fuldmagter) for virksomheder og myndigheder samt at give bedre håndtering af rettigheder (fuldmagter) for borgere.
35
Figur 12 Oversigt over mål og indsatsområder
12.1 Om de strategiske valgNogle valg i strategien er relativt lette, da der er tale om områder hvor der er udbredt konsensus, og hvor der ikke er de helt store økonomiske konsekvenser. Andre valg kan kræve større strategiske beslutninger, som kan få betydning i forhold til styring, herunder lovgivning, og økonomi, herunder forretningsmodeller.
De lette valg:Der er konsensus om at basere sammenhængende identitets- og rettighedsstyring på føderering, hvor standardiserede data udveksles mellem parterne i form af signerede adgangsbilletter (tokens). Der er internationalt anerkendte løsningsprincipper, der er grundlag for at definere de overordnede og tværgående rammer (i referencearkitekturen og efterfølgende afklaringer/konkretiseringer med parterne) – og lade de detaljerede løsninger udforme af de enkelte sektorer og parter – og sikre fortsat sammenhæng (og fleksibilitet) gennem relevant governance.
EksempelIdentitets- og rettighedsstyring er i en udviklingsproces, der minder om elektricitetens udviklingsproces i det 20. århundrede. Fra hver by sit eget elværk til sammenkædning først i lokalområder, derefter regionalt, nationalt og i stigende grad internationalt. El-produktionen er flyttet fra det lokale elværk til kraftværker, men der skal også være plads i infrastrukturen til vindmøller.Sammenkædningen af el-produktionen er sket samtidig med at der er etableret standarder for strømstyrke, spænding, kontakter, pærer og meget mere. Disse standarder betyder at brugerne har valg mellem mange forskellige produkter, der passer til deres el-installation.For fx kontakter gælder standarder kun i Danmark, og langt de fleste rejsende har et stykke midleware i kufferten (stik-adapter), når de rejser.
De svære valg:Sammenhængende identitets- og rettighedsstyring kræver, at der tages beslutninger om, hvor, hvordan og hvor vidt offentlige identitets- og rettighedsstyringsløsninger også stilles til rådighed for private tjenesteudbydere, således at brugerne kan opleve sammenhængende identitets- og rettighedsstyring, uanset om tjenesten ejes af det offentlige, af en privat eller af en semioffentlig tjenesteudbyder.
Skal NemLogin fx åbnes for semi-offentlige og/eller private tjenester – og hvad vil det betyde? Kan det lade sig gøre udbudsretsligt og konkurrencemæssigt? Skal der i stedet satses på private login-tjenester? Hvad betyder det for betalingsmodeller?
EksempelNemID stilles gratis til rådighed for offentlige tjenesteudbydere, mens private skal betale. I forbindelse med NemID er der opstillet en liste med definitioner af, hvilke myndigheder, der får gratis NemID.NemLog-in er en login-tjeneste for offentlige tjenester. Det fremgår af udbudsbekendtgørelsen, hvilke myndigheder, der kan anvende NemLog-in. Listen er ikke identisk med Nets liste.Praktiserende læger er private virksomheder, hvilket betyder, at borgere kun kan anvende NemID i forhold til de praktiserende læger, der har valgt at betale for denne ydelse.
36
Valg i identitets- og rettighedsstyring hænger sammen med grundlæggende forhold vedrørende, hvem der ejer data om borgerne, og hvem der har ansvaret for sikkerheden. I dansk tradition råder det offentlige over mange data om borgerne, og er derfor forpligtet til at forvalte data med høj sikkerhed. Hvilke konsekvenser har det for tilrettelæggelse af identitets- og rettighedsstyringen?
Hvilken vægt skal privacy have i udformningen af fællesoffentlige identitets- og rettighedsstyringsløsninger? Der er mange ønsker om at give privacy øget vægt, men også få beslutninger i form af love og forordninger. Skal nye generationer af identitets- og rettighedsstyringsløsninger designes til privacy inden der er truffet politiske beslutninger? Hvis man venter til der er truffet politiske beslutninger, vil det tage lang tid at implementere efterfølgende.
Hvor store krav skal der stilles til de tjenester, der med fordel kan anvende tværoffentlige identitets- og rettighedsstyringsløsninger? Er det et tilbud eller et krav – krav af hensyn til brugernes behov for sammenhæng.
Mange af forslagene til initiativer vedrører Digitaliseringsstyrelsen – hvordan kan der skabes øget fokus på andre aktørers aktiviteter?
12.2 Indsatsområde: Sammenhængende identitets- og rettighedsstyringsløsninger på tværsEt middel til at opnå målsætningerne om brugervenlighed og effektiv brugeradministration er at skabe bedre sammenhænge på tværs af mere eller mindre isolerede identitets- og rettighedsstyringsløsninger.
Der er allerede en række tiltag for at skabe sammenhæng. Der er skabt en fælles digital identitet indenfor dele af det offentlige økosystem med Digital signatur og senere NemID. Der er skabt mere sammenhængende rettighedsadministration på tværs af offentlige tjenester i Virk og senere NemLog-in Brugeradministration. Sammenhængen udstrækker sig dog ikke til alternative/private udbydere af akkreditiver (fx Uni-Login), single sign-on på tværs af offentlige og private tjenester, sammenhængende log-in / fødering på tværs af organisationer eller administration af rettigheder mod offentlige løsninger i eget brugerkatalog.
Den teknologiske udvikling går også i retning af at skabe sammenhæng i et økosystem af specialiserede tjenester med udvikling af standardsnitflader og arkitekturmodeller med fokus på arbejdsdeling og gensidig tillid mellem parterne.
12.2.1 Grundlæggende initiativerInitiativ Projektskridt Tidshorisont Afhængigheder
1 Udarbejde referencearkitekturKobling af referencearkitekturen til grunddataprogrammetValg af model for yderligere arkitekturprodukter
Arbejdet igangsat 2015 Grundlag for det videre arbejde
1 Udarbejde trust framework for digitale identiteter
Herunder skal der tilrettelægges certificeringsordninger.
Arbejdet igangsat 2015 En aktivitet i implementering af eIDAS
Er en forudsætning for flere andre initiativer
1 Etablering af en dansk eID gateway (eIDAS), hvilket sker i NemLog-in-regi
Dette er en følge eIDAS-forordningen
Arbejdet igangsat 2015 En aktivitet i implementering af eIDAS
1 Udvikling og modning af standarder
Første skridt er et serviceeftersyn af gældende standarder på identitets- og rettighedsstyringsområdet (fx OIOSAML og OIOIDWS) og vurdering af, om der er behov for revision af disse og/eller indførelse af nye standarder
Foranalyse som første trin
2015-2016: serviceeftersyn
Herefter valg af nye standarder med sigt til 2020-2025
Der er eksisterende standarder, som dog bør fornys på 2-årigt sigt. NSI analyse fra 2014 har peget på konkrete behov og
37
løsningsforslag.Note: Tal i venstre kolonne i denne og følgende tabeller henviser til de 3 retninger i afsnit1.2, 1.3 og 1.4.
12.2.2 Fællesoffentlige initiativerInitiativ Projektskridt Tidshorisont Afhængigheder
2 Udvikling af sammenhæng mellem føderationer
Der forventes at være fordele ved at skabe bedre sammenhæng mellem føderationer. Behov og fordele skal analyseres og der skal udarbejdes løsningsmodeller, fx i form af styringsmodel for at skabe sammenhæng og pilotprojekter for inter-føderation.
Analyse af områder, hvor der er manglende sammenhæng i eksisterende løsninger. Et eksempel kunne være brug af UniLog-in i NemLog-in, eller føderering af lokale identiteter fra en organisation via NemLog-in med mulighed for lokal rettighedsadministration.
Foranalyse som første trin
2015-2016: Foranalyse
2016: Pilotprojekt inter-føderation
2016: Etablering af styring
Der kan etableres samarbejde mellem føderationer efter behov uden dette projekt, men projektet vil lette arbejdet.
2 Serviceeftersyn af de tværgående identitets- og rettighedsstyringsløsninger
Formålet er at vurdere, om der er uhensigtsmæssige dubleringer / overlap mellem fx NemLog-in, Uni-Login, WAYF, Miljøportalen, KOMBIT, SOSI, SEI, SKAT’s univers, Grunddataprogrammet osv. Denne opgave omfatter et roadmap for udfasning af uhensigtsmæssige overlap i funktionalitet.
Et andet aspekt kan være at analysere, om den nuværende funktionalitet i løsninger skal udvides med henblik på at understøtte voksende behov.
