Del 1
Mandat og hovedkonklusjoner
1 Utvalgets sammensetning, mandat og arbeid
1.1 Utvalgets sammensetning og mandat
Utvalget ble oppnevnt ved kongelig resolusjon 4. februar 2000, etter forslag fra Arbeids- og administrasjonsdepartementet.
1.1.1 Sammensetning
Utvalget har hatt følgende sammensetning:
Seniorrådgiver Katarina de Brisis (leder), Oslo, Arbeids- og administrasjonsdepartementet.
Vara: Seniorrådgiver Rolf Borgerud, Asker, Arbeids- og administrasjonsdepartementet.
Underdirektør Hilde Kristin Storvig, Brønnøy, Brønnøysundregistrene.
Vara: Avdelingsdirektør Håkon Olderbakk, Brønnøy, Brønnøysundregistrene.
Seksjonssjef Jørn Andreas Arnesen, Oppegård, Datatilsynet, ut 2000.
Vara: Rådgiver Audun P. Aanæs, Oslo, Datatilsynet, medlem fra 2001.
Underdirektør Torgeir Jonvik, Oslo, Finansdepartementet.
Vara: Ikke oppnevnt.
Forsker Helge Lægreid, Oslo, Forsvarets overkommando/Sikkerhetsstaben.
Vara: Overingeniør Lars Venger Gunnarsson, Eidsvoll, Forsvarets overkommando/Sikkerhetsstaben, fra 30.8.00: Forsker Øystein Hole, Oslo, Forsvarets overkommando/Sikkerhetsstaben.
Avdelingsdirektør Monica Lütken, Bærum, Forsvarsdepartementet.
Vara: Rådgiver Brynjel Johnsen, Moss, Forsvarsdepartementet.
Spesialkonsulent Ole-Gunnar Drabløs, Nittedal, Kommunenes Sentralforbund.
Vara: IT-sjef Tore Halstensen, Skedsmo, Kommunenes Sentralforbund, til juni 2000, fra 31.8.00: Spesialkonsulent Geir Leth-Olsen, Oslo, Kommunenes Sentralforbund.
Seniorrådgiver Jens Nørve, Oslo, Nærings- og handelsdepartementet.
Vara: Rådgiver Vigdis Olsen, Oslo, Nærings- og handelsdepartementet, til 5.9.2000.
Rådgiver Barbro Onsøien, Oslo, Post- og teletilsynet, ut 2000.
Vara: Seniorrådgiver Brynjar Mørkved, Oslo, Post- og teletilsynet, medlem fra 2001.
Seksjonssjef Bjørn Erik Fjeldheim, Oslo, Rikstrygdeverket.
Vara: Rådgiver Svein Burkeland, Frogn, Rikstrygdeverket.
Seniorrådgiver Johs. Hansen Hammer, Bærum, Skattedirektoratet.
Vara: Underdirektør Kristin Vestmo, Lørenskog, Skattedirektoratet.
Seniorrådgiver Inger-Elisabeth Kvaase, Oslo, Sosial- og helsedepartementet.
Vara: Rådgiver Alfred Ehrenclou, Oslo, Sosial- og helsedepartementet.
Justisdepartementet og eRegel-prosjektet (Kartleggingsprosjektet) ble invitert til å ha observatører i utvalgets møter. Dette ble ivaretatt av Ole Christian Hyggen, Justisdepartementet, prosjektleder Thomas Myhr, Nærings- og handelsdepartementet, og rådgiver Halvor Oseid, Statskonsult.
1.1.2 Sekretariat
Sekretariatsfunksjonen for utvalget ble ivaretatt av Statskonsult ved seniorrådgiver Anne Karen Bonnevie Seip, hovedsekretær, og seniorrådgiver Amund Eriksen. I tillegg har seniorrådgiver Endre Grøtnes deltatt.
1.1.3 Mandat
Utvalget skal utrede innholdet i en policy for offentlig forvaltning på området bruk av digital signatur, dokumentkryptering for konfidensialitetsformål og tilhørende infrastruktur (PKI, Public Key Infrastructure).
Utredningen skal:
presisere og avgrense hvilke spørsmål (jf. listen nedenfor) man mener en offentlig PKI-policy skal berøre
foreslå innhold i policy på enkelte punkter og ev. videre utredningsarbeid på andre
uttale seg om hva slags status en slik policy (eller dennes enkelte bestanddeler) bør ha i forvaltningen – anbefale tiltak.
Hovedspørsmål som ønskes utredet omfatter:
Kort oversikt over PKI-policy for offentlig sektor i andre OECD land.
Krav til digitale sertifikater som forvaltningen vil benytte selv eller stille krav om til andre. Et digitalt sertifikat er et bevis på at signaturen virkelig tilhører den som signerte.
typer digitale sertifikater – for hvem/hva, innhold
hva slags digitale sertifikater vil forvaltningen godta fra andre, evt. stille krav om
standardisert bruk av navn og unike identifikatorer i digitale sertifikater.
Behov for felles sertifikatpolicy i forvaltningen. Sertifikatpolicy angir krav til sikkerhet ved bruk av digital signatur og dokumentkryptering. Skal forvaltningen ha:
én eller flere policy for ulike anvendel ; ;ser (hvilke anvendelser),
obligatorisk eller anbefalt policy.
Det skal vurderes om Forvaltningsnettsamarbeidets sertifiseringspolicy FSP-1 kan bli en standard for forvaltningen.
Forvaltningens strategi for bruk av sertifiseringstjenester – hva bør forvaltningen sørge for selv og hva bør markedet sørge for. Oppgavefordeling mellom forvaltningen og markedet.
Forvaltningens krav til samtrafikk mellom leverandører av sertifiseringstjenester, slik at det eksisterer valgfrihet for brukere av digital signatur når det gjelder hvem de vil få sitt digitale sertifikat fra.
Forslag til retningslinjer for bruk av digitale signaturer og dokumentkryptering i forvaltningen, herunder spørsmålet om deponering og administrasjon av krypteringsnøkler brukt i embeds medfør.
