Rådet for IT-sikkerhet

Anbefalinger fra Rådet for IT-sikkerhet (RITS vedrørende organisering og bruk av digitale signaturer og tjenester fra tiltrodde tredjeparter (TTP)

Rådet for IT-sikkerhet (RITS) har gjennom den senere tid utredet spørsmål som knytter seg til organisering og bruk av digitale signaturer og tjenester fra såkalte tiltrodde tredjeparter (TTP) for å legge til rette for sikker elektronisk kommunikasjon. En arbeidsgruppe ble nedsatt for å lage en forberedende utredning. Rapporten ble avlevert til rådet i november 1998. Rådet har drøftet rapporten på et seminar og i to møter. Rådet oversender hermed rapporten til NHD (vedlegg).

Rådet anser at rapporten i hovedsak gir et dekkende bilde og danner et godt grunnlag for, og som del av videre arbeid innenfor problemfeltet. Rapportens innhold er avgrenset til å omhandle digitale signaturer. Det er imidlertid ønskelig med en bredere beskrivelse av elektroniske signaturer, og Rådet mener dette kan være en del av videre utredninger.

I det følgende gir rådet sitt syn på rapporten og dens anbefalinger.

Hovedproblemstilling

Rådet viser til at det er et uttalt mål at elektronisk korrespondanse skal være like pålitelig og juridisk bindende som korrespondanse ved bruk av papir. En rekke former for utveksling av informasjon krever signatur, eller behov for annen autentisering av avsender. Digital signatur er en teknologi som kan realisere signaturer på elektroniske meldinger og dokumenter. I tillegg kan teknologien sikre dokumentets integritet og sørge for tidsstempling av transaksjoner med mer, som er viktig ved blant annet kontraktsbaserte og økonomiske transaksjoner. For at teknologien skal fungere tilfredsstillende, er det behov for en uavhengig, tiltrodd tredjepart som kan utstede sertifikater for brukere av digitale signaturer. Sertifikatene vil entydig knytte sammen det elektroniske dokument med signatur og person. Digital signatur og tilhørende sertifiseringstjeneste er et område der det er behov for løsninger som så langt mulig er felles for hele samfunnet.

Forutsetninger som er lagt til grunn for Rådets vurderinger

Elektronisk handel og samhandling foregår i dag i stor grad i lukkede miljøer, det vil si brukergrupper som er klart definerte og som enten har forhåndsavtaler med hverandre, som i en rekke EDI-samarbeid (Electronic Data Interchange), eller er del av et felles kontrollert brukermiljø som f eks banktransaksjoner. Felles for disse er at de sammen har definert et særskilt behov for tjenester og kan etablere rammebetingelser gjennom kontrakt eller omforente retningslinjer. Det er av betydning at eventuelle nye regulatoriske tiltak, som er ment å virke positivt på fremveksten av elektronisk samhandel, ikke utformes slik at de oppleves som hindringer for allerede fungerende forretningsmodeller.

Rådet mener det er viktig å skille mellom elektronisk samhandling i lukkede miljøer som er regulert gjennom kontrakter og elektronisk kommunikasjon på åpne nett uten underliggende avtaler. Typisk for det siste vil være ønsket om å slutte en avtale med en fra før ukjent person eller tjeneste på nettet, uten å måtte møtes eller på forhånd avtaleregulere fremtidig kommunikasjon mellom de to parter. Omforente og allment tilgjengelige teknikker for å gjøre dette, foreligger ikke i dag. At slike teknikker utvikles antas å være et viktig bidrag til at elektronisk samhandling (herunder e-handel) skal kunne foregå sikkert.

Arbeidsgruppen gir i rapporten uttrykk for at digitale signaturer basert på offentlig nøkkel-teknologi og TTP-tjenester er den eneste realistiske i dagens situasjon. Rådet er så langt enig i denne vurderingen, og vil minne om at essensen i systemet med infrastruktur for offentlige nøkler er basert på tillit til en ”tredjepart”.

Rådet legger til grunn at det foreligger behov for mekanismer for autentiseringstjenester med mer, og at dette kan løses ved digitale signaturer basert på offentlig nøkkel-teknologi og TTP-tjenester. Til grunn for denne vurderingen ligger bl.a. rapportens kapitel 4 om behov, og en vurdering av de policy dokumenter som der er omtalt, fra bl.a. Bondevik regjeringen, EU og OECD. Det er meget stor aktivitet på området internasjonalt - i offentlig sektor, i industrien og i markedet, og nye produkter og tjenester ventes å komme.

Rådet legger til grunn at utviklingen innenfor området så langt som mulig bør være markedsdrevet.

