Del 6
Konsekvenser av utvalgets anbefalinger
13 Kvalitative, administrative og økonomiske konsekvenser
13.1 Utgangspunkter
For å nå de politiske målene om fornyelse av offentlig sektor, bl.a. ved å innføre døgnåpen forvaltning, mener utvalget at løsninger som sørger for sikker, effektiv og pålitelig infrastruktur for elektronisk informasjonsutveksling, er viktige virkemidler. Utvalget foreslår derfor enkelte sentrale fellestiltak. I tillegg foreslår utvalget en rekke tiltak på frivillig basis som den enkelte virksomhet i utgangspunktet må dekke selv.
De sentrale tiltakene utvalget anbefaler, er i hovedtrekk følgende:
Etablering av det som kalles en samordningsfunksjon, som består av et nytt, fast samordningsutvalg for forvaltningens felles behov, ledet av Arbeids- og administrasjonsdepartementet eller Nærings- og handelsdepartementet, med et sekretariat,
Etablering av et Forum for digitale signaturer for forvaltning , næringsliv og leverandører,
Etablering av en ny rammeavtale for forvaltningen,
Etablering av avtaler med aktører i markedet om utstedelse av sertifikater til enkeltpersoner,
Bruk av stimuleringsmidler for å fremme bruken av digitale signaturer i elektronisk samhandling med og i offentlig forvaltning.
Utvalgets forslag er først og fremst utformet for å bidra til at hele området for sikker elektronisk forvaltning og kommunikasjon kan hjelpes fram, uavhengig av tid og geografi. Dette vil gi bedre og mer effektiv tilgang til sikre elektroniske tjenester fra det offentlige for både enkeltpersoner og næringsliv, og bety en effektivisering for det offentlige selv. Det er viktig at flest mulig skal få del i denne utviklingen, slik at løsningene ikke blir nyttige bare for de mest ressurssterke. Gjennomføring av disse tiltakene vil medføre noen initielle kostnader og driftskostnader for forvaltningen, som utvalget mener det er nødvendig og naturlig at man tar på vegne av fellesskapet.
Utvalget mener det er avgjørende at man fra sentralt, statlig hold dekker kostnader som er nødvendige for å etablere viktige fellesløsninger, men at den enkelte virksomhet for øvrig dekker kostnadene ved bruk av digitale signaturer og kryptering over egne budsjetter, innenfor de tidsrammer som Regjeringen har satt for å nå målene om døgnåpen og elektronisk forvaltning innen år 2003.
Utvalgets forslag vil bidra til kvalitativ nytte for enkeltvirksomheter, forvaltningen, enkeltpersoner og næringsliv (se punkt 13.2). Utvalget legger til grunn at noen tjenester neppe kan tilbys elektronisk uten bruk av digitale signaturer, eventuelt at tjenestene tilbys med dårligere sikkerhet/kvalitet. Administrative konsekvenser av innstillingene i utredningen er knyttet til nye eller endrede funksjoner og ansvarsområder, både i de enkelte forvaltningsorganer og samordnet for hele eller deler av forvaltningen (se punkt 13.3). Økonomiske konsekvenser er et langt mer sammensatt bilde. Utvalget har ikke hatt mulighet for å gå ned i detaljene. For en del områder kan man bare hinte om retning for utvikling, mens man i andre tilfeller kan kvantifisere økonomiske aspekter (se punkt 13.4).
13.2 Kvalitative betraktninger
13.2.1 Kost-/nyttevurderinger for bruk av PKI-teknologi
Nytteeffektene ved elektronisk saksbehandling og elektroniske tjenester er knyttet både til innsparinger for forvaltningen selv og for kommunikasjonspartnere, og til bedre kvalitet på offentlige tjenester. Kvalitetsforbedringer er først og fremst knyttet til raskere saksbehandling og bedre tilgjengelighet, uavhengig av sted og åpningstid. I mange tilfeller vil imidlertid elektroniske tjenester også innebære mindre risiko for feil f.eks. i datagrunnlaget for en saksavgjørelse.
Det er viktig å være klar over at digitale signaturer og PKI kun har verdi i den grad teknologien anvendes til konkrete formål. Digitale signaturer er heller ikke bare et sikkerhetstiltak, men en teknologi som muliggjør nye elektroniske tjenester. Diskusjonene i punktene 13.4.2 og 13.4.4 gir en begrunnelse for dette synspunktet.
Elektroniske tjenestetilbud og elektronisk saksbehandling i offentlig sektor vil stille forskjellige krav, avhengig av hva slags tjenester og saksbehandling det er snakk om. Et sentralt spørsmål, som må vurderes i det enkelte, konkrete tilfellet, er behovet for digitale signaturer og meldingskryptering for elektroniske dokumenter.