Behovet for elektronisk ID-kort (som inneholder bl.a. digital signatur med mer) som vil utstedes i samband med offentlig tjenesteyting. Organisering, finansiering og ansvar. Samspill med markedet.
Økonomiske og administrative konsekvenser bør så langt som mulig klarlegges.
Det vises særlig til arbeid som utføres i et utvalg ( Myndighetsroller og TTP eller «Torvundutvalget») oppnevnt av Nærings- og handelsdepartementet, med frist 31.12.99. For øvrig vises det til følgende dokumenter:
Digitale signaturer og TTP gir tillit. Rapport fra Rådet for IT-sikkerhet. Nov. 1998.
Elektronisk forvaltning. Handlingsplan for tverrsektoriell IT-utvikling. Febr. 1999.
Stortingsmelding nr. 41 (1998–99) Om elektronisk handel og forretningsdrift. Mai 1999
Forvaltningsnettsamarbeidets sertifiseringspolicy nr. 1 (FSP-1). Aug. 1999
Navn og identifikatorer i sertifikater. FNS. Rev. Sept. 1999
FNS Avtaleverket, og særlig Spesielle vilkår for TTP-tjenester.
Kravspesifikasjon for TTP-tjenester, digital signatur og meldingskryptering. FNS. Des. 98.
OECD retningslinjer for kryptopolitikk
EU direktiv On a community framework for electronic signatures (Common Position EC No 28/1999, adopted by the Council on 28. June 1999, OJ C 243/33) med senere tilføyelser fra Europaparlamentet (vedtatt 30.11.99).
Sekretariat
Statskonsult ivaretar sekretariatsfunksjonene for utvalget.
Frist
Punktene 2, 3, 4 og 5 besvares innen 1.7.2000.
Punktene 1, 6, 7 og 8 innen 1.10.2000.
Arbeids- og administrasjonsminister Jørgen Kosmo aksepterte at fristen for avlevering ble utsatt til 31.12.2000.
1.2 Om mandatet
Mandatet bruker uttrykket «offentlig forvaltning». Utvalget antar at det er hensiktsmessig å legge omtrent samme betydning i dette som forvaltningsloven gjør, slik at ethvert organ for stat eller kommune omfattes, samt private rettssubjekter i de tilfellene der de treffer det loven kaller enkeltvedtak eller utferdiger forskrifter. Forretningsdrift fra det offentlige er holdt utenfor. Det antas at det ikke er behov for en mer presis avgrensning i denne utredningssammenhengen.
Utvalget legger til grunn at mandatet ikke ber om utredning av behovet for digitale signaturer mv., men om forslag til hvordan et forutsatt behov kan dekkes, gjennom hvilke konkrete løsninger.
Utvalgets oppgave er følgelig å anbefale konkrete krav og regler/retningslinjer for hvordan digitale signaturer kan benyttes på en formålstjenlig måte for forvaltningen selv og av brukere av forvaltningens elektroniske tjenester.
Utvalget har ut fra mandatet ikke funnet grunn til å behandle andre typer teknologier for autentisering. Andre måter å autentisere på kan imidlertid være nyttige på enkelte områder der digitale signaturer ikke er en egnet eller nødvendig løsning.
I henhold til mandatpunkt 6 skal det utredes forslag til retningslinjer/regler for bl.a. dokumentkryptering i forvaltningen. Problemstillingene og behovet for overordnet politikk rundt bruk og regulering av kryptografi (konfidensialitet og hemmelighold av meldingsinnhold) er tidligere behandlet i en egen arbeidsgruppe 1 i regi av Rådet for IT-sikkerhet (RITS ). Det vises til rapporten den gruppen laget. Vår utredning kan til en viss grad sies å være en oppfølging av noen av forslagene fra RITS-arbeidsgruppen, bl.a. forslagene om behov for å få utarbeidet og vedtatt kryptopolitikk for offentlig forvaltning og for privates samvirke med det offentlige.
Et aktuelt spørsmål er om politi- og påtalemyndighet ut fra lovlige etterforskningsformål i forbindelse med alvorlig kriminalitet skal ha mulighet for avlytting eller nøkkelregenerering (key recovery) på en eller annen måte. Dette spørsmålet er imidlertid ikke tatt med i mandatet, og utvalget tar det ikke opp i denne utredningen. Her vil det handle om intern saksbehandling i forvaltningen, og om grenseflaten mellom forvaltning og enkeltpersoner/næringsliv, men ikke om etterforskning i forhold til alvorlige forbrytelser. Innholdskrypteringen som det i mandatpunkt 6 blir foreslått regler om, må sees i et slikt lys.
Utvalget legger til grunn at sikkerhetstjenester som autentisering, integritet og ikke-benekting, er mandatets hovedtema. Begrepene forklares i kapittel 3. Disse viktige funksjonene kan ivaretas av teknologien innenfor området for digitale signaturer. Slike tjenester representerer etter utvalgets syn ikke problemer etterforskningsmessig, ettersom de ikke forvansker eller skjuler noe av innholdsmessig karakter i opplysningene/dokumentene.
Forholdet til rikets selvstendighet og sikkerhet, og andre vitale nasjonale sikkerhetsinteresser er ikke tema i denne utredningen. Disse forholdene er nå regulert i lov om forebyggende sikkerhetstjeneste (sikkerhetsloven ) vedtatt i 1998. Den trer i kraft samtidig med at et sett forskrifter er ferdige og kan tre i kraft, antakelig i første halvår 2001.
Når sikkerhetsloven med forskrifter trer i kraft, oppheves samtidig en rekke instrukser, deriblant sikkerhetsinstruksen og datasikkerhetsdirektivet . Alle de nevnte regelverkene er gitt av hensyn til rikets sikkerhet mv. I tillegg er (deler av) datasikkerhetsdirektivet gitt anvendelse for beskyttelsesinstruksen, som regulerer gradering av «andre grunner» enn dem som knytter seg til rikets sikkerhet. Når datasikkerhetsdirektivet oppheves, må elektronisk behandling av opplysninger gradert etter beskyttelsesinstruksen ivaretas på en annen måte, som det i skrivende stund (januar 2001) ikke er truffet beslutninger om. Denne utredningens kapittel 11, jf. mandatpunkt 6, inneholder imidlertid forslag som har sammenheng med det nevnte regelområdet.