Foranalyse som første trin
2015: Foranalyse2016: Analyse for plan2017-2022: Udfasning
Der kan opnås bedre udnyttelse af ressourcer, hvis overlap kan undgås.Har meget langt sigt.
1 Oversigt over myndighedsbehov
Myndighederne er stillet overfor krav om administration af brugere i mange tværgående systemer og har derfor behov for sammenhæng på tværs. Der igangsættes analyser af disse behov med forslag til roadmap for standardisering af snitflader.
Analyse og roadmap som første skridt
2015 Analysen vil bidrage til at identificere behov og gevinster.
Har langt sigt.
1 Understøttelse af privacy i identitets- og rettighedsstyring
Der forventes krav til øget privacy i tjenester, og identitets- og rettighedsstyringsløsningerne skal understøtte dette.
Et andet aspekt kan være at analysere brugercentriske modeller (fx UMA eller fælles fuldmagtskomponenter) for at klarlægge, hvordan de kan fungere i samspil med de nuværende løsninger.
Beslutning om prioritering
Foranalyse som første trin
2015: Prioritering Der forventes stigende krav til privacy, herunder krav fra EU.
1 Brug af Uni-Login i andre sektorer.
Uni-Logins ID kan anvendes i andre sektorerfx via NemLog-in som broker.
Uni-Login gennemfører foranalyse som første trin
2015: Foranalyse Skat har tilkendegivet behov for en sådan brug af Uni-Login
1 Sundhedsområdet migrerer over til de fællesoffentlige standarder.
Sundhedsområdet migrerer væk fra SOSIs egne, proprietære standarder og over til de
I proces ? Er prioriteret af sundhedsområdet
38
fællesoffentlige standarder.
12.2.3 Initiativer i forhold til semi-offentlige og private Initiativ Projektskridt Tidshorisont Afhængigheder
3 Offentlige identitets- og rettighedsstyringsløsninger til semi-offentlige og private tjenesteudbydere
Analyse af og plan for, hvordan offentlige identitets- og rettighedsstyringsløsninger kan stilles til rådighed og/eller gøres bindende for semi-offentlige og private tjenesteudbydere- Vedtagelse af plan samt aftaler om
finansiering- Implementering af løsningerne først i
forbindelse med NemID og dernæst NemLog-in
- Implementering af planen i øvrigt- En del af planen kan være at ændre
betalingsvilkårene for (en del af de) semi-offentlige og private tjenester
Dertil analyse af privacy-implikationer ved at tilbyde adgang for private tjenester– fx at videregivelse af CPR nummer ikke må ske på samme måde til private tjenester samt øget brug af samtykke.
Analyse og planlægning
2016: Analyse senest inden gennemførelse af udbud af NemID
Implementering i forbindelse med næste generation NemID (fra 2018) og NemLog-in (fra 2019)
Der er behov for beslutninger ifht. NemID og sundhedsområdet har behov for indsats
3 Åbning af offentlige føderationer for private identitets- og rettighedsstyringstjenester.
Trust framework og tilhørende certificeringsordninger er en del af grundlaget herfor.
Betingelser og privacy-implikationer for at private identitets- og rettighedsstyringstjenester kan indgå i offentlige føderationer.
Analyse af fordele i form af forbedret brugervenlighed, valgfrihed og sammenhæng, øget konkurrence og innovation på markedet.
Foranalyse som første skridt
2016 Der er ikke påtrængende behov
12.3 Indsatsområde: Mere effektiv administration af brugere og rettigheder for virksomheder og myndigheder
En mere effektiv administration af identiteter og rettighedsdata (fuldmagter, delegering) for virksomheder og myndigheder skal bl.a. opnås ved en mere effektiv administration af brugere og bedre sammenhæng i brugeradministration mellem forskellige tjenester, og med respekt for virksomheders og myndigheders forskellige behov. Der er således store forskelle på de administrative behov hos enkeltmandsvirksomheder, små og store virksomheder.En effektiv administration skal også opnås ved bedre sammenhæng mellem lokal identitets- og rettighedsstyring og eksterne tjenester, så brugerdata fra lokal identitets- og rettighedsstyring kan genbruges og ikke skal genindtastes. Generelt bør rettighedsrelevante attributter udstilles for relevante anvendere gennem åbne, standardiserede snitflader, så de kan genbruges.
På dette område er der kun fællesoffentlige initiativer.
39
Initiativ Projektskridt Tidshorisont Afhængigheder2 Bedre sammenhæng i administration af
væsentlige tjenester
Der skal arbejdes på at skabe sammenhængende brugeroplevelse i anvendelse af NemID, NemLog-in og udvalgte hyppigt brugte tjenester som Skat og Digital post
Det kan bl.a. betyde at flere tjenester skal anvende NemLog-in Brugeradministration og at denne måske skal videreudvikles til at dække flere/bredere behov.
Samt NemLog-in mulighed for føderering fra lokale brugerkataloger (for store virksomheder)
Projekt igangsat i samarbejde mellem DIGST og ERST
Analyse om flere parter skal inddrages
2015: Lavthængende frugter
2016: Krav til næste generation NemID
2017: Krav til næste generation NemLog-in
Business case for NemID viser store millionbesparelser for erhvervslivet
1 Udvikling af attributtjenester til rettighedsformål
Analyse af behov for data og snitflader
Opgaven del af grunddata 2.0
Foranalyse som første skridt
2015-2016: Foranalyse
Herefter valg af initiativer med sigt til 2020-2025
Mange løsninger vil have gavn af dette.Opgaven kan løses trinvist
2 Certificering af brugerorganisationer (virksomheder/ myndigheder som arbejdsgivere) til at indgå i føderationer
Udarbejdelse af tværgående model for at virksomheder/ myndigheder kan indgå i føderationer på ensartede vilkår og med fælles standarder
Udarbejdelse af certificerings-model
2016: Model udarbejdes efter etablering af KOMBIT adgangsstyring
Kommunerne har planlagt implementering og dermed er et væsentligt behov dækket
12.4 Indsatsområde: Bedre håndtering af rettigheder (fuldmagter og samtykker) for borgereDer er i opbygningen af digitale tjenester for borgere taget udgangspunkt i, at den enkelte borger skal have adgang til data om sig selv, og det har betydet, at der ikke har været behov for egentlig administration af rettigheder for borgere.I takt med at digitalisering omfatter stadig flere områder, øges behovet for, at borgere kan give fuldmagt og at borgere og tjenester kan handle på andres vegne med fuldmagt og samtykke eller for at håndtere værgemål og adgang til egne børns data. Med en fuldmagtsløsning løses også opgaven med partsrepræsentation.
På dette område er der både initiativer i forhold til fællesoffentlige løsninger og i forhold til tjenester.
Initiativ Projektskridt Tidshorisont Afhængigheder2 Udbredelse af digitale fuldmagter (hvor
borgere digitalt kan give fuldmagt)
Der er etableret en løsning, og udbredelse kræver indsats i form af aftaler, ressourcer til at støtte udbredelse og governance.Evt kræves udvidelser i den nuværende løsning
Beslutning om ambitionsniveau og tidshorisont
Plan for udbredelse
2015: Beslutning og projektstart
Udbredelseshastighed afhænger af beslutninger
Ukoordinerede løsninger vil betyde lavere tilfredshed hos brugerne
2 Udbredelse af papirfuldmagter på tværs der gøres digitale af betroet part
Beslutning om ambitionsniveau og tidshorisont
Plan for udbredelse
2018: Skal først startes når der er mange løsninger tilsluttet NemLog-in Fuldmagt
Afhænger af at der er mange digitale fuldmagtsløsninger
1 Udbredelse af løsninger der understøtter borgeres opgaver i forhold til værgemål og egne børn
Kan løses som del af Grunddata-programmet
Løbende fra 2015 -2025
Opgaven kan løses trinvist
1 Udvikling og udbredelse af digitale Analyse 2015: Analyse Skal anvendes i
40
samtykkeløsninger
Første trin er en analyse af en fælles samtykkekomponent på linje med en fælles fuldmagtskomponent.
Samtykker og fuldmagter bør generelt kunne bruges til at tilgå Grunddata og andre data (fx sagsdata), som det offentlige har registreret, således at data kan stilles til rådighed for private tjenester.
2016/2017: Udvikling af komponent
Udbredelseshastighed afhænger af beslutninger
mange tjenester. Med fælles udvikling skal den enkelte tjeneste ikke selv udvikle løsninger.
13 Styring på tværs
13.1 Styring af føderationerEn sammenhængende identitets- og rettighedsstyring, der bygger på føderationer og dermed arbejdsdeling mellem mange aktører, kræver en række grundlæggende styringsmæssige tiltag.