Der det ikke er behov for signaturer, kan det likevel være ønskelig å benytte PKI for å gi en sikker identifikasjon og autentisering av brukerne f.eks. ved bruk av en offentlig elektronisk tjeneste. Teknologien vil i tilfelle også beskytte kommunikasjonen mot innsyn og uautoriserte endringer gjennom kryptering.
Ett eksempel på kvalitetsforbedring knyttet til bruk av PKI er Skattedirektoratets tjeneste for forhåndsutfylt selvangivelse. Her har man til nå benyttet en PIN-kodebasert autentisering, og ut fra sikkerhetsnivået i dette kan man tilby et visst utvalg av informasjon og operasjoner. Neste trinn, operativt i pilotversjon våren 2001, er autentisering basert på PKI, men ikke digitale signaturer. Dette gir økt sikkerhet, og mulighet for mer personaliserte tjenester og økt utvalg av funksjoner og informasjon. Neste versjon vil også ta i bruk digitale signaturer, og da vil man kunne tilby en fullstendig elektronisk selvangivelsestjeneste.
Innføring av elektroniske tjenester må gjøres etter kost-/nyttevurderinger og risikovurderinger, der kostnadene og nytten av PKI-bruk ofte vil stå helt sentralt. Denne teknologien oppfattes i dag som kompleks, og det betyr også at kostnadene kan være høye. Men som nevnt over kan nytteverdien i noen tilfeller være slik at tjenester ikke kan tilbys elektronisk uten bruk av denne teknologien, f.eks. der det er krav om signaturer. Da må man se på gevinsten av at tjenestene kan tilbys elektronisk.
Det er også klart at dersom infrastruktur og brukere er på plass, vil nye tjenester kunne basere seg på dette ut fra helt andre kost-/nyttevurderinger enn den situasjonen man vil ha initielt for de første eksemplene på tjenester som baserer seg på digitale signaturer.
Man bør vurdere:
Økte kostnader mot andre muligheter som kan gi større nytte, f.eks. tilgangen til alternative metoder og kostnader knyttet til disse.
Økte kostnader ved at man må opprettholde to parallelle systemer, ett papirbasert og ett elektronisk. Dette innbefatter å opprettholde kompetansen rundt manuelle rutiner som man kanskje ikke trenger i forbindelse med et elektronisk system.
Om elektroniske transaksjoner kan påføre motparten utgifter. Høye kostnader kan innskrenke antall mulige brukere, noe som i sin tur begrenser nytten ved elektronisk kommunikasjon.
Utviklings- og vedlikeholdskostnadene ved elektronisk kommunikasjon.
Om det er mulig å endre de underliggende rutinene rundt manuell saksbehandling slik at de kan automatiseres.
Om hvordan teoretiske effektiviseringsgevinster ved overgangen til sikre elektroniske tjenester kan realiseres i praksis.
Krav om signatur i forhold til gjeldende rett.
Sedvane og innarbeidet praksis innenfor den aktuelle sektoren.
13.2.2 Risikoanalyse som element i en kost-/nyttevurdering
I en kost-/nyttevurdering er det sentralt å vurdere den risikoen for skade eller tap som kan oppstå ved bruk eller ikke-bruk av PKI.
Risikovurderinger må foretas der informasjonen regnes som sensitiv i en eller annen forstand, for enkeltpersoner/bedrifter, for saksbehandling og vedtak, eller for virksomheten som sådan. Vurderingen skal identifisere teknikker og styringsmekanismer som best minimerer risikoer, gir akseptable kostnader og maksimerer nytten for de involverte parter. Mye kan kvantifiseres, men noen faktorer kan bare gis kvalitative estimater. Det kan f.eks. være vanskelig å bestemme verdien av preventive tiltak mot bedrageri.
Ved risikovurdering ser man på:
Sannsynligheten for at skade/tap kan opptre,
Kostnadene ved potensiell skade,
Kostnadene ved å ta i bruk forebyggende sikringstiltak, tiltak for å reparere eventuelle skader, og kostnader ved ikke å gjøre noe.
De alternativene som etablerer et akseptabelt risikonivå, bør uttrykkes som netto nytte for både forvaltningen og enkeltpersoner/bedrift. Hvis nytten er negativ, kan forvaltningen bestemme at det foreløpig ikke er naturlig å ta i bruk elektronisk samhandling på det aktuelle området.
På den annen side er det ikke slik at enhver nyttevurdering avgjøres av en risikovurdering. Et tiltak kan godt ha negativ (eller positiv) nytte, selv om risikoen er lik null. Netto nytte avgjøres av hvorvidt kostnadene er større eller mindre enn beregnet nytte.
En risikoanalyse vil alltid måtte koples med vurderinger i henhold til gjeldende lover og regelverk (f.eks. personvernhensyn) slik at sikkerhetsnivået er høyt nok til å tilfredsstille pålagte krav.