1.3 Utvalgets arbeid
Utvalget har hatt åtte heldagsmøter og to møter som har gått over to dager. I tillegg har leder, sekretariat og enkelte utvalgsmedlemmer deltatt i møter med forvaltningsvirksomheter og aktører i markedet som har interesse/behov for løsninger på området for digitale signaturer mv., for informasjonsutveksling og diskusjon. Dette omfatter bl.a. møter med Finansdepartementet , Kommunal- og regionaldepartementet , Sosial- og helsedepartementet , Utenriksdepartementet , Vegdirektoratet , Riksarkivet , Patentstyret , Aetat , Statens lånekasse , Norges vassdrags- og energidirektorat , Banknæringen, Norsk Hydro , Telenor , Posten SDS (nå: ErgoGroup ) og Strålfors .
Mange virksomheter har utredet egne behov og opplegg for elektronisk signering og konfidensialitet. Noen av dem er referert i vedlegg 1.
I tillegg ble det opprettet underutvalg i to sammenhenger, først som et ledd i arbeidet med mandatpunkt 6 om retningslinjer for bruk av digitale signaturer (kapittel 11), der også representanter for henholdsvis Justisdepartementets lovavdeling og Arbeids- og administrasjonsdepartementet deltok, dernest som et ledd i sluttarbeidet med utredningen.
Et internasjonalt møte over to dager ble arrangert i mai av Arbeids- og administrasjonsdepartementet v/utvalgsleder Katarina de Brisis. Møtet var en oppfølging av tilsvarende møte og rapport i regi av International Council of IT in Public Administrations (ICA), om digitale signaturer/PKI. Utvalgsleder, sekretariat og et utvalgsmedlem deltok, sammen med representanter fra USA, Canada, Nederland, Irland, Storbritannia, Finland, Sverige og Japan. Politisk rådgiver Hilde Kristine Nysten Thorkildsen holdt innlednings- og velkomsttalen. Møtet er dokumentert i en egen rapport fra Arbeids- og administrasjonsdepartementet [ 3].
Den direkte kontakten og informasjonen fra dette møtet er hovedgrunnlaget for utvalgets besvarelse av mandatets punkt 1, kort oversikt over PKI-policy for offentlig sektor i andre OECD-land.
Utvalget har på enkelte områder innhentet delutredninger og hjelp fra:
JB Consult v/Jens Biong (knyttet til mandatpunkt 7, elektroniske ID-kort) [ 46],
Rolf Riisnæs, stipendiat, Institutt for rettsinformatikk, Universitetet i Oslo (knyttet til mandatpunkt 6, forslag til retningslinjer for bruk av digitale signaturer og kryptering i forvaltningen) [ 62],
PKI Consulting Services v/Jon Ølnes og Rune Hagen (knyttet til bl.a. mandatpunkt 5, samtrafikk mellom sertifikattjenester, samt sertifikatprofiler for offentlig sektor, og sluttarbeid på hele utredningen) [ 61], [ 60],
Forvaltningsinfo AS v/Tor Nygaard (kvalitetssikring i sluttfasen av utredningen).
For å skape debatt om utvalgets forslag ble tre delutredninger lagt ut på nettsidene til Forvaltningsnettsamarbeidet (FNS), med ønske om reaksjoner, som i et visst omfang kom.
Utvalget har hatt stor nytte av denne bistanden. Delutredningene er i større og mindre grad bearbeidet gjennom behandling på utvalgsmøter, og ansvaret for de endelige tekstene er utvalgets.
Utvalgsleder og enkelte utvalgsmedlemmer har deltatt i skrivearbeidet.
Innholdet i noen av utvalgets anbefalinger ble presentert av utvalgsleder og diskutert på et seminar om elektroniske signaturer i regi av Statens dataforum den 30.11. og 1.12.2000 på Losby Gods i Lørenskog, der også flere av utvalgets medlemmer deltok.
2 Utvalgets hovedkonklusjoner
2.1 Innledning
Samfunns- og teknologiutviklingen stiller store krav til forvaltningens omstillingsevne. Forvaltningen må kunne levere rask, individtilpasset og kostnadseffektiv tjenesteyting [ 21]. Fornyelse av offentlig sektor står høyt på den politiske dagsorden i dag. Blant viktige tiltak for å fornye offentlig sektor framheves «døgnåpen forvaltning» som et sentralt virkemiddel. Døgnåpen forvaltning skal levere offentlige tjenester på en kostnadseffektiv måte og på brukernes premisser, uavhengig av tid og sted. Internett som kommunikasjonskanal er et grunnleggende element i realiseringen av slik forvaltning. For å kunne oppnå målsettinger for døgnåpen forvaltning er det nødvendig for forvaltningen å etablere hensiktsmessige løsninger for elektronisk saksbehandling, elektronisk tjenesteyting og elektroniske administrative rutiner, som økonomiforvaltning og innkjøp. Løsninger bør integrere hele verdikjeden, dvs. interne systemer samt systemer for eksterne tjenester, og virke på tvers av sektorer og forvaltningsnivå for å gi gevinster.
Til støtte for slike løsninger trengs en sikker, effektiv og pålitelig infrastruktur for elektronisk informasjonsutveksling som kan sørge for at elektronisk samhandling gis samme juridiske gyldighet som den papirbaserte. Internett er «den elektroniske motorveien» der informasjon kan utveksles mellom ulike aktører og på ulike måter. Forvaltningen kan samhandle elektronisk med enkeltpersoner, bedrifter kan samhandle med forvaltningen og forvaltningen kan effektivisere sin interne samhandling.
