Del 2
Beskrivelse av problemstillingen og status for digitale signaturer og PKI
3 Hva er digitale signaturer og PKI?
3.1 Behovet for sikring av elektronisk samhandling
For å kunne ta ut gevinster knyttet til overgangen til døgnåpen, elektronisk forvaltning, har forvaltningen behov for å gjøre elektronisk dokumentbehandling og kommunikasjon seg imellom, med publikum og med bedrifter like sikker som samhandling ved hjelp av papirdokumenter. Til denne samhandlingen trengs det en effektiv og pålitelig infrastruktur for elektronisk informasjonsutveksling, som kan medvirke til at elektronisk samhandling gis samme juridiske gyldighet som den papirbaserte. Infrastrukturen må være tilrettelagt slik at det er mulig å skape tillit mellom parter som ikke kjenner hverandre fra før, og slik at det eksisterer mekanismer for beskyttelse av informasjonen mot ulike former for forfalskning og andre angrep.
Internett er «den elektroniske motorveien» der informasjon kan utveksles mellom ulike aktører og på ulike måter. Men Internett er i utgangspunktet ikke et sikkert nett. Elektronisk samhandling uten å ha vissheten for hvem man samhandler med, uten å vite om det som sendes, er det som kommer fram eller om noen har lest det underveis, er ikke en god og trygg løsning for forvaltningens kommunikasjonsbehov. Utbredelsen av sikre og standardiserte løsninger for autentisering av kommunikasjonspartnere og beskyttelse av den elektroniske informasjonen kan bidra til at Internetts potensial for å kunne utnyttes i forvaltningens elektroniske samhandling kan realiseres fullt ut.
Elektronisk signatur er et upresist og overordnet fellesbegrep som kan dekke flere metoder eller teknikker for å knytte en person sammen med et dokument. Én mulig teknikk kan være å tegne navnetrekket sitt nederst på dokumentet ved hjelp av mus, spesialpenn eller liknende. Men slike signaturer kan lett klippes bort og erstattes med andres hvis man ikke bruker spesielle teknikker for å holde navn og dokument sammen. Lov om elektronisk signatur definerer begrepet elektronisk signatur som data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner [ 52] .Det finnes (biometriske) teknikker der man kan vise at en visuell underskrift er knyttet til dokumentet, 1 men det er få som er basert på åpne tilgjengelige standarder.
Den mest lovende, og stadig mer brukte løsningen for elektroniske signaturer i dag, er digitale signaturer med tilhørende infrastruktur, såkalt PKI (Public Key Infrastructure). Navnet på infrastrukturen henspiller på den teknologien som ligger til grunn, nemlig offentlignøkkel-kryptografi. Denne teknologien gir muligheter for å vite hvem avsenderen av en elektronisk meddelelse er ( autentisering), muligheter for å sikre meddelelsen slik at alle forsøk på endringer blir oppdaget ( integritet), muligheter for å forvrenge innholdet ( kryptere) slik at det blir uleselig for andre enn mottakeren ( konfidensialitet) og muligheter for å knytte innholdet til avsenderen slik at hun ikke kan nekte for å stå bak det ( ikke-benekting).
De fire egenskapene:
Autentisering,
Integritetsbeskyttelse,
Konfidensialitetsbeskyttelse og
Sikring av ikke-benekting
er vesentlige å ivareta når man skal innføre elektronisk samhandling over nett i stor skala.
Fordelen med en infrastruktur for digitale signaturer er at den kan tilby en samordnet sikkerhetsløsning for elektronisk tilgang til forvaltningens tjenester, elektronisk innrapportering og annen informasjonsutveksling med og i forvaltningen. Samordnede sikkerhetsløsninger vil kunne redusere forvaltningens kostnader ved etablering og utvikling av slike tjenester, og de vil kunne gi forenklinger for forvaltningens brukere. For anvendelser i forvaltningen, som trenger god sikring mot benekting av transaksjoner, er digitale signaturer en forutsetning for at tjenesten skal kunne tilbys elektronisk.
3.2 Teknologien som digitale signaturer bygger på
3.2.1 Kryptografi
Kryptografi er en tusen år gammel metode for å skjule innhold i en skriftlig meddelelse. De første krypteringsmetodene benyttet f.eks. enkle algoritmer (beregningsmetoder) som gikk ut på å forskyve bokstavene i alfabetet et visst antall plasser.
For å kunne lese ( dekryptere) et skjult innhold, trengte mottakeren en nøkkel. Nøkkelen fortalte hva som måtte gjøres for å få fram den opprinnelige teksten. En nøkkel for tekst kryptert etter algoritmen nevnt over, kunne være 3H, som betydde at forskyvingen av alfabetet var 3 bokstaver mot høyre.
Moderne kryptografi benytter avanserte matematiske funksjoner for å forvrenge innhold i dokumenter og meldinger. Moderne kryptografi er avhengig av datamaskiner for å fungere.
Det finnes to hovedtyper kryptografiske metoder som benyttes i dag:
Symmetrisk kryptografi,
Asymmetrisk kryptografi.
Navnene på disse metodene henspiller på hvordan nøklene brukes i hver av dem.
Symmetrisk kryptografi baserer seg på samme grunnleggende metode som for tusen år siden. Avsenderen og mottakeren av en kryptert meddelelse må ha den samme nøkkelen for å kryptere og dekryptere teksten.
Dette skaper problemer mht. å distribuere nøkkelen til alle som behøver å ha den for å kunne dekryptere hemmelige meddelelser. Faller nøkkelen i hendene på uvedkommende, kan den hemmelige meldingen leses av dem. De som samhandler, må bl.a. skaffe seg en ny felles nøkkel for fortsatt å kunne sende hemmelige meldinger til hverandre. Fordelen med symmetrisk kryptering er at de matematiske metodene som benyttes, gjør at kryptering av store tekstmengder kan utføres raskt.
Asymmetrisk kryptografi håndterer problemet med distribusjon av nøkler. Hver deltaker har i utveksling av hemmelige dokumenter to ulike nøkler – et nøkkelpar. En av nøklene er hemmelig og bare kjent for eieren. Denne kalles den private nøkkelen. Den andre nøkkelen vil være offentlig kjent og tilgjengelig for alle andre deltakere. Denne nøkkelen kalles den offentlige nøkkelen. Den matematiske metoden som ligger til grunn, gjør det mulig å benytte den offentlige nøkkelen til å kryptere en meddelelse slik at bare den private nøkkelen kan dekryptere den. Ulempen med denne måten å kryptere på er at den er tidkrevende ved kryptering av store tekstmengder.
Asymmetrisk kryptografi har flere muligheter enn bare kryptering av dokumenter. Dersom man krypterer en meddelelse med den private nøkkelen, er det bare den offentlige nøkkelen som kan dekryptere den. Dette ga opphavet til digitale signaturer.
3.2.2 Digitale signaturer
Digitale signaturer er en måte å benytte asymmetrisk kryptografi på som gir sikkerhet for at det er den rette personen som har sendt meddelelsen. Metoden som benyttes, gir også sikkerhet for at meddelelsen ikke er blitt forfalsket av uvedkommende underveis fra avsender til mottaker (integritet).
Figur 3.1 Digital signatur
En digital signatur er et dataelement som følger en elektronisk melding eller et dokument, og som binder dokumentet til et individ, en maskin eller et datasystem. Bindingen er slik at signaturen er praktisk umulig å forfalske. Den kan verifiseres av en mottaker eller av en uavhengig tredjepart. Hvis en bokstav i dokumentet endres, vil den digitale signaturen ikke bli godkjent [ 12].
Som nevnt vil kryptering av store tekstmengder med den private nøkkelen ta for lang tid. Derfor tok man i bruk en beregningsmåte kalt hash-algoritme når man skulle lage en digital signatur på et dokument. Ut fra dokumentet produserer hash-algoritmen et unikt tall (en hash-verdi). Den matematiske funksjonen som benyttes, er slik at man ikke kan gjenskape dokumentet ut fra tallet, og to ulike dokumenter skal ikke lage samme tall. Man kan si at hash-verdien representerer et dokument på en i praksis unik måte. Hvis så mye som en bokstav blir endret i dokumentet, vil hash-verdien bli en annen. Det er hash-verdien av dokumentet som krypteres med den private nøkkelen. Den krypterte hash-verdien er den digitale signaturen.
Man kan derfor si at en digital signatur er en unik kombinasjon av den private nøkkelen som ble benyttet, og dokumentets innhold slik det representeres av hash-verdien. To ulike personer, med to ulike private nøkler, vil lage to ulike digitale signaturer på det samme dokumentet. Hvis dokumentet blir endret underveis til mottakeren, vil signaturen ikke lenger la seg verifisere. Lov om elektronisk signatur [ 52] bruker begrepet signaturframstillingsdata om koder eller private nøkler som undertegneren benytter for å framstille en elektronisk (i dette tilfellet digital) signatur. Loven bruker begrepet signaturframstillingssystem om programvare eller maskinvare som benyttes til å framstille signaturene. Begrepet signaturverifiseringsdata benyttes om offentlige nøkler. Signaturer kan beregnes i en PC eller på et smartkort.
Verifisering av en digital signatur skjer ved at mottakeren av et digitalt signert dokument beregner hash-verdi av dette dokumentet. Deretter dekrypterer hun den krypterte hash-verdien som ble tilsendt med dokumentet (den digitale signaturen). Hun dekrypterer den med den offentlige nøkkelen til avsenderen. Denne nøkkelen kan enten sendes med dokumentet eller hentes fra en offentlig tilgjengelig katalog. Så sammenlikner hun de to hash-verdiene (tallene) mot hverandre. Er de helt like, er signaturen i orden. Er de ulike, så er noe galt, dvs. noen har prøvd å endre dokumentet underveis.
Figur 3.2 Å signere og verifisere et dokument
Dersom mottakeren ikke klarer å dekryptere hash-verdien med den offentlige nøkkelen til avsenderen, betyr det at det var en annen privat nøkkel som ble benyttet. Noen har prøvd å utgi seg for eieren av den offentlige nøkkelen, men hadde ikke den passende private nøkkelen. Figur 3.2 illustrerer hvordan digital signatur lages og sjekkes (verifiseres).
3.2.3 Autentisering
Digitale signaturer kan brukes på elektroniske dokumenter, men ikke bare til det. Man oppdaget at denne metoden, som i grunnen gir sikkerhet for hvem som brukte sin private nøkkel, også kan benyttes for å verifisere hvem man kommuniserer med over nett. Autentisering kan brukes til å verifisere en påstått identitet eller en mottaker. Man kan med andre ord benytte digitale signaturer for å erstatte passord ved pålogging til datasystemer og tjenester i nettverk. Dette illustreres i figur 3.3.
Figur 3.3 Å autentisere en bruker
Mottakersystemet sender et tilfeldig tall eller en tekststreng til den som vil logge seg på. Brukeren krypterer dette tallet med sin private nøkkel. Mottakersystemet verifiserer «signaturen» med brukerens offentlige nøkkel, som enten er lagret i systemet eller hentes fra en offentlig katalog. Dersom verifiseringen av brukerens «signatur» har gått bra, kan brukeren komme inn i systemet og benytte tjenester i det. Fordelen med å benytte digitale signaturer til autentisering er at de bygger på en standardisert metode, som mange datasystemer kan ta i bruk. Brukeren behøver ikke å huske mange ulike passord eller koder som trengs for tilgang til de ulike systemene. Brukeren trenger bare sin private nøkkel, og systemene trenger brukerens offentlige nøkkel.
3.2.4 Kryptering
Bruk av nøkkelparet direkte på dokumentets innhold, slik at kryptering skjer med den offentlige nøkkelen til mottakeren (som alle kjenner til), og dekryptering med den private nøkkelen til mottakeren (som bare denne kjenner til), var en svært oppfinnsom løsning. Men siden symmetriske algoritmer er raskere enn de asymmetriske, førte dette til ideen om å kombinere disse to.
Når et dokument skal krypteres ved bruk av symmetrisk kryptografi, skjer dette i to trinn. Det første trinnet er at det genereres en symmetrisk engangsnøkkel , en sesjonsnøkkel . Denne brukes så til å kryptere symmetrisk dokumentets innhold. Deretter krypteres denne engangsnøkkelen med den asymmetriske offentlige nøkkelen til mottakeren. Det krypterte dokumentet sendes deretter sammen med den krypterte symmetriske engangsnøkkelen. Mottakeren må først dekryptere den symmetriske engangsnøkkelen med sin private asymmetriske dekrypteringsnøkkel. Deretter dekrypterer han selve dokumentet med den symmetriske nøkkelen. Denne prosessen illustreres i figur 3.4.
Figur 3.4 Å kryptere og sende en melding
3.2.5 Sertifikater og sertifikatutstedere
Offentlige nøkler gir i seg selv ingen informasjon om eierens identitet. Det må finnes en mekanisme som bekrefter, på en tillitvekkende måte, at en offentlig nøkkel hører til en bestemt person. Mekanismen kalles digitalt sertifikat eller bare sertifikat.
Det fundamentale prinsippet som gjør at digitale signaturer og PKI kan brukes i stor skala, er at de offentlige nøklene kan distribueres fritt. Men deltakere i elektronisk samhandling over nett trenger en garanti for at de offentlige nøklene de benytter, tilhører den riktige eieren, og at de ikke er endret av utenforstående. Det kan tenkes at en eier av et nøkkelpar vil kunne legge ut sin offentlige nøkkel i en katalog eller sende den til mottakeren via e-post. Men hvordan skal mottakeren stole på at nøkkelen virkelig tilhører denne personen? Dette er spesielt kritisk når disse to ikke kjenner hverandre fra før. Løsningen på problemet er at begge stoler på en tredje part, som kan ta på seg å bekrefte sammenhengen mellom den offentlige nøkkelen og eieren av nøkkelparet. En slik virksomhet kalles ofte for TTP (tiltrodd tredjepart ). En TTP kan utføre mange oppgaver, men i denne sammenheng vil han utstede sertifikater, som kopler nøkkeleierens identitet (navn og andre opplysninger om eieren) med dennes offentlige nøkkel. Da kaller man TTP-en for sertifikatutsteder. Denne betegnelsen benyttes også i lov om elektronisk signatur, som regulerer virksomheten til utstedere av såkalte kvalifiserte sertifikater . Disse omtales seinere i utredningen.
Figur 3.5 Eksempel på et digitalt sertifikat
Sertifikatutsteder signerer sertifikatet med sin digitale signatur. Utstederens signatur borger for at sertifikatet er ekte.
Et sertifikat fungerer som et legitimasjonsbevis (når det gjelder å verifisere at det er korrekt person som har signert), og sertifikatutsteder tilsvarer en legitimasjonsutsteder.
Iht. lov om elektronisk signatur, er sertifikatutstederen en juridisk person som utsteder sertifikater og tilbyr andre tjenester relatert til elektronisk signatur [ 52]. Kundene til en sertifikatutsteder må ha tillit til at denne utfører sin oppgave på en tilfredsstillende måte. Grunnlaget for tillit kan variere. Elementer som kan komme med i vurderingen av hvor tillitvekkende en sertifikatutsteder er, kan f.eks. være habilitet, objektivitet og erfaringer med denne virksomheten over tid.
Sertifikatutstedere utsteder et sertifikat i henhold til en sertifikatpolicy. Det er et dokument som inneholder regler for hvordan sertifikater utstedes og behandles, og dermed definerer bl.a. hvilken tillit man kan ha til sertifikatene. Innehaveren av et sertifikat kalles sertifikateier i denne utredningen. Den som mottar et digitalt signert dokument med et tilhørende sertifikat, og som skal verifisere det mottatte materialet, kalles sertifikatbruker.
Den som ønsker å skaffe seg et sertifikat, må henvende seg til en registreringsenhet og gi opplysninger om seg selv som enheten kan sjekke. Deretter sender registreringsenheten de verifiserte opplysningene til sertifikatutsteder og ber om at sertifikatet utstedes.
Sertifikater utstedes for begrensete tidsperioder, ofte 2 år om gangen. Sertifikatutsteder lagrer kopier av dem i en katalog slik at de er tilgjengelige for sertifikateierens samhandlingspartnere. Sertifikater kan trekkes tilbake, dvs. gjøres ugyldige. Det kan skje dersom opplysninger i sertifikatet må endres (på grunn av at eieren f.eks. skifter jobb) eller f.eks. dersom den tilhørende private nøkkelen går tapt eller blir kompromittert på annen måte. Tilbaketrukne sertifikater kunngjøres i en egen liste, såkalt tilbaketrekkingsliste. Denne listen tidsstemples og signeres av den sertifikatutstederen som har trukket sertifikatet tilbake.
Det er som regel sertifikatutsteder som genererer nøkkelparet som sertifikateieren skal benytte. I noen tilfeller kan sertifikateieren selv generere sitt nøkkelpar for så å sende sin offentlige nøkkel til sertifikatutstederen og få et sertifikat i retur.
De private nøklene må oppbevares på en betryggende måte. Dette kan gjøres ved f.eks. å lagre dem i et smartkort, på en diskett eller kryptert på harddisken i en PC.
3.3 Hvorfor trenger man en infrastruktur for å bruke digitale signaturer?
For å kunne benytte digitale signaturer i stor skala, dvs. mellom mange ukjente deltakere i elektronisk samhandling over nett, må de ulike oppgavene knyttet til utstedelse av nøkler og sertifikater og til sikker bruk av sertifikater, organiseres på en hensiktsmessig måte. Dette gjøres gjennom PKI (Public Key Infrastructure) . I sin grunnleggende versjon består denne infrastrukturen av avsenders og mottakers systemer for signering og kryptering samt av en sertifikatutsteder som registrerer sertifikateiere, og utsteder og trekker tilbake sertifikater, jf. figur 3.6.
Figur 3.6 Elementer i en PKI
3.3.1 Hvordan fungerer en PKI?
Elementer i en PKI kan grupperes som aktører, sikkerhetskomponenter, sikkerhetstjenester og regulatører.
Aktører
Følgende aktører deltar i en PKI:
Sertifikatutstedere,
Registreringsenheter (som kan være en del av sertifikatutsteders virksomhet eller være selvstendige virksomheter som har avtale med den),
Sertifikateiere (avsendere),
Sertifikatbrukere (mottakere).
I mer komplekse PKI-er kan flere aktører, som smartkortprodusenter, driftssentraler for sertifikatkataloger, samtrafikktjenester og tilsynsmyndigheter, også delta.
Sikkerhetskomponenter
Sertifikateiere og sertifikatbrukere trenger spesiell programvare for signering og kryptering av dokumenter/meldinger. Dette innbefatter også behandling av sertifikater. Dersom de private nøklene lagres på et smartkort, trengs i tillegg en kortleser.
Sikkerhetstjeneste r
De tjenestene som er tilgjengelige i en PKI, kan grupperes slik:
Identifisering og registrering av sertifikateiere,
Utstedelse av sertifikater,
Generering av nøkkelpar,
Drift av sertifikatkataloger,
Tilbaketrekking av sertifikater og utstedelse av tilbaketrekkingslister,
Drift av en samtrafikktjeneste som kan sjekke sertifikater mot mange utstederes kataloger og deres tilbaketrekkingslister.
Tjenestene kan utføres av en aktør eller flere aktører i samarbeid.
Regulering av infrastrukturen
For at brukere av en PKI skal kunne være sikre på at den fungerer på en tilfredsstillende måte, særlig når PKI-ens tjenester kjøpes i et marked, er det nødvendig med tilsyn og hensiktsmessig regulering av slik virksomhet. Lov om elektronisk signatur regulerer utstedere av kvalifiserte sertifikater i Norge. Tilsynet skal påse at lovens bestemmelser mht. hvordan en utsteder av kvalifiserte sertifikater skal fungere, følges. Regelverket forvaltes av Post- og teletilsynet og av Datatilsynet . I det norske markedet for PKI-er vil det trolig finnes utstedere av kvalifiserte sertifikater som loven omfatter, og utstedere av andre sertifikater som ikke er definert i loven. Enkelte sertifikatutstedere vil kunne inngå avtaler om å stole på hverandres sertifikater ( krysssertifisering), mens andre ikke vil gjøre det. Eksempel på markedet for PKI med regulatører vises i figur 3.7.
Figur 3.7 Markedet for PKI med tilsyn
Teknisk samvirke er et viktig spørsmål som må løses for å få en PKI til å fungere på hensiktsmessig måte. Teknisk samvirke innebærer at sertifikater fra ulike utstedere kan behandles uten problemer av programvare for signering og kryptering som leveres av ulike leverandører. Videre er tilgangen til ulike utstederes kataloger og tilbaketrekkingslister en del av det tekniske samvirket.