13.3 Administrative konsekvenser
13.3.1 Felles administrative konsekvenser
Etablerte ordninger
Noen felles administrative funksjoner er allerede på plass:
Post- og teletilsynet er gjennom den nye loven og forskriften om elektroniske signaturer tillagt tilsyn med utstedere av kvalifiserte signaturer [ 52].
Norsk Akkreditering har fått i oppdrag av Nærings- og handelsdepartementet å etablere en norsk ordning for akkreditering og sertifisering av informasjonssikkerhet i organisasjoner (jf. St.prp. nr. 1 (1989–99), Nærings- og handelsdepartementet). Sertifiseringsordningen og standarden BS 7799 er nærmere beskrevet av Norsk Akkreditering. Se på nettet: http://www.justervesenet.no/na/default.htm. Velg «informasjonssikkerhet». Ordningen kan delvis bidra til et grunnlag for tillit til den generelle informasjonssikkerheten hos f.eks. sertifikatutstedere, men ikke for sikkerhet konkret knyttet til digitale signaturer mv.
Forsvarets overkommando/Sikkerhetsstaben (FO/S) er gjennom vedtak i Stortinget etter forslag fra regjeringen (St.prp. nr. 1 (1989–99), Nærings- og handelsdepartementet) tillagt myndighet for sikkerhetsmessig sertifisering/godkjenning av IT-sikkerhet i produkter og systemer. Ordningen er rettet mot sivil sektor og basert på frivillighet. Det er ikke avklart om FO/S vil få noen oppgaver knyttet til godkjenning av sikre signaturframstillingssystemer.
Norsk Teknologisenter har ansvaret for etablering av norske standarder innen de aktuelle områdene. Det arbeides for tiden (januar 2001) med oversettelse til norsk av en ny internasjonal standard (IS 17799) for informasjonssikkerhet i organisasjoner, basert på den nevnte britiske standarden BS 7799, del I.
Innkjøpsordning for sertifikater, programvare for digitale signaturer og meldingskryptering, smartkort og smartkortlesere er etablert i regi av Forvaltningsnettsamarbeidet – alle forvaltningsvirksomheter kan handle via disse rammeavtalene.
Foreslåtte ordninger
Denne utredningen konkluderer med at det er behov for å plassere ansvaret for koordinering av forvaltningens arbeid innen området digitale signaturer og PKI på ett sted. Utvalget foreslår etablering av en samordningsfunksjon i form av et permanent samordningsutvalg med et sekretariat, jf. punkt 9.6. Dette er en ny rolle innen forvaltningen. Plasseringen av sekretariatet må avklares.
Samordningsfunksjonen vil ha overordnet ansvar for kvalitetskrav og sikkerhetskrav for løsninger internt i forvaltningen og på grenseflaten mellom forvaltningen og privat sektor (både virksomheter og privatpersoner). Den vil ha ansvaret for forvaltningens felles spesifikasjoner, i samarbeid med de ansvarlige for anskaffelser og rammeavtaler, som f.eks. Forvaltningsnettsamarbeidet, og med tilsyns- og standardiseringsorganer.
Denne utredningen konkluderer også med at det bør være aktuelt å opprette et felles Forum for digitale signaturer for forvaltningen, næringslivet og leverandører av sertifikattjenester. Samtrafikkspørsmål vil være spesielt viktige for et slikt forum.
Felles prosjekter, anvendelser, tjenester m.m.
I tillegg til prosjekter innen enkelte forvaltningsorganer er det flere eksempler på samarbeidsprosjekter som involverer flere forvaltningsvirksomheter, bl.a. helsesektoren (f.eks. i regi av Rikstrygdeverket), felles innrapporteringsprosjekter (Skattedirektoratet, Statistisk sentralbyrå og Brønnøysundregistrene) og andre. Det bør oppmuntres til flere slike samarbeidsprosjekter.
Det er identifisert et potensial for samarbeid om felles tjenester. Innen digitale signaturer og PKI gjelder dette særlig samtrafikktjenester for verifisering av sertifikater. Arbeid med samtrafikktjenester anbefales av denne utredningen, mens det ikke anbefales å starte initiativer for sertifikatkataloger nå.
Statens forvaltningstjeneste/Statskjøp arbeider med etablering av en elektronisk markedsplass for forvaltningen. Det er et klart behov for digitale signaturer i en slik sammenheng, og det er viktig at et koordinerende organ samarbeider med dette og liknende prosjekter, f.eks. i sammenheng med Nærings- og handelsdepartementets satsning innen elektronisk handel.