Internett er i utgangspunktet ikke et sikkert nett. Elektronisk samhandling uten å ha vissheten for hvem man samhandler med, og uten å vite om det som sendes, er det som kommer fram, eller om noen har lest det underveis, er ikke en god og trygg løsning for forvaltningens kommunikasjonsbehov. Utbredelsen av sikre og standardiserte løsninger for autentisering av kommunikasjonspartnere og beskyttelse av den elektroniske informasjonen som utveksles – digitale signaturer – kan vise seg å være en god og effektiv løsning på problemet.
Digitale signaturer representerer en bestemt måte å implementere elektroniske signaturer på. I lov om elektronisk signatur, vedtatt i desember 2000, omtales digitale signaturer som «avansert elektronisk signatur».
Digitale signaturer med tilhørende infrastruktur (PKI = Public Key Infrastructure) gir muligheter for å vite hvem avsenderen av en elektronisk meddelelse er (autentisering ), muligheter for å sikre meddelelsen slik at alle forsøk på endringer blir oppdaget og stoppet (integritet), muligheter for å forvrenge innholdet (kryptere ) slik at det er uleselig for andre enn mottakeren (konfidensialitet ) og muligheter for å knytte innholdet til avsenderen slik at hun ikke kan nekte for å stå bak det (ikke-benekting ).
Den store fordelen med infrastruktur for digitale signaturer er at den kan tilby en samordnet sikkerhetsløsning for elektronisk tilgang til forvaltningens tjenester og elektronisk innrapportering og annen informasjonsutveksling med og i forvaltningen. Samordnede sikkerhetsløsninger vil kunne redusere forvaltningens kostnader ved etablering og utvikling av slike tjenester, og vil kunne gi forenklinger for forvaltningens brukere.
Alternative løsninger til digitale signaturer finnes på enkelte områder (særlig når det gjelder autentisering). Det er imidlertid svært få, om noen, standardiserte løsninger som kan støtte elektronisk signering for ikke-benekting. For anvendelser i forvaltningen, som trenger god sikring mot benekting av transaksjoner, er digitale signaturer en forutsetning for at tjenesten skal kunne tilbys elektronisk.
Man trenger ikke å forstå «innmaten» i ny teknologi for å ha glede og nytte av den, men man må som bruker beherske anvendelsen av den. Det som fortoner seg enkelt for brukere, er ofte svært komplekst og avansert «bak kulissene». Innføring og bruk av digitale signaturer med tilhørende infrastruktur medfører en rekke teknologiske, juridiske, organisatoriske og administrative utfordringer. Dette er et komplisert felt for forvaltningen å forholde seg til. Derfor trenger den en politikk på området, der det med politikk forstås normer for bruk, grunnleggende prinsipper for etablering, innføring og vedlikehold av infrastrukturen samt strategier for hvordan forvaltningen skal legge forholdene til rette for å sikre at den virker etter forutsetningene.
Denne utredningen foreslår grunnleggende elementer i en slik politikk.
2.2 Anbefalinger på enkelte mandatpunkter
2.2.1 Sertifikattyper og identifisering
For å kunne bruke digitale signaturer i stor skala trengs det et digitalt sertifikat. Et slikt sertifikat er en elektronisk legitimasjon av eieren som gir sikkerhet for at den digitale signaturen virkelig tilhører henne.
Utvalget har drøftet hvem som vil trenge slike sertifikater, hva sertifikatene skal inneholde av informasjon samt hvordan informasjonen skal tolkes, og særlig hvordan det skal bli mulig å identifisere fysiske og juridiske personer på en pålitelig måte i et slikt sertifikat.
Utvalget vil peke på at spørsmål behandlet her i høyeste grad er et internasjonalt anliggende, og anbefalinger må sees i et slikt perspektiv. Det foregår et omfattende internasjonalt og europeisk standardiseringsarbeid på området, og vedtakelsen av EU-direktivet om elektroniske signaturer setter klare premisser for valgene som kan gjøres.
Utvalget søker i sine anbefalinger å legge dette til grunn, så langt situasjonen på den internasjonale arena er avklart på det tidspunktet innstillingen avgis.
Utvalget har kommet fram til at det i samhandling med og i forvaltningen kan være behov for fire typer sertifikater:
Ansattsertifikater (sertifikater for de ansatte i forvaltningen),
Virksomhetssertifikater (sertifikater for virksomheter),
Offentlige personsertifikater (sertifikater for privatpersoner),
Profesjonssertifikater (personlige sertifikater som knytter en person til et bestemt yrke/utdanning og eventuelt autorisasjon/godkjenning fra en myndighet eller en organisasjon.
Utvalget anbefaler at disse sertifikatene inneholder informasjon som kodes og fortolkes i samsvar med profiler 2 basert på internasjonale og europeiske standarder. Profiler for de fire definerte sertifikattypene er vedlagt utredningen.
Utvalget anbefaler at det i sertifikater for ansatte i forvaltningen enten benyttes et ansattnummer eller en unik personlig kode for unik identifisering, i den grad dette er nødvendig for å skille to ansatte i samme virksomhet fra hverandre.
Utvalget anbefaler at sertifikater for fysiske personer (offentlige personsertifikater) bør ha identifikatorer som tildeles av en sertifikatutsteder, og som er unike for hver person hos sertifikatutstederen. Slike identifikatorer (tall og/eller bokstaver) bør være forskjellige fra personens fødselsnummer . Det må finnes en kopling hos utstederen mellom det unike nummeret og fødselsnummeret. De forvaltningsenhetene som har tjenstlige behov, kan få tilgang til sertifikateiers fødselsnummer via sertifikatutsteder.
I anvendelser der en offentlig virksomhet har begrunnet behov for direkte bruk av fødselsnummer i sertifikatet (dette gjelder f.eks. trygdeetaten) bør dette tillates.
Utvalget ser ikke behov for å ha fullt navn iht. folkeregisteret i sertifikatet dersom sertifikatutsteder sjekker dette før utstedelse. Sertifikatet vil inneholde personens vanlig brukte navn. Gjennom oppslag i folkeregisteret skal utstederen verifisere at det er den rette personen som skal få sertifikatet.