Men teknisk samvirke er ikke nok. Dersom den som mottar et digitalt signert dokument med sertifikat, ikke har et kundeforhold til avsenderens sertifikatutsteder, bør det finnes tjenester som muliggjør sjekking av sertifikatet på en brukervennlig måte. En løsning er kryssertifisering . Det består i at to eller flere sertifikatutstedere inngår gjensidige avtaler for å stadfeste at de kan innestå for sertifikater som den andre parten utsteder til sine kunder. Sertifikatutstedere utsteder gjensidige sertifikater for hverandres offentlige nøkler, kryssertifikater. Kravet til innhold er noe forskjellig fra sertifikater utstedt til vanlige sertifikateiere. Problemstillingen er utdypet i kapittel 10 om samtrafikk.
3.4 Anvendelser som kan sikres med PKI
3.4.1 Bruk av nøkler og sertifikater
Digitale signaturer og PKI kan brukes i mange sammenhenger i den elektroniske samhandlingen i forvaltningen internt og med forvaltningens brukere. De vanligste bruksområdene vil være:
E-post som skal signeres og krypteres,
E-post med vedlagte dokumenter som signeres og krypteres,
Web-baserte systemer der publikum skal identifisere seg overfor forvaltningens fagsystem, og omvendt, samt signere og kryptere utfylte Web-skjemaer,
Elektronisk innrapportering av data mellom systemer, basert på EDI eller andre teknologier (f.eks. XML), der meldinger signeres og krypteres av avsender.
3.4.2 Utvikling av PKI-bruk
En PKI kan etableres innenfor en virksomhet, for intern bruk. Den kan også etableres for et ekstranett, dersom virksomheten f.eks. har et stort regionalt apparat, eller til og med et internasjonalt apparat, som flere store konserner har. Man kan også tenke seg en PKI for en sektor eller for hele forvaltningen. Hvordan dette kan realiseres, er et av temaene for denne utredningen.
Etablering av en PKI i stor skala behøver ikke å skje ved at alle komponenter etableres overalt til samme tid. Det er mer sannsynlig at etablering og bruk av PKI vil vokse fram gradvis. PKI-er etablert for avgrensede formål vil på sikt kunne koples sammen til en større PKI og på denne måten betjene et større antall brukere som ønsker å kommunisere sammen. Enkelte forvaltningsinstitusjoner vil starte med å ha sin egen PKI. Noen institusjoner vil samarbeide seg imellom og ha en PKI som sørger for samhandling internt og med privatpersoner og bedrifter som faller inn under deres saksområder.
En del private bedrifter og grupper innen enkelte næringer etablerer for tiden egne PKI-er. En slik privat PKI vil utstede sertifikater til egne ansatte og kanskje til egne kunder og handelspartnere. Kundene og handelspartnerne vil på forhånd ha etablert et tillitsforhold til bedriften og vil derigjennom stole på sertifikatene fra bedriftens sertifikatutsteder. Kunder som har sertifikater fra andre sertifikatutstedere og starter samhandling med bedriften, vil ikke automatisk ha samme tillitsforhold.
4 Anvendelsesområder for PKI i samhandling med og i forvaltningen
Dette kapitlet gir et kort overblikk over forvaltningens behov for sikker elektronisk kommunikasjon og informasjonsutveksling knyttet til arbeidet med effektivisering av interne oppgaver og til arbeidet med realisering av døgnåpen forvaltning, med tilbud av elektroniske tjenester og elektronisk samhandling over nett.
4.1 Hva er behovene i forvaltningen?
Offentlig forvaltning er allerede i stor grad avhengig av elektronisk informasjonsutveksling. Denne utviklingen vil akselerere i tiden framover, bl.a. som følge av politiske målsettinger om overgang til døgnåpen, elektronisk forvaltning i løpet av 2003.
Behov for elektronisk utveksling av informasjon kan fordeles på to hovedgrupper: intern utveksling i forvaltningen og utveksling med forvaltningens brukere som følge av elektronisk tjenesteyting – både til enkeltpersoner og til næringslivet.
Innenfor forvaltningen vil viktige anvendelser med behov for sikker elektronisk informasjonsutveksling være:
Elektronisk saksbehandling,
Elektronisk økonomiforvaltning,
Elektronisk offentlig innkjøp,
Elektronisk innrapportering mellom etater og forvaltningsnivåer (kommune–stat).
Mot forvaltningens brukere vil det hovedsakelig være anvendelser knyttet til
Offentlige tjenester på Internett og
Elektronisk innrapportering fra næringslivet
som vil ha behov for sikker elektronisk kommunikasjon.
PKI vil kunne brukes som sikkerhetsløsning på mange måter innenfor disse anvendelsesområdene:
Som løsning for intern sikkerhet (tilgang til systemer, autorisasjon av transaksjoner mv.),
For meldingssikkerhet (sikker e-post),
For dokumentsikkerhet (forsendelse via e-post eller på andre måter, også sikker lagring),
For sikker tilgang til forvaltningens tjenester (autentisering),
For juridisk sikring av transaksjoner (signatur).
Anvendelsesområdene gjennomgås nedenfor for å konkretisere de ulike sikkerhetsbehovene som PKI vil kunne oppfylle.
4.2 Elektronisk saksbehandling
Elektronisk saksbehandling innebærer full overgang til papirløs behandling av saker i forvaltningen. Dette innebærer at dokumenter også må kunne utveksles elektronisk. I den forbindelse er det viktig å beskytte dokumentene mot utilsiktet endring mens de er underveis, samtidig som mottakende virksomhet trenger pålitelig informasjon om dokumentets avsender/opphav. Dokumenter må kunne signeres der det eksisterer formkrav som krever underskrift.
4.3 Elektronisk økonomiforvaltning
Statens økonomireglement er et omfattende regelverk som stiller strenge krav til rutiner og framgangsmåter ved håndtering av betalingskrav, tilskuddsforvaltning med mer. Elektronisk økonomiforvaltning vil innebære at fakturaer, interne regninger og andre bilag vil kunne håndteres elektronisk, både med hensyn til lagring og forsendelse. Reglementet stiller strenge krav til sikkerhet ved utbetalinger fra statskassen. Disse strenge kravene må også gjelde når rutinene for økonomiforvaltning blir gjennomført elektronisk.
Behovene her kan deles i to: behovet for sikring av utbetalinger og behovet for sikker håndtering av fakturaer/andre regnskapsbilag. Behovene i forbindelse med tilskuddsforvaltning ligger i skjæringspunktet mellom elektronisk saksbehandling og økonomiforvaltning, og vil trolig dekkes av generelle løsninger for disse områdene.
I forbindelse med utbetalinger er det behov for å sikre seg mot endring av innholdet i et betalingsoppdrag. Videre er det behov for sikker autentisering av oppdraget, dvs. hvor det kommer fra, og hvem som har autorisert utbetalingen. Det kan være behov for flere slike autorisasjoner i forbindelse med et utbetalingsoppdrag.
Sikker håndtering av fakturaer og interne regninger innebærer at attestasjoner og anvisninger løses på en betryggende måte. Dette kan gjøres ved hjelp av elektroniske signaturer eller på andre måter, men det er behov for sikre «spor» etter disse handlingene. Som følge av regnskapslovgivningen med forskrifter er det behov for å kunne verifisere slike spor aktivt i om lag 3,5 år. Etter dette overføres dokumentene til et (elektronisk) fjernlager der de skal oppbevares i ytterligere 6,5 år, av hensyn til muligheter for revisjon.
Det er i den forbindelse viktig at økonomisystemer som er godkjent for bruk i staten, støtter den type sikkerhetsløsning som blir valgt for sikring av spor i fakturahåndteringen. Løsningene må derfor være standardiserte nok, samtidig som de er sikre nok.
4.4 Elektronisk offentlig innkjøp
Effektivisering av offentlig innkjøpsvirksomhet kan gi svært store besparelser for offentlig sektor. Besparelsene kan komme som følge av lavere priser, som kan oppnås ved bedre samordning av innkjøpene innenfor etatene og på tvers av etatene. Den største innsparingen vil kunne oppnås ved å effektivisere selve innkjøpsprosessen. Elektroniske innkjøpsprosesser kan implementeres på flere ulike måter. En måte er å etablere en elektronisk markedsplass for offentlige innkjøpere, der man får tilgang til relevant leverandør- og produktinformasjon og mulighet for bestilling av varer og tjenester. Et slikt konsept fordrer at det er inngått rammeavtaler med leverandørene i forkant. Kommunikasjon mot slik offentlig elektronisk markedsplass vil kreve autentisering av brukere dersom de skal foreta bestillinger eller legge inn ny informasjon til markedsplassen selv. Videre er det behov for autentisering av leverandørenes informasjon, slik at brukere vet at de forholder seg til riktige opplysninger. (Dette er aktuelt dersom slik informasjon er desentralisert til leverandørenes servere.) Dersom formkravene i regelverket tilsier det, kan det bli behov for elektronisk signatur eller andre former for sporing av bestillinger.
Dersom hele innkjøpsprosessen skal være elektronisk, må det implementeres sikker kommunikasjon mellom leverandør og offentlig bruker for oversendelse av ordrebekreftelse, faktura og betaling. Dette krever at den offentlige etaten selv har et elektronisk innkjøpssystem.
Elektronisk innkjøp der et innkjøpssystem hos en offentlig etat samhandler elektronisk direkte med leverandørenes systemer, krever mer avanserte løsninger når det gjelder sikring av kommunikasjon. Autentisering på ulike nivåer og integritetsbeskyttelse av transaksjoner vil være sentrale. Løsningene må kunne samspille med næringslivets sikkerhetsløsninger for e-handel.
4.5 Elektronisk innrapportering mellom etater og forvaltningsnivåer (kommune-stat)
Som følge av bl.a. samordningen av oppgaver, f.eks. Enhetsregisteret , er det oppstått behov for utstrakt utveksling av elektronisk informasjon mellom offentlige etater. Denne utvekslingen må kunne sikres på en hensiktsmessig måte. Innrapportering til registre bør være autentisert og sikret mot utilsiktet endring. Dersom det er sensitive data som innrapporteres, må det finnes løsninger som beskytter slike data mot uønsket innsyn.
Kommunene er pålagt omfattende rapporteringsplikt til statlig nivå. Tjenesteproduksjonsdata og ulike typer statistikker skal innrapporteres jevnlig til ulike mottakere, bl.a. Statistisk sentralbyrå . Elektronisk innrapportering er en svært effektiv måte å løse dette på. Elektronisk innrapportering av slike data krever at kommunikasjon er sikret mot innsyn, ettersom det ofte er sensitiv informasjon som overføres. Kommunikasjonen bør også være sikret mot utilsiktet endring.
4.6 Offentlige tjenester på Internett
Elektroniske tjenester til forvaltningens brukere vil spenne over et bredt spekter, fra henvendelser pr. e-post via generell saksbehandling, innsending av søknader, meldinger (f.eks. flyttemeldinger), utveksling av informasjon, til innberetninger og innbetalinger av avgifter m.m.
Elektroniske tjenester til enkeltpersoner kan differensieres etter graden av interaksjon og juridisk binding. En mulig inndeling er som følger:
Web-tjenester som inneholder informasjon om etaten og dens tjenester. Kommunikasjon kun via e-post (trinn 1),
Tjenester med interaktive funksjoner, for eksempel bestillinger, beregningsmuligheter, søk i databaser. Interaktiv kommunikasjon direkte til saksbehandler eller fagansvarlig (trinn 2),
Web-tjeneste som tilbyr brukeren å legge inn og hente informasjon tilrettelagt ut fra personlige kriterier. Tjenesten er knyttet til interne produksjonssystemer (trinn 3),
Web-tjeneste med funksjonalitet for online samarbeid med andre myndigheter og samfunnsaktører (trinn 4).
Tjenester på trinn 1 krever ingen spesiell sikring av kommunikasjon, utenom behovet for autentisering av den serveren informasjonen befinner seg på, slik at «hackere» ikke kan sette opp vevtjenester som utgir seg for å være offentlige informasjonstjenester med påfølgende fare for feilinformasjon til enkeltpersoner.
Tjenester på trinn 2 innebærer at det kan være behov for autentisering, integritetssikring av, ev. beskyttelse mot innsyn i den direkte kommunikasjonen mot saksbehandler/fagansvarlig. Slik kommunikasjon vil mest sannsynlig foregå via e-post. Man trenger sikker e-post for å støtte opp om slike tjenester. Også her er behovet beskrevet for trinn 1 aktuelt.
Tjenester på trinn 3 vil, i tillegg til behov beskrevet for trinn 1 og 2, kreve sterk autentisering av brukeren samt beskyttelse mot innsyn i de tilfellene der informasjonen som hentes/legges inn, er sensitiv. Videre kan det oppstå behov for elektronisk signatur i de tilfellene der formkrav i regelverket krever underskrift på opplysninger som leveres.
Tjenester på trinn 4 vil, i tillegg til kravene beskrevet for trinnene 1–3, kreve at det implementeres en sikker kommunikasjon mot flere servere samtidig. Autentisering av brukeren bør kunne foregå ett sted, men slik at brukeren samtidig blir autentisert mot flere tjenester («single sign-on»).
4.7 Elektronisk innrapportering fra næringslivet
Elektronisk innrapportering fra næringslivet har allerede vært implementert i en del år, ved hjelp av lukkede løsninger. Overgang til innrapportering på Internett krever sikring av informasjonen mot utilsiktet endring og mot uønsket innsyn. Videre vil det kreves sterk autentisering av innsenderen og trolig også elektronisk signatur, av hensyn til ikke-benektingsbehovet hos myndighetene. Innsenderen vil ha behov for å autentisere den offentlige serveren som informasjonen sendes til, og å motta en tidsstemplet kvittering for mottak av informasjonen av hensyn til krav i lovgivningen, som pålegger rapporteringsplikt med gitte frister.
Elektronisk innrapportering fra næringslivet vil spesifikt ha den utfordringen at løsninger for sikring av innrapporteringer til ulike myndigheter bør være samordnet, for ikke å legge for store byrder på næringslivet med hensyn til teknisk utstyr, programvare og opplæringsbehov.
4.8 Prosjekter der bruk av PKI inngår
Nedenfor nevnes et knippe tiltak/prosjekter i forvaltningen der bruk av digital signatur inngår eller er planlagt. Listen er ikke uttømmende og er ment som en illustrasjon for at det pågår utviklingsarbeid på området mange steder i forvaltningen.
Brønnøysundregistrene planlegger å tilby nettbasert, direkte registrering i Enhetsregisteret og Foretaksregisteret i løpet av 2001. Digitalt signerte elektroniske registreringsskjemaer vil kunne leveres over nett til registrene.
Patentstyret (Styret for det industrielle rettsvern) utvikler innenfor sitt SANT-prosjekt elektroniske løsninger for patentsøknader over nett. Prosjektet omfatter et nytt elektronisk saksbehandlingssystem som gjør det mulig for brukere å sende inn elektroniske, digitalt signerte søknader og å kommunisere elektronisk om sin sak med Patentstyret. Løsningen skal være tilgjengelig i 2. kvartal 2002.
Rikstrygdeverket har benyttet en PKI-løsning ved beregning av økonomiske oppgjør til legene siden 1996, og i forbindelse med oppgjør fra sykehusenes poliklinikker siden 1998. Sistnevnte er innført i stor skala fra februar 2000. Dette er oppgjør basert på digitale signaturer, både smartkort- og softwarebaserte løsninger, kryptering og TTP-tjenester. Det planlegges/er i pilotdrift nettbaserte løsninger for arbeidsgivere (innrapportering til arbeidsgiver/arbeidstaker-registeret), for helsesektoren (elektroniske sykmeldinger) og for publikum valg av fast lege, innsending av søknadsblanketter og selvbetjening (f.eks. E-111, pensjonsberegning m.m.).
Utlendingsdirektoratet planlegger en tjeneste der en søker selv kan sjekke status for egen sak (saker etter statsborgerrettsloven og utlendingsloven).
Sosial- og helsedepartementet arbeider med utvikling av nasjonalt helsenett og elektronisk samhandling i helse- og sosialsektoren. I denne sammenhengen må det utvikles policyer for TTP-tjenester og bruk av elektroniske signaturer. I SESAM-prosjektet, som finansieres i samarbeid mellom SHD og AAD, og som drives av KITH (Kompetansesenter for IT i helsesektoren), gjennomføres det utprøving av sikker e-post mellom Aker sykehus og Bjerke bydel i Oslo. Det utveksles digitalt signerte og krypterte dokumenter knyttet til overføring av pasienter fra sykehus til bydel. I et annet delprosjekt av SESAM benyttes PKI til sikker e-post for å sende data fra fødestuer til Medisinsk Fødselsregister i Bergen. Løsningen er prøvd ut ved tre fødestuer ved årsskiftet 2000/2001, og det planlegges videre utprøving. I Midt-Norsk Helsenett (MNH) planlegges det bruk av PKI for sikring av elektroniske EDI-baserte meldinger om laboratoriesvar, bestilling av prøver, bestilling av røntgen mv. De første meldingene (epikrise) er i gang, og flere vil komme i gang i løpet av første halvår 2001.
Etter initiativ fra Miljøverndepartementet og Kommunal- og regionaldepartementet har Statens kartverk og Statens bygningstekniske etat , i samarbeid med bygge- og anleggsbransjen og kommunene, satt i gang et prosjekt for elektronisk plan- og byggesaksbehandling. Dette er kalt «Prosjekt Byggsøk». Prosjektet har som målsetting å utvikle et system for elektronisk plan- og byggesøknad med forenklet behandling og dermed kortere behandlingstid. Innen tre år skal hele byggesaken kunne gjennomføres online:
Søker skal kunne hente all nødvendig informasjon for å lage en komplett søknad på Internett,
Søknader skal kunne lages, sendes og gebyrer betales elektronisk,
Søker skal kunne følge utviklingen av saken via Internett,
Tillatelser skal kunne mottas elektronisk.
Direktoratet for arbeidstilsynet skal gjøre alle sine skjemaer nedlastbare over Internett og gi mulighet til å fylle ut på skjerm. Mangel på løsninger rundt elektroniske signaturer og elektronisk mottak betyr imidlertid at skjemaer som skal returneres etaten, inntil videre må skrives ut, signeres for hånd og sendes pr. ordinær post. En rekke skjemaer er tilgjengelige nå. Byggemelding etter § 19 – dokumentasjonsplan for HMS er under utarbeidelse i samarbeid med Byggteknisk etat. Det foregår også et prøveprosjekt ved Arbeidstilsynets distriktskontor i Telemark der man tester ut full elektronisk rapportering over Internett. Prosjektet har løpt siden høsten 2000.
Statens lånekassefor utdanning har satt i gang et forsøksprosjekt om elektronisk søknadsbehandling (søknad om studielån) på Internett. Prosjektet innebærer også forsøk med digitale signaturer basert på bruk av smartkort. Prosjektets overordnete mål er å effektivisere Lånekassens interne arbeid og tilby bedre tilgjengelighet for kundene.
Kystverket arbeider med innføring av elektronisk saksbehandling ved å innføre et elektronisk dokumentstyringssystem. Videre ønsker man å innarbeide elektronisk signatur for intern og ekstern saksbehandling. Det er essensielt for etaten at arbeidet samkjøres med andre etater for å legge bedre til rette for implementasjon.
Skattedirektoratet arbeider med flere prosjekter og løsninger for elektronisk innrapportering fra næringslivet og fra enkeltpersoner. For levering av merverdiavgiftsoppgaven over Internett ble det fra 1.5.2000 satt i gang en prøveordning for avgiftspliktige i Akershus. Fra 1.1.2001 er denne ordningen utvidet til også å omfatte Buskerud, og den skal gjøres landsdekkende fra 1.3.2001. Det benyttes digitale signaturer basert på smartkort.
Elektronisk innlevering av selvangivelse med tilleggsskjema blir gjort tilgjengelig som en prøveordning med en EDI-løsning med digitale signaturer våren 2001 for næringsdrivende i Asker, Skedsmo, Askøy, Os og Bodø. I tillegg til å være en løsning for skatteetatens skjema er det et samarbeid med Statistisk sentralbyrå og Brønnøysundregistrene som skal gi de næringsdrivende en enhetlig løsning for rapportering til de tre etatene (SLN-prosjektet ).
Etaten planlegger å tilby løsninger for PKI-sikret elektronisk innlevering av selvangivelse over Internett i 2001. Det skal også tilbys tjenester for bestilling av ny selvangivelse og bestilling av skattekort over Internett.
Statistisk sentralbyrå har drevet prosjektet KOSTRA (Kommune-Stat – Rapportering) i samarbeid med Kommunenes Sentralforbund og Kommunal- og regionaldepartementet siden 1997. Fra februar 2002 skal løsningen gå over i en driftsfase. Hver kommune rapporterer sine tjenesteproduksjonsdata elektronisk til SSB. Rapporteringen er konfidensialitetssikret med en PKI-løsning.
Vegdirektoratet gjennomfører et internt prosjekt under navnet EBASUS. Prosjektet omhandler elektronisk fakturahåndtering og -betaling. Digital signatur skal brukes ved anvisning av faktura. Etaten planlegger utvikling og testing av en pilotløsning for vegkontorene i hele Østfold fylke i løpet av 2001.