Der skal for den enkelte føderation være de nødvendige aftaler med regler, standarder, godkendelsesprocedurer og kontrolmekanismer, der skal skabe den nødvendige tillid og interoperabilitet. Den enkelte føderation er ansvarlig for denne styring.
EksemplerNemID føderationen styres af Digitaliseringsstyrelsen, som har udarbejdet regler (OCES-politikker) og står for den løbende regeldannelse og opfølgning med tiltag i forhold til at sikre kvaliteten i registrering og kontrol med fx tilgængelighed (fx indsats mod DDOS).NemLog-in føderationen styres af Digitaliseringsstyrelsen.Miljøportal føderationen styres af Miljøministeriet.Kommunernes kommende identitets- og rettighedsstyringsføderation styres af KOMBIT.
13.2 Styringsmodel for føderationerDer er allerede flere føderationer med forskellige scope og dækning af domæner. Eksempler på domæner er:
NemID NemLog-in Miljøportalens føderation Kommunernes føderation i KOMBIT-sammenhæng
Sammenhængende identitets- og rettighedsstyring skal opnås ved at vedtage en referencearkitektur og fastlægge relevante standarder, herunder certificering af aktører. Der er desuden behov for at koordinere aftaler og standarder mv. mellem føderationerne. Udarbejdelse af et trust framework og certificering er relevante opgaver for at skabe sammenhæng mellem føderationer.
Da føderationer i stor udstrækning bygger på internationale føderationskoncepter (fx Kantara, Open ID, eIDAS), og da grundtankerne er udviklet i gensidig inspiration, er koordineringen på overordnet plan sandsynligvis en begrænset opgave.
Derimod kan behovet for indsats på mere detaljeret niveau kræve en løbende koordinering, fastlæggelse af standarder og akkrediterings/certificeringsmodeller.
I lokalstyremodellen drives udviklingen af føderationer af føderationernes egne behov, og der etableres derfor ingen eller kun meget lidt indgribende styring på tværs af føderationer. Modellen kræver ingen eller kun få ressourcer til styring, og føderationerne kan fokusere på føderationsinterne
41
behov. For brugerne kan det muligvis betyde ulemper i form af manglende sammenhæng med andre føderationer – afhængigt af brugsmønstre.
I koordinationsmodellen etableres der en tværgående koordinering mellem føderationerne og fælles udviklingsplaner, der har bedre sammenhæng og gensidig anerkendelse af identiteter som målsætning. Det kræver etablering af en styringsorganisation, og at parterne forpligter sig til at følge de fælles udviklingsplaner. For brugerne betyder det bedre sammenhænge. Fx vil bedre sammenhæng betyde, at kommunerne vil få ensartede snitflader til de mange føderationer, de er en del af.
I den styrede model suppleres den tværgående koordinering med målsætninger om at reducere antallet af føderationer og føderationselementer, fx ved at reducere antallet af snitflader og lignende. Gevinsterne vil være øget samlet effektivitet, men for nogle parter kan det påføre ekstra omkostninger til omlægninger.
Hvis det vælges at etablere en stærkere styring af samspillet mellem føderationer, skal der være: Etablering af et styringsgrundlag, fx i sammenhæng af den kommende digitaliseringsstrategi,
som fastlægger hvem der varetager styringen af sammenhæng mellem føderationer Etablering af styringsorganisation med repræsentanter for føderationer og med en
sekretariatsfunktion Ressourcer til udarbejdelse af standarder, regler, proof-of-concepts, anbefalinger af tiltag som
nye komponenter eller bortfald af komponenter i identitets- og rettighedsstyring på tværs Løbende koordinering i form af et mødeforum eller lignende for faglige repræsentanter for
føderationer og brugere (brugerorganisationer og tjenesteudbydere) Eventuel opbygning af et program til styring af aktiviteterne
Der skal vælges ambitionsniveau for grundlæggende styringsmodel og konkret implementering.I forhold til ambitionsniveau se næste afsnit.
13.3 Styring af indsats på tværsSom nævnt ovenfor er der på flere områder behov for tiltag hos tjenesteudbydere, hvis brugerne skal opleve reelle gevinster ved sammenhængende identitets- og rettighedsstyring. I modsat fald skal brugerne håndtere tjenesteudbyderspecifikke brugernavn og kodeord og eventuelt indtaste oplysninger som tjenesteudbyderen i stedet for kunne hente i attributtjenester.
Der skal vælges ambitionsniveau og styringsmodeller for private og offentlige tjenesteudbyderes anvendelse af komponenterne i de tværgående identitets- og rettighedsstyringsløsninger.
Der kan vælges en model, hvor der alene stilles identitets- og rettighedsstyringsstandarder til rådighed, som det er op til tjenesteudbyderne selv at vælge at anvende.Denne model kræver ingen styringsmekanismer og er dermed ikke ressourcekrævende. Til gengæld betyder den, at brugerne må leve med manglende sammenhæng i et vist omfang.Denne model kan være egnet i forhold til private tjenesteudbydere, hvor det kan være vanskeligt at etablere styring, både i forhold til styringsgrundlag og gennemførelse af styring.
EksempelPå spilområdet er der lovgrundlag for at Spilmyndigheden kan stille krav om bestemte identitets- og rettighedsstyringsløsninger. Spilmyndigheden stiller krav om brug af NemID ved spil på PC’er, mens der ikke er tilsvarende krav ved spil på smartphones.Spilmyndigheden overvejer (i vinteren 2015), om der fortsat skal stilles krav om NemID.
Tjenesteudbydernes adfærd kan også påvirkes af betalingsbetingelserne for det offentliges løsninger. Løsninger, der stilles gratis til rådighed, forventes at få hurtigere udbredelse end løsninger der som NemID er forbundet med omkostninger for private tjenesteudbydere.
En anden model er en mere tæt styring af tjenesteudbydernes anvendelse af identitets- og rettighedsstyringsløsninger og de brugergrænseflader, de stiller til rådighed i sammenhæng med identitets- og rettighedsstyringen.
42
En sådan model kan være mere relevant og gennemførbar for offentlige tjenesteudbydere.
Der skal vælges ambitionsniveau for styringsmodeller i forhold til private og offentlige tjenesteudbydere og konkret implementering
14 Forretningsmæssige gevinsterDenne strategi giver grundlag for at realisere en række væsentlige forretningsmæssige gevinster. Disse gevinster høstes først og fremmest gennem opfyldelsen af de forretningsmæssige behov, der er beskrevet ovenfor. Ligesom behovene knytter gevinsterne sig til de direkte involverede interessenter (aktører) i deres forskellige roller:
Gevinster for personer – både som borgere og medarbejdere Gevinster for virksomheder og myndigheder som brugerorganisationer og arbejdsgivere Gevinster for virksomheder og myndigheder som tjenesteudbydere og identitets- og
rettighedsstyringstjenesteudbydere3
Identitets- og rettighedsstyring på internettet og på tværs af enkeltorganisationer sker i et samspil mellem borgere, medarbejdere, tjenesteudbydere og identitets- og rettighedsstyrings-tjenesteudbydere. Parterne får mulighed for at høste hver sine gevinster gennem opfyldelsen af deres forretningsmæssige behov, men der er også sammenfald i gevinsterne på en række områder:
Både borgere, medarbejdere og tjenesteudbydere har fordel af fælles identitets- og rettighedsstyringsløsninger.
Virksomheder får bedre identitets- og rettighedsstyringsløsninger i forhold til offentlige tjenester.
Både borgere og tjenesteudbydere kan få løsninger med større privacy og mere fleksibel håndtering af attributter.
De systemer, der håndterer identitets- og rettighedsstyring, får bedre sammenhæng og mere automatisering, så både brugere og tjenester opnår mere brugervenlighed og større effektivitet.
Figur 13 Adgang til tjenester via identitets- og rettighedsstyring
De væsentligste gevinster i forhold til de offentlige løsninger er: Løsninger, der både er sikre og nemme at anvende, gør det muligt at leve op til de øgede krav
til selvbetjening for borgere og virksomheder. Det bliver billigere og hurtigere at bygge offentlige løsninger, når identitets- og
rettighedsstyring kan leveres som en fleksibel service af infrastrukturen. Omkostninger til brugeradministration kan reduceres.
3 Identitets- og rettighedsstyringstjenesteudbydere er betegnelsen for tjenesteudbydere, der udbyder identitetsgaranttjenester og/eller login-tjenester og brokertjenester
43
Når medarbejdere og systemer får bedre og lettere adgang til information fra og systemer hos andre myndigheder, bliver det muligt at fortsætte udviklingen mod stadig mere sammenhængende sagsbehandling og tjenesteleverance på tværs af myndigheder. På velfærdsområderne sundhed, social og undervisning er der stigende behov for håndtering af adgangsstyring på tværs af løsninger i de forskellige domæner.