Utvalget anbefaler at virksomhetssertifikater inneholder organisasjonsnummer fra Enhetsregisteret i Brønnøysund som unik identifikator. I profesjonssertifikater anbefaler utvalget at et nummer fra det relevante registeret over personellet i den aktuelle yrkesgruppen benyttes som unik identifisering. Eksempel på et slikt nummer kan være helsepersonellnummer. Bruk av profesjonssertifikater diskuteres i helsesektoren.
Innholdet i sertifikater kan variere etter sertifikattype, og det kan variere med sertifikatutsteder. Alle steder et sertifikat skal behandles automatisk, må det finnes klare regler for hvordan innholdet i hvert aktuelt informasjonselement skal kunne fortolkes og behandles. Dette vil skape utfordringer når forvaltningen mottar sertifikater utstedt av ukjente utstedere, f.eks. fra utlandet. Når det gjelder håndtering av sertifikater fra utlandet, viser utvalget til at utredning og tilrettelegging av dette må inngå som en av flere oppgaver for samordningsfunksjonen som er omtalt i punkt 2.2.3.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 7.
2.2.2 Sikkerhetsnivåer
For å kunne signere digitalt utstyres sertifikateieren med et sett med såkalte nøkler (kryptografiske koder), bestående av en privat og en offentlig nøkkel. Den offentlige nøkkelen ligger i det digitale sertifikatet som er tilgjengelig for alle. Den private nøkkelen er hemmelig og skal oppbevares på en betryggende måte.
Hver utsteder av digitale sertifikater og nøkler må dokumentere at han tilfredsstiller sikkerhetskrav til utstedelse, håndtering og vedlikehold av sertifikater og nøkler. Slik dokumentasjon kalles hhv. sertifikatpolicy og sertifikatpraksis . Sertifikatpolicyen gir et bilde av sikkerhetsnivået på sertifikatet.
Utvalget har drøftet behovet for ulike sikkerhetsnivåer for sertifikatene som forvaltningen kan bruke internt eller som brukere kan benytte mot forvaltningen. Utvalget foreslår tre grunnleggende sikkerhetsnivåer for digitale signaturer/PKI-løsninger som forvaltningen kan bruke.
Nivå 3 innebærer at sertifikater og tilhørende private nøkler lagres i smartkort, og at beregningene utføres i kortet. Nivå 2 skiller seg sikkerhetsmessig fra nivå 3 ved at nøkler og sertifikater ikke trenger å være lagret i et smartkort, men kan lagres f.eks. kryptert i en PC eller på en særskilt diskett.
For begge nivåer anbefaler utvalget at det benyttes sikre og pålitelige krypteringsalgoritmer og at eiere av sertifikater må møte opp personlig minst én gang for å kunne identifiseres med sikkerhet i forbindelse med utstedelse av et sertifikat for digitale signaturer. Det bør også finnes sikre rutiner for utlevering av nøkler og sertifikater til eiere.
Utvalget anbefaler at det for hver sertifikateier skal genereres tre separate sett med nøkler, hvert sett til sitt bruk. De tre nøkkelsettene skal benyttes hhv. til signering, autentisering og kryptering.
Utvalget ser at det i en overgangsfase kan være nødvendig med bruk av kun to nøkkelpar på grunn av at eksisterende løsninger i markedet i begrenset grad støtter tre separate nøkkelpar. Ved slik bruk anbefaler utvalget at funksjoner som tillegges disse to nøklene, fordeles slik at krypteringsfunksjonen skal ha sin egen nøkkel. Utvalget mener at det kan legges administrative begrensninger på bruk av en kombinert nøkkel for signerings- og autentiseringsfunksjon der det kan være behov for det. Slike begrensninger kan innebære at en nøkkel bare skal brukes til f.eks. signering, selv om den også er merket for autentisering.
Videre anbefaler utvalget at tilgangen til private nøkler skal være sikret med en PIN-kode eller et passord med tilstrekkelig sikkerhet.
Nivå 1 dekker sertifikater som ikke tilsvarer nivå 3 og nivå 2, dvs. sertifikater som har lavere sikkerhet. På samme nivå ansees løsninger der PIN-koder og passord benyttes direkte for elektronisk samhandling/tilgang til systemer.
Utvalget ønsker ikke å gi noen anbefalinger vedrørende sikkerhet på dette nivået.
Utvalget anbefaler at det lages en felles sertifikatpolicy for utstedelse av sertifikater på nivå 3 og en tilsvarende felles policy for nivå 2. Disse policyene bør ta utgangspunkt i Forvaltningsnettsamarbeidets sertifikatpolicy nr. 1 [ 2] og i den europeiske standarden fra ETSI , Policy requirements for certification authorities issuing qualified certificates [ 23]. Fellespolicyene som skal lages, bør også tilpasses de sertifikattypene og sertifikatprofilene som utvalget anbefaler.
Forvaltningsnettsamarbeidets sertifikatpolicy FSP-1 bør tilpasses de unike identifikatorene utvalget anbefaler, samordnes med ETSI-standarden, samt de nye anbefalte sertifikatprofilene. Utvalget anbefaler ikke obligatorisk bruk av felles sertifikatpolicyer for forvaltningen.
Utvalgets anbefalinger på dette punktet baserer seg på dagens situasjon når det gjelder tilgjengeligheten av aktuelle teknologier og graden av standardisering av dem. Anbefalinger vil kunne endres dersom utviklingen endrer forutsetningene som ble lagt til grunn her.
Utvalgets anbefalinger angående dette mandatpunktet kan danne et utgangspunkt for offentlige virksomheters valg av sikkerhetsnivå for sine elektroniske anvendelser. Et valg må alltid baseres på individuell vurdering av hver enkelt anvendelse. Utvalget vil ikke gi anbefalinger når det gjelder hvilke sikkerhetsnivåer som kan passe for hvilke anvendelser, men uttaler seg veiledende om bruk, jf. anbefalinger vedrørende modeller for sertifikatutstedelse nedenfor.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 8.