I januar 2002 planlegger Vegdirektoratet å ha tilgjengelig en tjeneste for registrering av bil og utstedelse av vognkort. Tjenesten vil i første omgang bli tilgjengelig for bilimportørene og bilforhandlerne. Den vil kreve digital signatur fra den som registrerer.
I vedlegg 1er det beskrevet noen konkrete prosjekter som er gjennomført eller gjennomføres, og planer for implementering av ulike former for sikker elektronisk informasjonsutveksling med og i forvaltningen. I disse beskrivelsene er behovene for sikring av kommunikasjonen forsøkt konkretisert i forhold til hver enkelt anvendelse som beskrives.
5 Bakgrunn og rammebetingelser
I dette kapitlet omtales ulike føringer fra inn- og utland. Det er naturlig å starte med EU og OECD, dels fordi de har vært tidlig ute, dels fordi de har lagt premisser for norske arbeider knyttet til digitale signaturer mv. De norske arbeidene utgjør dels politiske utgangspunkter fra regjeringen, med målformuleringer som forutsetter bruk av teknologi for sikker autentisering mv. Dels omtales utredninger som mer konkret har forsøkt å finne ut hvordan man i praksis kan gjøre dette, med forslag til tiltak for å nå de politiske målsettingene. I tillegg presenteres den nye loven om elektronisk signatur og den nye personopplysningsloven, som begge gir rettslige rammebetingelser for noen av de spørsmålene denne utredningen tar opp. Det er skrevet et eget underkapittel om personvernspørsmål knyttet til digitale signaturer mv. Til slutt gis det en kort oversikt over noen viktige leverandører og brukere på det private markedet, som også har betydning for de forslagene vi fremmer for forvaltningen, og for kommunikasjon med forvaltningen.
5.1 Utgangspunkter i EU og OECD
Både EU og OECD har engasjert seg i spørsmålet om autentisering og sikkerhet ved Internett-baserte transaksjoner, men med ulik tilnærming. Mens det i EU er blitt fremmet regulatoriske tiltak, arbeider OECD først og fremst med å dokumentere og sammenlikne ulike tilnærminger til elektronisk signatur-anvendelse i ulike land. OECD har imidlertid også initiert arbeid med sikte på å legge fram retningslinjer for bruk av autentiseringsteknologier, herunder elektroniske signaturer, for å fremme global elektronisk handel og globalt elektronisk samkvem mellom nasjoner. OECD har også utarbeidet retningslinjer for kryptopolitikk, publisert i mars 1997, som gir en generell ramme for bruk av kryptoteknologier.
5.1.1 EU
I 1997 fremmet Europakommisjonen en meddelelse til Ministerrådet som omhandlet autentisering av elektroniske transaksjoner og bruk av elektroniske signaturer og krypteringsteknologi. På grunnlag av Rådets behandling av denne meddelelsen ble det utarbeidet et forslag til direktiv. Det ble lagt fram den 13. mai 1998 og endelig vedtatt den 13. desember 1999.
Andre relevante EU-tiltak er eEurope-handlingsplanen og det flerårige IDA-programmet (Interchange of Data between Administrations).
EU-direktiv om rammeverk for elektroniske signaturer
Direktiv-forslaget ble fremmet med utgangspunkt i EF-traktatens artikkel 47(2), 55 og 95. Forslaget hadde dobbel målsetting. På den ene siden ønsket man å fremme utviklingen av et europeisk indre marked for elektroniske signatur-produkter og -tjenester. På den andre siden ønsket man å legge til rette for rettslig aksept av elektroniske signaturer på tvers av de ulike landenes legale systemer og ulike prinsipper for bevisføring.
Direktivet omhandler krav til, og tilsyn med, tilbydere av sertifikattjenester, og særlig tilbydere av såkalte kvalifiserte sertifikater . Konseptet kvalifisert sertifikat er tett knyttet til direktivets artikkel om rettslig likestilling av en håndskreven og en elektronisk signatur.
I direktivet er det gitt adgang for medlemslandenes forvaltninger til å stille tilleggskrav til elektroniske signaturer som ønskes brukt i forvaltningen.
Nærings- og handelsdepartementet la fram Ot.prp. nr. 82 (1999–2000) om lov om elektronisk signatur for Stortinget i oktober 2000. Loven ble vedtatt i desember 2000, og skal etter planen tre i kraft 1.7.2001, sammen med ny forskrift. Loven peker ut en tilsynsmyndighet for tilbydere av kvalifiserte sertifikater. Det er Post- og teletilsynet som skal ivareta denne oppgaven. Loven er omtalt nedenfor.
Selv om direktivet er ment som en teknologinøytral regulering, så omhandler det i hovedsak digitale signaturer. Direktivet krever imidlertid at elektroniske signaturer ikke nektes bevisverdi bare på det grunnlaget at de er elektroniske. Dette er en stadfesting av det norske prinsippet om fri bevisføring og fri bevisvurdering.
Direktivet slår ellers fast at det ikke er adgang for myndigheter til å forhåndsgodkjenne tilbydere av sertifikattjenester. Men det kan etableres frivillige godkjenningsordninger.
Videre krever direktivet at det utpekes nasjonale organer, som skal godkjenne såkalte sikre signaturframstillingssystemer. Godkjenning gitt av ett medlemsland skal respekteres i de andre landene.
EESSI – European Electronic Signature Standardization Initiative
Europakommisjonen satte i gang EESSI-arbeidet i forbindelse med vedtakelsen av det europeiske direktivet om rammeverk for elektroniske signaturer (1999/93/EC) i desember 1999.
Initiativet er finansiert av Kommisjonen og gjennomføres som et fellestiltak i samarbeid mellom to europeiske standardiseringsorganisasjoner – ETSI (European Telecommunication Standards Institute) og CEN (det europeiske standardiseringsorganet). EESSI styres av en egen styringsgruppe bestående av representanter for industrien og brukere. EESSI rapporterer jevnlig framdriften i arbeidet sitt til EU-komiteen som er etablert i medhold av direktivets artikkel 9.
Formålet med EESSI er å utvikle europeiske standarder som skal kunne støtte gjennomføringen av direktivet. Standardene er ment som en konkretisering av direktivets fire vedlegg med hhv. krav til kvalifiserte sertifikater, krav til utstedere av kvalifiserte sertifikater, krav til sikre signaturframstillingssystemer og anbefalinger for sikker signaturverifisering.
De to organisasjonene utarbeider standardene med tanke på å få dem på plass innen sommeren 2001, som er fristen for implementering av direktivet i medlemslandene.
EESSI har utviklet, eller skal fullføre utviklingen av, følgende standarder:
Standard sertifikatpolicy(er) for utstedere av kvalifiserte sertifikater (ETSI standard TS 101 456) [ 23],
Standardkrav for sikre systemer for utstedelse av sertifikater (CEN/ISSS-utkast, forventes godkjent 1. kv. 2001),
Standard profil for kvalifiserte sertifikater, basert på Internett-standarden RFC 2459 (ETSI standard TS 101 862) [ 24],
Standardkrav for sikre signaturframstillingssystemer (CEN/ISSS-utkast, forventes godkjent 1. kv. 2001),
Standard for elektronisk signatur – format (ETSI TS 101 733),
Standardkrav til signaturframstillingsprosess og -miljø (CEN/ISSS-utkast, forventes godkjent 1. kv. 2001),
Standardkrav til signaturverifiseringsprosess og -miljø (CEN/ISSS-utkast, forventes godkjent 1. kv. 2001),
Standard profil for tidsstempling (ETSI TS 101 861),
Veiledning for testing av samsvar med EESSI-standarder (CEN/ISSS-utkast, forventes godkjent 1. kv. 2001).
Av dette utvalget av standarder er det kun Standardkrav for sikre signaturframstillingssystemer som er faktisk forankret i direktivets artikkel 3.5 (og vedlegg 3). De øvrige standardene vil ha en veiledende funksjon i forhold til praktisk tolkning av direktivets vedlegg 1, 2 og 4.
Det synes å foreligge en uenighet mellom enkelte av medlemslandene når det gjelder hvordan direktivets artikler 3.4 og 3.5 skal tolkes med hensyn til å stille bindende krav til sikre signaturframstillingssystemer. Enkelte land tolker disse artiklene slik at en nasjonal myndighet som er oppnevnt i samsvar med minimumskriterier for utpeking av slike organer, publisert i en beslutning fra Kommisjonen nr. 2000/709/EC av 6.11.2000, kan godkjenne et slikt system etter de standarder som de mener er relevante, eller at Europakommisjonen kan publisere relevante standarder i EU-Tidende og på den måten fastlegge hva som skal legges til grunn for godkjenning av slike systemer. Dette er to alternative måter å godkjenne sikre signaturframstillingssystemer på. Det er viktig å bemerke at direktivet legger opp til at en godkjenning av et sikkert signaturframstillingssystem i ett av medlemslandene automatisk skal gjelde i alle andre medlemsland.
Andre land tolker disse to bestemmelsene slik at Europakommisjonen skal utpeke relevante standarder, og at de nasjonale myndigheter deretter skal godkjenne sikre signaturframstillingssystemer på grunnlag av disse standardene.
Denne tolkningen åpner ikke for noen alternativ måte å godkjenne slike systemer på.
Videre utvikling i EUs implementeringsarbeid på dette området vil trolig ha stor betydning for hvordan nasjonale tilsynsmyndigheter vil utforme, og håndheve, det praktiske regelverket som skal understøtte lovgivningen vedrørende elektroniske signaturer.
I Norge arbeider Nærings- og handelsdepartementet , i samarbeid med Post- og teletilsynet , med utforming av forskrifter til lov om elektronisk signatur. Dette forskriftsverket er ikke ferdig i skrivende stund (januar 2001), men antas å bli påvirket av resultater av EESSI-arbeidet, og deres videre behandling i EU.
Sikre signaturframstillingssystemer kreves for å kunne lage «kvalifiserte signaturer», dvs. signaturer som automatisk oppfyller kravene om underskrift i lovene som åpner for elektronisk kommunikasjon. For alle andre elektroniske signaturer er slike systemer ikke et krav.
eEurope
Europakommisjonen la i desember 1999 fram meddelelsen eEurope – informasjonssamfunnet for alle. Meddelelsen beskrev et initiativ som hadde som mål å framskynde utviklingen og anvendelsen av digitale teknologier i Europa, samt å sikre nødvendig kompetanse for dette. EU-toppmøtet i mars 2000 vedtok å fremme en handlingsplan for utvikling av en digital, kunnskapsbasert økonomi, som skal bidra til vekst, styrke konkurranseevnen og skape nye arbeidsplasser i Europa. eEurope-planen ble lagt fram i juni 2000. Nærings- og handelsminister Grete Knudsen la fram den norske «motparten» til eEurope – eNorge-planen – i slutten av juni samme år.
eEurope-planen omhandler 3 hovedområder for utvikling av e-økonomi i Europa. Innenfor område 1 har man definert tiltak for sikre nettverk og smartkort. Under dette tiltaket er det lagt opp til omfattende arbeid med «trailblazers» (fyrtårn-prosjekter) som skal legge til rette for sikker bruk av elektroniske nettverk ved hjelp av bl.a. PKI-teknologi og bruk av smartkort. I september 2000 ble prosjektet «Offentlig elektronisk ID» foreslått av Finland og Nederland som område 2. Prosjektet har som mål å lage en spesifikasjon og etablere pilotprosjekter for utprøving av et digitalt «identifikasjonsdokument» som skal kunne nyttes på tvers av grensene innen det europeiske fellesskapet. En slik felles elektronisk identitet skal basere seg på bruk av PKI og smartkort som lagringsmedium.
IDA-programmet
Det flerårige IDA-programmet (Interchange of Data between Administrations) har eksistert siden 1994. Programmet har som mål å legge til rette for effektiv elektronisk informasjonsutveksling mellom medlemslandenes forvaltninger og EU-organer. Programmet har gjennomført en rekke prosjekter, fra utprøving av sektororienterte informasjonsnettverk til utvikling og implementering av felles infrastrukturer for informasjonsutveksling over landegrensene. PKI er blitt tatt i bruk i IDA i ett sektornettverk – på legemiddelkontrollområdet. Det sentrale EU-legemiddelkontoret i London, nasjonale legemiddelkontrollmyndigheter, samt farmasøytisk industri kan få adgang til en «sikker server» med dokumenter ved å bruke PKI-løsninger fra selskapet GlobalSign. Videre er det i tilknytning til det såkalte TESTA-prosjektet, som skal utvikle et EU-stamnett for informasjonsutveksling, tatt initiativ til etablering av en interoperabel PKI mellom landenes forvaltninger. Det legges opp til bruk av PKI for sikker utveksling av e-post mellom de europeiske organene og de nasjonale forvaltningene. Dette vil kreve sentrale løsninger for å få til samvirke (interoperabilitet) mellom de nasjonale PKI-løsningene. Arbeidet med dette ble startet tidlig i november 2000.
5.1.2 OECD
I OECD -landene ansees bruk av kryptering som viktig i elektronisk kommunikasjon. Først og fremst anser man at det i en situasjon med utstrakt kommunikasjon over åpne nett (Internett) er viktig å kunne identifisere seg overfor en annen part. Derfor er det lagt stor vekt på å belyse og få fram ulike lands tilnærminger når det gjelder politikk for elektronisk identifikasjon, dvs. å kunne autentisere seg, og kartlegge den rettslige situasjonen på området. På et tidligere tidspunkt, da spørsmålet om bruk av kryptering til ulike formål var mer uklart, og man ikke skilte klart mellom kryptering for å skjerme innhold for innsyn fra uvedkommende (konfidensialitet) fra kryptering til bruk for identifikasjon og for å sikre at informasjonen ikke endres underveis (autentisitet/integritet), trakk OECD opp retningslinjer for bruk av kryptering i OECD-landene. Disse retningslinjene har Norge sluttet seg til. De er omtalt nedenfor.
OECD Inventory of Approaches to Authentication (identifikasjon/autentisering)
En statusrapport over tilnærminger til bruk av autentiseringsteknologier er utarbeidet på grunnlag av innspill fra medlemslandene og ventes å foreligge våren 2001. Den skal danne grunnlag for en OECD-ministerrapport i 2001 vedrørende status for implementering av deklarasjonen vedrørende autentisering fra Ottawakonferansen i 1998.
OECD Inventory of Impediments to Electronic Communication (rettslige hindringer)
OECD besluttet i juni 1999 å gjennomføre en begrenset undersøkelse av medlemslandenes lovgivning med tanke på hvordan elektronisk kommunikasjon er behandlet, og særlig spørsmålet om juridisk gyldighet av elektroniske signaturer samt eventuelle hindringer for slik gyldighet. Utkast til rapport ventes i januar 2001. Det legges vekt på å få oversikt over avtalerett, forvaltningsrett, transportområdet og finansielle tjenester.
På grunnlag av rapporten vil det bli vurdert om det er hensiktsmessig at OECD utarbeider og publiserer retningslinjer for bruk av elektroniske signaturer. Det har eksistert en intern uenighet i OECD om mulige retningslinjer. Den forventede kartleggingsrapporten kan bidra til at retningslinjearbeidet gjenopptas.
OECD’s retningslinjer for kryptopolitikk
I mars 1997 vedtok OECD anbefalinger til medlemslandene om retningslinjer for «kryptopolitikk», 2 som også er tilgjengelig i en norsk oversettelse fra Nærings- og handelsdepartementet (både i hefteform og på nettsiden deres).
I retningslinjene anbefales medlemslandene å unngå umotiverte hindringer for bruk av krypteringsteknologi, fordi slike hindringer kan ha negativ effekt på framveksten av internasjonal handel og kommunikasjonsnettverk.
Retningslinjene legger til grunn at brukerne fritt skal kunne velge mellom ulike krypteringsteknologier, og at teknologier og standarder skal være styrt av markedets behov. Videre skal individets rett til å kommunisere uten andres uautoriserte innsyn respekteres, og lovhjemlet adgang til kryptert kommunikasjon må respektere disse prinsippene. Dette innebærer bl.a. at man må skille mellom krypteringsteknologi benyttet for innholdskryptering og denne teknologien brukt i forbindelse med signering og integritetssikring av meldinger. I retningslinjene understrekes videre behovet for klarlegging av tjenestetilbydernes ansvar for tjenestene og brukernes ansvar for misbruk av krypteringsnøkler. Avslutningsvis påpekes behovet for internasjonalt samarbeid for å unngå hindringer for internasjonal handel.
Retningslinjenes mål er å fremme bruk av krypto, skape tillit til infrastrukturer, nettverk og systemer, og bruken av disse, nasjonalt og globalt. Dette er både av hensyn til offentlig og privat sektor, internasjonal handel, og for den enkelte borger. Samtidig vektlegges det sterkt at denne utviklingen ikke må komme i konflikt med nasjonale hensyn knyttet til politi- og påtalemyndighetenes kriminalitetsbekjempelse eller rikets sikkerhet. Gjennom retningslinjene har de 29 medlemslandene i OECD understreket betydningen av at man på global basis har felles normer for bruk av krypto.
Sammen med retningslinjene, og i samme dokument, har OECD lagt fram en rapport om bakgrunnen for kryptopolitikk, der en rekke problemstillinger knyttet til slik politikk gjennomgås. Denne rapporten er ikke ment som forarbeid til retningslinjene på en slik måte at den kan legges til grunn ved tolkning av disse.
Innholdskryptering vil ikke bare hindre uvedkommende innsyn i en kommunikasjon, men også vanskeliggjøre eller umuliggjøre etterforskning og avlytting i regi av politi og myndigheter. Dette griper inn i forhold som også kan ha med nasjonal sikkerhet å gjøre. De fleste land har ført en streng eksportkontroll med teknologi som kan benyttes til kryptering. I mange dataprogrammer som selges fra USA, har kryptofunksjonalitet blitt fjernet eller sterkt redusert. Andre land har også ført en til dels streng regulering med nasjonal bruk av krypteringsteknologi. Konfidensialitet er derfor et område der det har vært langt vanskeligere å komme fram til internasjonale løsninger enn for elektroniske/digitale signaturer og rene autentiseringstjenester.
Flere OECD-land har endret sin politikk etter å ha deltatt aktivt i det konsensusorienterte arbeidet med utarbeidelsen av retningslinjene. F.eks. har USA de siste årene gradvis lettet betydelig på sine eksportrestriksjoner, antakelig av hensyn til sin egen krypto- og dataindustris konkurransemuligheter på et globalt marked. Fokus går nå i retning av at sivil sektor blir storbruker av ulike typer kryptoløsninger, både forvaltninger og ikke minst handels- og næringslivet. Tiden da krypto «bare» ble sett på som våpen, eller kun forbeholdt militære og diplomatiske hemmeligheter, er forbi. Nå er parolen at man i tillegg, og i sterkt økende grad, trenger «krypto til folket» og til sivil og offentlig sektor utenfor anvendelser som knytter seg til rikets sikkerhet.
5.2 Utgangspunkter i Norge
5.2.1 eNorge 2.0
Nærings- og handelsdepartementet har i samarbeid med fjorten andre departementer laget en handlingsplan som kalles eNorge. eNorge har som mål å utvikle et informasjonssamfunn for alle. Dette er en operativ plan som beskriver løpende status, hva som må gjøres, hvem som har ansvaret, og når tiltakene skal gjennomføres. Planen rulleres hver 6. måned. Den første utgaven kom 29. juni 2000, og versjon 2.0 ble presentert av nærings- og handelsministeren 11. desember 2000.
Regjeringen vil med dette bidra til at alle får tilgang til den nye teknologien, øke befolkningens kompetanse, samt gjennomføre tiltak som øker tilliten. Det er et mål at IKT (informasjons- og kommunikasjonsteknologi) skal være sikker og tilgjengelig for alle – uavhengig av kompetansenivå.
Noen hovedutfordringer i denne forbindelse nevnes innledningsvis i planen:
Fjerning av hindre for elektronisk kommunikasjon – Regjeringens mål er at elektronisk kommunikasjon skal bli like akseptert og få samme juridiske holdbarhet som skriftlig kommunikasjon. Utvalget legger til grunn at man med uttrykket «skriftlig» tenker på det som er papirbasert. At dette er et uttrykk som i økende grad brukes om elektronisk basert skriftlighet også, er et annet tema. Det vises videre under dette punktet til arbeidet med å identifisere og fjerne hindringer i regelverket for elektronisk kommunikasjon, jf. omtalen nedenfor om eRegel-prosjektet (tidligere kalt Kartleggingsprosjektet ). Det understrekes at målet er en felles proposisjon for Stortinget som kan fremmes innen 1. august 2001.
Sårbarhet knyttet til IKT identifiseres som et innsatsområde, der den videre utbredelsen av IKT i Norge ansees avhengig av tillit til systemene.
Regjeringens handlingsplan for bredbåndskommunikasjon ble lagt fram 11. oktober 2000. Målet er å bidra til en rask og bred utbygging av bredbåndsnett i regi av markedsaktørene, med dekning av hele landet. Offentlig etterspørsel skal stimuleres for å kunne bidra til nye investeringer fra markedsaktørene, som i sin tur kan bidra til å fornye offentlig sektor.
