Innlegg på IT-sikkerhetsdagen

Av statssekretær Eirik Solberg (H) på Samferdselsdepartementets IT-sikkerhetsdag, 26. april 2005.

Manus, med forbehold om endringer under fremføring.

Bevisstgjøring og ansvar
Alle har et ansvar når det gjelder å styrke IT-sikkerheten. Borgerne må sørge for å beskytte seg når de går på nett. Borgerne vil imidlertid ikke kunne gjøre dette effektivt før leverandørene av produkter og systemer gjør det like enkelt å gjennomføre sikkerhetstiltak som det er å skru på PCen. Myndighetene spiller en sentral rolle som pådriver, medspiller, informatør og regulatør.

Det er og har vært en tendens til at alle skylder på hverandre når det gjelder å ta et ansvar. Brukerne skylder på leverandørene. IT-ekspertene skylder på brukerne, nesten alle skylder på Microsoft og alle peker på at myndighetene ikke gjør nok for å styrke landets informasjonssikkerhet. Jeg mener denne diskusjonen egentlig kan kokes ned til at alle har et ansvar, og dette ansvar knytter seg til den rollen man har i denne sammenheng.

Jeg mener det bør være en forutsetning at alle nye elektroniske produkter og tjenester som leveres i markedet skal være sikre - for å sikre at personopplysninger ikke kommer på avveie, for å sikre tilgang til tjenestene og for å beskytte foretningshemmeligheter. Det må kunne forutsettes at leverandører av produkter og systemer og operatører av nett tar ansvar for at sikkerhet er eller blir bygget inn i de produkter, systemer og nett som benyttes.

Brukerne må være sitt ansvar bevisst. De må sørge for å tilegne seg nok kunnskap om bruk av IT til at de kan vurdere risikoen ved å være på nett. Myndighetene har bidratt til dette med å utvikle og formidle veiledninger og teknikker som mange kan ta i bruk. Vi arbeider også kontinuerlig med å fremme en sikkerhetskultur i hele samfunnet.

MinSide og sikkerhet
I løpet av 2005 lanserer MOD MinSide – en felles inngangsdør til offentlige tjenester på Internett. Bakgrunnen for etableringen av MinSide er ønsket om å gjøre tilgangen til elektroniske tjenester enklest mulig for innbyggerne. MinSide skal gi tilgang til elektroniske tjenester fra det offentlige, uavhengig av hvilken sektor eller hvilket forvaltningsnivå som tilbyr tjenesten.

MinSide prosjektet vil forenkle en rekke offentlige prosesser, men det hjelper ikke at muligheten finnes, hvis ingen tar den i bruk. Tjenesten må oppleves som sikker og tillitvekkende. Prosjektet fører til at store mengder personlig informasjon blir gjort tilgjengelig på nettet. Dette setter åpenbart strenge krav til sikkerhetsløsningene. Den enkelte bruker skal bare få tilgang til sine egne opplysninger og ikke til en bekjent eller til en tilfeldig annen persons personlige data. Det holder med en enkelt glipp, som så blir kommunisert til mange, for at den nødvendige tilliten blir svekket og bruken synker. TNS Gallup undersøkelsen viser at 58 % av de spurte opplever det som et problem å oppgi personopplysninger eller å legge igjen personopplysninger på nett. Disse tallene er vi klar over, og vi har lagt som et helt sentralt premiss allerede tidlig i planleggingen av MinSide at personvern og informasjonssikkerhet skal ivaretas.

PKI løsning for offentlig sektor
Det er mål for offentlig sektor å kunne tilby enkel og sikker pålogging til offentlige tjenester på nett, blant annet gjennom MinSide. Et annet mål er å etablere elektronisk saksbehandling med elektronisk signatur som garanti for rettsikkerhet og gyldighet.

MOD drev i fjor høst en prosess med deltakere fra mange etater og kommuner, der det i løpet av høsten ble utarbeidet en felles kravspesifikasjon for elektronisk ID og signatur i offentlig sektor. Denne kravspesifikasjonen er nå godkjent både i Koordineringsorganet for eForvaltning og av Kommunenes Sentralforbund som anbefaler den på det sterkeste for sine medlemmer.

Det skal innføres to standarder for elektroniske signaturer. ”Person Høy” er signaturen som skal brukes for svært sensitive opplysninger, og ”Person Standard” skal brukes når innholdet er mindre sensitivt.

Felles sikkerhetsportal
Det skal etableres en sikkerhetsportal i tilknytning til MinSide. Portalen integrerer løsninger fra tilbyderne av elektronisk ID og signatur i markedet, som tilfredstiller kravspesifikasjonen (enten ved at de er blitt godkjent av den offentlige myndigheten, eller ved at det er gjennomført en frittstående sikkerhetsrevisjon). Dette gjør at offentlige virksomheter kan la borgerne benytte de sikkerhetsløsningene de allerede har fra andre sammenhenger, slik som Tippekortet og BankID-løsningen.

Sikkerhetsportalen tilbyr sikker pålogging og signering av transaksjoner og dokumenter. Dette gjør det enkelt for offentlige virksomheter å tilby tjenester basert på elektronisk ID og signatur. De forholder seg kun til en avtalepart som er sikkerhetsportalen og får en enkel integrasjon mot denne. Sikkerhetsportalen håndterer relasjonen mot de forskjellige leverandørene, både teknisk og avtalemessig.

En sikkerhetsportal, er ikke noe borgeren ser. Den ligger bak de virkelige portalene og nettstedene, og blir koblet inn for å identifisere brukere og signere dokumenter når dette skal gjøres på de forskjellige nettstedene. Dette gjør at brukerne får et felles og kjent brukergrensesnitt å forholde seg til, for legitimering og signering på nett, uavhengig av offentlig virksomhet. I tillegg får de mulighet til å benytte den sikkerhetsløsningen de allerede har. Dette vil også gi muligheter for single sign-on på tvers av offentlige virksomheter.

Prekvalifiseringen av leverandører for sikkerhetsportalen er allerede utlyst. Og valg av leverandør vil gjøres i første halvår. Sikkerhetsportalen skal være på plass i løpet av året. Det er planlagt å øke funksjonaliteten i sikkerhetsportalen etter hvert.

Samarbeidsprosjekt om eID og eSignatur (SEID)
I tillegg til å etablere en felles sikkerhetsportal, ønsker vi å tilrettelegge for generell samtrafikk mellom leverandørene av elektronisk ID og signatur i markedet. Vi ønsker den samme type samtrafikk som vi har i telesektoren i dag, der vi eksempelvis kan ringe fra en NetCom telefon til en Telenor telefon uten problemer.

I tillegg til det presset som offentlig sektor nå legger på leverandørene i form av å være en stor kunde med krav, har det derfor vært gjennomført et større prosjekt der leverandørene selv kan samordne seg. Dette prosjektet har vært dratt i gang og ledet av MOD og har med de store tunge aktører i markedet for elektronisk ID og signatur. Målet er å spesifisere standarder som gjør det teknisk mulig å få samtrafikk, slik at det kun står på forretningsmessige forhold å få dette på plass. Dette prosjektet har allerede tatt frem to anbefalte standarder og jobber nå med den tredje. Kravspesifikasjonen for elektronisk ID og signatur(PKI) i offentlig sektor peker selvsagt til disse standardene.