Borgere og virksomheder vil opleve en bedre og mere gnidningsfri løsning af deres opgaver, der kræver forretningsprocesser på tværs af organisationer og domæner.
o Ved at fjerne en væsentlig barriere for udviklingen mod fuld digitalisering, giver strategien grundlag for den fortsatte udvikling af de digitale tjenester til borgere og virksomheder med stadig større grad af sammenspil (interoperabilitet) på tværs af myndigheder og virksomheder.
o Bedre understøttelse af at levere kombinerede tjenester fra flere parter – offentlige og private.
Det bliver lettere at imødekomme de nye behov og muligheder, der følger af udviklingen i retning af mobilitet, sociale medier, cloud computing, offentlig-privat samspil, osv.
Der bliver bedre mulighed for at imødekomme det behov for at identificere udstyr og koble det til personer, der følger af udviklingen af velfærdsteknologier og telemedicin.
Myndigheder og virksomheder, der udvikler løsninger, får et klarere billede af hvordan udfordringer og muligheder bedst adresseres – hvordan identitets- og rettighedsstyring samlet set skal indgå i den kommende digitaliseringsstrategi, herunder til understøttelse af tværgående processer og en generel tværoffentlig arkitektur for sikker og effektiv deling af data samt understøttelse af transnationale tjenester.
Mindre usikkerhed hos myndigheder i forbindelse med it-investeringer. Bedre tekniske pejlemærker for udvikling af løsninger i den offentlige sektor.
Mulighederne for at høste disse forretningsmæssige gevinster er baseret på en række centrale egenskaber ved de løsninger, strategien lægger op til:
Lettere adgang til digitale tjenester – på en mere brugervenlig og differentieret måde (i modsætning til eksisterende one-size-fits-all løsninger).
Lettere for borgerne at anvende deres digitale identiteter fra mange typer brugerudstyr (smartphones, tablets, PC’er).
Større fleksibilitet og bedre udnyttelse af udviklinger i markedet, i kraft af en åben og modulær arkitektur, der giver mulighed for at udskifte/variere delløsninger.
Bedre, mere forståelig og fleksibel håndtering af privacy, samtykke, transparens, brugerinvolvering og sikkerhedskrav i løsninger, herunder udvikling i retning af, at personoplysninger kun videregives på en need-to-know basis.
Mindre overlap, sub-optimering og dublering af løsninger, hvilket også har positive økonomiske konsekvenser.
Bedre koordineret anvendelse af standarder i den offentlige sektor og mulighed for udvikling af fællesoffentlige komponenter.
Bedre tværoffentlig governance. Reduceret kompleksitet i teknologiløsninger. Velfærdsteknologier, telemedicinske teknologier og andre løsninger baseret på ”ting” kan
bedre identificeres og kobles til en person samt få adgang til tjenester.
44
15 Bilag A: Ordliste
Se særskilt ”Ordliste - Tværoffentlig strategi og referencearkitektur for identitets- og rettighedsstyring”.
16 Bilag B: Oversigt over kilder og baggrundsmateriale
Se særskilt ”Kilder og baggrundsmateriale - Tværoffentlig strategi og referencearkitektur for identitets- og rettighedsstyring”.
17 Bilag C: Katalog over initiativer
17.1 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs/Grundlæggende initiativer
17.1.1 Udarbejde referencearkitekturSom den primære indsats for sammenhængende identitets- og rettighedsstyring på tværs skal der udarbejdes en referencearkitektur, der beskriver hvordan sammenhænge kan etableres på tværs af myndigheder, virksomheder og sektorer.Grundlaget for referencearkitekturen er føderationer med adgangsbillet-/tokenbaseret formidling af autentifikation og autorisation. Referencearkitekturen indeholder således en model med flere føderationer og beskriver, hvordan føderationer kan samarbejde (interfødereres).Referencearkitekturen skal beskrive parternes roller, regler for handlinger og styring af føderationer (governance).Referencearkitekturen skal udpege, hvor der skal fastlægges standarder og beskrives trust frameworks.
Der fremkommer i disse år en række nye (internationale) teknologier og standarder, som er attraktive på en række områder. For at skabe sammenhæng bør referencearkitekturen opstille rammer for, om/hvordan disse standarder kan indarbejdes side om side med bestående løsninger.
Der mangler på en række områder svar – fx standarder for identitets- og rettighedsstyring i REST-baserede tjenester, hvilket risikerer at give en usammenhængende knopskydning, hvis der ikke koordineres på tværs.
For at understøtte brugernes behov og kravene i eIDAS-forordningen skal referencearkitekturen angive rammer for flere sikringsniveauer (assurance levels).
Ligeledes skal referencearkitekturen understøtte, at en person kan have flere digitale identiteter. Den skal derfor beskrive rammer for, at en person skal kunne sammenkæde sine identiteter, og fx kunne knytte den sikre identitet fra NemID til andre identiteter. Der skal indføres en form for certificeringsordning for at skabe tillid og sikre ansvar
Der skal udarbejdes en referencearkitektur.Der skal fastlægges et roadmap for implementering af referencearkitekturen.
17.1.2 Udarbejde trust framework for digitale identiteterTillid til digitale identiteter er helt fundamentalt for digitaliseringen af den offentlige og private sektor. Et trust framework udgør et rammeværk, der gør det muligt for udbydere af en digital tjeneste at kunne stole på en identitet af brugere, uden at tjenesten selv har verificeret / indrulleret brugeren eller udstedt brugerens akkreditiv.
45
Et trust framework definerer krav til styrken i sikringen af en autentifikationsproces samt den underliggende identifikation af en bruger. Dette kan også udtrykkes som graden af tillid, en tjenesteudbyder kan have til brugerens digitale identitet – eller på engelsk ”Level of Assurance” (LoA).
Dermed gør et trust framework det muligt at foretage en effektiv arbejdsdeling, hvor specialiserede tillidstjenester kan levere brugernes identitet, autentifikation og rettighedsoplysninger til ”forretningsorienterede” tjenester. Dette er selvsagt en stor fordel for både brugere og leverandører af tjenester – og en vigtig forudsætning for et fleksibelt, digitalt økosystem.
I dag anvendes der i det danske samfund en lang række forskellige digitale identiteter og akkreditiver i forskellige sammenhænge, til forskellige behov og med forskellige sikringsniveauer (levels of assurance):
NemID privat og erhverv til offentlig selvbetjening på fx Borger.dk og Virk.dk. Brugeridentiteter oprettet i offentlige myndigheders eller virksomheder brugerkataloger (fx
brugere i et kommunalt Active Directory). Brugeridentiteter oprettet i lokale applikationer (fx ældre fagsystemer). UniLog-in udstedt til elever, forældre og lærere. Brugere oprettet i brugerstyringen hos Danmarks Miljøportal for adgang til miljø-faglige
applikationer. Brugeridentiteter oprettet på sociale netværk, e-mail tjenester osv. (Google+, LinkedIn,
Facebook, Twitter, Microsoft LiveID). Brugerkonti oprettet til forskellige typer betalingstjenester, herunder også tjenester i skyen.
Selvom NemID umiddelbart har løst et væsentligt behov for identitet og autentifikation, er det samlede billede af identitet altså delvist fragmenteret. Der er pt. ingen fællesoffentlig koordinering af sikringsniveauer for bruger-identiteter og akkreditiver. Typisk dikteres kravene i en standard i et forretningsdomæne gennem en specifik implementering / løsning som fx NemID til offentlige selvbetjeningsløsninger, eller en AD brugerkonto til en intern applikation hos en myndighed.
I en digital fremtid, hvor der er behov for at skabe sammenhængende tjenester og forretningsprocesser på tværs af organisationer, domæner, teknologier og på tværs af private og offentlige grænser, er der i stigende grad brug for en fælles ramme for tillid til digital identitet.
Et fællesoffentligt trust framework skal fastlægge sikringsniveauerne samt definere tekniske og organisatoriske krav til de enkelte niveauer samt tilhørende governance (fx anmeldelse og certificering).