2.2.3 Modeller for sertifikatutstedelse samt organisering av forvaltningens samordningsbehov
Utvalget har drøftet ulike modeller for hvordan PKI kan etableres for forvaltningen, og for forvaltningens brukere, på en kostnadseffektiv og hensiktsmessig måte. Etablering av infrastrukturen innebærer at man avklarer hvem som skal utstede sertifikater og med hvilken sikkerhet, hvem som skal sikre at sertifikater utstedes til riktige eiere (registreringsfunksjon), hva slags kostnader som kan forventes ved bruk av infrastrukturen, og hvem som skal dekke dem. Avklaringer må gjøres både for forvaltningens interne bruk og for brukere av offentlige tjenester og virksomheter som forvaltningen samhandler med.
Modellene som omtales i dette kapitlet, dreier seg om leveranse av sertifikater med sikkerhetsnivå 3 eller 2. Utvalget ønsker ikke å uttale seg om når sertifikater på nivå 1 skal kunne brukes. Dette er et valg som tilligger hver offentlig virksomhet som ønsker å ta i bruk sikkerhetsløsninger for elektronisk samhandling. Utvalget mener imidlertid at det ved slike valg bør vurderes grundig om «sterk» sikkerhet er nødvendig, eller om man kan klare seg med løsninger på lavere nivå.
Utvalget anbefaler at forvaltningen forsynes med sertifikater for sine ansatte gjennom etablering av en ny, utvidet rammeavtale om digitale signaturer og sertifikattjenester under Forvaltningsnettsamarbeidets innkjøpsordning. Rammeavtalen skal også tilby produkter og/eller tjenester som gjør det mulig for en offentlig virksomhet selv å kunne utstede sertifikater til sine ansatte. Sertifikater for offentlig forvaltning bør i hovedsak være sertifikater med sikkerhetsnivå 3, men sertifikater med sikkerhetsnivå 2 kan ikke utelukkes brukt dersom behovet tilsier det.
Utvalget anbefaler at det for forsyning av sertifikater til enkeltpersoner inngås samarbeidsavtaler med minst to aktører i markedet som utsteder, eller vil utstede, sertifikater til enkeltpersoner i forbindelse med egen bruk av PKI. Slike aktører kan f.eks. være bankene.
Kostnader ved bruk av slike sertifikater mot offentlig sektor bør i startfasen ikke belastes enkeltpersoner. Sertifikatene bør ha sikkerhet på minimum nivå 2, med overgang til nivå 3 når tilsvarende løsninger foreligger i markedet og er bredt tilgjengelige for enkeltpersoner.
Utvalget anbefaler at det bør høstes flere praktiske erfaringer med bruk av sertifikater i forbindelse med elektronisk samhandling mellom næringslivet og forvaltningen, før man foreslår fellestiltak fra forvaltningens side.
Utvalget anbefaler at det settes av egne midler til stimulering av bruk av digitale signaturer og PKI i forvaltningen. Slike midler bør tildeles prosjekter der digitale signaturer innføres i samsvar med vedtatte fellesordninger og anbefalte felles standarder.
Utvalget anbefaler at det etableres en permanent samordningsfunksjon for bruk av PKI i samhandling med og i forvaltningen. Funksjonen bør organiseres som et fast utvalg med et sekretariat med eget driftsbudsjett. Utvalget bør bestå av sentrale samordningsmyndigheter og brukervirksomheter på alle forvaltningsnivåer. Utvalget bør ledes av et IT-samordningsdepartement – enten AAD eller NHD. Samordningsfunksjonen bør samarbeide med Post- og teletilsynet og med Datatilsynet som er tilsyn etter lov om elektronisk signatur. Utvalget mener at mandatet for samordningsutvalget, samt sekretariatets oppgaver, plassering og finansiering bør bli gjenstand for en drøfting mellom berørte departementer og eventuelt underliggende etater samt representanter for kommunesektoren. Utvalget mener at en slik drøfting bør komme i gang straks.
Utvalget anbefaler at det med utgangspunkt i samordningsfunksjonen etableres et eget Forum for digitale signaturer, med representanter fra forvaltningen, næringslivet og leverandørene, for å drøfte felles standarder på området PKI.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 9.
2.2.4 Samtrafikk
PKI er teknologisk, juridisk og organisatorisk komplisert infrastruktur. Mange aktører deltar i infrastrukturen (jf. kapittel 3) med ulike roller og ansvar. For brukere av infrastrukturen kan dette skape en del utfordringer.
Valget av strategi for etablering av PKI (jf. punkt 2.2.3) fører med seg konsekvenser som kompliserer bruken av PKI ytterligere. Ønsket om å utnytte markedskreftene og konkurranseaspektet medfører krav til markedsaktørene om å kunne spille sammen slik at deres kunder ikke får begrenset valgfrihet når det gjelder hvem de kan kommunisere elektronisk med.
For en bruker av et sertifikat (dvs. den som mottar en signatur med sertifikat og skal kunne stole på denne) er utfordringen om dette sertifikatet kommer fra den utstederen som hun kjenner og har tillit til, eller om det kommer fra en helt annen utsteder, som hun ikke vet noe om. Hvordan vurdere sikkerheten ved et slikt sertifikat? Kan man stole på at signaturen likevel er ekte? Kan det hende at denne utstederen har slurvet med registreringen av sertifikateieren slik at denne nå opptrer under falsk identitet? Dette er spørsmål som sertifikatbrukere må kunne få svar på dersom de skal benytte en åpen infrastruktur der flere aktører kan utstede sertifikater til ulike målgrupper, og der det kan velges fritt mellom disse utstederne.
Utfordringene kan også knytte seg til teknologier som benyttes. Selv om standardiseringen av PKI er kommet et stykke på vei, finnes det fremdeles en rekke måter å implementere dette på, som kan skape problemer når brukere av ulik programvare for signering og kryptering skal kommunisere og utveksle digitalt signerte meldinger eller dokumenter.
Utvalget har drøftet ulike sider ved behov for samtrafikkløsninger i en slik infrastruktur. Vurderingene knytter seg til behovet for ulike tillitsstrukturer som kan bøte på problemet med ukjente sertifikatutstedere og behovet for godt samvirke mellom programvare for digitale signaturer og kryptering fra ulike leverandører.