Ett viktig tiltak i Regjeringens fornyelsesprogram er en døgnåpen forvaltning og en effektivisering av forvaltningen ved hjelp av IKT. Dette skal bl.a. oppnås ved at forvaltningen skal bli lettere tilgjengelig for befolkningen, ved selvbetjeningsløsninger over Internett, slik at brukerne kan få utført tjenestene på en rask og sikker måte når de selv har behov for dem. Alle statlige etater skal utarbeide strategier og konkrete tiltak innen mai 2001 for å nå målet om en døgnåpen og brukerorientert forvaltning, slik at elektroniske tjenester og elektronisk saksbehandling blir et hovedtilbud til brukerne innen ultimo 2003.
eNorge-planen skal sikre at Norge har minst like ambisiøse mål som det EU har formulert i eEurope-planen omtalt ovenfor. Målet er å følge opp alle initiativ som settes i gang på bakgrunn av eEurope. De viktigste mål og tiltak i eEurope 2002 – Action Plan er følgelig dekket i eNorge-planen, som i tillegg inneholder tiltak med utgangspunkt i spesielle norske utfordringer.
Planen er delt inn etter fem hovedtemaer/brukerroller: Individ, kultur og miljø – Læring hele livet – Næringslivet – Arbeidslivet – Offentlig sektor. For offentlig sektor pekes det på behovet for en moderne forvaltning der IKT skal bidra til å bedre kvaliteten på tjenestene, innenfor rammene av personvern, rettssikkerhet, krav til dokumentasjon og innsynsrett, med understrekning av at det er viktig med tilgang på informasjon som er oppdatert, pålitelig og landsdekkende. For helsesektoren understrekes det at ny teknologi skal bidra til å bedre tjenestetilbud, samarbeid og informasjonsutveksling, med fokus bl.a. på å videreutvikle de regionale helsenettene, knytte dem sammen til et nasjonalt helsenett, tilby sikker tilgang til Internett og etablere tilbud av nasjonale informasjonstjenester. En ny statlig IKT-tiltaksplan for helse- og sosialsektoren for 2001–2003 ble lagt fram av helseministeren den 31.1.2001. Også samferdselssektoren og utenriks- og utviklingssektoren er framhevet spesielt i den delen av planen som omfatter offentlig sektor.
5.2.2 Rådet for IT-sikkerhet
Rådet for IT-sikkerhet (RITS) ble opprettet våren 1996, som et forum for erfaringsutveksling, med en rådgivende funksjon overfor departementene. Rådet skulle ta opp saker av felles interesse, og ta tverrsektorielle initiativer ved behov. Rådet ble etablert under Administrasjonsdepartementet og pr. januar 1998 flyttet til Nærings- og handelsdepartementet. Et antall departementer og direktorater deltok i RITS. Det ble etablert arbeidsgrupper for å lage utredninger på områder som det var enighet om å prioritere. Arbeidsgruppene fikk bred deltakelse, også fra kommune-Norge og privat sektor. Dette resulterte i tre rapporter som ble behandlet av RITS, og sendt videre til Næringsdepartementet med Rådets anbefalinger. Rapportene er omtalt nedenfor.
Digitale signaturer gir tillit til elektronisk kommunikasjon: Forslag til tiltak for aksept og utbredelse. Rapport med forberedende utredning, avgitt til Rådet for IT-sikkerhet 30.11.1998 [ 63].
Arbeidsgruppen som laget denne utredningen var bredt sammensatt med 17 deltakere, fra departementer og direktorater, næringslivet og universitetet. To tidligere utredninger for RITS dannet en bakgrunn:
Sertifisering av IT-sikkerhet i produkter, systemer og organisasjoner (Sluttrapport 13. november 1997) [ 64]
Regjering og Storting vedtok i 1998 at det skulle etableres to nye sertifiseringsordninger. Arbeidet med å etablere disse ble satt i gang i 1999 av Forsvarets overkommando/Sikkerhetsstaben, som fikk i oppgave å etablere en sivil ordning for sertifisering av IT-sikkerhet i produkter og systemer, og av Norsk Akkreditering, som fikk i oppdrag å etablere en ordning for sertifisering av IT-sikkerhet i organisasjoner.
Sluttrapport fra utvalg for vurdering av behov for kryptopolitikk (10. november 1997) [ 65].
Ett politisk mål (av mange) var formulert slik i Den norske IT-veien . Bit for bit [ 70], pkt. 3.3.6:
Elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som tradisjonell papirbasert skriftlig kommunikasjon og dokumentasjon.
For å nå dette målet ble det presisert at det måtte avklares en rekke forhold og utvikles nye fellesordninger med klar ansvarsplassering.
Dette punktet kommenteres av arbeidsgruppen for kryptopolitikk, nevnt over. Gruppen hevdet følgende:
Oppnåelse av dette mål medfører at informasjonen må beskyttes mot innsyn fra uvedkommende, at den er beskyttet mot uautoriserte endringer, at den må utstyres med elektroniske signaturer som er juridisk og teknologisk likeverdig med håndskrevne signaturer, og at informasjonen er tilgjengelig for autoriserte brukere ved behov. Målet kan bare nås dersom det er etablert en homogen kryptopolitikk, det etableres troverdige kryptoløsninger for å sikre konfidensialitet, og det etableres en infrastruktur for elektroniske signaturer og sertifisering av disse, dvs. en tiltrodd tredjepartstjeneste (TTP). Juridiske og policymessige aspekter må utredes.
I forlengelsen av dette ble utredningen om digitale signaturer datert 30.11.98 gjennomført. Den konkluderte med å foreslå 14 tiltak, fordelt på tre hovedområder: For det første ble det anbefalt å prioritere sterkt et videre arbeid med regelverket for å oppnå rettslig aksept og likestilling (jf. det seinere Kartleggingsprosjektet/eRegel-prosjektet), for det andre burde man gå dypere inn i forutsetningene for å legge til rette og gi rammebetingelser for bl.a. en frivillig godkjenningsordning for TTP-er (jf. det seinere utvalget om myndighetsroller mv., Torvundutvalget ), for det tredje burde man vinne betydelig mer erfaring gjennom praktiske forsøk og piloter med brede anvendelsesområder. Arbeidet med rettslig aksept og konkrete pilotforsøk ble ansett som viktigst å følge opp.
Det ble generelt understreket i rapporten at det er næringslivet og markedet som er hovedaktører med hensyn til styring av teknologisk og markedsmessig utvikling, mens myndighetenes rolle er å gi bidrag ved å være god bruker, samt på utvalgte områder legge til rette for særlig de delene av markedet som har behov for et noe høyere sikkerhetsnivå enn det ordinære og generelt lave nivået. Et viktig premiss var at markedet ikke skulle hemmes av myndighetenes tiltak. Et frivillighetsprinsipp skulle råde, f.eks. i forhold til en eventuell godkjenningsordning for TTP-er. Norske løsninger måtte bygge på tilsvarende internasjonale normer, kriterier og standarder, og det ble anbefalt at Norge deltar aktivt i den videre utviklingen av disse.
Rådet for IT-sikkerhet ble nedlagt, og et nytt Forum for IT-sikkerhet opprettet i år 2000, med nytt mandat og nye deltakere. Forumet er bredere sammensatt, med faste representanter også fra næringslivet og det akademiske miljøet. Det skal identifisere viktige saker og gi grunnlag for Nærings- og handelsdepartementets prioriteringer.
5.2.3 Forvaltningsnettsamarbeidets rammeavtaler om digitale signaturer (produkter og tjenester)
Bakgrunn og historikk
Arbeids- og administrasjonsdepartementet og Kommunenes Sentralforbund tok initiativet til Forvaltningsnettprosjektet i 1996 på grunnlag av anbefalingene i KOSTIT -strategiplanen framlagt i 1995. Målet for prosjektet var å fremme enkel, sikker og kostnadseffektiv elektronisk informasjonsutveksling innad i forvaltningen og utad mot andre brukere.
Målsettingen skulle realiseres ved å inngå rammeavtaler med utvalgte leverandører av datatjenester og -produkter, teletjenester og -produkter samt leverandører av fellestjenester som f.eks. konvertering av e-post basert på felles kravspesifikasjoner. I tillegg skulle prosjektet sørge for etablering av en rekke andre typer fellestjenester som er nødvendige for en helhetlig og vel fungerende elektronisk infrastruktur.
Rammeavtalene for produkter og tjenester kan benyttes av virksomheter innen offentlig sektor (stat eller kommune), og i enkelte tilfeller også av aktører som i hovedsak finansieres av offentlig virksomhet, f.eks. privatpraktiserende leger. Forvaltningsnettprosjektet tok i april 1998 initiativ til å etablere en arbeidsgruppe ledet av Arbeids- og administrasjonsdepartementet (AAD), som fikk i oppdrag å utarbeide en kravspesifikasjon for løsninger for digitale signaturer og tilhørende tiltrodde tredjepartstjenester. Bakgrunnen for dette var et stigende behov for slike tjenester i forbindelse med iverksetting av ulike prosjekter vedr. elektronisk informasjonsutveksling i forvaltningen.
I gruppen deltok i tillegg til AAD Nærings- og handelsdepartementet, Sosial- og helsedepartementet, Kommunal- og regionaldepartementet, Statistisk sentralbyrå, Skattedirektoratet, Kompetansesenteret for IT i Helsevesenet og Norsk EDIPRO. Brønnøysundregistrene var observatør. Norsk Regnesentral var sekretær for gruppen og hadde hovedansvaret for utforming av kravspesifikasjonen. Gruppen samarbeidet tett med RITS’ 3 arbeidsgruppe for digitale signaturer som gjennomførte sin utredning da.
I desember 1998 ble det utlyst en forespørsel etter TTP-tjenester (sertifikattjenester) samt systemer for digitale signaturer og meldingskryptering.
Rammeavtale om digitale signaturer og TTP-tjenester ble undertegnet 12.5.1999, med varighet fram til 1.6.2000, seinere forlenget til 1.6.2001. De leverandørene som leverer TTP-tjenester (også sertifikattjenester), er Posten SDS (nå ErgoGroup ), Strålfors og Telenor .
Avtalens innhold og struktur
Rammeavtalen om digitale signaturer og TTP-tjenester følger den generelle strukturen i alle rammeavtaler under Forvaltningsnettsamarbeidet. Dette innebærer at for denne avtalen gjelder «Generelle vilkår» samt en rekke «Spesielle vilkår». Det er utviklet «Spesielle vilkår» for TTP-tjenester spesielt for dette området. Kjøp av programvare og utstyr for digitale signaturer skjer under «Spesielle vilkår» for kjøp av programvare. Det er i tillegg anvendt en rekke «Spesielle vilkår» for kjøp av pakkeløsninger, konsulenttjenester, vedlikeholdsavtaler med mer. «Standard kjøpsavtale» inngår også i de juridiske rammevilkår for avtalen.
Den 15.9.1999 undertegnet de tre leverandørene av sertifikattjenester (TTP-tjenester) som finnes i avtalen, en egen tredjepartsavtale om krysssertifisering seg imellom. Denne avtalen oppfyller vilkår stilt i «Spesielle vilkår» for TTP-tjenester, punkt 1, om at disse leverandørene skal kryssertifisere. Rammeavtalen ble åpnet for bestilling fra samme dato. Kryssertifiseringsavtalen skal være et eget bilag til kjøpsavtalen ved bestilling via rammeavtalen.
Kryssertifiseringsavtalen berører hovedsakelig to forhold:
Tillit til hverandres sertifikater og erstatningsvilkår knyttet til dette,
Samtrafikk mellom sertifikatkataloger hos de tre leverandørene for å tillate enkle søk etter sertifikater og enkel uthenting av CRL (tilbaketrekkingslister ).
Grunnlaget for kryssertifisering/godkjenning av hverandres sertifikater er en felles sertifikatpolicy basert på SEIS S10 [ 68]. Policyen kalles FSP-1 4. Denne policyen ble også med tilbakevirkende kraft lagt til grunn for leveranse av TTP-tjenester under rammeavtalen (istedenfor SEIS S10).
I følge Kryssertifiseringsavtalen skulle alle leverandører gjennomføre en revisjon av sine TTP-virksomheter på to nivåer: 1) at sertifikatpraksis faktisk implementerer FSP-1 og 2) at den faktiske gjennomføringen av tjenesten samsvarer med sertifikatpraksis.
Revisjon ble gjennomført hos alle tre leverandørene, og kryssertifikater ble utvekslet 15.9.2000 (5.10.2000 med Strålfors).
Leverandørene av TTP-tjenester forpliktet seg til å følge navne- og identifiseringsreglene til FNS. Disse er nedfelt i en egen rapport [ 28] og videre i sertifikatpolicyen FSP-1. Disse reglene innebærer bl.a. at det skal medtas offisielle navn fra folkeregisteret og fra Brønnøysundregistrene i sertifikater på henholdsvis personer og organisasjoner.
Grafisk kan avtalestrukturen illustreres som i figur 5.1.
Figur 5.1 Digital signatur
Relevante dokumenter
En rekke dokumenter foreligger i tilknytning til FNS-rammeavtale om digitale signaturer med tilhørende tjenester (se http://forvaltningsnett.dep.no):
Forvaltningsnettsamarbeidets Sertifiseringspolicy nr. 1 (FSP-1). Høysikkerhets sertifiseringspolicy for utstedelse av x.509-baserte sertifikater for personer og virksomheter i norsk offentlig forvaltning. (FNS-rapport 8/99) [ 2],
Navn og identifikatorer i sertifikater i Forvaltningsnettsamarbeidet. Anbefalinger fra arbeidsgruppe. (FNS-rapport 6/99) [ 28],
Anskaffelse og innføring av digital signatur med tilhørende tjenester. Veileder. (FNS-rapport 12/99),
Avtale om kryssertifisering mellom Posten SDS og Strålfors AS og Telenor AS med vedlegg,
Kravspesifikasjon for tiltrodde tredjepartstjenester, digital signatur og meldingskryptering, versjon av 8.5.1999 (Vedlegg 1 til rammeavtalen),
Spesielle vilkår for Tiltrodd Tredjepartstjenester med tillegg (endring av § 2.13),
Generelt FNS-avtaleverk. (FNS-rapport 5/99).
5.2.4 Elektronisk forvaltning . Handlingsplan for tverrsektoriell IT-utvikling (1999–2001)
Arbeids- og administrasjonsdepartementet la fram handlingsplanen i januar 1999. Formålet med planen var å trekke opp utfordringer og definere strategier og tiltak som skal legge til rette for formålstjenlig og effektiv IT-anvendelse i hele statsforvaltningen, på tvers av sektorene.
Handlingsplanen søker å svare på tre spørsmål om utvikling av bruken av informasjonsteknologi (IT) i statsforvaltningen:
Hvordan kan IT brukes for å understøtte overordnede mål for forvaltningsutviklingen?
Hvilke oppgaver må løses for å få IT-systemer og IT-løsninger i de ulike sektorer til å virke sammen i en helhetlig og effektiv elektronisk forvaltning?
Hvilke generelle grep og råd kan sikre effektiv og hensiktsmessig utvikling og anvendelse av IT i den enkelte sektor?
Det første spørsmålet dreier seg om strategisk anvendelse av IT for statsforvaltningen som et hele. Det andre spørsmålet fokuserer på koordinering og samordning av sektorenes IT-bruk. Det tredje spørsmålet omhandler metoder og retningslinjer for god utvikling og anvendelse av IT innen den enkelte sektor.
Til sammen definerer disse tre spørsmålene grunnlaget for den tverrsektorielle IT-utviklingen i statsforvaltningen. Det er innenfor de nevnte områdene at de sektorspesifikke IT-strategiene som utvikles av det enkelte fagdepartement, bør suppleres og understøttes av tverrsektorielle strategier og tiltak.
Med dette utgangspunktet skisserer Elektronisk forvaltning planene for den tverrsektorielle IT-utviklingen i statsforvaltningen i perioden 1999 til 2001. Den er et supplement til IT-strategiene som utvikles av det enkelte fagdepartement.
Handlingsplanen definerer åtte innsatsområder for den tverrsektorielle IT-utviklingen i statsforvaltningen i perioden 1999–2001. Disse åtte områdene er:
År 2000-sikkerhet,
Infrastruktur,
IT-sikkerhet,
Informasjonstjenester på Internett,
Elektronisk saksbehandling,
Elektronisk datautveksling,
Elektronisk handel i offentlige innkjøp,
Styring og organisering av IT.
Under området infrastruktur slås det bl.a. fast at i forbindelse med elektronisk handel, elektronisk saksbehandling og datautveksling melder det seg et økende behov for etablering av en infrastruktur for offentlignøkkel-kryptografi (såkalt Public Key Infrastructure, PKI). Etablering av elementer i en slik infrastruktur for autentisering, digitale signaturer og kryptering (konfidensialitet) i statsforvaltningen er definert som ett av hovedtiltakene under området. Det skal legges til rette for slik etablering bl.a. gjennom innkjøpsordningen under Forvaltningsnettsamarbeidet, se punkt 5.2.3.
5.2.5 eRegel-prosjektet (tidligere kalt Kartleggingsprosjektet)
Prosjektet for kartlegging og fjerning av bestemmelser i lover, forskrifter og instrukser som kan hindre elektronisk kommunikasjon, ble initiert i mars 1999, etter et felles initiativ fra arbeids- og administrasjonsministeren, justisministeren og nærings- og handelsministeren. Prosjektet ble kalt Kartleggingsprosjektet .
Det overordnede målet for prosjektet er at elektronisk kommunikasjon skal være like pålitelig, tillitvekkende og juridisk bindende som den papirbaserte.
Prosjektet har en styringsgruppe med representanter for de tre departementene. Det praktiske arbeidet ledes av Nærings- og handelsdepartementet (NHD). Den første fasen av prosjektet, der samtlige lover, forskrifter og instrukser ble gjennomgått med tanke på å identifisere hindringer for elektronisk kommunikasjon, ble avsluttet 30.9.1999. Funnene fra kartleggingen ble presentert i en omfattende rapport, som ble lagt fram medio juni 2000 [ 47]. Rapporten tar for seg typeeksempler på hindringer og vurderer hvorvidt hensynene bak forskjellige formkrav for papirbasert kommunikasjon også kan ivaretas ved elektronisk kommunikasjon.
Regjeringen besluttet i september 2000 at de identifiserte hindringene skal fjernes, slik at et oppdatert lov- og regelverk kan tre i kraft innen 1.1.2002.
Det forelå tre ulike alternativer til måten endringene skulle gjennomføres på:
Vedta en generell lov om elektronisk kommunikasjon som vil likestille elektronisk kommunikasjon med den papirbaserte på tvers av hele lovverket. Forvaltere av lov- og regelverk må gå gjennom sine lover, forskrifter med mer for eventuelt å gjøre særskilte unntak fra denne generelle regelen, der slik likestilling ikke er ønskelig ut fra begrunnede hensyn.
Endre relevante lover, forskrifter og instrukser hver for seg, slik at hindringene fjernes og det legges til rette for elektronisk kommunikasjon.
Innføre et pålegg i lovs form om å legge til rette for elektronisk kommunikasjon i regelverket med adgang til å klage på manglende tilrettelegging. Innebærer ellers en gjennomgang av, og endring i, hver enkelt bestemmelse.
Regjeringen besluttet at endringene skal gjennomføres etter alternativ 2.
Prosjektet, som har endret navn til eRegel-prosjektet, er nå i en ny fase. Arbeidet i denne fasen gjennomføres etter en plan der alle departementer skal sende ut lovendringsforslag på høring innen 15.1.2001 med høringsfrist 1.3.2001. Reviderte forslag skal så innarbeides i en felles Ot.prp. som skal fremmes av NHD. Proposisjonen skal etter planen fremmes 1.8.2001.
Det forventes at de foreslåtte endringene skal tre i kraft pr. 1.1.2002.
Samtidig med lovendringsarbeidet skal det foregå endringsarbeid i forskrifter og instrukser. Det forventes at endrede forskrifter og instrukser skal tre i kraft 1.7.2001. Forskrifter til lover som foreslås endret i den felles proposisjonen, skal endres slik at de trer i kraft samtidig med den endrede loven, dvs. 1.1.2002. Hvert departement skal også innen denne datoen rapportere til NHD om begrunnelse for de unntak som bør opprettholdes.
Som en del av arbeidet i eRegel-prosjektet skal forvaltningsloven endres slik at den eksplisitt skal legge til rette for elektronisk kommunikasjon i forvaltningssaker. Det forventes at det blir innført en ny hjemmel i denne loven, for å kunne gi nærmere bestemmelser om hvordan slik elektronisk kommunikasjon skal foregå. Utvalget mener at utvalgets innstilling på mandatets punkt 6, kapittel 11, kan danne et grunnlag for slik regulering.