Et fællesoffentligt trust framework kan give mange gevinster og muligheder: En fælles forståelse samt koordinering / governance af sikringsniveauer. Et grundlag for at mappe danske løsninger op mod kravene i eIDAS forordningen (se næste
afsnit). Transparens gennem tydelig ”varedeklaration”. Mulighed for certificeringsordninger mod kravene, hvor private aktører kan få certificeret deres
løsninger mod et givet sikringsniveau. Sammenhængende løsninger på tværs af domæner via gensidig tillid og anerkendelse af
”fremmede” akkreditiver og identiteter. Effektiv decentral identitets- og rettighedsstyring uden dublering af brugeridentitet i alle
løsninger men i stedet føderering fra ”kilden”. En flerleverandørstrategi med mulighed for private aktører som udbydere af tillidstjenester -
hvor det er ønskeligt og økonomisk fordelagtigt. Lettelse af udbud og kravspecifikation, idet der kan henvises til det fælles trust framework.
Udviklingen af et trust framework dokument er en overskuelig opgave med begrænsede omkostninger, mens governance (fx certificering af løsninger) kan indebære en løbende udgift afhængigt af den
46
valgte model. En tilgang med selvdeklarering på lavere trust niveauer og egenbetaling for revision/certificering på højere niveauer kan formentlig give en hensigtsmæssig balance mellem tillid og økonomi.
Fortsat arbejde med etablering af et trust framework.
17.1.3 Etablering af en dansk eID gateway (eIDAS)eIDAS forordningen, som er vedtaget af EU-parlamentet, stiller krav til EU-landene om bl.a. at anerkende hinandens elektroniske ID-løsninger. Dette betyder konkret:
Danske tjenester skal kunne acceptere elektroniske ID’er udstedt i andre medlemslande. Danmark skal gøre det muligt at koble dansk NemID til en europæiske infrastruktur, så danske
borgere og virksomheder kan anvende deres NemID i udenlandske tjenester.
Kommissionen har i samarbejde med eIDAS ekspertgruppen nedsat med repræsentanter fra landene foreslået en fødereret arkitektur baseret på etablering af brokere/gateways4 i hvert land, som udsteder og omveksler SAML billetter.
For at kunne honorere forordningens krav, er det nødvendigt at etablere en dansk eID gateway, som kan danne bindeled mellem den danske infrastruktur og den fælleseuropæiske infrastruktur. I den forbindelse udestår en række tekniske afklaringer og spørgsmål, som der bør arbejdes videre med. En oplagt problemstilling er, hvorledes en dansk eID gateway kan etableres, så den i så høj grad som muligt afkobler danske tjenester fra kompleksiteten i den europæiske infrastruktur. Hypotesen er at en række funktionaliteter kan etableres én gang for alle i en central gateway fremfor i alle danske tjenester, der betjener udenlandske borgere og virksomheder. På den måde kan udgifterne til overholdelse af forordningen reduceres væsentligt.
Endelig er det relevant i et kommende NemID udbud at tage højde for, at de udstedte akkreditiver skal kunne anvendes mod udenlandske tjenester.
Fortsat arbejde med etablering af en dansk eID gateway.
17.1.4 Udvikling og modning af standarderDen fællesoffentlige identitets- og rettighedsstyring, som i dag er etableret, bygger på profileringer af internationale standarder udført i perioden 2007-2009. De væsentligste byggeblokke er OIOSAML og OIO WS-Trust profilerne, som er blevet anvendt i både statslige, regionale og kommunale løsninger og føderationer.
Siden ophøret af IT- og Telestyrelsen er disse profiler ikke blevet vedligeholdt og samtidig er en række nye internationale standarder fremkommet.
Der er derfor behov for et serviceeftersyn af de nuværende standarder med henblik på at få dem ajourført med nutidens behov samt få gransket nye standarder og taget stilling til deres anvendelse. I modsat fald vil der ske ukoordineret knopskydning og tilpasning i lokal kontekst, med deraf risiko for mangel på sammenhæng.
Konkrete erkendte gaps er: Nuværende web service profiler udpeger forældede versioner af SOAP protokollen. Der er formuleret en billet-baseret (token-baseret) profil for SOAP-baserede web services men
ikke REST-baserede web services. Rettigheder og fuldmagter i SAML tokens kan pt. ikke udtrykke dataafgrænsninger. KOMBIT har
i denne forbindelse været nødt til at profilere dette for at opfylde konkrete behov.
4 Visse lande (DE, AT) kan grundet lokal lovgivning ikke etablere en broker og anvender i stedet en anden model.
47
Der er profileret tokens for identitetsbaserede web services men ikke for web services under en systembrugermodel. Dette er der bl.a. behov for i regi af grunddataprogrammet.
Nye standarder som OpenID Connect, UMA og OAuth er ikke analyseret for potentiel indarbejdelse i den fællesoffentlige infrastruktur.
Gevinsterne ved et serviceeftersyn kan være: Bedre opfyldelse af forretningsmæssige behov ved moderne standarder – fx udnyttelse af
mobile enheder, cloud teknologi. Bedre sammenhæng i infrastrukturen gennem færre proprietære udvidelser. Bedre mulighed for at etablere fælles komponenter og referenceimplementeringer. Bedre mulighed for at udnytte standardprodukter, som understøtter markedsledende
standarder. Bedre sikkerhed gennem opdaterede protokoller og mere finkornet adgangsstyring.
Foranalyse af indholdet af et serviceeftersyn.
17.1.5 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Grundlæggende initiativer
Oversigten herunder viser roadmap for indsatserne på dette område:
2015 2016 2017 og senereReferencearkitektur 1.0 med roadmap
Implementering -> Implementering ->
Udarbejde trust framework Anvendelse -> Anvendelse ->Dansk eID gateway Anvendelse -> Anvendelse ->Udvikling og modning af standarder - foranalyse
Serviceeftersyn og valg af nye standarder
Implementering ->
Tabel 1 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs
17.2 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs/ Fællesoffentlige initiativer
17.2.1 Udvikling af sammenhæng mellem føderationer eller i nuværende løsningerDer forventes at være fordele ved at skabe bedre sammenhæng mellem føderationer. Behov og fordele skal analyseres og der skal udarbejdes løsningsmodeller, fx i form af styringsmodel for at skabe sammenhæng og pilotprojekter for inter-føderation.
Analyse af områder, hvor der er manglende sammenhæng i eksisterende løsninger. Et eksempel kunne være brug af UniLog-in i NemLog-in, eller føderering af lokale identiteter fra en organisation via NemLog-in med mulighed for lokal rettighedsadministration.
For at få afprøvet mulighederne for at skabe sammenhæng mellem føderationer, kan der iværksættes et pilotprojekt, der afprøver muligheder og teknologier til inter-føderation.
Der er en pilot under planlægning i regi af eSENS bl.a. med fokus på tværnational elektronisk identitet (eID). Hensigten er at afprøve løsninger samt afklare de udfordringer, som kan opstå ved etablering af en dansk eID gateway – herunder både tekniske og organisatoriske udfordringer. Som eksempel kan nævnes, at andre EU-lande vil levere forskellige sæt af attributter for deres borgere og juridiske personer, og at der ikke kan antages en globalt, unik identifier for udlændinge (fx PID eller CPR nummer). Piloten har til formål at afklare, hvorledes sådanne problemstillinger kan adresseres, samt give bud på hvordan eID-gateway’en bedst og billigst kan integreres med den eksisterende infrastruktur med minimal påvirkning af det bestående.
48
Pilot kan også berøre, om og hvordan der skal etableres en central registrering af udenlandske identiteter, som benytter danske tjenester. Dette kunne eksempelvis være med henblik på at kunne understøtte tværgående processer eller deling af relevante attributter. Eksempelvis udsteder visse danske myndigheder erstatnings-CPR-numre samt andre ID’er, der kan være behov for at dele med andre myndigheder.
Der skal gennemføres en foranalyse af udvikling af sammenhæng mellem føderationerDet skal besluttes om der skal igangsættes et pilotprojekt for interføderation og hvordan det finansieres og organiseres
17.2.2 Serviceeftersyn af de tværgående identitets- og rettighedsstyringsløsningerDen fællesoffentlige identitets- og rettighedsstyringsløsning (NemLog-in) blev kravspecificeret i 2010. Siden er den taget i anvendelse af mere end 200 tjenester, og der er sket en løbende videreudvikling fx i form af tilføjelse af en fuldmagtsløsning.
Behovet for ny funktionalitet fremkommer jævnligt som følge af den udbredte digitalisering samt øgede anvendelse i tjenester, men der kan være behov for en mere langsigtet videreudviklingsplan, som kan tage fat på mere grundlæggende udfordringer i stedet for mindre ”lappeløsninger”. Som eksempel kan nævnes, at den nuværende brugeradministrationsløsning samt fuldmagtsløsning er meget simple og ikke skaleret til brug i hundredevis af tjenester. Her kan der være behov for en anderledes strukturering samt nye funktioner for at understøtte den voksende anvendelse.