Kompetanseoppbygging
IT-infrastrukturer kan være store og komplekse. For å forstå dem er det nyttig å se helheten og forstå sammenhengen mellom dem [ 31]. Den viktigste kompetansen er antakelig ikke knyttet til teknologien alene, men til sammenhengene mellom teknologi og institusjonelle og sosiale strukturer i samfunnet. PKI er et del-område som både er komplekst og nytt. Store forandringer skjer raskt. I tillegg til at den foreslåtte samordningsfunksjonen skal ha en rolle, og må ha gode kunnskaper om området, er det slik at effektiv utnyttelse av PKI krever kompetanse i de enkelte forvaltningsorganene. Etablering av kurstilbud og andre kompetansebyggende tiltak vil være av stor betydning på PKI-området. Det vil være naturlig at bl.a. Statskonsult, som statens sentrale organ for kompetanseutvikling og opplæring, engasjerer seg i dette, og bygger opp tilbud i takt med de videre behovene på området.
En rekke forvaltningsorganer har meget god kompetanse. Utfordringene ligger også i å få disse miljøene til å samarbeide i størst mulig grad, både med tanke på konkrete oppgaver og for kompetanseoppbygging og -utveksling. Den foreslåtte samordningsfunksjonen kan få et særlig ansvar for å holde oversikt over relevante kompetansemiljøer og -personer, og for å stimulere til faglig kontakt.
Felles administrative konsekvenser vil også være knyttet til kontakt med samarbeidspartnere innen forskning og utvikling, og kontakt med leverandører av produkter og tjenester. I tillegg kommer standardiseringsarbeid internasjonalt som må følges opp, inkludert kontakter som må knyttes og vedlikeholdes mot relevante internasjonale samarbeidspartnere. Dette er en oppgave som må ivaretas av relevante standardiseringsorganisasjoner som Norsk teknologisenter og sekretariatet for IT-standardisering i forvaltningen hos Statskonsult, og som kan kreve økte ressurser.
13.3.2 Administrative konsekvenser for forvaltningsorganer
Etablering av digitale signaturer og sertifikater
Dersom forvaltningsorganet selv og/eller grupper av ansatte skal ta i bruk digitale signaturer, må forvaltningsorganet inngå avtale om kjøp og vedlikehold av nødvendig programvare og utstyr, og avtale med en sertifikatutsteder. Det anbefales å basere dette på Forvaltningsnettsamarbeidets rammeavtaler.
For å få utstedt sertifikater må forvaltningsorganet ha oppnevnt en eller flere registreringsenheter/-steder. Dette vil vanligvis bli ivaretatt av personer internt i organisasjonen, men det kan også være en fellesfunksjon for flere forvaltningsorganer. Men registreringsenheten må være lokal, slik at personer som skal ha sertifikat, kan få det ved et personlig frammøte med legitimering hos registreringsenheten. Personene som skal ha rollen som registreringsenhet, må få utstyr og opplæring og må være godkjent av sertifikatutstederen. Dersom dette er eget personale, vil det vanligvis være enten teknisk driftspersonale eller ansatte i personalavdelingen. Det er naturlig at funksjonen med registrering knyttes til personalavdelingen. Ansatte der må få opplæring særlig i den tekniske og sikkerhetsmessige delen av driften av en slik funksjon.
Bruk av digitale signaturer og meldingskryptering må reflekteres i virksomhetens sikkerhetspolicy. Det er naturlig med en gjennomgang av sikkerhetspolicyen ved innføring av denne teknologien. Dette bør spesielt innebære en gjennomgang av sikkerheten for de personene og tjenestene som skal bruke eller verifisere digitale signaturer. Merk at anbefalinger og regelverk fra bl.a. FO/S og Datatilsynet tilsier at hver virksomhet som bruker kryptografiske metoder, skal utpeke en kryptoansvarlig med spesielt ansvar for dette området.
Bruk av digitale signaturer og sertifikater
Bruken av digitale signaturer og sertifikater isolert sett kan gjøres ganske enkel. Utfordringen er å få bruken inn i den rette sammenhengen ved elektronisk saksbehandling og kommunikasjon. Dette vil kreve god dokumentasjon av nye tilpassede rutiner fulgt av en endringsprosess for å ta disse rutinene i bruk. Det er sjelden formålstjenlig å overføre papirbaserte rutiner direkte til elektronisk samhandling.
Innføring av nye rutiner kan medføre nye roller og funksjoner, og dette kan innebære til dels store administrative konsekvenser, avhengig av i hvor stor grad eksisterende rutiner må endres. Eksempler er spesielt knyttet til drift og administrasjon av tjenester som elektronisk postmottak og elektronisk arkiv.
Utvikling av nye elektroniske tjenester, eller tilpasning av eksisterende tjenester til bruk av digitale signaturer, vil kunne medføre endrede driftsrutiner.
Kompetanseoppbygging
Innen de enkelte forvaltningsorganene er det flere typer ansatte som trenger spesiell kompetanseoppbygging. Dette gjelder selvfølgelig brukerne, som må vite hvordan de skal bruke f.eks. smartkort og programvare, og hvilke rutiner som gjelder for elektronisk saksbehandling og kommunikasjon. Endrede rutiner vil kunne medføre et betydelig behov for opplæring. Dette vil være en nødvendig konsekvens ved overgang til elektronisk kommunikasjon.