Utvalget anbefaler at forvaltningen bidrar til at det etableres tillitsstrukturer i markedet, som kryssertifisering av utstedere eller en toppnode som sertifiserer alle utstedere innen et gitt område. Utvalget anbefaler at forvaltningen krever denne type tillitsstrukturer for utstedere forvaltningen har avtaler med.
Utvalget anbefaler at forvaltningen sammen med markedsaktørene tar initiativ til at det etableres en felles samtrafikktjeneste som brukere både i forvaltningen og i resten av samfunnet kan benytte seg av. Utvalget anbefaler at forvaltningen spiller en aktiv rolle i etableringen av en slik tjeneste i det norske markedet. Forvaltningen bør kunne bidra med eventuell delfinansiering for initiering av tjenesten. Tjenesten må ellers basere seg på kommersielle vilkår for drift.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 10.
2.2.5 Regler for bruk av digitale signaturer i forvaltningen
På grunnlag av en juridisk delutredning har utvalget drøftet behov for regulering av bruken av digitale signaturer og tilhørende infrastruktur i forvaltningen og mot forvaltningens brukere. En slik bruk ble her sett i sammenheng med andre rutiner som er nødvendige ved elektronisk kommunikasjon og behandling av dokumenter.
Formålet med reglene er å beskrive hovedprinsippene for hvorledes elektronisk kommunikasjon med forvaltningen kan og skal skje, med mulighet for å tilpasse løsningene til det enkelte forvaltningsorgans behov. Videre foreslås det regler for forvaltningsintern bruk av digitale signaturer og sertifikater.
Utvalget fremmer en skisse til et regelverk som gir konkrete anvisninger for elektronisk kommunikasjon mellom forvaltning og enkeltpersoner, og innad i forvaltningen. Forslaget omfatter regler for både autentisering og signering samt beskyttelse av konfidensialitet. Reglene knyttes an til forvaltningslovens generelle bestemmelser om saksbehandling i forvaltningssaker.
Utvalget anbefaler at man nedfeller nødvendige regler i en ny forskrift forankret i forvaltningsloven og i lov om elektronisk signatur. En forskrift kan utformes på grunnlag av forslaget her. Utvalget mener at arbeidet med forskriften bør knyttes til gjennomføringen av eRegel-prosjektet (jf. punkt 5.2.5) og den revisjonen av forvaltningsloven som skjer som følge av dette prosjektet.
Utvalget mener at forvaltningsinterne forhold knyttet til krav til, godkjenning og anskaffelse av sikkerhetstjenester og -produkter for forvaltningen, samt regler om intern saksbehandling, bør inntas i samme forskrift med mindre sterke hensyn taler imot.
Utvalget mener at de rettslige virkningene av at man benytter systemer valgt eller godkjent av forvaltningen, eller sertifikater tilhørende forvaltningen, må framgå av forskriftene eller loven som hjemler dem.
Utvalget mener at beskyttelsesinstruksens regler for behandling av graderte dokumenter ved elektronisk kommunikasjon bør kunne samordnes med regelverket som er foreslått her.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 11.
2.2.6 Elektroniske identitetskort
Brukere av offentlige elektroniske tjenester vil ønske at sikkerhetsløsninger som benyttes, er enkle å bruke samtidig som de er pålitelige og sikre. For å imøtekomme slike ønsker må offentlig sektor ty til kraftige samordningstiltak, også når digitale signaturer med tilhørende infrastruktur benyttes. Elektroniske ID(identitets)-kort er en slik samordnet løsning som vil kunne gi brukere av offentlige elektroniske tjenester en «universalnøkkel» til forvaltningen på nett.
Et elektronisk ID-kort er et smartkort som inneholder en elektronisk identitet – EID. EID består av tre sett krypteringsnøkler med tilhørende offentlige personsertifikater til bruk for digital signering, autentisering og dokumentkryptering. Kortet må ha en viss informasjon om eieren trykt utenpå, men skal ikke nødvendigvis fungere som et alminnelig fysisk identitetskort. Et slikt elektronisk ID-kort skal kunne brukes til elektronisk signering og kryptering av dokumenter eller til pålogging til forvaltningens elektroniske tjenester, hjemme, på et offentlig servicekontor eller annet offentlig sted hvor det er lagt til rette for pålogging til Internett-tjenester med et slikt kort.
Det forutsettes her at kortet utstedes av en offentlig myndighet som kan påta seg ansvaret for riktig identifisering og verifisering av korteiere, og som garanterer for sikre utleverings- og tilbaketrekkingsrutiner samt sikker infrastruktur for bruk av slike kort.
Utvalget har sett på en slik løsning som er etablert i Finland. Utvalget har merket seg at for å få en slik løsning til å fungere, kreves det kraftig koordinering mellom selve ID-kort-løsningen og utviklingsarbeidet som vil pågå i de offentlige virksomheter som ønsker å legge ut elektroniske interaktive tjenester på nett. Mye tyder på at de finske myndighetene har fått problemer med slik koordinering, ettersom tilfanget av offentlige tjenester der det elektroniske ID-kortet kan benyttes, foreløpig er begrenset.
Utvalget har merket seg at det ennå ikke finnes et bredt tilbud i markedet på PC-utstyr med leser for ID-kort integrert som standardutrustning, og at utbredelsen av slikt utstyr i norske husholdninger er nesten lik null. Denne situasjonen kan endre seg når private aktører som tilbyr elektroniske tjenester med sikkerhet basert på slike kort, går bredt ut til befolkningen. En første prøvestein i så måte ser ut til å bli Norsk Tipping med elektroniske tippekort, som prøves ut i 2001.
Utvalget tror at etablering av en slik ordning vil kunne kreve store investeringer og en større prosess for å få den på plass. Utvalget mener at man ut fra hensynet til markedet må være forsiktig med etablering av offentlige tilbud på et område der det vil finnes løsninger i markedet.