En anden del af et serviceeftersyn kan bestå i at kigge på tværs af de eksisterende løsninger i andre domæner (miljø, sundhed, uddannelse) med henblik på at identificere unødvendig dublering/overlap af funktionalitet, manglende ensretning etc. der er opstået som følge af den ukoordinerede udvikling af løsningerne gennem årene. Fremadrettet kan udviklingsplanerne holdes op mod hinanden, så ny funktionalitet bygges, hvor det er mest hensigtsmæssigt og kan komme flest mulige til gavn. Dette kan fx indebære, at man bygger funktioner mere generelle, end et lokalt forretningsbehov tilsiger, med henblik på genbrug og synergi.
Der skal gennemføres en foranalyse.
17.2.3 Oversigt over myndighedsbehovMyndighederne er stillet overfor krav om administration af brugere i mange tværgående systemer og har derfor særlige behov for sammenhæng på tværs. For kommunerne gælder det fx Arbejdsmarkedsportalen - Amportal.bm.dk, Nemlog-in.dk, DUBU - Dubu.dk og Virk.dk for at nævne nogle få. Den brede vifte af systemer betyder, at myndighederne i mange tilfælde manuelt skal administrere brugere i systemerne.Myndighederne analyserer disse behov med forslag til roadmap for standardisering af snitflader.
Myndighederne analyserer behov for standardisering af identitets- og rettighedsstyring i eksterne systemer med forslag til roadmap for standardisering af snitflader.
17.2.4 Understøttelse af privacy i identitets- og rettighedsstyringSom følge af den øgede digitalisering af samfundet vil borgenes privatliv naturligt blive udfordret mere og mere. Der kan derfor generelt forventes en tendens til øgede krav indenfor privacy – både som følge af skærpet lovning (herunder den nye persondataforordning) og som følge af stigende forventninger fra samfundet generelt5. Offentlige myndigheder er generelt underlagt meget klare forventninger til, at man håndterer borgernes følsomme data på en forsvarlig måde, og hvis denne tillid svigtes, eksempelvis i form af skandalehistorier med omfattende læk af personoplysninger, kan det få vidtrækkende konsekvenser for borgernes accept og brug af digitale løsninger.
5 Se fx http://www.ft.dk/samling/20141/almdel/reu/bilag/149/1489464.pdf
49
Det medfører behov for at fastlægge en strategi for privacy.
Første skridt kan være en tværgående analyse af borgerrettede løsninger med henblik på at afdække udfordringer og muligheder for at styrke privacy. Eksempler på initiativer kunne være:
Udstilling af attributtjenester med afgrænsede attributter (fx attributter som ”myndig=ja”, ”bopælskommune=Korsbæk”, ”køn=mand”). Den eksisterende infrastruktur vil ofte identificere en bruger fuldt ud overfor tjenesten – også når der ikke er et strengt behov for det. Et sådant tiltag kan medvirke til overholdelse af principperne om privacy-by-design og minimum-disclosure.
Tjenester kan designes, så de ikke efterspørger mere information end højst nødvendigt. Der er en vis udbredt tradition for automatisk at efterspørge CPR numre – men i mange sammenhænge kan smart og utraditionelt design eliminere dette behov. Inspiration kan findes i IT- og Telestyrelsens publikation om nye, digitale sikkerhedsmodeller. Referencearkitektur og anden vejledning (samt governance) kan hjælpe med at anvise et mere hensigtsmæssigt design uden overdreven informationsindsamling.
Man kan analysere muligheden for at indføre såkaldte brugercentriske sikkerhedsmodeller fx baseret på UMA, OAuth eller lignende.
Infrastrukturen kan i højere grad tilbyde pseudonymisering fremfor obligatorisk identifikation af den fysiske person.
En række tjenester vil i de kommende år skulle ændres som følge af eIDAS forordningen, således at de ikke per automatik forventer at modtage et CPR nummer ved autentifikation af en (udenlandsk) bruger. I samme ombæring kan man overveje at ændre tjenesten, så den også for danske borgere vil være mere privacy-venlig.
Mulighed for borgerindblik i egne sager og data generelt i den offentlige forvaltning (fx ”Mine data” eller ”Mine sager” på borger.dk).
Uanset om der på kort sigt fastlægges en strategi for privacy, er det en strategisk vigtig beslutning, om fællesoffentlige identitets- og rettighedsstyringsløsninger grundlæggende skal lægges om til en mere privacy-venlig model. En omlægning vil påvirke hele infrastrukturen, og der er derfor et relativt kort beslutningsvindue inden de kommende udbud af NemID og herefter NemLog-in. Når først de nye generationer af disse løsninger er etableret, vil det blive særdeles vanskeligt at skifte kurs.
Der er behov for generelt at fastlægge en strategi for privacy.Der er ligeledes behov for at fastlægge en strategi for privacy i tværoffentlig identitets- og rettighedsstyring.
17.2.5 Brug af Uni-Login i andre sektorerUni-Login løsningen har udstedt et meget stort antal digitale identiteter til elever på skoleområdet baseret på en omfattende, decentral registrering. Disse identiteter benyttes kun snævert indenfor skole- og uddannelsesområdet, men der kan være oplagte gevinster i at føderere identiteterne til andre områder og sektorer – eksempelvis gennem ”brokering” i NemLog-in. Da det er i dag ikke muligt at få udstedt et NemID for børn og unge under 15, er der en oplagt mulighed.
Gevinsten ved føderering af Uni-Login er bl.a., at man kan bygge videre på det meget store registreringsarbejde, der allerede er foretaget i skolerne, og dermed kunne etablere tværgående en løsning for få midler.
Der skal gennemføres en foranalyse.
17.2.6 Sundhedsområdet migrerer over til de fællesoffentlige standarderSundhedsområdet har etableret en national identitets- og rettighedsstyringsinfrastruktur baseret på SOSI og Den Gode Web Service (DGWS). De underliggende standarder er etableret inden de
50
fællesoffentlige standarder og profiler blev udarbejdet, og den efterhånden modne alder er forbundet med en række udfordringer herunder at standarderne er teknologisk forældede, at der er en række proprietære løsninger og at sikkerheden ikke er optimal.
Der har derfor i regi af NSI gennemført en analyse med en række tiltag, der skal understøtte overgangen til (en profil af) de samme standarder, som anvendes fællesoffentligt. Denne overgang vil skabe større sammenhæng med øvrig fællesoffentlig infrastruktur, og implementeringen / udbredelse bør koordineres med serviceeftersynet og videreudviklingen af øvrige fællesoffentlige standarder og infrastruktur.
Sundhedsområdet fortsætter arbejdet med dette.
17.2.7 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Fællesoffentlige initiativer
Oversigten herunder viser roadmap for indsatserne på dette område:
2015 2016 2017 og senereUdvikling af sammenhæng mellem føderationer - foranalyse
Pilotprojekt for inter-føderationEtablering af styring
Implementering ->
Serviceeftersyn – tværgående løsninger - foranalyse
Gennemføre serviceeftersyn Udfase eventuelle dubletter
Oversigt over myndighedsbehov – analyse og roadmap
Udføre roadmap Udføre roadmap
Brug af Uni-Login i andre sektorer - foranalyse
Implementering -> Implementering ->
Sundhedsområdet migrerer Implementering -> Implementering ->Tabel 2 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs
17.3 Initiativer for sammenhængende identitets- og rettighedsstyring på tværs / Initiativer i forhold til semi-offentlige og private
17.3.1 Analyse af, hvordan identitets- og rettighedsstyringsløsninger kan stilles til rådighed for semi-offentlige og private tjenesteudbydere
Såfremt det besluttes, at der skal sættes fokus på vilkår og bindinger for semi-offentlige og private tjenesteudbydere og eventuelt, skal der som første skridt gennemføres en analyse af behov for løsningsmodeller.
Analyse kan afdække, om semi-offentlige og private tjenesteudbydere kan få adgang til offentlige tjenester på en måde, så der opnås sammenhæng for brugerne, og i givet fald hvilke specifikke tjenesteudbydergrupper, der vedrører. Det omfatter også analyse af betalingsmodeller, hvor der fx for NemID er forskellige betalingsbestemmelser for offentlige og private.
Det skal besluttes, om der skal sættes fokus på vilkår og eventuelt bindinger for semi-offentlige og private tjenesteudbydere.Som første skridt skal der gennemføres en analyse.