5.2.6 Stortingsmelding nr. 41 (1998–99) Om elektronisk handel og forretningsdrift
Mål og strategier for elektronisk handel og forretningsdrift i Norge ble presentert i 1998 i rapporten En utkant i forkant. Næringsrettet IT-plan. Den ble lagt fram av Nærings- og handelsdepartementet på grunnlag av St.meld. nr. 41 (1997–98) om næringspolitikk inn i det 21. århundre som trakk opp hovedlinjene for næringspolitikken framover.
Stortingsmelding nr. 41 (1998–99) ble godkjent i statsråd 11. juni 1999. Visjonen som lå til grunn var at Norge skal være i fremste rekke når det gjelder den globaliserte IT-utviklingen, samtidig som man ønsket å legge en bevisst kurs når det gjelder de samfunnsmessige sidene ved utviklingen. Med denne stortingsmeldingen ønsket regjeringen å gi impulser til ny næringsutvikling, og man så elektronisk handel som et viktig vekstområde. Regjeringen var samtidig opptatt av å utfordre næringslivet til å innta en offensiv holdning til samfunnsmessige hensyn som forbrukervern og personvern, og heller gjøre dette til fortrinn framfor problemer.
Videre så regjeringen et behov for å gjøre opp status, trekke opp hovedlinjene i politikken og identifisere viktige innsatsområder for videre arbeid. Fordi det har vært en viss usikkerhet om de rettslige rammebetingelsene for elektronisk handel, var det et mål å informere om hva som ansees å være uproblematisk og derfor ikke til hinder for elektronisk handel, og samtidig opplyse om de prosesser som er iverksatt for å fjerne hindringer.
Elektronisk handel reiser utfordringer som bør debatteres politisk. Regjeringen mente at elektronisk handel angår så mange ulike samfunnsområder og samfunnshensyn at en bred og engasjert debatt om samfunnsmessige utfordringer og muligheter for verdiskapning og næringsutvikling, er nødvendig. Denne debatten vil samtidig bidra til spredning av kunnskap på området og gi innsikt i utviklingen internasjonalt. Dette kan bidra til raskere utvikling og utbredelse av elektronisk handel og forretningsdrift.
Hovedvekten i meldingen ble lagt på de næringspolitiske utfordringene og på hvilken rolle myndighetene og offentlig sektor for øvrig bør inneha for å tilrettelegge for utviklingen.
Meldingen slo fast at i arbeidet med elektronisk handel vil følgende prinsipper bli lagt til grunn:
Elektronisk handel vil bli drevet fram av markedet i form av produkter og tjenester som bedrifter og forbrukere vil etterspørre.
Der myndighetene griper inn, må dette skje i full åpenhet og dialog med de berørte parter.
Reguleringene må være nøytrale i forhold til teknologi og ikke være bundet til bestemte teknologiske løsninger.
Meldingen slo videre fast at målene om utvikling og spredning av elektronisk handel i Norge, skal nås gjennom systematisk arbeid i henhold til fem hovedstrategier:
Det må utformes forutsigbare rettslige og økonomiske rammebetingelser for elektronisk handel som sikrer norske bedrifters konkurranseevne nasjonalt og internasjonalt,
Det må utvikles infrastruktur og tjenester som forenkler bruken og gir tilgang for alle potensielle brukergrupper over hele landet,
Det må bli tilstrekkelig mange brukere av elektronisk handel. Bl.a. vil offentlig sektor, gjennom å ta i bruk elektronisk handel i offentlige innkjøp, bidra til dette,
Det må utvikles kunnskap og innsikt i elektronisk handel for å skape valgfrihet og motvirke uheldige og uønskede konsekvenser,
Det skal arbeides for aktiv ivaretakelse av sosiale og samfunnsmessige hensyn som sikkerhet, personvern og forbrukervern, herunder hensynet til barn og unge, og håndtere dette slik at det kan bli et konkurransefortrinn for norske aktører.
Elektronisk signatur ble ansett som et viktig virkemiddel i flere av disse strategiene. Forslag til regulering av elektroniske signaturer, se punkt 5.2.8, ville bidra til forutsigbarhet i rammebetingelsene, og infrastruktur for digitale signaturer (offentlignøkkel-infrastruktur), som er en viktig komponent i nødvendig infrastruktur for e-handel. Videre er målet om innføring av elektronisk handel i offentlige innkjøp avhengig av at slike infrastrukturer er tilgjengelige.
Meldingen ble debattert i Stortinget i mars 2000. I næringskomiteens innstilling S. nr. 127 (1999–2000) ble det bl.a. lagt vekt på at offentlig forvaltning må kunne dra nytte av utviklingen innen elektronisk handel og forretningsdrift, bl.a. ved å legge til rette for omfattende elektronisk innrapportering fra bedriftene. Det ble pekt på at forvaltningen og næringslivet i denne sammenheng kan dra nytte av en felles infrastruktur. Det ble videre poengtert at det er behov for å ta i bruk internasjonalt forankrede sertifiseringsordninger for å øke sikkerheten og skape tillit til aktørene i elektronisk handel. Det ble særlig pekt på behov for sikre og pålitelige løsninger for betalingsformidling.
5.2.7 Elektroniske signaturer. Myndighetsroller og regulering av tilbydere av sertifikattjenester
Det såkalte Torvundutvalget ble oppnevnt av Nærings- og handelsdepartementet i juni 1999 og avla sin rapport i januar 2000, bl.a. på bakgrunn av Rådet for IT-sikkerhets (RITS ) behandling av rapporten Digitale signaturer skaper tillit [ 63]. Utvalget skulle utrede rammebetingelser for leverandører av digitale signaturer i Norge med utgangspunkt i EU’s forslag til regulering av området gjennom direktivet vedrørende rammebetingelser for elektroniske signaturer (EC/93/1999).
Hovedspørsmålene som utvalget skulle utrede, omfattet:
Frivillig godkjenningsordning for TTP-virksomhet og krav til slik virksomhet. Utvalget skulle vurdere hvilket tillitsnivå som ansees nødvendig for at TTP-virksomhet skal kunne anerkjennes rettslig, og med dette som utgangspunkt legge fram konkrete forslag til hvordan en frivillig godkjenningsordning og/eller tilsynsorgan skal etableres, helst med utgangspunkt i allerede etablerte ordninger.
Anerkjennelse av sertifikater. Utvalget skulle legge fram forslag til hvordan gjensidig anerkjennelse av sertifikater mellom tjenesteleverandører i Norge og i forhold til utenlandske leverandører kan sikres på en hensiktsmessig måte.
Typer av roller i markedet. Hvilke roller og oppgaver bør utføres som ledd i forretningsvirksomhet i markedet, og hvilke bør eventuelt utføres av sentrale myndigheter?
Finansiering av TTP-virksomhet. Dersom det offentlige gis ansvar for visse oppgaver knyttet til TTP-virksomhet, hvordan bør de finansieres?
Modeller i andre land. Utvalget skulle kort gjøre rede for typiske modeller som er anvendt på spørsmålene 1–4 i andre land, som f.eks. Danmark, Sverige og England.
Økonomiske og administrative konsekvenser.
Utvalget besto av deltakere fra Institutt for rettsinformatikk, Universitetet i Oslo (leder), Arbeids- og administrasjonsdepartementet, Den norske Bankforening, Post- og teletilsynet, Finansdepartementet, Norsk Hydro og Nærings- og handelsdepartementet. Sekretariatet ble ivaretatt av Statskonsult.
Det ble trukket fram som grunnleggende premisser for utvalgets innstilling at en regulering av sertifikatutstedere ikke bør være med på å øke prisene på sluttproduktene og -tjenestene i vesentlig grad, samtidig som behov for ordninger som skaper tillit blir ivaretatt. Videre tok man hensyn til at de fleste av de etablerte utstederne ønsket en felles tilsynsmyndighet for sertifikatutstedere som skal utstede kvalifiserte sertifikater.
Utvalget slo fast at det så langt (i 1999) mangler noen kriterier og standarder for å kunne etablere en frivillig sertifiseringsordning for sertifikatutstedere i Norge. Sikkerhetsevalueringen av organisasjoner basert på standarden BS 7799 vil bli tilbudt også i Norge, for sertifisering av informasjonssikkerhet i en organisasjon. Denne ordningen sertifiserer imidlertid ikke hele den virksomhet en sertifikatutsteder driver. Utvalget mente likevel at de utstedere som skal tilby kvalifiserte sertifikater, bør kunne benytte denne standarden for å vurdere sikkerheten i egen organisasjon.
Utvalget konkluderte med at det bør utpekes en offentlig tilsynsmyndighet som skal drive tilsyn med alle sertifikatutstedere etablert i Norge som skal utstede kvalifiserte sertifikater. Tilsynet bør være så markedsorientert som mulig, slik at man ikke legger unødvendige administrative byrder, og derved kostnader, på sertifikatutstedere.
Tilsynsmyndigheten ble foreslått lagt til Post- og teletilsynet . Det ble slått fast at tilsynsmyndigheten kan kreve å få alle de opplysninger som er nødvendige for å sikre at sertifikatutstedere som tilbyr kvalifiserte sertifikater, oppfyller kravene i loven. Slik kontroll kan skje dersom tilsynet mener det er nødvendig, eller etter «krav» fra brukere eller andre aktører.
Det ble videre foreslått at det etableres en registreringsordning for sertifikatutstedere som tilbyr kvalifiserte sertifikater. Sertifikatutstedere som skal utstede kvalifiserte sertifikater i Norge, må melde denne virksomheten inn til tilsynsmyndigheten. Denne meldingen skal være en deklarasjon om at sertifikatutstederen oppfyller kravene til kvalifisert sertifikat, herunder opplyse om hvilke sertifikatpolicyer de følger, og hvordan deres sertifikatpraksis er. Tilsynet kan vise til hvilke policyer og praksis som oppfyller kravene. Dersom en tilbyder ønsker å anvende en annen policy/praksis som ikke er godkjent, må tilsynet gjøre en realitetsvurdering av den. Denne realitetsvurderingen bør være tilgjengelig for tredjemann. Også policyer som ikke er godkjent, bør være tilgjengelige.
Forslaget om registreringsordning innebærer at virksomheten blir registrert i et eget register med oversikt over sertifikatutstedere som utsteder kvalifiserte sertifikater. Deklarasjonen sendes kun inn ved oppstart av virksomheten, og eventuelt ved endringer i registrerte opplysninger.
Utvalget uttalte at det på et seinere tidspunkt bør vurderes å opprette en frivillig registreringsordning for andre enn kvalifiserte sertifikater, hvis det viser seg at markedet for denne typen sertifikattjenester er voksende.
Utvalget så positivt på at det etableres frivillige godkjenningsordninger for sertifikatutstedere i markedet, men anbefalte at det ikke tas noe initiativ fra myndighetene for å få etablert dette. En frivillig godkjenningsordning kan kombineres med en frivillig ordning for registrering av sertifikatutstedere.
5.2.8 Lov om elektronisk signatur
Loven ble fremmet for Stortinget i oktober 2000 på grunnlag av Ot.prp. nr. 82 (1999-2000) og vedtatt i desember samme år [ 52]. Nærings- og handelsdepartementet utarbeider i samarbeid med Post- og teletilsynet utkast til forskrifter til loven. Det forventes at utkastet blir sendt på høring i februar 2001. Loven med forskriftene forventes å tre i kraft 1.7.2001.
Loven er en gjennomføring av EU-direktivet om en fellesskapsramme for elektroniske signaturer, jf. omtale foran i dette kapitlet. Direktivet ble endelig vedtatt den 13. desember 1999 og ble publisert i De Europeiske Fellesskaps Tidende (EF-Tidende) den 19. januar 2000, med en implementeringstid for medlemslandene på 18 måneder. Denne fristen gjelder også for Norge.
Til grunn for lovforslaget ligger forutsetningen om behov for regulering av elektronisk signatur for å legge til rette for utviklingen av elektronisk handel og elektroniske tjenester i Norge. Lovreguleringen skal søke å påvirke det norske markedet for sertifikatutstedere og elektroniske signaturprodukter i en positiv retning. Ved å regulere tilbudet av det loven definerer som «kvalifiserte sertifikater», vil lovforslaget stimulere til bruk av sertifikater med et bestemt sikkerhetsnivå som kan brukes i mange sammenhenger, både praktisk og ikke minst rettslig. Videre ble det ansett å være behov for lovregulering på området for å bidra til at tilliten til markedet og tilliten til bruk av elektroniske signaturer i samfunnet øker, slik at signaturteknologi lettere blir tatt i bruk på bred basis.
Loven gir noen rettslige rammebetingelser for bruk av elektronisk signatur og tilknyttede tjenester. Et viktig formål med lovforslaget er å sikre kommunikasjon mellom to parter som ikke kjenner hverandre, og som ønsker å samhandle elektronisk over åpne nett.
Loven skal bidra til å legge til rette for at i hvert fall en del av de signaturene og tilhørende sertifikater som tilbys på det norske markedet, skal oppfylle et bestemt sikkerhetsnivå. Ett formål med dette er at de som mener å ha behov for et slikt kvalitets- og sikkerhetsnivå, kan velge dette, ut fra en tilrettelegging og en rettstilstand som er felles i EØS. Kravene til sikkerhet skal balanseres mellom forretningsmessige hensyn, forbrukerhensyn og samfunnsmessige hensyn. De nærmere tekniske kravene vil bli regulert i forskrifter til loven. Loven åpner i § 5 for at det kan stilles tilleggskrav til kvalifiserte signaturer ved kommunikasjon med og i forvaltningen.
Loven skal ikke regulere det samlede tilbudet av signaturer og tilhørende sertifikater og sertifikattjenester, men i all hovedsak regulere rammebetingelsene for bruk av kvalifiserte signaturer og kvalifiserte sertifikater. Sertifikatutstederne vil dermed falle utenfor denne lovreguleringen og det tilsynsregimet loven oppstiller ved ikke å kalle sine sertifikater for kvalifiserte, selv om de ellers oppfyller kravene. Man ser for seg at sertifikater med et lavere sikkerhetsnivå, eller andre sikkerhetsmekanismer, kan tilfredsstille behovene for deler av markedet. Etterspørselen i markedet vil avgjøre hvilke sertifikater som vil bli benyttet framover.
Loven gir ingen generell regulering av rett til å kommunisere elektronisk, men gjelder der lovgivningen for øvrig åpner for elektronisk kommunikasjon. Når det stilles krav om underskrift, vil bruk av kvalifisert elektronisk signatur alltid oppfylle et slikt krav, så fremt disposisjonen rettslig sett kan skje elektronisk. Dette betyr at en kvalifisert elektronisk signatur i henhold til loven alltid gis samme rettsvirkning som en håndskreven signatur. I tillegg slår loven fast at også en elektronisk signatur som ikke er kvalifisert kan gis samme rettsvirkning. Det at signaturen ikke er kvalifisert, vil kunne ha betydning for signaturens beviskraft, men direktivet stiller ikke krav i forhold til beviskraften. I forarbeidene til loven pekes det blant annet på at vi i norsk rett har fri bevisføring og fri bevisvurdering, noe som vil få betydning i det enkelte tilfellet.
Reguleringen i loven er så langt som mulig nøytral i forhold til valg av tekniske løsninger for å unngå behov for hyppige justeringer. Samtidig er det vanskelig å gi rettslige virkninger til en ukjent eller ikke definert teknisk løsning. Her er det gjort en avveining mellom å være teknologinøytral og å gi de teknologier som omfattes av loven, rettslige virkninger.
Loven regulerer utstedere av kvalifiserte sertifikater med to unntak: bestemmelsen i § 6 første ledd siste punktum om rettsvirkning og bestemmelsen i § 7 om innsamling og bruk av personopplysninger. Disse to bestemmelsene gjelder alle typer av sertifikater og alle sertifikatutstedere.
5.3 Personvern
5.3.1 Behandling av personopplysninger
Fra 1. januar 2001 trådte lov om behandling av personopplysninger i kraft [ 51]. Loven erstatter personregisterloven av 1978. Lovendringen markerer at reguleringsprinsipper for behandling av personopplysninger i Norge tilpasses reglene i EU’s personverndirektiv 95/46/EF. Personopplysningsloven har som utgangspunkt at alle behandlinger skal være formålsbestemt. Videre er et grunnlag for å tillate behandling at denne er lovlig (jf. personopplysningsloven § 11), og som hovedregel basert på samtykke fra den personopplysningene gjelder (jf. §§ 8 og 9). Behandling av personopplysninger skal gjennomføres med tilfredsstillende sikring av opplysningenes konfidensialitet, tilgjengelighet og integritet.
Sammen med personopplysningsloven trer utfyllende bestemmelser for behandling av personopplysninger i kraft i form av en egen «personopplysningsforskrift». 5 Forskriften inneholder krav til sikring av de personopplysningene som behandles. Gjennom planlagte og systematiske tiltak skal hver enkelt behandling gjennomføres med tilfredsstillende sikkerhet som resultat. Sikkerhetstiltak skal baseres på risikovurdering og tilpasses sikkerhetsbehovet knyttet til den enkelte behandling.
Datatilsynet skal føre tilsyn med at bestemmelsene i personopplysningsloven etterleves, og kan gi pålegg om endring eller opphør av ulovlige behandlinger. Tilsynsansvaret omfatter kompetanse til å gi pålegg om konkrete sikkerhetstiltak.
5.3.2 Elektroniske spor
Bruk av elektroniske hjelpemidler for behandling av personopplysninger, og i særlig grad elektronisk kommunikasjon, genererer ofte elektroniske spor. Lagring og eventuell spredning av elektroniske spor kan være nødvendige operasjoner i den formålsbestemte behandlingen som gjennomføres, og vil i seg selv ikke utgjøre et personvernproblem. Problemet oppstår når elektroniske spor tas i bruk til annet formål enn det opprinnelige. Det er i dag et betydelig press for å skaffe tilgang til elektroniske spor for sekundær bruk – for eksempel til profilering, markedsføring, kontroll- og forskningsmessige formål. Både private virksomheter og offentlige myndigheter øver press for å utvide grunnlaget for lovlig tilgang til personopplysninger «som jo likevel er tilstede i kommunikasjonskjeden». Tilsvarende øves et visst press på å utnytte potensialet i kommunikasjonssystemene for ytterligere registrering enn det som strengt tatt er nødvendig for det opprinnelige formålet.
Resultatet kan bli et stadig mer gjennomsiktig samfunn der opplysninger om bevegelsene, behovene, ønskene og preferansene til hver enkelt av oss er tilgjengelige og benyttes i en lang rekke behandlinger – lovlige eller ulovlige. Behandlingen av personopplysninger blir samtidig så variert og omfangsrik at vi som enkeltmennesker i liten grad har mulighet til å holde oss tilstrekkelig informert til å kunne utøve vår rett til å gi, eller nekte, samtykke.
Sekundær bruk som beskrevet over kan være ulovlig, men vanskelig å hindre. Dette blir en følge av den store spredning og effektive tilgang moderne elektroniske kommunikasjonssystemer ofte gir. Det eneste praktiske virkemiddelet kan være å holde seg strengt til kravet om formålsbestemthet. Det vil si å ikke tillate behandling av andre personopplysninger enn de som er nødvendig for å oppnå det ønskede formål. I praksis betyr dette en kritisk vurdering av omfang, type og metode for behandling av personopplysninger når nye tjenester eller systemer ønskes etablert. Alternative løsninger der behovet for behandling av personopplysninger er mindre, må evalueres, og en eventuell gevinst må ved den foreslåtte behandling vurderes opp mot den enkeltes rett til beskyttelse av egen privat sfære. Disse vurderingene skal gjøres av den som beslutter formålet med behandlingen.
5.3.3 Digitale sertifikater
Ved å ta i bruk digitale signaturer ønsker forvaltningen moderne og effektive kommunikasjonstjenester samtidig som dagens nivå for sporbarhet og autentisitet bibeholdes. Som beskrevet foran, vil bruk av elektronisk kommunikasjon normalt medføre generering av elektroniske spor. Sertifikater vil nødvendigvis kunne inneholde personopplysninger som kan knyttes til saksbehandleren eller den enkelte borger. Det er viktig å merke seg at selv om opplysningene er trivielle – eksempelvis kun navn – vil det elektroniske sporet gi viktig informasjon om hvem, hvor og når. Sammenstilt med andre spor kan mange enkeltopplysninger utgjøre et personvernproblem i bestemte sammenhenger. Også ansatte i forvaltningen har krav på privatliv. En forvaltningsenhet skal kunne spore hva egne ansatte gjør i en tjenestesituasjon, men det er vanligvis ikke slik at de automatisk skal kunne følge alle sporene de ansatte etterlater seg.
Bruk av personlige digitale signaturer tilfører ytterligere et grunnlag for elektronisk sporing. Dette «avtrykket» vil ikke bare avsettes sammen med sporene som etterlates ved selve meldingsoverføringen. Det vil også avsettes i andre situasjoner – eksempelvis ved utstedelse eller verifikasjon av sertifikater. En unik identifikator i et sertifikat gjør det noe enklere å knytte en digital signatur til en person enn ved søk i fri tekst etter navneinformasjon i selve tekstmeldingen. Bruk av personlige digitale signaturer medfører generering av flere elektroniske spor som er lettere tilgjengelig for uvedkommende enn anonyme eller pseudonyme sertifikater.