Det anbefales at det blir utarbeidet et kursopplegg, basert på de kursene som allerede tilbys innen området. Merk at sertifikatutstedere og programvareleverandører som har rammeavtale under Forvaltningsnettsamarbeidet, er forpliktet til å tilby kurs for brukere til sine kunder.
Rollen som registreringsenhet er viktig, og den krever spesiell opplæring. Både utstyr og opplæring for personer som skal fylle rollen som registreringsenhet/sted, skal være en del av avtaler om kjøp av sertifikattjenester under Forvaltningsnettsamarbeidets rammeavtaler.
Driftspersonale i forvaltningsorganet vil trenge opplæring relatert til installasjon, drift og vedlikehold av programvare og utstyr (som smartkortlesere). Driftspersonale må også vite hvilke spesielle sikkerhetskrav som eventuelt gjelder, knyttet til bruk av digitale signaturer og meldingskryptering. Leverandører innen Forvaltningsnettsamarbeidet er forpliktet til å gi slik opplæring til sine kunder, men det anbefales at Statskonsult eller andre også utarbeider driftskurs.
13.4 Økonomiske konsekvenser
Grovt sett er elementene i en økonomisk analyse disse:
Utgifter knyttet til innføring av en felles PKI,
Utgifter knyttet til integrering av digitale signaturer m.m. i eksisterende og nye systemer,
Økonomiske besparelser knyttet til en slik innføring.
Dette kan til en viss grad settes opp mot:
Kostnader ved eventuelle alternative metoder for å oppnå de samme målene.
13.4.1 Kostnader for administrative tiltak
Fellesadministrative tiltak
Følgende administrative kostnadselementer kan forutsees. Det gjøres ikke noe forsøk her på å kvantifisere disse punktene:
Kostnader knyttet til den foreslåtte samordningsfunksjonen, og til forvaltningens andel av andre koordineringstiltak, som felles erfaringsforum for forvaltningsorganer, næringsliv og leverandører,
Kostnader knyttet til spesifikasjonsarbeid, avtaleverk, administrasjon m.m. av felles innkjøpsordninger (Forvaltningsnettsamarbeidet),
Kostnader knyttet til internasjonal koordinering,
Kostnader knyttet til utvikling og gjennomføring av kompetansehevende tiltak – disse kostnadene kan til en viss grad skyves over på de enkelte forvaltningsorganer gjennom deltakeravgifter o.l.
Kostnader i form av særskilte midler satt av til stimuleringstiltak, som det kan tildeles penger fra for å stimulere utviklingen på viktige områder for fellesskapet.
Det er stipulert at samordningsfunksjonen bør kunne tilføres 1–2 årsverk til sekretariatet, med et driftsbudsjett på totalt kr 6,5 mill. i det første driftsåret (2001). Det stipuleres at hver av samordningsutvalgets medlemmer vil trenge å nedlegge 2 månedsverk årlig til arbeidet. Mer ressurser vil kreves av den som skal lede utvalget. Videre foreslår utvalget at stimuleringsmidlene som tildeles, blir på kr 9 mill., og at de administreres av samordningsfunksjonen/-utvalget. Til sammen utgjør dette altså et forslag om å bevilge kr 15,5 mill. over statsbudsjettet for å fremme det utvalget anser som nødvendige løsninger for å få til elektronisk, døgnåpen forvaltning på en forsvarlig måte i løpet av 2003, som er den tidsfristen som er satt av regjeringen.
Administrative tiltak i de enkelte forvaltningsorganer
Gjennomgang og endring av rutiner for saksbehandling og kommunikasjon kan være et meget komplisert og kostnadskrevende arbeid, men er nødvendig for å kunne ta ut gevinstene som følger av bruk av elektronisk kommunikasjon og digitale signaturer. Kompleksiteten i dette vil variere sterkt fra forvaltningsorgan til forvaltningsorgan.
Det skal normalt ikke kreves mye ekstra ressurser i en driftsfase i forhold til i en situasjon uten bruk av digitale signaturer. Noe ekstra ansvar vil falle på driftspersonale, spesielt knyttet til planarbeid og tiltak i organisasjonen, herunder ansvaret for informasjonssikkerhet, sikkerhetsfunksjoner og PKI. En rolle som registreringsenhet vil normalt ikke medføre mye ekstra arbeid, men dette avhenger selvfølgelig av virksomhetens størrelse, antallet personer som skal ha sertifikater, og hvor hyppig det skal skje.
Opplæring av brukere og kompetanseoppbygging generelt kan medføre en god del kostnader.