Anbefalinger

Arbeidsgruppens anbefalinger spenner over et vidt spekter av tiltak som er meget forskjellige i karakter. Tiltakene utgjør nødvendige elementer i infrastruktur og rammebetingelser for alminnelig utbredelse av sikker elektronisk kommunikasjon med bruk av digital signatur.

Rådets anbefaling følger langt på vei strukturen i rapportens kap 9, med de 14 tiltak som der er beskrevet. Da antall tiltak er stort og enkelte av tiltakene har flere underpunkter, finner vi det hensiktsmessig å gruppere anbefalingene i 3 bolker:

I) Rettslig likestilling av elektroniske dokumenter og -signaturer med de papirbaserte (Rapportens tiltak 1, 2 og 3)

II) Tilrettelegging for etablering og drift av TTP-tjenester (Rapportens tiltak 4, 5, 6 og 7)

III) Tiltak for å vinne konkret erfaring og kunnskap (Rapportens tiltak 8, 9, 10, 11, 12, 13 og 14)

I. Rettslig likestilling av elektroniske dokumenter og -signaturer med de papirbaserte (rapportens tiltak 1-3)

Rådet oversender anbefalingene i tiltakene 1-3 om rettslig likestilling av elektronisk dokumenter og –signaturer med de papirbaserte, til NHD for videre oppfølging og avklaring i forhold til JD og andre relevante departementer.

I rapportens tiltak 1 foreslår arbeidsgruppen at det blir utviklet regler som sikrer elektroniske dokumenter og signaturer anerkjennelse som bevis på linje med papirdokumenter og underskrifter (positiv beviskraft), og at vilkårene for en slik anerkjennelse klargjøres.

Det foreslås tre tiltak på dette området, som har sammenheng med hverandre. Dette er de tiltakene arbeidsgruppen foreslår høyest prioritert, med hovedprioritet til dette forslaget om å sikre elektroniske dokumenter og digitale signaturer full likestilling/positiv beviskraft. For å klare dette, må man gjennom føre tiltak 2 og 3 først. Tiltak 1 fremstår derfor som en målsetting for de to andre, men ikke den eneste målsettingen.

Rådet anbefaler at NHD i samarbeid med berørte departementer gir arbeidet med oppfølging av rapportens tiltak 1-3 høyest mulig prioritet, men vil samtidig understreke at andre aktiviteter og utredninger bør gå parallelt. (Se bl.a. omtale av de øvrige tiltakene)

I rapportens tiltak 2 foreslår arbeidsgruppen at det bør gjennomføres et kartleggingsarbeid for å bringe på det rene når norsk lovgivning krever bruk av papir/underskrift.

Rådet er kjent med at et arbeid er under forberedelse med sikte på å kartlegge og fjerne hindringer i regelverket for elektronisk kommunikasjon, og støtter gjennomføringen av prosjektet.

Rådet har drøftet behovet for å avklare spørsmål om rettstilstanden vedrørende ”bevisspørsmål” i forhold til digitale signaturer og elektroniske dokumenter.

Det vises i den forbindelse til rapportens punkt 8.1.3, der det bl.a. heter;

”Næringslivets deltakere i arbeidsgruppen har fremholdt at det viktigste virkemiddel for å fremme utbredelsen av elektronisk samhandling i næringslivet vil være å gjøre det som skal til for å gi en elektronisk melding/digital signatur utvetydig, positiv beviskraft. Et tilsvarende behov finnes antakelig i offentlig forvaltning.”

Videre heter det; ”Den usikkerheten som knytter seg til disse spørsmålene er antakelig en av de viktigste hindringene for alminnelig tillit til og utbredelse av elektronisk kommunikasjon som har en økonomisk eller annen verdi av en viss betydning. Næringslivet etterspør som nevnt konkrete løsninger så fort som mulig, for å få slått klart fast at digitale signaturer har uttrykkelig beviskraft. Forvaltningen har også behov for å få et godt nok grunnlag til å bli helt trygge på dette området. Usikkerheten kan løses ved klare regler, men også ved klare utsagn om at dette juridisk sett ikke er problematisk. Alminnelig folkeopplysning knyttet til de områdene som ikke er problematiske, bør også gjennomføres så fort som mulig. Hva som er klart for noen jurister, er ikke nødvendigvis klart for folk flest, næringsliv eller forvaltning.”

Rådet anbefaler at det utarbeides en uttalelse som på en pedagogisk måte beskriver og forklarer gjeldende norsk rett vedrørende bevisspørsmål i forhold til digitale signaturer og elektroniske dokumenter. Rådet anser dette som et viktig oppfølgingspunkt.