Det neste spørsmålet som må stilles, er om slik generering er uunngåelig. Med utgangspunkt i dagens bruk av underskrift ser det tilsynelatende slik ut: Brev knyttes til den enkelte saksbehandler gjennom underskriften. Mottakers behov er ikke nødvendigvis å bli informert om saksbehandlers navn gjennom den digitale signaturen. Saksbehandlers navn og/eller forvaltningsorganets navn vil framgå av selve meldingsteksten. Det er dermed ikke snakk om «anonym» saksbehandling. Mottakers behov kan være å få visshet om at dokumentet ikke er endret underveis og at eieren av den digitale signaturen faktisk er ansatt i den oppgitte forvaltningsvirksomheten.
Eksempelet viser at digitale signaturer i enkelte sammenhenger ikke trenger å knyttes direkte til person. Det vil være mulig å spore meldingen tilbake til den personen som har signert meldingen hvis det er behov for det. Koplingen mellom signatur og person vil imidlertid være lagret internt i avsenders informasjonssystem. Det er verd å merke seg at all bruk av avsenders informasjonssystem, herunder tjenester i eksterne nett, skal autoriseres, jf. personopplysningsforskriften.
5.3.4 Sikkerhetsnivåer
Sikkerhetsbestemmelsene gitt i medhold av personopplysningsloven pålegger den behandlingsansvarlige å iverksette sikkerhetstiltak i forhold til den risiko behandlingen medfører. Kravet til forholdsmessighet medfører at valg av sikkerhetsnivå og -tiltak må baseres på risikovurdering utført for den enkelte konkrete behandling. Bildet kompliseres ved at personopplysninger skal sikres ut fra forskjellige, ofte avvikende hensyn: konfidensialitet, integritet eller tilgjengelighet. Eksempelvis vil en for sterk konfidensialitetssikring kunne forårsake utilstrekkelig tilgang til opplysningene og dermed medføre et sikkerhetsproblem.
Dette innebærer at evaluering og valg av sikkerhetsnivå må baseres på en forutgående vurdering av risiko knyttet til den enkelte behandling. Slike risikoanalyser bør ta med vurderinger om hvorvidt systemer som har akseptabelt risikonivå for systemeier, gir for høy risiko for den enkelte private bruker.
5.3.5 Fødselsnummer
Fødselsnummer åpner for sporing samtidig som det i visse situasjoner kan være ønskelig eller nødvendig for et enkeltindivid å identifisere seg på en unik måte. De nordiske land er så å si alene om å benytte ett og samme system for identifikasjon av borgere i alle sektorer og bransjer. I denne sammenheng er det interessant å merke seg at Europarådet ved gjennomgang av bruk av «personal identification numbers» i medlemslandene har uttrykt skepsis til systemer tilsvarende vårt. Problemet er selvsagt de muligheter for kontroll og (utilsiktet) datakopling som oppstår når en borger gjennomgående identifiseres ved bruk av det samme løpenummeret.
I Tyskland benyttes forskjellige identifikasjonssystemer for de forskjellige sektorer: helse, sosial, justis etc. En slik løsning gir selvsagt praktiske problemer, men er valgt nettopp som en sikkerhetsmekanisme mot for stor statlig kontroll av borgerne. Faktisk vil innføring av et universelt identifikasjonssystem oppfattes som grunnlovsstridig i Tyskland. Tyskernes valg av identifikasjonssystem er historisk betinget. Selv om Tyskland i dag er et stabilt demokrati, oppfattes separate identifikasjonssystemer som en nødvendig sikkerhetsgaranti. Tilsvarende identifikasjonssystemer, med tilsvarende begrunnelse, benyttes blant annet i Nederland.
Fødselsnummer er ikke en sensitiv personopplysning, jf. personopplysningsloven. Det omfattes som hovedregel heller ikke av uttrykket «noens personlige forhold», jf. forvaltningslovens § 13 om taushetsplikt. Publikum oppfatter imidlertid ofte fødselsnummeret som en «følsom» opplysning, blant annet som følge av betraktningene beskrevet foran. En annen viktig grunn er nok at private virksomheter og offentlige myndigheter tilsynelatende har glemt at fødselsnummer er en identifikasjonskode – et løpenummer – og ikke en autentiseringsmekanisme. Fremdeles kan en oppleve at personopplysninger utleveres til den som presenterer seg med navn og fødselsnummer.
Foruten at fødselsnummer er en unik identifikasjonskode, gir nummeret også informasjon om vedkommendes alder (fødselsdato) og kjønn (personnummerets tredje siffer). Med mindre den behandlingsansvarlige har saklig behov for kunnskap om vedkommendes alder og kjønn, vil bruk av fødselsnummer faktisk gi overskuddsinformasjon.
Hvorvidt fødselsnummer tillates brukt i behandling av personopplysninger, avhenger av om den behandlingsansvarlige har saklig behov for slik bruk. Konkret bør minst følgende to spørsmål kunne besvares med ja før fødselsnumre kan benyttes:
Er det i behandlingen behov for entydig identifikasjon av en enkelt person?
Skal opplysningene lovlig koples med personopplysninger i andre behandlinger?
I tillegg må den behandlingsansvarlige grundig vurdere bruken av fødselsnumre opp mot den enkeltes behov for personvern. En viktig parameter i slik vurdering er den utbredelsen slik bruk vil få. Dersom bruk av personlige digitale signaturer begrenses til det absolutt nødvendige minimum, eksempelvis ved utbredt bruk av «upersonlige» signaturer, vil bruk av fødselsnumre i de resterende tilfellene lettere kunne aksepteres. Erstatning av fødselsnummeret med en annen identifikator som er unik i hele landet, løser ikke problemet. Utbredt bruk vil fort gjøre denne identifikatoren til et «fødselsnummer nr. 2», og – med unntak for den nevnte overskuddsinformasjonen – resultere i tilsvarende personvernproblemer som beskrevet foran.
Utvalget bemerker samtidig at det i forskriften til personopplysningsloven, § 9-2 om forsendelse som inneholder fødselsnummer, framgår at: Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. Bestemmelsen kan medføre at informasjon om fødselsnumre i sertifikater må konfidensialitetssikres særskilt – for eksempel ved kryptering når slike opplysninger overføres i eksterne datanett. Programvare for signering/verifisering har imidlertid i dag begrensede valgmuligheter for hvilke informasjonselementer i sertifikatet som kan vises for brukeren. De vanlige opplysningene som vises er hvem sertifikatet er utstedt av, hvem som er eieren av sertifikatet (navn), og hvor lenge sertifikatet er gyldig. Det gis også muligheter for «andre navn», dvs. et egendefinert, alternativt navn (som ofte er e-postadressen til sertifikateieren). Fødselsnummer vil derfor normalt ikke framgå av slike sertifikater – med mindre det spesielt tilrettelegges for det. Det kan derfor synes som om vanlig bruk av digitale sertifikater, selv om de inneholder fødselsnummer, ikke kommer i strid med forskriftsbestemmelsen. Med tanke på den teknologiske utviklingen bør det likevel ikke legges avgjørende vekt på de begrensninger som følger av dagens programvare. Tvert imot kan det forventes at enhver som i framtiden ønsker tilgang til sertifikatinnehavers fødselsnummer, skaffer seg dette gjennom nødvendig programvare.
5.3.6 Elektroniske ID-kort og tillit
Eventuell innføring av et elektronisk ID-kort for alle borgere framhever de problemstillingene knyttet til elektroniske spor og universelle identifikasjonssystemer som er beskrevet foran. Spesielt gjelder dette dersom ID-kortet – tilsiktet eller utilsiktet – tas i bruk i mange sammenhenger. Det er åpenbart mer praktisk å benytte én metode for identifisering i flere anvendelser enn å la borgeren operere med en lang rekke kort, legitimasjonsbevis eller andre autentiseringsmekanismer. Innføring av elektroniske ID-kort er ikke kun et valg av praktisk anvendbar teknologi, det er også et valg av hvilket samfunn man ønsker å utvikle. Separate identifikasjonssystemer for forskjellige samfunnssektorer kan være upraktisk, men utgjør samtidig en sikkerhetsgaranti i forhold til den enkeltes personvern.
Utvikling av tillit er mer enn teknologiske løsninger. Utvalget har ikke som mandat å utrede generelle identitetskort. Dette er et eget tema, som eventuelt trenger en grundig drøftelse. Dette gjelder bl.a. i forhold til bruk av identitetskort tidligere i historien.
5.4 Leverandører, tjenesteytere og brukere i markedet
Omtalen nedenfor av de største leverandørene og enkelte utvalgte brukere viser noen hovedtrekk i utviklingen.
5.4.1 ErgoGroup
ErgoGroup (tidligere Posten SDS) lanserte sin Elektronisk ID-tjeneste (EID) allerede i 1998. Tjenesten tilbød kundene en elektronisk ID (et sett med personlige digitale sertifikater) plassert i et smartkort. Kortet kunne også tjene som et visuelt ID-kort (Postens ID-kort). På denne måten kunne kunden identifisere seg både fysisk overfor personer og elektronisk overfor datasystemer. Denne tjenesten ble bl.a. tatt i bruk av Norsk Tipping for utstedelse av elektroniske «tippekort». Slike kort inneholder også en elektronisk pengepung for innlasting av spillpenger som kan brukes på de ulike spill som er tilgjengelig fra Norsk Tipping på Internett. Kortene skal prøves i ca. 3000 husstander i første kvartal av 2001. Smartkort med EID benyttes også i Skattedirektoratets pilot på området elektronisk innrapportering av MVA-oppgaver og selvangivelser fra bedrifter. Sertifikatene benyttes for autentisering og signering.
Styret for det industrielle rettsvern (Patentstyret) har lagt inn bestilling på Forvaltningsnettavtalens del for TTP-tjenester, og vil benytte smartkort fra ErgoGroup basert på kravene i FSP-1 for så vel ansatte i etaten som for sine kunder, oppfinnerne og deres fullmektiger. Prosjektet inneholder dermed digitale signaturer på elektroniske formularer lastet ned fra web, foruten bruk av PKI i arkiv- og saksbehandlersystemene.
Etter en beskjeden start har markedet nå etter hvert begynt å benytte PKI-tjenester fra Posten. Dette gjelder først og fremst statlige organisasjoner, som Rikstrygdeverket, men også private organisasjoner som Storebrand og Falken. Totalt er det utgitt noen tusen smartkort som er i kommersielt bruk.
Tjenesten ble så videreutviklet og er blitt et sentralt element i Postens nye tjeneste ePosten. Denne tjenesten ble lansert i januar 2001. Hovedelementene i denne tjenesten er en standardisert e-postadresse som er unik for hele landet og en elektronisk ID tilknyttet denne unike adressen. Brukeren som vil ta i bruk tjenesten trenger ikke å bytte sin Internett-leverandør – e-post rutes via den standardiserte adressen til hennes vanlige e-postadresse. For å kunne ta i bruk tjenesten må kunden registrere seg online i et eget skjema. Det kreves at kunden oppgir fødselsnummer. Dette brukes til å verifisere opplysningene kunden gir og finne adressen som det skal sendes et engangspassord til. Dette passordet, brukt på en spesifikk URL som kunden får oppgitt ved registrering, er nødvendig for å kunne ta i bruk EID. Kundens private nøkkel og sertifikat (for autentisering) blir lastet ned og lagret i hennes nettleser på PC-en. Kunden må oppgi PIN-kode hver gang sertifikatet skal brukes mot en Internett-tjeneste. EID vil inneholde brukers navn og den standardiserte eAdressen. Dette åpner for at EID kan benyttes av andre som ønsker å verifisere korrekt bruker. Det er ikke forbundet med kostnader å registrere seg som bruker på ePosten.
EID er nyttig dersom kunden ønsker å ta i bruk tilleggstjenester som eKurer. Dette er en tjeneste for forsendelse av e-post (og annen post for elektronisk levering) på en sikker måte. Posten med ev. dokumenter blir lastet inn på en sikker server, og et varsel om dette blir sendt mottakeren via vanlig e-post. Mottakeren kan så benytte sin EID for å logge seg inn på serveren og hente sin post/dokumenter. Avsenderen kan også logge seg inn på serveren og ev. trekke forsendelsen tilbake før mottakeren har hentet den, om det er ønskelig. En slik forsendelsesmåte gir også avsenderen en kvittering/et bevis på at mottakeren faktisk har fått forsendelsen. Både levering og henting av dokumenter via denne tjenesten skjer gjennom en kryptert kanal som hindrer uvedkommende i å få innsyn. Det skal være mulig å kryptere dokumentenes innhold slik at kun mottakeren kan låse det opp. Dokumentene kan også digitalt signeres av ErgoGroup for ytterligere autentisering og sikring av ikke-benekting.
Denne «myke» EID planlegger Skattedirektoratet å ta i bruk i forbindelse med elektronisk innlevering av personlige, preutfylte selvangivelser (PSA) i 2001. Ved å benytte ErgoGroups EID til autentisering vil den som innleverer selvangivelsen over Internett, kunne redigere innholdet i flere av feltene i selvangivelsesskjemaet enn det som er mulig kun ved bruk av PIN-kode.
5.4.2 Telenor – ZebSign
Telenor har arbeidet med å tilby tjenester knyttet til utstedelse av sertifikater (TTP-tjenester) og digitale signaturer siden begynnelsen av 90-tallet. Allerede i 1995–96 etablerte Telenor sin første TTP-tjeneste, til dels basert på egenutviklede komponenter. Denne tjenesten ble erstattet av en ny tjeneste, utviklet i samarbeid med PKI-leverandøren Entrust Technologies.
Tjenesten framstår nå som en massemarkedstjeneste hvor ZebSign skal fungere på tvers av PC, Internett, mobile nett, «smart phones» og digital-TV. ZebSign ble lansert høsten 2000, og vil bli lansert på mobil GSM-plattform i 2. kvartal 2001. Hovedmålet med tjenesten er at brukeren skal få en elektronisk ID basert på kvalifiserte sertifikater som fungerer uavhengig av om brukeren betjener for eksempel nettbanken via PC, mobiltelefonen eller TV.
Telenor har uttrykt ønske om å bidra aktivt til åpne ID-løsninger på tvers av nettoperatører og TTP-tilbydere. I denne sammenheng vil Telenor bygge videre på bl.a. det arbeidet som er gjort med kryssertifisering i forbindelse med Forvaltningsnettsamarbeidet.
ZebSign-tjenesten på mobil kan tilbys tilnærmet alle abonnenter av Telenor Mobil (unntatt de som benytter anonymt kontantkort). Løsningen for mobil PKI baserer seg på at nøkler og sertifikater lagres i telefonens SIM-kort. De kan så benyttes gjennom bruk av en såkalt SIM-browser, en dedikert programvare til bruk på SIM-kortet, som gjør det mulig å kople seg opp mot Internett.
Kunden skal registrere seg for bruk av digitalt sertifikat gjennom personlig frammøte hos en registreringsenhet, godkjent av Telenor for registrering av brukere i henhold til krav som vil gjelde for kvalifiserte sertifikater.
Telenor har i samarbeid med DnB implementert en autentiseringstjeneste basert på ZebSign-sertifikater for elektronisk handel på markedsplassen DoorStep.
Telenor legger opp til at ZebSign skal kunne tilby kvalifiserte sertifikater og kvalifiserte signaturer iht. lov om elektronisk signatur.
Fordelen med mobil PKI er åpenbart den store utbredelsen av SIM-kort, som befinner seg i hver enkelt mobiltelefon. Gjennom beskyttelse av privat nøkkel i et SIM-kort gir mobil PKI god grad av sikkerhet. Mobiltelefonen er godt egnet for signering av mindre datamengder, som for eksempel i forbindelse med autentisering og betaling. Mobiltelefonen har på den annen side begrensninger når det gjelder signering av større datamengder som dokumenter og liknende, hvor dagens brukergrensesnitt setter begrensninger på type dokument som kan signeres. På litt sikt vil trolig sammensmelting mellom mobiltelefoner, håndholdte PC-er (PDA) og PC-er føre til at den «mobile enheten» vil kunne håndtere adskillig større datamengder enn mobiltelefonen klarer i dag. Da kan mobil PKI komme til sin fulle rett også når det gjelder dokumentsignering.
5.4.3 BankID
BankID er betegnelsen på bankenes felles satsning på TTP-tjenester. BankID-prosjektet ble etablert av Bankforeningenes Fellesutvalg i desember 1999. Prosjektets mål var å samordne autentiseringsløsninger som benyttes av norske banker/finansinstitusjoner i forbindelse med nettbank-tjenester. Første fase av prosjektet ble avsluttet høsten 2000, og det er nå etablert en felles operativ PKI.
I fase 1 er det utarbeidet en felles infrastruktur som bl.a. omfatter:
Policy,
Interbank-regler om BankID,
Mønsteravtale til bruk mellom kunde og bank,
Felles varemerke,
Teknisk infrastruktur,
Standarder og spesifikke regler knyttet til bruk av standardene.
Samarbeidet er organisert på omtrent tilsvarende måte som for den samordnede betalingsformidlingen i Norge, og bygger på de gode erfaringer bankene har på dette området.
Det er utviklet en felles sertifikatpolicy for BankID. Policyen legger opp til ett høyt sikkerhetsnivå og forutsetter bruk av tre separate nøkkelpar for hhv. autentisering, signering og kryptering. BankID-sertifikatet inneholder et unikt identifikasjonsnummer for hver enkelt BankID-sertifikateier. Nummeret tildeles av hver enkelt bank som utsteder BankID-sertifikater. Nummeret skal kunne inneholde signifikant informasjon om sertifikateieren, som for eksempel fødselsdato.
Den tekniske delen av BankID-prosjektet har etablert en rotnode SA hos BBS. Denne utsteder sertifikater til bankenes egne SA, som i startfasen også driftes av BBS. Hver enkelt bank vil være ansvarlig sertifikatutsteder for sine egne sertifikater.
BBS har etablert rotnoden, som er «sertifisert» (godkjent) av Bankenes Standardiseringskontor (BSK). Det er planlagt at minst 5 banker/bankgrupperinger vil ha etablert sine egne SA i løpet av 2001. Dette vil bl.a. være alle de største bankene i Norge.
BankID er basert på åpne standarder og på at løsningen skal være leverandøruavhengig i størst mulig grad. For å oppnå dette har BBS etablert et BankID Testsenter, der ulike leverandørers løsninger skal kunne testes og ev. godkjennes for bruk med BankID. De aktuelle løsninger som kan testes, er SA-utrustning, klientprogramvare, nøkkelbeskyttelsesløsninger («token») og integrasjonsløsninger for ulike komponenter av PKI. Baltimore Technologies er en av de godkjente leverandørene. Andre leverandører vurderes.
Den felles infrastrukturen for BankID utgjør basis for den enkelte banks tilbud av TTP-tjenester i markedet. Infrastrukturen skal sikre at banker kan tilby TTP-tjenester som gjør at kunder kan kommunisere seg imellom på en sikker måte over åpne nettverk, uavhengig av bankforbindelse.
I fase 1 skulle BankID sikre elektronisk meldingsutveksling mellom en bank og kunde ved å bekrefte rett identitet til partene (autentisering), sikre innholdet mot endring (integritet), knytte meldingen til en bestemt part (digital signatur og ikke-benekting) og/eller skjule innholdet for uvedkommende (kryptere). BankID vil i første omgang basere seg på et «mykt» sertifikat, med private nøkler lagret på brukerens PC. Nøklene skal være beskyttet gjennom en egen «plug-in»-programvare til brukerens nettleser.
De første pilotløsningene for bruk av BankID startet høsten 2000. BankID testes for bruk med utvalgte nettbanker og som sikring av e-postkommunikasjon. Videre arbeider BBS med å integrere BankID i sin eFaktura-tjeneste som skal tilbys nettbankbrukere i 2001.
I fase 2 er BankID utvidet til å omfatte TTP-tjenester for elektronisk kommunikasjon direkte mellom alle norske bankers kunder. BankID tar nå i bruk «harde» sertifikater, med private nøkler lagret på chip (for eksempel smartkort og SIM-kort). Et nettsted som er sertifikatbruker, behøver kun å inngå avtale med sin egen bankforbindelse for å sikre at alle kunder med BankID fra andre banker kan benytte BankID i forbindelse med bruk av etatens tjenester. Bankforbindelsen vil også kunne tilby for eksempel betalingstjenester sikret med BankID.
Man ser for seg BankID som en mulig felles ID for bedrifter som ønsker å benytte elektroniske markedsplasser, myndigheter som vil tilby elektroniske tjenester til enkeltpersoner m.fl.