13.4.2 Kostnader ved tilrettelegging av PKI for forvaltningen
Følgende kostnadselementer kan identifiseres for forvaltningen, utover de mer administrative kostnadene som er nevnt over:
Innkjøp, vedlikehold og bruk av sertifikater, programvare og utstyr (smartkort og kortlesere m.m.) for forvaltningen selv,
Eventuell støtte til etablering av felles tjenester, f.eks. samtrafikktjeneste og kataloger,
Eventuell støtte til sertifikatutstedere for å få etablert tjenester som er i henhold til forvaltningens behov – se nedenfor.
Kostnader for den enkelte virksomhet i forbindelse med bruk av sertifikater utstedt av markedsaktører.
Det siste elementet vil utgjøre en utgift knyttet til felles funksjoner, og kan vurderes i tilknytning til administrative kostnader som diskutert over.
Det finnes et visst grunnlagsmateriale for kalkulasjon av kostnader knyttet til kjøp og drift av teknologien. Dette kan baseres på cirkapriser oppgitt av leverandører, fra maksimumspriser gitt i rammeavtalene i Forvaltningsnettsamarbeidet og på beregninger gjort av svenske myndigheter [ 32]. En generell betraktning er at to elementer er av meget stor betydning for prisene:
Antall sertifikater som blir utstedt, og antall programvarelisenser, smartkort etc.,
Antall tjenester som sertifikater kan brukes mot, og volum for trafikken mot disse tjenestene.
En sertifikattjeneste på kommersielt grunnlag er meget kostbar å etablere, og relativt kostbar i drift. Dersom tjenesten bare skal utstede et fåtall sertifikater, blir kostnadene per sertifikat store. Samtidig er markedet neppe villig til å betale en høy pris for sertifikater, smartkort m.m.
Potensial for økonomisk gevinst for tjenesteleverandørene ligger derfor ikke i selve PKI-tjenesten, men i inntekter fra nye tjenester som blir muliggjort (ev. kvalitetsmessig forbedret) ved bruk av PKI og digitale signaturer. Kostnader ved sertifikatutstedelse må i stor grad kompenseres ved inntjening gjennom tjenestetilbud, og dette forutsetter at sertifikatutstederen selv driver disse tjenestene eller har avtaler med tjenestetilbydere som sikrer en viss økonomisk kompensasjon. Sertifikatutstedere kan også ha betalingsmodeller som er delvis basert på avgift for bruk av nøkler og sertifikater, og da blir volumet av bruken viktig.
Det er faktisk grunnlag for å påstå at sertifikatutstedere i Norge må kalkulere med å tape penger på sertifikattjenesten isolert sett, gitt de prisene som man kan forvente at markedet vil akseptere for sertifikater, og det volumet man kan forvente i Norge. Inntektene kommer fra andre tjenester. Et eksempel på dette er bankene, der BankID kan være et virkemiddel for å få på plass inntektsbringende elektroniske banktjenester.
For forvaltningen er dette enda et argument for å basere seg på tjenester kjøpt fra aktører i markedet. Forvaltningens egne elektroniske tjenester kan være en selvstendig grunn til å skaffe seg sertifikater m.m. Men muligheten for tilgang til slike tjenester kan være et meget godt tilleggsargument overfor brukere som kanskje primært skaffer seg sertifikater for å få adgang til f.eks. banktjenester. Dette vil kunne føre til bedre økonomiske betingelser for forvaltningen enn man vil oppnå ved å etablere en egen sertifikattjeneste.
Med en løsning der sertifikater m.m. kjøpes i markedet av alle aktører, er forvaltningens kostnader i utgangspunktet knyttet til eget innkjøp av sertifikater, programvare, smartkort og kortlesere.
Prisene vil være sterkt avhengig av volum, men en pris på ca. 1000 kr per installasjon virker sannsynlig (kortleser, kort og sertifikat). Sertifikater vil normalt bli byttet annethvert år, mens smartkort kan ha en levetid på to sertifikatperioder, altså fire år. Iberegnet en årlig avgift for sertifikater og vedlikeholdskostnader for programvare kan man regne en pris på ca. 2000 kr over en fireårsperiode. Ved store volumer må man som i andre sammenhenger kunne regne med rabatter fra leverandørene, med fallende priser jo større volumer som kjøpes. Flere leverandører har slike volumprisingsskjemaer.
Etter denne perioden vil brukerne trenge nye smartkort, og man kan påregne oppgradering av programvare m.m. Man kan da regne med en ny fireårssyklus, antakelig med lavere kostnader, under forutsetning av at PKI-teknologi har blitt massemarkedprodukter på dette tidspunktet.
Trykking/preging av kort som fysiske identitetsbevis, multifunksjonelle kort (flere applikasjoner enn elektronisk ID i samme kort) og brukerstøtte m.m. er ikke med i denne beregningen.
Gitt et visst volum for forvaltningens innkjøp er det lite trolig at prisene vil bli særlig høyere enn antydet, og med et gjennomslag for PKI-teknologi i markedet kan prisene godt bli lavere.