17.3.2 Åbning af offentlige føderationer for private identitets- og rettighedsstyringstjenesterPå det private marked findes en række tjenesteudbydere, som har en omfattende brugerregistrering og –historik, og som tilbyder log-in tjenester på dette grundlag. Eksempler på disse kan være sociale tjenester som Facebook Connect, Google Accounts Authentication, diverse OpenID tjenester mv. men også mere traditionelle virksomheder som telefonselskaber, banker, forsikringsselskaber, forsyningsvirksomheder mv.
51
Der kan gennemføres en analyse af, i hvilket omfang offentlige tjenester kan tillade samt drage nytte af, at brugerne kan benytte privatudstedte akkreditiver – eksempelvis ved at NemLog-in som broker kunne videreformidle et log-in mod en offentlig tjeneste. I visse sammenhænge (fx log-in på en forældreportal) ville sociale log-ins fx kunne opfattes som simplere og mere brugervenlige end alternativet med NemID. Det sikkerhedsmæssige- og tillidsmæssige grundlag for brug af private tillidstjenester ville være vurdering eller certificering mod kravene i et fælles trust framework.
Gevinsterne ved at tillade private tjenesteudbydere kunne være større brugervenlighed, større valgfrihed, mere konkurrence og innovation, bedre penetration i brugerskaren grundet færre barrierer, samt at forretningstjenester evt. selv kunne slippe for at etablere letvægtsalternativer til NemID (fx egen brugernavn+kodeord løsning).
I vore nabolande (Norge, Sverige og Finland) er der etableret en åben føderatiosmodel baseret på et trust framework, hvor akkreditiver udstedt af private tjenesteudbydere (fx banker og telefonselskaber) kan bruges mod det offentlige. Nedenfor vises et eksempel på login til det svenske Riksskatteverk, hvor brugeren vælger mellem forskellige private log-in-tjenester:
Som første skridt skal der gennemføres en foranalyse.
17.3.3 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/Initiativer i forhold til semi-offentlige og private
Oversigten herunder viser roadmap for indsatserne på dette område:
2015 2016 2017 og senereOffentlige identitets- og rettighedsstyringsløsninger for semi-offentlige og privateAnalyse og planlægning
Implementering i forhold til NemID
Implementering i forhold til NemLog-in
Åbning af offentlige føderationer – foranalyse
Tabel 3 Roadmap for sammenhængende identitets- og rettighedsstyring på tværs/ Initiativer i forhold til semi-offentlige og private
52
17.4 Initiativer for mere effektiv administration af brugere for virksomheder og myndigheder Ud over at referencearkitekturen fastlægger rammerne for effektiv administration på tværs og beskriver snitflader og komponenter i infrastrukturen, der kan bidrage til mere effektiv administration, er der behov for indsatser på følgende områder.
17.4.1 Bedre sammenhæng i administration af væsentlige tjenesterDer er i forbindelse med foranalysen af NemID og i forskellige undersøgelser af erhvervslivets anvendelse af offentlige digitale løsninger efterlyst forbedringer i de løsninger, hvori virksomheder og myndigheder administrerer brugere i offentlige tjenester.
Første skridt i etableringen af bedre sammenhæng i administration mellem væsentlige tjenester som NemID, NemLog-in, Digital post, Virk, Skat og FødevareErhvervs tjenester vil være at analysere, hvilke tiltag, der er mulige på kort sigt med en begrænset ressourceindsats, og hvilke der kræver større ændringer i form af lov- og regelændringer eller større systemændringer, der eventuelt skal afvente nyudbud af løsninger.Der er i slutningen af 2014 påbegyndt analyser og første skridt til implementering af bedre sammenhæng i samarbejde mellem Erhvervsstyrelsen og Digitaliseringsstyrelsen.
I dag kan myndigheder og store virksomheder ikke i egenskab af brugerorganisation administrere deres medarbejderes adgange til offentlige løsninger lokalt (i egne brugeradministrationsløsninger). De er med andre ord tvunget til at benytte NemLog-in’s web-baserede brugeradministrationsløsning, der primært er tiltænkt små og mellemstore virksomheder. Det bør afklares, hvilke gevinster der vil være forbundet med, at NemLog-in kunne være broker og understøtte lokal / decentral brugeradministration.
En anden væsentlig begrænsning er, at NemLog-in’s brugeradministrationsløsning er begrænset til simple, statiske roller. Fremadrettet kan der være behov for at understøtte mere finkornede rettighedsmodeller samt -fuldmagter, som fx kunne rumme dataafgrænsninger mv.
Figuren herunder viser udfordringerne i forhold til at skabe bedre sammenhæng i administration af rettigheder på tværs.
På den ene side er der en meget stor gruppe virksomheder og foreninger, der er små og med enkel opbygning, og hvor det er muligt at stille mere effektive løsninger til administration af rettigheder til rådighed. For mange virksomheder kan administrationen automatiseres og dermed gøres usynlig for virksomhederne. Det er angivet i figuren som primært fokusområde og omfatter det ovenfor nævnte.
På den anden side er mange aspekter af rettighedsadministration ikke egnede til at blive løst med en tværoffentlig indsats, ikke det mindste ikke på denne side af 2020. Der er derfor behov for at identificere de områder af rettighedsadministration, hvor en fællesoffentlig indsats giver mening og udarbejde en overordnet tidsplan herfor.
53
Figur 14 Kompleksitet i rettighedsadministration
Opgaverne i dette initiativ er- Fortsættelse af arbejdet med at skabe bedre sammenhæng i væsentlige tjenester- Udarbejdelse af roadmap for at inddrage flere tjenester i arbejdet
17.4.2 Udvikling af attributtjenester til rettighedsformålEt led i indsatsen for mere effektiv administration af brugere og deres rettigheder er at bygge på allerede indsamlede data. Hermed kan dobbeltindtastninger undgås, og allerede indsamlede data kan udnyttes bedre.
Der er allerede etableret mange attributtjenester. Eksempler på det er sundhedsvæsenets autorisationsregister, og Erhvervsstyrelsens ejerregister og oplysninger om ansvarlige deltagere i virksomheder. De forskellige attributregistre har dog forskellige snitflader, forskellige sikkerhedsmodeller og serviceniveauer, hvilket vanskeliggør en effektiv udnyttelse af dem.
Der er behov for at etablere eller forbedre attributregistre på områder, hvor flere tjenester har behov for data til identitets- og rettighedsstyring, fx organisationsregistre og registre over tegningsberettigede i virksomheder.
Der er desuden behov for at lette tjenesternes adgang til attributregistrene ved at etablere standardiserede snitflader, attraktive betalingsbestemmelser og regler for at få adgang til attributter. Der er et arbejde i gang med dette i grunddataprogrammet, og det foreslås, at grunddataprogrammet danner rammer for videre udvikling af attributregistre.
Grunddataprogrammet danner rammer for videre udvikling af attributregistre.
17.4.3 Certificering af virksomheder/myndigheder til at indgå i føderationerVirksomheder og myndigheder har i dag forpligtelse til at administrere deres brugere i flere eksterne systemer. Denne administration kan ske manuelt i browserbaserede applikationer eller kan helt eller delvist ske ved digital overførsel af brugerdata fra eget identitets- og rettighedsstyringssystem til det eksterne identitets- og rettighedsstyringssystem.
54
Endelig kan det ske ved føderering, hvor virksomheden eller myndigheden udsteder en adgangsbillet i brugssituationen med de relevante data om brugeren, der giver ham adgang til tjenesten.
EksemplerNemID har både en brugergrænseflade og flere systemsnitflader til administration af brugere.Se http://www.nets.eu/dk-da/Produkter/Sikkerhed/Signaturadministration/Pages/default.aspx
Miljøportalen har både brugergrænseflade og en systemsnitflade til administration af brugere samt mulighed for føderering.
I alle tre modeller forudsættes det, at virksomheden og myndigheden efterlever eksplicitte og generelle regler for sikker administration, så tilliden til registreringerne kan opretholdes. I sidste instans beror sikkerheden dog på den lokale organisation.
Der kan opnås en mere effektiv brugeradministration ved føderering i stedet for manuel eller digital provisionering. Føderering kræver regler for de lokale organisationers processer og godkendelses- og revisionsprocedurer (certificering), således at eksterne tjenester kan have tilstrækkelig høj tillid. Når der er fastlagt regler og procedurer for certificering, kan virksomheder og myndigheder efter eget ønske blive akkrediteret. En sådan certificering kan være en del af et trust framework.
Der skal udarbejdes en certificerings-/akkrediteringsmodel.