Interbank-reglene for BankID sier at første gangs utlevering av BankID til bankkunden skal skje ved personlig frammøte i banken eller hos en som utstederbanken har inngått avtale med om kontroll av bankkundens identitet. Den som utstederbanken inngår avtale med, skal nyte god tillit i markedet. Dersom banken finner det nødvendig samt ved fornyelse av BankID, kan BankID også utleveres på annen måte som gir tilsvarende sikkerhet. Dette kan for eksempel skje ved at eksisterende kunder som benytter nettbank og dermed allerede innehar en sikker autentiseringsmetode, kan få tilsendt sitt BankID smartkort via posten, mens tilhørende PIN-kode kan hentes etter pålogging i nettbanken.
Bankene har etablert sikre rutiner for å forvisse seg om kunders identitet og er også gjennom lover og regler pålagt markedets strengeste krav til identifisering og kontroll av kunden på det tidspunkt et kundeforhold opprettes. I tillegg har bankene lovpålagt ansvar knyttet til eventuelt misbruk av bankkonti i henhold til finansavtaleloven. Dette gir bankene et spesielt godt utgangspunkt for utstedelse av en sikker digital ID.
5.4.4 Store brukere – Norsk Hydro og Statoil
Norsk Hydro , med sine 19 000 ansatte over hele verden, har behov for en robust og sikker kommunikasjonsinfrastruktur mellom de ulike delene av konsernet og mellom de enkelte ansatte.
Norsk Hydro har utviklet en PKI-strategi siden 1998. Strategien er forankret i Information Systems (IS) – staben til konsernledelsen. En egen enhet er opprettet for dette formål. Enheten er Hydros «service supplier» når det gjelder PKI. Enheten har i oppgave å vurdere tilgjengelige løsninger, stille krav, inngå avtaler og godkjenne de leverte løsningene. Enheten utvikler også PKI-policy for hele konsernet.
Implementeringsprosjektet for PKI i Hydro er forankret i «Hydro Bridge», som er Norsk Hydros infrastruktur for IT og kommunikasjon.
I 2000 inngikk Norsk Hydro en større kontrakt med Telenor for leveranse av Entrust Technologies’ PKI-løsninger for oppbygging av konsernets PKI. Leveransen blir godkjent etter at en pilotinstallasjon blir testet og godkjent.
Det er ulike piloter med bruk av PKI som gjennomføres nå. En av dem er tilgang til Hydros interne bank via en web-basert nettbankløsning. Andre piloter involverer bl.a. støtte til elektronisk innkjøp og sikker e-post basert på verktøyet Lotus Notes (Domino).
Det er opprettet en sentral registreringsenhet i Norsk Hydro som er koplet opp mot Telenors sertifikatutsteder-tjeneste. Det er utpekt en sertifikatansvarlig i hver forretningsenhet i Norsk Hydro som har ansvaret for å samle opp og levere registreringsforespørsler til registreringsenheten. Hvert sertifikat som utstedes er et ansattsertifikat som inneholder en unik identifikator, ansattnummeret. Utstedelse av sertifikater foregår i samspill med Hydros sentrale X.500-kataloger, som inneholder informasjon om alle ansatte. Private nøkler og sertifikater lagres i brukernes PC. Hydro har foreløpig ingen planer om å gå over til smartkort-baserte sertifikater.
I november 2000 satte Norsk Hydro i gang testing av WebBank-løsningen med 35 prøvebrukere som ble utstyrt med sertifikater. Resultater fra bl.a. denne testingen skal avgjøre videre utplassering av PKI i konsernet.
Statoil , som har liknende kommunikasjonsinfrastruktur, planlegger også å innføre PKI til støtte for sikker informasjonsutveksling og -tilgang. Ved slutten av 2000 var konsernet i ferd med å utvikle detaljerte planer for dette.
6 Oversikt over PKI-politikker for offentlig sektor i utvalgte OECD-land
Dette kapitlet er skrevet hovedsakelig på grunnlag av et to dagers møte med representanter for de land som omtales (Australia deltok ikke), gjennomført i Oslo i mai 2000 [ 3]. Opplysningene har siden blitt komplettert ved å gjennomgå relevante rapporter og utredninger fra enkelte land. Omtale av hvert land er forsøkt strukturert etter følgende kriterier:
Sentrale tiltak i forvaltningen,
PKI for eksterne tjenester til brukere,
Lovgivning og andre tiltak.
6.1 Sverige
Den svenske interesseorganisasjonen SEIS 6 har i flere år arbeidet med utvikling av PKI-standarder.
Sentrale tiltak i forvaltningen
I 1999 ble det etablert sentrale rammeavtaler for elektroniske ID-kort og andre typer sertifikater for forvaltningen. Avtalene forvaltes av Statskontoret. Det har til nå vært relativt lite salg i forbindelse med rammeavtalene, men dette har tatt seg opp i den seinere tid. Avtalene varer fram til 1.8.2001. Selv om de i utgangspunktet er forbeholdt staten, har flere kommuner sluttet seg til ordningen på individuell basis og anskaffet seg løsninger. De anvendelser som er kommet i gang, gjelder sykehus og helse, allterminalkort som skiftes ut, kommunale tjenester (Stockholm kommune) og elektronisk bilregistrering (Vegvärket).
Den svenske forvaltningen satser på PKI som hovedinfrastruktur for autentisering både innad i forvaltningen og mot forvaltningens brukere. Den svenske forvaltningen planlegger å etablere en rekke elektroniske tjenester på ulike områder, som skatt, sykeforsikring, arbeidsmarked, studielån og eiendomsregister.
PKI for eksterne tjenester til brukere
Ulike utredninger på PKI-området konkluderer med at det bør opprettes et felles, statlig organ (utredningen benevner dette CA = Certification Authority, men man mener egentlig et organ for koordinering av utbygging av en offentlig PKI) som skal få i oppgave å sørge for at enkeltpersoner blir utstyrt med sertifikater til bruk i elektroniske offentlige tjenester. Oppgaven foreslås lagt til Riksskatteverket. Det anbefales tre grunnleggende sikkerhetsnivåer som man ser behovet for i transaksjoner med forvaltningen. Det høyeste nivået tilsvarer kvalifiserte signaturer/sertifikater i samsvar med EU-direktivet. Mellomnivået er også et nivå der PKI-tjenester skal utnyttes, men med lempeligere krav til nøkkelbeskyttelse. Laveste nivå tenkes knyttet til bruk av PIN-koder og passordbasert autentisering.
Statens CA skal få følgende oppgaver:
Utvikle og forvalte den statlige sertifikatpolicyen. Dette innebærer utforming av tekniske krav, sertifikatformater m.m. samt utvikling av et avtaleverk for bruk av PKI.
Ha ansvaret for godkjenning av sertifikatleverandører som skal kunne levere til staten eller statens brukere gjennom rammeavtaler.
Samordne aktiviteter innenfor anvendelse av PKI i forvaltningen, herunder håndtering av tilgangen til tilbaketrekkingslister, og i samarbeid med Statskontoret gjennomføre anskaffelsesprosesser.
Markedsføre og informere om den sentrale infrastrukturen.
Man ser for seg at Statens CA skal kunne inngå to typer rammeavtaler:
Rammeavtale med sentrale aktører som allerede benytter PKI mot sine kunder, som f.eks. bankene eller posten. Avtalen innebærer at staten betaler for bruk av signerings- og autentiseringstjenester. Staten vil trolig betale pr. transaksjon i en slik ordning.
Rammeavtale om produkter og tjenester. Dette tilsvarer dagens rammeavtaler, men der også sertifikater for borgere og bedrifter vil kunne kjøpes. Her vil betalingsmodellen være en årlig pris pr. sertifikat.
I forhold til begge avtalene er de PKI-anvendelser som tenkes støttet, autentisering, signering og kryptering av sesjonsnøkler. Svenske myndigheter ser foreløpig liten anvendelse av PKI for dokumentkonfidensialitet.
Lovgivning og andre tiltak
Arbeidet med statlig sertifikatpolicy er påbegynt. Denne skal baseres på ETSI-standardutkastet til QCP (Qualified Certificate Policy). Svenske myndigheter vurderer også om et tjenestesertifikat vil kunne brukes som borgersertifikat. Det er ønskelig å se en praksisutvikling først før man fatter sentrale beslutninger på dette området.
EU-direktivet blir implementert i svensk lovgivning som en egen lov om elektroniske signaturer, med innhold svært nær den norske loven. For øvrig er det ingen planer i Sverige om å innføre en generell lovgivning for elektronisk kommunikasjon. Tilrettelegging for dette skal skje innenfor rammen av eksisterende regelverk.
6.2 Danmark
Sentrale tiltak i forvaltningen
Forskningsministeriet (FSK) i Danmark koordinerer arbeidet med bruk av digitale signaturer i offentlig forvaltning. FSK har støttet 8 pilotprosjekter med 15 mill. DKK. Prosjektene ble gjennomført i perioden høsten 1998–våren 2000 og evaluert sommeren 2000. Rapporten konkluderer med at målene med dette initiativet, å stimulere til at digitale signaturer blir tatt i bruk i offentlig sektor i Danmark og å bidra til utviklingen av det danske markedet for digitale signaturer, ble nådd. Men det gjenstår en del spørsmål og problemstillinger som må løses. Det var også et mål for satsingen at den skulle stimulere til utvikling av nødvendige standarder.
Prosjektene spente over et vidt spekter av elektroniske tjenester fra innrapportering av årsberetninger og regnskaper til Erhvervs- og Selskabsstyrelsen til elektronisk behandling av byggetillatelser og eiendomsopplysninger i Vordingborg kommune.
Flere av pilotprosjektene skal gå over i driftsfase og de etablerte løsninger implementeres i større skala. Flere av prosjektene ser på utbredelse av sluttbrukerutstyr, f.eks. kortlesere, som en kritisk faktor for fortsatt utbredelse av PKI. Utstyret må i startfasen finansieres av det offentlige. Kommunenes Landsforening (KL) har derfor tatt til orde for at det bør utvikles en offentlig strategi for utbredelse av digital signatur i forbindelse med selvbetjente elektroniske tjenester fra det offentlige. Arbeidet er satt i gang i regi av Koordinerende Informasjonsutvalg under Forskningsministeriet. Kommuner og fylker deltar også i arbeidet.
Leverandører til pilotprosjektene har i samarbeid med det danske standardiseringsforbundet etablert et Forum for Digital Signatur. Forumet har drevet videreutvikling av standardene som lå til grunn for pilotprosjektene. Det har bl.a. utviklet en standard for koding av personnumre i sertifikater. Videre ble det i regi av forumet utarbeidet en standard for innholdet i sertifikater og profil for smartkort.
Erfaringer fra pilotprosjektene berører arkivering av elektroniske dokumenter med eller uten digitale signaturer. I dag arkiverer Statens Arkiv elektroniske dokumenter uten digitale signaturer og i en ikke-kryptert form. Erfaringene tilsier at brukere av offentlige tjenester helst vil benytte ett sertifikat mot flere tjenester. Dette krever at samtrafikken mellom de ulike sertifikatutstedere (de kalles nøkkelsentre) må løses. Det kan gjøres enten gjennom gjensidig kryssertifisering, eller ved at myndigheter inngår spesielle avtaler med alle nøkkelsentre, eller at det etableres en sentral enhet (en bro) som skal sørge for samspillet mellom dem.
Det danske IT-Sikkerhetsrådet har utviklet retningslinjer 7 for praktisk bruk av kryptering og digitale signaturer. Disse retningslinjene behandler bl.a. spørsmålet om deponering av kopier av private krypteringsnøkler.
PKI for eksterne tjenester til brukere
I oppfølgingen av pilotprosjektene har FSK slått fast at det ikke ser behov for etablering av offentlige sertifikatutstedere, heller ikke at det offentlige sentralt skal yte økonomisk støtte til utplassering av utstyr hos befolkningen. På samme tid oppfordres offentlige virksomheter til utvikling av egne forretningsmodeller for elektroniske tjenester der man ut fra et kost-/nytteperspektiv kan tenke seg å støtte brukere økonomisk dersom innsparingen på myndighetenes side er så stor at den rettferdiggjør dette. Samtidig arbeider det tidligere nevnte koordineringsutvalget med PKI-strategi, som skal omfatte:
Retningslinjer for web-baserte grensesnitt til elektroniske tjenester,
Klassifisering av sikkerhetsnivåer og retningslinjer for bruk av kryptering og digital signatur,
Utarbeidelse av grunnlaget for en offentlig anskaffelsesprosess, rammeavtaler, som skal dekke produkter og tjenester for offentlig elektronisk informasjonsutveksling.
Det forventes at rammeavtaler skal inngås våren 2001.
Lovgivning og andre tiltak
De danske myndigheter poengterer behovet for informasjonskampanjer om bruk av digitale signaturer, der målet skal være at befolkningen skal bli like fortrolig med denne teknologien som med bruk av bankkort og EFTPOS-terminaler i butikkene.
Nye offentlige initiativer i Danmark omfatter flere forslag til etablering av elektroniske tjenester fra forvaltningen. Disse er beskrevet i rapportene Det digitale Danmark og Netværkssamfundet. Flere av disse initiativene forutsetter, eller vil ha nytte av, digitale signaturer.
Danmark utarbeidet forslag til ny lov om digitale signaturer på grunnlag av EU-direktivet og delvis på grunnlag av erfaringer fra gjennomførte pilotprosjekter. Loven ble vedtatt den 31.5.2000. Den regulerer driften av nøkkelsentre (sertifikatleverandører) og gir digitale signaturer rettsvirkning i samsvar med direktivet.
6.3 Finland
Sentrale tiltak i forvaltningen
Finske myndigheter har i de siste årene fått vedtatt en rekke lover som la grunnlaget for etablering av en nasjonal løsning for elektronisk identitet/elektronisk signatur som skal kunne brukes i forbindelse med elektroniske tjenester fra forvaltningen. Løsningen baserer seg på elektroniske ID-kort (et visuelt identitetskort preget på et smartkort med digital signatur og identitet i kortet). I november 2000 utstedte de sentrale myndigheter en forordning om å ta i bruk elektroniske identitetskort for alle tjenestemenn i finsk forvaltning. Kortene kan skaffes via den sentrale ordningen eller hos andre tilbydere i markedet.
PKI for eksterne tjenester til brukere
Det første elektroniske ID-kort fra folkeregisteret ble utstedt til presidenten i det finske parlamentet den 7.12.1999. Kortene utstedes i samarbeid med politiet, som forestår registrering og utlevering av kort. Kortet er samtidig et visuelt identitetskort, som følger EU-standarden. Det kan derfor fungere som forenklet passdokument ved grensepassering i alle land som er medlemmer i Europarådet. Kortet kostet i 2000 ca. 180 FIM.
Det er til nå utstedt ca. 6–7000 slike elektroniske ID-kort. Utstedelseshyppigheten har sunket etter de første månedene tjenesten har vært i drift. Dette skyldes primært mangelen på elektroniske tjenester som støtter bruken av kortet. Utviklingen hos finske offentlige etater har på dette området gått langsommere enn ventet. Folkeregisteret har derfor startet forhandlinger med banksektoren i Finland, som viser stor interesse for kortene og vurderer avtaler der kortene skal kunne benyttes som autentiseringsmetode for nettbanktjenester. I den forbindelse arbeider folkeregisteret også med muligheter for å utstede sertifikater til bruk i mobiltelefoner med nøkler lagret på SIM-kort eller eget innstikkskort.
Den finske forvaltningen har definert tre sikkerhetsnivåer for utstedelse av sertifikater:
Grunnleggende nivå for intern bruk. Dette skal tilsvare EU-direktivets kvalifiserte sertifikater, men også sertifikater av lavere sikkerhetsnivå.
Grunnleggende nivå for virksomhet-til-virksomhet-transaksjoner og transaksjoner mellom virksomhet og enkeltpersoner, tilsvarer kvalifiserte sertifikater.
Utvidet nivå som tilsvarer EID-kort. Det tilsvarer sertifikater med høyere sikkerhetskrav enn kvalifiserte sertifikater, slik det er åpning for i direktivets artikkel 3.7.
Pr. i dag er sertifikater utstedt i det private markedet ikke akseptert som sertifikater til bruk mot offentlige myndigheter. Dette kan endre seg når lov om elektronisk signatur trer i kraft.
Eksempler på elektroniske tjenester i Finland som støtter bruk av digital signatur, er bl.a. elektronisk melding til folkeregisteret om adresseendring, elektronisk levering av patentsøknader og elektronisk levering av selvangivelse fra bedrifter og andre virksomheter.
Lovgivning og andre tiltak
Lov om elektroniske ID-kort legger opp til at slike kort skal benyttes i forbindelse med offentlige elektroniske tjenester. En modifikasjon av lov om folkeregister ga det nasjonale folkeregisteret i oppgave å forestå utstedelse av elektroniske identitetskort til befolkningen. Videre innfører man et nytt, unikt identifikasjonsnummer (FINUID ) for personer, spesielt til bruk i sertifikater i kortene. Nummeret skal være helt forskjellig fra det nasjonale personnummer, og det skal kunne lagres i det sentrale folkeregisteret, på linje med andre befolkningsdata. Disse reguleringene trådte i kraft 1.12.99. Videre trådte lov om elektroniske tjenester i forvaltningen i kraft den 1.1.2000. Loven regulerer elektronisk kommunikasjon innad i forvaltningen samt mellom forvaltningen og enkeltpersoner/bedrifter, herunder bruk av digitale signaturer og sertifikattjenester for dette formålet. Lov om elektronisk signatur, som er en implementering av EU-direktivet, forventes å bli vedtatt våren 2001.
6.4 Storbritannia
Sentrale tiltak i forvaltningen
Det sentrale PKI-initiativet, gjennomført innenfor den britiske forvaltningen, ble kalt «Cloud Cover» . Dette initiativet hadde som mål å sikre at offentlige virksomheter skal ha adgang til bredest mulig utvalg av sikre, interoperable og kostnadseffektive løsninger for intern innføring av PKI. For dette formålet ble det bl.a. etablert en sentral sertifikatutsteder for forvaltningen hos CESG (Communications Electronics Security Group), ekvivalent av FO/S i Norge. Alle større offentlige virksomheter skal etablere egne sertifikattjenester basert på anskaffelser. Det blir utviklet krav til nødvendige produkter på sentralt nivå. CESG skal evaluere sikkerheten i kryptografiske moduler i slike produkter. Mindre virksomheter vil kunne få utstedt sertifikater direkte fra CESG. Det skal også etableres sentrale sertifikatkataloger som skal være tilgjengelig i GSI (Government Secure Intranet), som dekker 65 offentlige virksomheter.
Arbeidet fra Cloud Cover videreføres i en rekke tiltak. Disse omfatter interoperabilitetstester mellom mange leverandører, sårbarhetsvurderinger av PKI, samt utvikling av rutiner og prosedyrer knyttet til den sentrale sertifikatutsteder.
PKI for eksterne tjenester til brukere
Information Age Government (IAG) er den politiske rammen for en rekke tiltak som skal føre til at innen 2005 skal alle offentlige tjenester i Storbritannia være tilgjengelige elektronisk. For å legge til rette for det ble det utarbeidet en rekke sentrale retningslinjer, herunder retningslinjer for autentisering som inneholder definisjoner av nødvendige sikkerhetsnivåer for ulike elektroniske tjenester. Det er definert fire sikkerhetsnivåer, avhengig av graden av sårbarhet samt mulige tap som følge av sikkerhetsbrudd. De to høyeste sikkerhetsnivåene skal støttes av PKI-løsninger.
Den britiske forvaltningen satser på en felles løsning for autentisering av brukere av offentlige elektroniske tjenester. Denne løsningen baserer seg på en felles portal til det offentlige, «UK Online», der funksjoner for autentisering skal være integrert. Både ID-/passord-baserte løsninger og PKI-basert autentisering skal være tilgjengelig. Sertifikater som skal benyttes, må være godkjent under såkalt tScheme, som er en frivillig godkjenningsordning for leverandører av sertifikater i det britiske markedet. tScheme har utarbeidet en rekke krav og kriterier for sikre tiltrodde tjenester.
UK Online-portalen skal være hovedinnfallsporten til offentlige elektroniske tjenester. På sikt skal direkte tilgang til etaters web-baserte tjenester sperres, slik at all kommunikasjon vil ledes via portalen. Konfidensialitetsbeskyttelse skal ivaretas av SSL-krypterte forbindelser. Portalen skal inneholde funksjoner for kvitteringer og revisjonssporing av transaksjoner mellom borgere/bedrifter og forvaltningen. Selv om det legges opp til sentralisert autentisering av brukere av de ulike offentlige tjenester, kan hver enkelt etat definere eventuelle tilleggsordninger for større sikkerhet mot deres systemer. Dette kan inkludere krav til tilleggsopplysninger for å kunne fastslå unik identitet. Britisk forvaltning benytter ikke noen felles unik identifikator for fysiske personer.
Lovgivning og andre tiltak
Offentlige virksomheter må selv finansiere sine PKI-relaterte aktiviteter. Disse befinner seg nå i hovedsak på pilotprosjekt- og planleggingsstadiet. Virksomheter kan søke midler for dette arbeidet fra en sentral bevilgning til IAG.