Alternative teknologier til smartkort som kan tenkes benyttet på egnede områder i forvaltningen, har prisantydninger som går ut på at dersom en elektronisk ID legges integrert med programvaren for nettlesere, vil prisen bli ca. 40 % lavere. Elektronisk ID i mobiltelefon (dvs. bruk av SIM-kortet for lagring av nøkler) kan komme som produkt allerede i løpet av 2001, og man antar at prisen vil være ca. 20 % lavere enn for smartkort. Men slike ID vil ha begrenset funksjonalitet i forhold til signering av dokumenter.
Pris per transaksjon ved bruk av digitale signaturer er vanskelig å estimere. Noen leverandører antyder at de vil forsøke en prismodell der det avregnes for bruk av sertifikater og nøkler. Prising for dette er ikke klar. Prosessering av transaksjoner med digitale signaturer er mer komplisert og kostnadskrevende enn uten, bl.a. kreves sjekk for tilbaketrekking. Svenske estimater sier 5 kr per transaksjon, men dette virker høyt. Kr 2,50 virker som et mer reelt estimat.
Når det gjelder sertifikater, programvare og smartkort for aktører i privat sektor (næringsliv og privatpersoner), vil dette i utgangspunktet måtte kjøpes av disse aktørene i markedet. Man skal imidlertid være oppmerksom på at forvaltningen vil være avhengig av at de tilgjengelige tjenestene holder et visst nivå. Det vil også påløpe kostnader for systemintegrasjon for bruk av digitale signaturer.
Integrasjon av programvare for digitale signaturer er en potensielt komplisert oppgave. Det må derfor være et mål for forvaltningen å utarbeide felles spesifikasjoner som gjør at graden av «skreddersøm» for hver enkelt tjeneste og programvareintegrasjon blir minst mulig.
Mye av problematikken her er knyttet til samtrafikk og håndtering av sertifikater fra forskjellige utstedere. Standarder for sertifikatformater og løsninger som gjør at man slipper å gjøre individuelle tilpasninger i hver enkelt tjeneste for å kunne akseptere sertifikater fra forskjellige utstedere, er viktig. Samtrafikktjenester kan være et viktig virkemiddel.
Leverandørene til Forvaltningsnettsamarbeidets rammeavtaler kan allerede i dag levere integrasjon av digitale signaturer med et godt utvalg av brukerprogramvare. Framtidige spesifikasjoner må fokusere på hva behovene er for forvaltningens brukere, og sørge for at de nødvendige integrasjonene er tilgjengelige i markedet. Man bør være oppmerksom på at det er ganske stor sannsynlighet for at man vil være nødt til å kjøpe programvaren for digital signatur og kryptering fra samme leverandør som man har valgt som sertifikatutsteder, men det finnes også eksempler på generell programvare som kan håndtere forskjellige typer sertifikater og smartkort.
Kostnader knyttet til systemintegrasjon kvantifiseres ikke her. Dette er utviklingskostnader som sannsynligvis vil bli relativt høye dersom slik integrasjon skal gjennomføres for hver enkelt offentlige virksomhet.
13.4.3 Kostnader ved alternative metoder
Det finnes i dag ikke alternative standardiserte teknologier som dekker funksjonaliteten knyttet til digitale signaturer og PKI [ 66]. Mulige alternativer er avgrensede, spesialtilpassede løsninger. For de første tjenestene/anvendelsene for digitale signaturer og PKI som blir introdusert, vil nok kostnadene isolert sett øke ved at man samtidig arbeider i retning av en generell infrastruktur, istedenfor å finne en løsning for en enkelttjeneste. Med det omfanget bruken av digitale signaturer antas å få i løpet av noen ganske få år, skulle det likevel være rimelig klart at isolerte løsninger er lite formålstjenlige. Det vil innebære at brukerne må skaffe seg en elektronisk ID for hver tjeneste som skal benyttes.
For autentisering – der det ikke er eksplisitt behov for signaturer – kan man basere seg på passord, fra statiske passord/PIN-koder til forskjellige former for engangspassord lik det som brukes i dagens nettbanker. De beste systemene for engangspassord gir nok en like sikker autentisering som PKI-baserte metoder, og de understøtter mobilitet. Erfaringer viser at slike løsninger er relativt kostbare. Dessuten er problemet at brukerne blir nødt til å skaffe seg et slikt system for hver tjeneste, eventuelt huske et passord for hver tjeneste. Dette blir fort uhåndterlig, særlig når man ser på totalbildet for offentlige og private tjenester.
En ser at kostnadene ved administrasjon av slike løsninger fort kan bli meget høye, i tillegg til at kompleksiteten gir økt mulighet for feil. Passordbaserte løsninger skalerer rett og slett ikke til en kombinasjon av mange tjenester og mange brukere. På samme måte skalerer heller ikke løsninger som baserer seg på PKI, dersom PKI innføres uten samordning.