17.4.4 Roadmap for mere effektiv administration af brugere for virksomheder og myndighederOversigten herunder viser roadmap for indsatserne på dette område:
2015 2016 2017 og senerePlan for bedre sammenhæng af væsentlige tjenester
Implementering af bedre sammenhæng
Fortsat implementering ->
Udvikling af attributtjenester - foranalyse
Foranalyse Implementering ->
Regler for certificering af virksomheder
De første virksomheder og myndigheder bliver akkrediteret
Fortsat certificering ->
Tabel 4 Roadmap for mere effektiv administration af brugere for virksomheder og myndigheder
17.5 Initiativer for bedre håndtering af rettigheder (fuldmagter) for borgere
17.5.1 Udbredelse af digitale fuldmagter (hvor borgere digitalt kan give fuldmagt)Der er etableret en infrastruktur for fuldmagter til borgere i NemLog-in. Der er i november 2014 kun to tjenester, der anvender løsningen.Det er afgørende for en imødekommelse af brugernes krav om fuldmagtsløsninger, at offentlige tjenester forpligtes til at implementere fuldmagtsløsningen.Der er gennemført flere analyser af fuldmagter i Digitaliseringsstyrelsens regi, og der er vurderingen, at det juridiske grundlag for fuldmagter og partsrepræsentation er tilstrækkeligt klart, og at fokus skal være på at sikre udbredelse og eventuel optimering af den eksisterende løsning i takt med at der indhentes erfaringer med denne.
Der er flere måder, hvorpå den enkelte tjeneste kan ændres, så den kan håndtere fuldmagter, og den konkrete løsningsmodel vil afhænge af tjenestens arkitektur. En mulighed er at udbygge den enkelte løsnings adgangskontrol med en rettighedskomponent, der kan styre, at en repræsentant må agere på vegne af en borger. Behovet for ændringer i rettighedskomponenten vil afhænge af myndighedernes behov, men den kan løses meget simpelt med en ”forbrænder”, der giver repræsentanten adgang.
Fuldmagtsløsningen i NemLog-in kan videreudvikles, fx med parametriserede/dynamiske fuldmagter og integration med CPR-registret. Samlet kan man sige, at nuværende løsning er en basal løsning, hvor en række mere avancerede funktioner i sin tid blev valgt fra.
55
Der er derfor behov for en styringsmæssig indsats for at sikre, at borgernes behov rent faktisk imødekommes. Det kan ske som del af den kommende digitaliseringsstrategi eller gennem fællesoffentlige aftaler om forpligtende tidsplaner.Se i øvrigt http://digitaliser.dk/group/2269656/resources
Der skal vælges ambitionsniveau og evt. styringsmodel for udbredelse af fuldmagter.
17.5.2 Udbredelse af papirfuldmagter på tværs, der gøres digitale af betroet partDer er rejst ønske fra mange om, at det som del af en fuldmagtsløsning indgår, at personer kan aflevere deres fuldmagt på papir, og at en myndighed registrerer dette digitalt på en tilstrækkelig sikker måde.
Papirfuldmagter kan i et vist omfang allerede registreres i fuldmagtskomponenten i NemLog-in, idet den enkelte myndighed kan digitalisere fuldmagter udstedt på papir til deres egen tjeneste. Denne anvendes fx af SU.
Digitalisering af tværgående papirfuldmagter er også teknisk muligt i løsningen, men funktionen bruges ikke i praksis, da der udestår en nærmere juridisk analyse af grundlaget for at gøre det. Desuden udestår også et betalingsspørgsmål – er det fx en opgave som borgerservice skal pålægges og på hvilke betingelser?
En bredere understøttelse af papirfuldmagter, særligt de tværgående, kræver derfor indsatser i form af bl.a. juridiske analyser, eventuelle forbedringer af de tekniske løsninger og en markedsføring og støtte til tjenesteudbyderne.
Det er relevant at vente med en indsats, indtil der er sket en større udbredelse af fuldmagtsløsninger.
Når der er en tilstrækkelig udbredelse af digitale fuldmagtsløsninger, iværksættes dette initiativ.
17.5.3 Udbredelse af løsninger der understøtter borgeres opgaver i forhold til værgemål og egne børn
Et af aspekterne i bedre håndtering af rettigheder (fuldmagter) for borgere er deres adgang til data om egne børn. Ligeledes er der behov for de borgere, der har værgemål.
Dette er bl.a. behandlet i Persongrunddatarapporten fra 2013, hvor der er en afdækning af behov og status for løsninger.
En del af løsningen er bedre grunddata om relation mellem forældre og deres børn. Dette er på vej, idet grunddata om forældremyndighed er af høj kvalitet fra ca 2005 og vil gradvist blive det for alle børn, i takt med at utilstrækkelige registreringer vedrører personer, som bliver over 18 år.
Det samme gælder for værgemål, hvor der er behov for bedre grunddata.
I forhold til både børn og værgemål kan fuldmagtsløsninger supplere grunddata, fx i forhold til bonusforældre og utilstrækkelige værgemålsregistreringer.
Der er således ikke behov for særskilte indsatser i denne strategi.
Der er ikke behov for særskilte indsatser i denne strategi.
17.5.4 Udvikling og udbredelse af digitale samtykkeløsningerHåndtering af samtykke (og andre delegeringsmetoder) er både vigtigt i forhold til sikre borgernes privatliv og i forhold til at kunne lade borgerne vælge, at deres data hos offentlige myndigheder kan tilgås af private tjenester. Det offentlige har således en meget værdifuld samling af data, der kan anvendes som råstof i digitale processer – både offentlige og private.
56
Et eksempel indenfor dette område er SKAT’s HentSelv løsning, hvor fx banker kan få et samtykke til at en hente data om en borgers økonomiske forhold til brug for en automatiseret låneansøgningsproces. Denne løsning er en proprietær/ knopskudt løsning, men der bør være en fælles måde at gøre dette på – og et samlet overblik for borgeren over afgivne samtykker med mulighed for let at kunne trække dem tilbage.
Et initiativ i denne retning kunne være en analyse af en fælles samtykkekomponent på linje med (eller evt. som en del af) en fælles fuldmagtskomponent. Heri vil der være en række problemstillinger at afdække – herunder både tekniske, juridiske og brugervenlighedsmæssige aspekter. En vigtig problemstilling er at belyse, hvorledes man sikrer, at borgerne forstår rækkevidden og konsekvenserne af de samtykker, der afgives digitalt. Særligt hvor et samtykke måtte optræde som et obligatorisk element i en løsning (og ikke frivilligt tilvalg) vil der være en stor forpligtelse til at sikre anvendelighed - også for befolkningsgrupper uden stærke it-kundskaber.
Samtykker og fuldmagter bør generelt kunne bruges til at tilgå Grunddata og andre data (fx sagsdata), som det offentlige har registreret.
Der er ikke gennemført analyser af behovene for samtykkeløsninger i samme omfang som for fuldmagter. Der er heller ikke gennemført analyse af, Samkørsel af data giver anledning til at overveje, hvordan samkøring af data skal håndteres juridisk. Det er således ikke belyst, om samtykke er den bedste måde at muliggøre øget samkøring på.
Fra Fuldmagt2012Begrebet ”fuldmagt” anvendes, hvor en borger vil have en repræsentant til at udføre opgaver på sine vegne. Begrebet ”samtykke” dækker, at borgeren giver en anden samtykke til f. eks. at se data, overføre data eller udføre en behandling.I Persondataloven dækker begrebet ”samtykke”, at ”den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.”Forvaltningsloven har bestemmelser om, at videregivelse af oplysninger (og dermed til at en anden myndighed kan se oplysningerne) kræver borgerens samtykke, lovhjemmel eller at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse.I Sundhedsloven dækker begrebet ”samtykke” både samtykke til behandling og samtykke til videregivelse af oplysninger til andre sundhedspersoner om patienten samt samtykke til, at sundhedspersoner kan indhente oplysninger ved opslag i sundhedsregistre.Som det ses ovenfor, anvendes begrebet ”fuldmagt” i nogle sammenhænge i forbindelse med udelukkende at give adgang til at se oplysninger og dermed svarende til samtykke.
Første skridt er at analysere behov for samtykkeløsninger og løsningsmodeller.
17.5.4.1 Roadmap for bedre håndtering af rettigheder (fuldmagter) for borgereOversigten herunder viser roadmap for indsatserne på dette område:
2015 2016 2017 og senereUdbredelse af digitale fuldmagter: Valg af ambitionsniveau og evt. styringsmodel
Implementering -> Implementering ->
Papirfuldmagter gøres digitaleVærgemål og egne børn (i proces)Analyse af digitale samtykkeløsninger
Udvikling af komponent Implementering ->
Tabel 5 Roadmap for indsatser for bedre håndtering af rettigheder (fuldmagter) for borgere
57