Den britiske lovgivningen anerkjenner juridisk bevisverdi ved elektroniske signaturer gjennom lov om elektronisk kommunikasjon. Loven regulerer ikke tilbydere av sertifikattjenester direkte. Dette overlates foreløpig til markedet gjennom tScheme-ordningen. Representanter for forvaltningen sitter i styret for tScheme.
6.5 Nederland
Den nederlandske forvaltningen planlegger å ha 25 % av offentlige tjenester tilgjengelig elektronisk innen utgangen av 2002. For å oppnå dette og målsettingen om effektiv elektronisk forvaltning ser man for seg en PKI-basert infrastruktur for sikkerhet ferdig utbygget mot slutten av 2002.
Sentrale tiltak i forvaltningen
I januar 2000 etablerte den nederlandske regjeringen en arbeidsgruppe (task force) med navnet PKI Overheid (PKI for forvaltningen). Arbeidsgruppens mandat på kort sikt er å etablere en begrenset PKI for intern bruk i forvaltningen, mot slutten av 2000. Dette innebærer bl.a. utarbeidelse av en felles sertifikatpolicy med ett sikkerhetsnivå som vil passe til de fleste administrative behov forvaltningen kan ha. Det skal også foreslås standarder for navngiving og identifisering av sertifikateiere.
Den nederlandske forvaltningen ser ikke behovet for mange ulike sikkerhetsnivåer. Man anslår at 75 % av alle anvendelser, både innenfor forvaltningen og mellom forvaltningen og dens brukere, vil kunne dekkes av ett sikkerhetsnivå. De resterende 25 % vil trolig kreve spesielle løsninger som kan gi adekvat beskyttelse til gradert informasjon. Man ser for seg samme type sertifikat både for forvaltningen internt og for enkeltpersoner/bedrifter. Private nøkler skal beskyttes i smartkort.
PKI for eksterne tjenester til brukere
Forvaltningen vurderer også muligheter for godkjenning av sertifikater utstedt av andre enn det offentlige. Bankene er en nærliggende samarbeidspartner i så måte. Det har imidlertid vært uttrykt tvil om registreringsprosessen i bankene er god nok for å godta sertifikater utstedt av bankene til bruk i offentlige tjenester.
Et begrenset antall prøveprosjekter innenfor områdene skatt, arbeidsledighetstrygd, sosialstøtte og «elektronisk borgerkort», med bruk av PKI-løsninger, er gjennomført så langt. Det planlegges å sette i drift en løsning for elektronisk levering av selvangivelse fra bedrifter i løpet av 2001. Denne løsningen skal benytte PKI for sikkerhet.
Lovgivning og andre tiltak
Nederland har en etablert, frivillig godkjenningsordning for leverandører av sertifikattjenester, TTP.NL. Det er likevel ingen stor utbredelse av sertifikatbruk i det private markedet. Man ser forvaltningen som et viktig «lokomotiv» for bruk av PKI-løsninger og som en stimulator for markedsutviklingen på området.
Nederland implementerer EU-direktiv om elektroniske signaturer gjennom en ny lovgivning. I den forbindelse vil det bli etablert en tilsynsordning for leverandører av sertifikater som vil være forskjellig fra TTP.NL.
6.6 USA
Sentrale tiltak i forvaltningen
Den føderale forvaltningen etablerte i 1998 Federal PKI Steering Committee, en interdepartemental gruppe med oppgaven å koordinere PKI-aktiviteter i amerikansk forvaltning. FPKISC har fått utarbeidet en rekke retningslinjer, felles sertifikatpolicy og ordninger for samtrafikk mellom etatenes PKI-er. Sommeren 2000 etablerte man i tillegg et sentralt organ kalt Federal PKI Policy Authority (FPKIPA). FPKIPA er etablert under Federal Chief Information Officers Council (FCIOC).
Hver offentlig etat i USA kan fritt anskaffe produkter og tjenester for å etablere sin egen sertifikatutstederfunksjon. Samtrafikkspørsmålet skal løses gjennom en sentral brofunksjon (Federal Bridge Certificate Authority, FBCA). Det er blitt utarbeidet en sertifkatpolicy for FBCA. Denne støtter fire ulike sikkerhetsnivåer – basis, grunnleggende, mellomnivå og høynivå. Etatene forventes å kryssertifisere mot FBCA. Bruk av FBCA er ikke obligatorisk, men det antas at de fleste etater vil benytte seg av den. FBCA vil også ha ansvaret for drift av en sentral katalogtjeneste som vil inneholde alle kryssertifiserte etater. Broen drives av General Services Agency (GSA) som på noen områder tilsvarer vår egen Statens forvaltningstjeneste.
Sertifikatene benyttes hovedsakelig til autentisering og signering. Kryptering basert på PKI er lite utbredt i amerikansk forvaltning.
Flere offentlige etater, som Department of Defense, Federal Aviation Authority, NASA m.fl. har fått utstedt betydelige mengder sertifikater for sin interne bruk. Det planlegges også å utstede sertifikater for bruk i informasjonsutveksling mellom offentlige myndigheter.
Det ble i juni 2000 publisert en egen rapport 8 som beskriver den amerikanske forvaltnings PKI-arbeid.
PKI for eksterne tjenester til brukere
For borgere skal en spesiell type sertifikater utstedes under sentrale rammeavtaler, som forvaltes av GSA. Disse sertifikatene kalles ACES (Access Certificates for Electronic Services). Etatene kan kjøpe sertifikater for brukere av deres elektroniske tjenester. Den amerikanske trygdeetaten vil bli en av de første storskalabrukerne av disse rammeavtalene. Målet er at ca. 100 000 enkeltpersonerssertifikater skal være utstedt ved slutten av 2000. Det forventes at et ACES-sertifikat vil koste ca. 20 USD, og at det vil være gyldig i 6 år. Etatene skal betale både for utstedelsen av sertifikatet og for transaksjonskostnader knyttet til bruken av sertifikatene (f.eks. oppslag i sperrelister). Slike transaksjonskostnader estimeres til ca. 0,40 til 1,20 USD, avhengig av transaksjonsvolum.
Det forutsettes at registreringsprosessen for ACES skal skje online. Brukeren skal generere sitt eget nøkkelpar og så sende den offentlige nøkkelen til den relevante etaten som vil utstede brukerens sertifikat. Sertifikatet vil bli lastet ned i brukerens nettleser. Kun sertifikater for autentisering og signering vil bli utstedt. (Den amerikanske forvaltningen benytter ett sertifikat for begge formål.) Konfidensialitetsbeskyttelse i kommunikasjon med det offentlige skal ivaretas av SSL.
Av hensyn til personvernet vil ACES-sertifikater kun inneholde en brukers fulle navn. Den første gangen brukeren benytter sertifikatet mot en etats elektroniske tjeneste, vil etaten autentisere vedkommende ved å innhente en rekke tilleggsopplysninger som identifiserer brukeren unikt for seinere transaksjoner.
Lovgivning og andre tiltak
GPEA (Government Paperwork Elimination Act ), satt ut i livet i oktober 1998, og ESIGN (Act on Electronic Signatures in Global and Interstate Commerce), vedtatt i juni 2000, er de to føderale lovene som omhandler elektronisk signatur.
GPEA krever at offentlige virksomheter skal kunne motta dokumenter og skjemaer elektronisk. Det settes frist til 2003 for skjemaer som har volum over 50 000 pr. år. Videre gir loven full rettslig virkning til elektroniske signaturer brukt i forbindelse med kommunikasjon med og i forvaltningen. Loven tillater også elektronisk lagring av forvaltningens dokumenter.
ESIGN-loven gir rettslig virkning til alle elektroniske signaturer brukt i transaksjoner mellom private parter, utenom forvaltningen. Loven gir elektroniske dokumenter samme status som de papirbaserte i slike transaksjoner.
6.7 Canada
Canada er et foregangsland når det gjelder bruk av PKI i offentlig sektor. I 1993 ble det tatt en strategibeslutning om å etablere en forvaltnings-PKI for sikker elektronisk informasjonsutveksling og sikre transaksjoner.
Sentrale tiltak i forvaltningen
GOL (Government Online), initiativet i den føderale kanadiske forvaltningen, har som mål at alle viktige tjenester skal være tilgjengelig elektronisk innen 2004. Også delstatsforvaltninger ser PKI som en viktig infrastruktur for leveranse av elektroniske tjenester til sine borgere.
Den sentrale enheten som forvalter PKI-politikk er TBS (Treasury Board Secretariat). Det er utviklet et PKI-rammeverk som omfatter modell for sertifikatpolicy, metodologi for kryssertifisering og policy for elektronisk autentisering og autorisasjon.
Hver offentlig virksomhet skal etablere sin egen sertifikatutstederfunksjon. Virksomhetene skal kryssertifisere mot en sentral sertifikatutsteder som drives av Canadian Central Facility (CCF), en ekvivalent til FO/S i Norge. I tillegg opererer GTIS (Government Telecommunications and Information Services) en felles katalogtjeneste.
Det er etablert en koordinerende komité for PKI-aktiviteter, Policy Management Authority. Denne komiteen rapporterer til TBS når det gjelder utviklingen og oppfølgingen av forvaltningens PKI-politikk. Alle forespørsler om kryssertifisering med CCF skal være godkjent av PMA, den skal også godkjenne avtaler med parter utenfor forvaltningen som ønsker å kryssertifisere med CCF. Det er til nå gjennomført 4 kryssertifiseringer. Det er planer om å kryssertifisere CCF med det kanadiske bankvesenets felles sertifikatløsning i 2001.
Den sentrale sertifikatpolicy-modellen støtter fire sikkerhetsnivåer 9 med 2 nøkkelpar for hvert nivå (ett for digitale signaturer og ett for kryptering). Dette avstedkommer åtte ulike varianter av policy. Private krypteringsnøkler for offentlig ansatte skal kopieres til et nøkkeldeponi for å kunne hentes fram ved eventuelt tap av nøkkel.
PKI for eksterne tjenester til brukere
Den kanadiske forvaltningen har siden 1998 gjennomført et program (Pathfinder) som omfatter en rekke prosjekter for implementering av elektroniske tjenester med støtte i PKI. Programmet omfatter ca. 17 ulike prosjekter, som bl.a. omfatter elektronisk registrering av nye selskaper, informasjonsutveksling i helsenettverk, sikker meldingsutveksling i sentralforvaltningen osv. Prosjektene er beskrevet i rapporter publisert på web. 10
Erfaringer fra dette programmet peker bl.a. på behovet for å utvikle en «business model» for bruk av PKI, behovet for sårbarhetsanalyser i forbindelse med anvendelse av PKI, behovet for samarbeid ved implementering av PKI og behovet for å legge stor vekt på informasjon og kunnskapsformidling om PKI.
Strategi for PKI-støttet kommunikasjon med enkeltpersoner er nå under utvikling i den kanadiske forvaltningen. Strategien baserer seg på bruk av standard nettlesere med «plug-in» levert av forvaltningen. Private nøkler forventes lagret på en maskinvareenhet (token), og registrering skal foretas online, med nødvendig hensyn til personvernspørsmål. Rammeverket for autentisering mot elektroniske offentlige tjenester utelukker ikke bruken av PIN-koder/passord. Slike løsninger skal likevel primært benyttes i «engangs-transaksjoner» med forvaltningen, og ikke for flergangsbruk.
Lovgivning og andre tiltak
Det utvikles også retningslinjer for langtidslagring av elektroniske dokumenter som er blitt signert digitalt. Det vurderes bl.a. om verifikasjonsspor kan lagres sammen med dokumentet, istedenfor selve signaturen.
Det kanadiske rettslige rammeverket for elektroniske tjenester er sammenfattet i Personal Information Protection and Electronic Documents Act. Loven regulerer elektroniske transaksjoner og autentisering generelt og er ikke spesielt rettet mot PKI.
6.8 Japan
Sentrale tiltak i forvaltningen
Den japanske forvaltningen legger opp til at hvert enkelt departement og underliggende virksomheter skal være egne utstedere av sertifikater. Det skal etableres en sentral bro (Bridge CA) for krysssertifisering av de ulike etaters løsninger. Broløsningen skal være på plass innen mars 2001. Denne oppgaven skal utføres av Koordinerings- og forvaltningsetaten under Statsministerens kontor. Broløsningen skal også benyttes for kryssertifisering av forvaltningens PKI med privat sektor og også med forvaltnings-PKI-er i andre land. Det er utviklet en generell sertifikatpolicy for forvaltningens PKI. Policyen baserer seg på ett felles sikkerhetsnivå.
Etablering av sertifikatutstedere i departementer og underliggende virksomheter skal være avsluttet i løpet av 2003/våren 2004. Noen departementer skal være pilotvirksomheter med etablert PKI våren 2001.
Spesifikasjoner for de nødvendige løsninger utarbeides i løpet av 2000 av Interdepartementalt Råd for IT i forvaltningen. Videre skal Rådet utvikle kriterier for evaluering av sikkerhet i nødvendige produkter og retningslinjer for deres anskaffelse. Departementer og underliggende virksomheter skal fritt kunne velge hvilke produkter de ønsker å kjøpe innenfor rammen av retningslinjer gitt av Rådet for IT i forvaltningen.
PKI for eksterne tjenester til brukere
Den japanske regjering har besluttet å innføre «papirløs» forvaltning i løpet av 2003. Rammebetingelser for dette tiltaket er sammenfattet i en handlingsplan som ble vedtatt i desember 1997.
Elektroniske tjenester til borgere skal baseres på en offentlig PKI (GPKI). Denne infrastrukturen skal kunne brukes til autentisering av både borgere og offentlige virksomheter.
Forvaltningen ønsker i samarbeid med banksektoren å utvikle løsninger for elektronisk betaling av offentlige avgifter. Et slikt system skal støttes av PKI. Systemet skal være i funksjon i løpet av 2003.
Lovgivning og andre tiltak
Det er etablert et forum for PKI i forvaltningen, der også leverandører deltar. Formålet med forumet er å utveksle erfaringer når det gjelder teknologivalg og innføring av PKI-løsninger.
Det japanske parlamentet har vedtatt en lov om elektroniske signaturer som skal tre i kraft i april 2001. Loven likestiller elektroniske signaturer med håndskrevne signaturer eller det japanske «bumerket» Hanku. Det skal også utvikles regelverk som skal dekke virksomheten til utstedere av sertifikater.
6.9 Australia
Sentrale tiltak i forvaltningen
Det sentrale tiltaket for innføring av PKI i forvaltningen er det såkalte Gatekeeper-programmet, som definerer rammeverket for offentlig PKI-politikk. Enhver sertifikatutsteder innenfor offentlig eller privat sektor må være godkjent etter Gatekeeper-kriterier. 11 Videre er det etablert en sentral Government Public Key Authority (GPKA) som har ansvaret for Gatekeeper. Det forventes at mange sertifikatutstedere (opptil 14) vil bli godkjent av Gatekeeper i nærmeste framtid.
PKI for eksterne tjenester til brukere
Den australske forvaltningen følger også en strategi for elektronisk forvaltning. 12 Denne strategien forutsetter etablering av elektroniske tjenester fra forvaltningen i løpet av 2001. En av de etatene som tar i bruk PKI for å tilby tilgangen til sine elektroniske tjenester, er det australske skattevesenet, ATO (Australian Taxation Office).
ATO sin løsning for elektronisk innlevering av selvangivelser fra privatpersoner forutsetter bruk av et engangssertifikat, utstedt for det formålet å signere en selvangivelse. Sertifikatet blir straks etter tilbakekalt. Brukere laster selv ned klientprogramvare fra Internett for utfylling av skjema og signering. I 2000 forventet man at ca. 80 000 selvangivelser ville bli levert på denne måten, mot 50 000 i 1999.
For selskapers levering av selvangivelser og MVA-oppgaver utstedes det sertifikater fra den pr. i dag eneste Gatekeeper-godkjente sertifikatutstederen, ATO. Registrering for sertifikat er knyttet til utstedelsen av et unikt nummer til hver firma, Australian Business Number. Det er ekvivalent til vårt organisasjonsnummer. Pr. 1.11.2000 er det blitt utstedt ca. 290 000 sertifikater til private firmaer fra ATO. Av disse er det 46 000 firmaer som er klare til å starte med elektronisk levering av selvangivelse og MVA-oppgaver (de har nøkkelpar og klientprogramvare).
På lang sikt vurderer australsk forvaltning det slik at den beste løsningen for distribuering av nøkler er at brukeren selv genererer sine egne nøkkelpar og installerer dem i sin nettleser.
ATO sin pilotbruk av PKI setter på mange måter standarden for hele den australske forvaltningen, og vil danne mønster for utbredelse av PKI i tiden framover.
Lovgivning og andre tiltak
Australia har egen lov om elektronisk kommunikasjon og -handel som anerkjenner elektroniske signaturer.
6.10 Oversikt over PKI-politikker i utvalgte OECD-land
Tabell 6.1 Oversikt over PKI-politikker i utvalgte OECD-land
| Land | Modell for utbygging av PKI | Antall sikkerhetsnivåer | Felles profiler og sertifikatpolicy | Unik identifisering av personer |
|---|---|---|---|---|
| Sverige | Rammeavtaler for forvaltningen og publikum; avtaler med banker og post | 3; høyeste nivå likt kvalifiserte sertifikater | Profiler finnes, policy under utvikling | Fødselsnummer i sertifikatet |
| Danmark | Stimuleringsmidler til forsøksprosjekter, rammeavtaler for offentlig elektronisk informasjonsutveksling | Uklart, utvalg arbeider med dette | Profiler finnes, uklart om felles policy vil utvikles | Utstedere genererer et unikt nummer etter gitte regler (felles struktur); nummeret kan være flyttbart; koples til CPR-nr. (fødselsnr.) |
| Finland | Sentral ordning for elektroniske ID-kort v/folkeregisteret. Forvaltningen kan kjøpe i markedet | 3; høyeste nivå (ID-kort) er strengere enn kvalifiserte sertifikater | Profiler finnes, sertifikatpolicy for ID-kort | Nytt, unikt nasjonalt nummer – FINUID Lagres i folkeregisteret i tillegg til fødselsnummer. Kun til bruk i sertifikater |
| Storbritannia | Sentralt initiativ for intern bruk, styres fra sikkerhetsmyndigheter. Markedsmodell for publikumstjenester | 4; de to høyeste skal dekkes av PKI-løsninger, de 2 laveste av andre teknologier | PKI-løsninger skal være godkjent iht. tScheme, en nasjonal ordning med omfattende krav, basert bl.a. på BS 7799 | Ingen unik identifikator |
| Nederland | Sentral arbeidsgruppe, sentralt koordinert utbygging av PKI for intern bruk; samarbeid med markedet for publikumsløsninger, bankene aktuelle | 1; vurderes brukt både for interne formål i forvaltningen og for tjenester til publikum; krever smartkort | Uklart, men skal være under utvikling (profiler) | Uklart, skal utvikle retningslinjer for dette |
| USA | Hver etat utsteder egne sertifikater, koordinering via sentral bro; sentral styringsgruppe for forvaltningens PKI; rammeavtaler for sertifikater til publikum | 4 for forvaltningen internt; eget nivå for publikumssertifikater (ACES) | Felles sertifikatpolicy for broløsningen, felles sertifikatprofiler for forvaltningen | Ingen unik identifikator |
| Canada | Hver etat utsteder egne sertifikater; koordinering via sentral rotnode og kryssertifisering; sentral styringsgruppe for PKI i forvaltningen; arbeider med strategi for publikum | 4 for forvaltningen internt; uklart hva som vil gjelde for publikum | 8 felles sertifikatpolicyer, to for hvert nivå – en for signering/ autentisering og en for kryptering; uklart om profiler finnes | Uklart, men trolig ingen unik identifikator |
| Japan | Hver etat utsteder egne sertifikater; også for publikum? | Trolig 1 | Arbeider med utvikling av felles policy, uklart om felles profiler finnes | Uklart, men har det nasjonale Hanku-systemet med personlig segl – sertifikatutstedelse vil knyttes til det |
| Australia | Hver etat utsteder egne sertifikater; må være godkjent under det sentrale Gatekeeper-programmet; planlegger at publikum selv kan skaffe seg nøkler | Uklart | Trolig en del av kravene under Gatekeeper | Uklart |
Fotnoter
PenOP, http://www.PenOp.com.
Recommendation of the Council concerning Guidelines for Cryptography Policy, 27 March 1997.
Rådet for IT-sikkerhet, nå nedlagt, erstattet av Forum for IT-sikkerhet.
Forvaltningsnettsamarbeidets sertifikatpolicy nr. 1.
http://www.datatilsynet.no
www.seis.se (SEIS – Sikker Elektronisk Informasjon i Samfunnet).
Praktisk brug af kryptering og digital signatur. http://www.fsk.dk/fsk/publ/2000/praktiskbrug/praktiskbrug.pdf
The evolving federal PKI. http://gits-sec.treas.gov
Se beskrivelse av USA.
http://www.cio-dpi.gc.ca/pki/pki_index_e.html
http://www.ogo.gov.au/publications/gatekeeperstrategy.pdf
http://www.govonline.gov.au