13.4.4 Potensial for reduserte kostnader
Gevinstpotensialet for elektroniske tjenester og elektronisk saksbehandling er åpenbart, og argumentene skal ikke gjengis her. Spørsmålet som knytter seg til bruk av digitale signaturer og sertifikater, er da hvilket gevinstpotensial dette gir for elektroniske tjenester, som ikke vil kunne tas ut uten anvendelse av PKI.
Denne utredningen peker på at det finnes tjenester som ikke bør tilbys elektronisk uten digitale signaturer, og i andre tilfeller er det snakk om vesentlige kvalitetsmessige forbedringer for tjenester knyttet til bruk av digitale signaturer. Utredningen grunngir at disse argumentene er vesentlige nok til at de rettferdiggjør de kostnadene som er beskrevet i de foregående avsnittene.
Et viktig problem i forhold til bruk av PKI er den langsomme takten for å ta i bruk PKI. Utbredelsen av konkrete løsninger har foreløpig gått langsomt. Elektroniske offentlige tjenester er avhengig av et visst volum når det gjelder bruk, for å være kostnadseffektive. Innsparingene gjennom mer effektiv (elektronisk) behandling og mindre volum på manuelle rutiner rundt papirhåndtering må overstige kostnadene ved å tilby tjenesten elektronisk. Antallet sertifikateiere, både internt i offentlig forvaltning, i næringslivet og blant privatpersoner, er i dag lite. Men nå er det stort fokus på PKI og digitale signaturer både i Norge og internasjonalt. Det forventes en stor økning i antallet brukere etter hvert som teknologien gir tilgang til stadig flere og mer avanserte elektroniske tjenester. Ett eksempel er bankenes satsning basert på endringene i finansavtaleloven, som nå muliggjør elektronisk avtaleinngåelse og langt mer avanserte elektroniske banktjenester enn vi har sett til nå. Elektroniske tjenester tilbudt fra det offentlige kan gi større etterspørsel etter sertifikattjenester. En del offentlige institusjoner er langt framme, f.eks. skatteetaten og Rikstrygdeverket. For offentlige tjenester blir dette også et spørsmål om å gripe anledningen i forhold til antallet brukere som kan oppnås på kort sikt.
Utvalget gjør ikke noe forsøk på å kvantifisere potensialet for reduserte kostnader knyttet til tilgjengeliggjøring av nye elektroniske tjenester, og kvalitetsforbedringer av andre tjenester, som krever digitale signaturer. Dette hører med til gevinster knyttet til innføring av døgnåpen forvaltning. Det legges til grunn at det finnes et slikt potensial av et ikke ubetydelig omfang. Det legges også til grunn at i henhold til politiske målsettinger skal forvaltningen fornyes og effektiviseres innen rimelig kort tid (jf. Fornyelsesprogrammet, eNorge-planen, døgnåpen forvaltning mv.), og at det må gjøres på en forsvarlig og kostnadseffektiv måte. Det er i denne sammenhengen utvalgets forslag fremmes.
13.5 Forslag som ikke koster noe?
En variant av temaet i forrige punkt er å se på muligheten for å fremme forslag om tiltak som ikke koster noe i kroner og øre (i hvert fall ikke i første omgang). En rekke av utvalgets forslag knytter det seg ikke direkte kostnader til. De er anbefalinger, som den enkelte virksomhet, person eller bedrift kan velge å følge eller ikke. Konsekvenser av slike anbefalinger er vanskelige å tallfeste. Men det er lett å tenke seg at de representerer en type tilrettelegging som vil fungere kostnadsbesparende, fordi den enkelte virksomhet kan benytte seg av løsninger som er gjennomtenkt på kompetent, sentralt hold, framfor å måtte «finne opp hjulet» hver for seg.
En annen mulighet er å tenke seg innføring og bruk av PKI-løsninger med og i forvaltningen som foregår uten å koordinere eller tilrettelegge i det hele tatt. Dette vil sannsynligvis føre til innføring og bruk ut fra den enkelte virksomhets egen tenkning og tilrettelegging. De største etatene har nok ressurser til å gjøre dette, men de mellomstore og små vil neppe være i stand til det. Etter en stund vil det vokse fram PKI-områder for enkeltvirksomheter, kanskje for hele sektorer, sannsynligvis med større ulikhet i valg av løsninger, mindre i stand til samhandling. De kan tenkes å fungere tilfredsstillende en stund, men det er grunn til å tro at nytteeffekten blir mindre over tid, ettersom hindringene for samhandling blir mer synlige og problematiske. Det vil sannsynligvis være mer kostnads- og ressurskrevende for den enkelte virksomhet å stå for alt som skal til for å få digitale signaturer (eller alternative løsninger) og kryptering til å fungere uten de fellestiltakene og den tilretteleggingen utvalget foreslår. Den samlede utgiften ved innføring av sikker elektronisk døgnåpen forvaltning vil sannsynligvis bli betydelig høyere for hele forvaltningen.