I rapportens tiltak 3 anbefaler arbeidsgruppen at det må vurderes hvilke endringer som er nødvendige eller hensiktsmessige for å få de generelle rettslige rammevilkårene på plass, og at endringene må deretter gjennomføres.

Rådet merker seg rapportens utførlige drøftelser under dette punkt og antar disse drøftelsene vil være nyttige i det videre arbeidet.

Rådet viser til kartleggingsprosjektet og antar at den videre vurderingen vil måtte bygge på kartleggingsprosjektets resultater.

Rådet viser også til det kommende EU-direktivet om felles rammeverk for elektronisk signatur, som sannsynlig vil stille krav om legal anerkjennelse av elektroniske signaturer.

Rådet anbefaler at NHD i samarbeid med aktuelle departementer følger opp arbeidsgruppens forslag om at det blir utviklet regler som sikrer elektroniske dokumenter og signaturer anerkjennelse som bevis på linje med papirdokumenter og underskrifter, og at vilkårene for slik anerkjennelse klargjøres.

Andre rettslige relevante spørsmål, der det er behov for utredninger eller avklaringer

a) Ansvaret for og arbeidet med langtidslagrede elektroniske dokumenter med digital signatur, slik at hensynene bak den håndskrevne signatur ivaretas på en tilfredsstillende måte.

Rådet anbefaler at NHD tar initiativ overfor Kulturdepartementet for å avklare ansvaret for og arbeidet med langtidslagrede elektroniske dokumenter. Videre oppfølging må koordineres med AADs arbeid med elektronisk saksbehandling.

b) Utrede/vurdere hvordan signerte meldinger kan legges frem for domstolene.

Rådet anbefaler at NHD oversender problemstillingen til JD, med anbefaling om

oppfølging.

c) Personvernspørsmål. Rådet anbefaler at rapporten oversendes JD til orientering og oppfølging av dette punktet.

d) Ansvar og erstatningsspørsmål. Her anbefaler rapporten i tiltak 7 at ansvars- og erstatningsforhold for ulike typer roller må utredes nærmere. Rådet viser til sin anbefaling om videre utredninger vedr tilrettelegging for etablering og drift av TTP-tjenester under. Ytterligere utredninger om ansvar og erstatningsspørsmål, ut over hva som er ”nødvendig for å få på plass infrastrukturen”, anbefales vurdert nærmere når rammevilkår for og krav til TTP-leverandørene er nærmere avklart. Erfaringeringer bl.a. fra Forvaltningsnettprosjektet bør innhentes.

II. Tilrettelegging for etablering og drift av TTP-tjenester (Rapportens tiltak 4, 5, 6 og 7)

Rettslig usikkerhet kan være en hindring for realiseringen av autentiseringstjenesten. Slik usikkerhet kan antakelig reduseres ved hjelp av systemer for frivillig evaluering og godkjenning og/eller systemer for kontroll og oppfølging av slike tjenester, f eks i form av internkontroll og melding til tilsynsorgan. Derimot vil det ikke være aktuelt å innføre krav om forhåndsgodkjenning for i det hele tatt å kunne utstede sertifikater. Det kommende EU-direktivet vil høyst sannsynlig utelukke en slik mulighet. Dermed er det mulig at det blir en utvikling i retning av ett marked uten noen form for regulering, og ett marked med en form for regulering som det er frivillig å ta i bruk eller ikke. Dette kan være hensiktsmessig, som en avspeiling av ulike behov i markedet for sikkerhet, fra lavt til høyt.

Rådet anser at et hovedspørsmål er om man skal la markedet alene utvikle signaturtjenester eller om man skal understøtte tilliten til denne type mekanismer ved å etablere et frivillig godkjenningsregime for tjenesteleverandørene, - eller begge deler. I denne problemstillingen ligger også spørsmålet om hvor myndighetene bør gå inn og med hvilke roller. Heri ligger også spørsmål vedrørende tjenesteleverandørenes ansvar og nødvendigheten av eventuelt å regulere dette nærmere, samt ordninger for kryssertifisering. Spørsmålene vedrørende navneautoritet må også avklares.

Rådet viser til rapportens tiltak 4 der det anbefales at det etableres en frivillig ordning som tilbyr TTP’er å operere iht til autorisasjon/godkjenning ut fra anerkjente kriterier,

tiltak 5 der det anbefales at det etableres eller utpekes et offentlig eller privat organ som har ansvar for oppfølging og kontroll av TTP’er som på frivillig grunnlag er blitt godkjent, og tiltak 6 der det anbefales at det bør vurderes å stille krav om offentliggjøring av forretningsvilkår og retningslinjer for drift av autentiseringstjenester.