På grunnlag av disse foreløpige vurderingene anbefaler ikke utvalget at forvaltningen skal gå i gang med egen etablering av en offentlig ordning for utstedelse av elektroniske ID-kort nå. Utvalget mener at ut fra samfunnsmessige og økonomiske betraktninger, og for å unngå dobbeltarbeid, bør forvaltningen løpende vurdere å ta i bruk ID-kort som kommersielle aktører i markedet tilbyr. Dette er også konsistent med strategien for forsyning av enkeltpersoner med sertifikater som anbefales i punkt 2.2.3, når slike sertifikater tilbys på smartkort.
Utvalget anbefaler at situasjonen i markedet observeres (både i Norge og i utlandet), og at erfaringer høstes før en eventuell videre utredning av saken.
Utvalgets vurderinger angående dette mandatpunktet er å finne i kapittel 12.
2.2.7 Økonomiske og administrative konsekvenser av utvalgets anbefalinger
Utvalgets anbefalinger innebærer etablering av et nytt, fast samordningsutvalg som skal dekke hele forvaltningen, inklusive regional og lokal forvaltning. Videre kan behovet for et sekretariat for utvalget føre til etablering av et eget organ eller plassering av en funksjon i en eksisterende virksomhet.
Utvalgets anbefalinger innebærer etablering av et forum for utveksling av erfaringer mellom forvaltningen, næringslivet og leverandørene av løsninger for digitale signaturer. Forvaltningen skal være initiativtaker, men ellers delta på like vilkår med de andre partene.
Utvalgets anbefalinger medfører etablering av en ny rammeavtale for forvaltningen med løsninger for digitale signaturer og PKI. Rammeavtalen bør tre i kraft innen rimelig kort tid etter at gjeldende rammeavtale under Forvaltningsnettsamarbeidet har utløpt (1.6.2001).
Utvalgets anbefalinger medfører forhandlinger mellom forvaltningen, representert ved samordningsfunksjonen, og aktører i markedet, med sikte på etablering av en avtale om utstedelse av sertifikater til enkeltpersoner.
Kostnader ved sekretariatet for samordningsfunksjonen estimeres årlig til ca. kr 6,5 mill. (1–2 årsverk samt driftsbudsjett). Driftsmidlene tenkes benyttet til utredninger, utarbeidelse av grunnlaget for rammeavtaler, utvikling av felles sikkerhetskrav og evaluering av løsninger i markedet. Videre skal driftsmidlene benyttes til å finansiere forvaltningens deltakelse i det felles erfaringsforumet og ev. bidrag til etablering av en felles samtrafikktjeneste.
Offentlige virksomheter som vil utpeke deltakere til det faste samordningsutvalget, skal finansiere denne deltakelsen selv. Det estimeres ressursbruk tilsvarende 2 månedsverk pr. år for hver deltaker og 4 månedsverk for leder.
Det forutsettes at det felles erfaringsforumets virksomhet finansieres av deltakerne.
Utvalget anbefaler at det avsettes stimuleringsmidler for bruk av digitale signaturer i offentlige virksomheter i størrelsen 9 mill. kr i 2002. Midlene bør kunne tildeles prosjekter der digitale signaturer blir tatt i bruk for å understøtte elektroniske tjenester til enkeltpersoner og til næringslivet, både på statlig og på kommunalt nivå. Utvalget mener at ett av kriteriene for tildeling av midler bør være at prosjektene benytter seg av felles løsninger som foreslås etablert. Utvalget viser til tilsvarende satsing i Danmark i 1998–1999, der evalueringsrapporten framlagt høsten 2000 konkluderte med at satsingen var til god nytte for den danske forvaltning.
Utvalgets vurderinger
angående dette mandatpunktet er å finne i kapittel 13.
2.3 Forslag til videre utredningsarbeid
Utvalget mener at håndtering av utenlandske sertifikater bør utredes nærmere, særlig i lys av implementeringen av EU-direktiv 1999/93/EC i EØS-området og løsninger i land utenom EØS.
Videre mener utvalget at det bør utredes hvordan en eventuell utstedelse av profesjonssertifikater skal foregå. Dette bør skje i samarbeid med myndigheter og organisasjoner som har ansvaret for føring av relevante registre over yrker/utdanninger som gir rettigheter.
I forbindelse med utvalgets anbefaling om at forvaltningen bidrar til etablering av en felles samtrafikktjeneste for sertifikater i det norske markedet, bør forvaltningen utrede sine krav til en slik samtrafikktjeneste. Videre bør forvaltningen utrede hvilke felles krav man bør stille til verifikasjonsinformasjon som framkommer ved behandling av sertifikater.
Et annet spørsmål som utvalget mener bør utredes nærmere, er om det i forvaltningsloven bør åpnes for helt automatiske beslutningsprosesser, og hvilke krav dette vil stille til systemer, dokumentasjon med mer samt hva slags sårbarhet en slik åpning kan skape.
Utvalget mener det er naturlig at ovennevnte utredninger bør initieres og gjennomføres i regi av den foreslåtte samordningsfunksjonen.
Utenom disse utredningene vil det være behov for avklaringer av en rekke spørsmål knyttet til konkret innføring av digitale signaturer og PKI innen enkelte sektorer, virksomheter eller på bestemte anvendelsesområder. Bl.a. bør spørsmål knyttet til interne rutiner for arkiv og postmottak ved behandling av digitalt signerte dokumenter utredes. Utvalget ser behov for utvikling av rutiner og prosedyrer ved bruk av digitale signaturer innen elektronisk saksbehandling, elektronisk økonomistyring, elektroniske offentlige innkjøp med mer. Dette arbeidet bør skje i regi av relevante departementer og etater. Utvalget mener at den foreslåtte samordningsfunksjonen bør kunne trekkes inn også i dette arbeidet.
Fotnoter
Rådet for IT-sikkerhet – Sluttrapport fra utvalg for vurdering av behov for kryptopolitikk, FO/S 1997-11-10. Rapporten kan fås ved henvendelse til Rådets sekretariat i Nærings- og handelsdepartementet, Forskningsavdelingen.
En profil er en presisering av en standard tilpasset et konkret anvendelsesområde.