Rådet anser at det er viktig å komme i gang med å klarlegge rammer og modeller for TTP-virksomhet i Norge. Rådet mener imidlertid at det er behov for ytterligere å utrede spørsmål vedr myndighetsroller og finansiering av autentiseringsvirksomhet generelt, godkjenningsordning og krav til TTP-virksomhet, og om anerkjennelse av sertifikater på tvers av tjenesteleverandører i Norge og i forhold til andre land.

III. Andre tiltak, for å vinne konkret erfaring og kunnskap

I rapportens tiltak 10 anbefaler arbeidsgruppen at det gjennomføres minst ett pilotforsøk med en offentlig nøkkelinfrastruktur (PKI) for digitale signaturer som omfatter forvaltning, næringsliv og privatpersoner.

Rådet har merket seg at arbeidsgruppen mener dette er et av de viktigste tiltakene og er enig i at dette gis høy prioritet Rådet viser i den forbindelse til at man i flere land har igangsatt til dels omfattende pilotvirksomhet. Rådet ønsker dessuten å påpeke betydningen av at en kommer frem til løsninger som samvirker innad i forvaltningen, med næringslivet og omverdenen forøverig.

Rådet anbefaler at NHD i samarbeid med AAD tar initiativ for å få iverksatt flere pilotprosjekter i offentlig sektor, herunder vurdere stimuleringstiltak for bruk av Forvaltningsnettprosjektets rammeavtale for digitale signaturer og TTP-tjenester.

I rapportens tiltak 9 anbefales at det etableres en offentlig eller offentlig støttet autentiseringstjeneste for identitetssertifikater.

Rådet viser til det planlagte arbeid i regi av Arbeids- og administrasjonsdepartementet om elektroniske id-kort, og anbefaler at en avventer AADs ”utredning” før en tar stilling til videre oppfølging.

I rapportens tiltak 8 anbefales at det iverksettes sårbarhetsanalyser knyttet til etablering av autentiseringstjenester og økende elektronisk samhandling.

Rådet mener at anbefalingen er viktig og relevant og at sårbarhetsspørsmålene må angripes bredt. Rådet er kjent med at Statssekretærutvalget for IT for tiden vurderer spørsmål vedrørende sårbarhet. Rådet anbefaler at sårbarhetspørsmål knyttet til etablering av autentiseringstjenester og økende elektronisk samhandling så langt som mulig ses i sammenheng med annet sårbarhetsarbeid og at en avventer videre utredninger til eventuelle føringer fra statssekretærutvalget foreligger.

Arbeidsgruppen har under tiltakene 11 og 12 anbefalt at erfaringer vedr offentlig nøkkel infrastruktur må utveksles mellom offentlig forvaltning og næringslivet, og at det må gjennomføres tiltak for å fremme de generelle kunnskapene om digitale signaturer og TTP-tjenester.

Rådet vil understreke betydningen av aktiv erfaringsutveksling og vil be NHD og AAD om å konkretisere mulige tiltak for slik utveksling mellom det offentlige og næringslivet, samt internt i det offentlige. Når det gjelder å fremme de generelle kunnskapene om digitale signaturer, anbefaler rådet at egnede informasjonstiltak gjennomføres når myndighetsroller og modeller for organisering er nærmere avklart.

I rapportens tiltak 13 anbefaler arbeidsgruppen at Norge må prioritere deltakelse i internasjonale fora, herunder standardisering. Dessuten anbefales det i tiltak 14 at det bør iverksettes et arbeid for å oversette og tilpasse til norske forhold, den britiske standarden for sikkerhetssertifisering av organisasjoner (BS 7799) og settes i gang en prosess for å gjøre den til norsk standard.

Rådet støtter begge anbefalingene. Når det gjelder deltagelse i internasjonale fora og i standardiseringsarbeidet vil Rådet påpeke betydningen av at det settes av tilstrekkelig resurser. Når det gjelder den britiske standarden BS 7799 er Rådet kjent med at denne er i ferd med å bli tatt i bruk av flere land, og vil dessuten bemerke at oversettelse til norsk anses nødvendig for å kunne gjennomføre den vedtatte ordningen for sertifisering av IT-sikkerhet i organisasjoner. Rådet understreker imidlertid at oversettelse og tilpasning til norske forhold ikke må innebære at standardene endres.

Med hilsen

Vedlegg

Rapport; ”Digitale signaturer gir tillit til elektronisk kommunikasjon: forslag til tiltak for aksept og utbredelse”, datert 30.11.98.