1 / 26

eID ur ett kommunperspektiv

eID ur ett kommunperspektiv. Sven-Håkan Olsson 0708-840134 eID_Sandviken_2006-10-10.ppt. Snabbsammanfattning. eID kan höja säkerheten och minska IT-admin / help desk eID är bekvämt för användare som har det – idag 1 miljon personer , t ex barnfamiljer (FK) och deklaration (RSV)

kathy
Download Presentation

eID ur ett kommunperspektiv

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. eID ur ett kommunperspektiv Sven-Håkan Olsson 0708-840134 eID_Sandviken_2006-10-10.ppt

  2. Snabbsammanfattning • eID kan höja säkerheten och minska IT-admin / help desk • eID är bekvämt för användare som har det – idag 1 miljon personer, t ex barnfamiljer (FK) och deklaration (RSV) • Ibland behövs inte eID av säkerhetsskäl • eID verkar bli ”gratis” några år nu (Verva) – passa på att skaffa erfarenhet. • Skulle det bli superdyrt efter några år får man väl i värsta fall backa – men då torde det å andra sidan finnas något annat alternativ. • eID löser e-legitimering (=autentication, identifiering) men inte roller/rättigheter (=authorization), det måste tillföras/finnas

  3. Vad är eID? • eID är tekniskt sett en rimlig kompromiss för att ge säkerhet för e-tjänster för myndigheter/ kommuner (samt företag) • eID stöder både e-legitimering (billigare) och e-underskrift (dyrare) • eID är upphandlat som ramavtal via Statskontoret • eID bygger på att det initiala identifieringsförfarandet redan är utfört utav internetbankerna för en stor andel medborgare • eID ger bekvämlighet genom att medborgaren bara behöver minnas ett lösenord till ett stort antal potentiella e-tjänster • I vissa fall behövs inte eID säkerhetsmässigt, då kan enklare inloggning avändas • I vissa fall räcker inte eID säkerhetsmässigt (eller överhuvudtaget någon e-tjänst) – ordet ”underskrift” i någon lag... Se Formel-utredn. • Användningen av eID har ökat långsammare än prognosticerat

  4. Vad är Infratjänsten? • Infratjänsten är en leverantörsutförd drift av mjukvara/hårdvara, paketerat som en tjänst • Infratjänsten kan användas till fler saker än eID • eID kan förstås användas utan att köpa driftning via Infratjänsten (men då krävs istället lokal installation och drift av serverprogramvara – s k ”köparprogramvara”) • eID är en av de färdigpaketerade bastjänsterna inom Infratjänsten som är tänkt att sänka kompetenströsklar för myndigheten/kommunen, samt ge möjlighet att slippa initiala investeringar (och istället betala löpande avgifter). • Infratjänsten är upphandlad som ramavtal via Statskontoret (WM-Data och TietoEnator vann upphandlingen)

  5. Säkerhetsavvägning • Ont om konkreta råd för säkerhetsnivåer till e-tjänster. • Debatten om säkerhet är mycket splittradt ex i IT-pressen. • Ofta rent teknikfokus. • 100% säkerhet existerar inte, i all verksamhet handlar det om avvägning • Ytterst få metoder utgår ifrån nytta (internt i kommunen och för medborgarna) och ställer emot skadekonsekvens, kostnad, lagkrav och teknik...

  6. Verksamhetsnytta Medborgarnytta Lag/regel- krav Risk/skade- konsekvenser Kostnad/ resurser 2004 ”Balansplattan” för måloptimering Se rapport på www.sambruk.se

  7. 2004 Rekommendation • Förnyad ansökan om ekonomiskt bistånd:E-identifiering respektive e-underskrift (mjukt). • Resonemang:Höga sekretesskrav, relativt höga riktighetskrav (finns dock kontrollstationer). Juridiskt oklart just nu ifall pappers-underskrift trots allt måste till (troligen inte). Vår horisont är nu – 2 år, då är inte hårda cert trovärdiga.

  8. 2004 Rekommendation • Ansökan om barnomsorg: E-identifiering respektive e-underskrift (mjukt). Som alternativ bör under en övergångsperiod erbjudas användarnamn och lösenord respektive ledtext och underskrift/godkänn-knapp kombinerat med underskrift på papper i efterhand. • Resonemang:Låga sekretesskrav, kontrollstationer finns. Bekvämt att eID ger samma “ingång” till många myndigheter/företag. Dock viss krångelrisk och kostnad med eID, därför parallell med anv/lösen etc.

  9. 2004 Rekommendation • Föreningsbidrag och lokalbokning:Användarnamn och lösenord respektive ledtext och underskrift/godkänn-knapp. Som alternativ bör e-identifiering respektive e-underskrift (mjukt) erbjudas parallellt. • Resonemang:Låga sekretesskrav, kontrollstationer finns. Bekvämt att eID ger samma “ingång” till många myndigheter/företag. Dock viss krångelrisk och kostnad med eID, därför parallell med anv/lösen etc.

  10. 2004 Rekommendation • Medborgarassistent:Ingen identifiering eller underskrift. • Resonemang:Naturligt. Hela idén är att informationen ska vara öppet tillgänglig.

  11. 2004 Rekommendation • Gymnasieval & Ansökan om barnomsorg: E-identifiering respektive e-underskrift (mjukt). Som alternativ bör under en övergångsperiod erbjudas användarnamn och lösenord respektive ledtext och underskrift/godkänn-knapp kombinerat med underskrift på papper i efterhand. • Resonemang:Låga sekretesskrav, kontrollstationer finns. Bekvämt att eID ger samma “ingång” till många myndigheter/företag. Dock viss krångelrisk och kostnad med eID, därför parallell med anv/lösen etc

  12. Börja använd eID idag, när så är verksamhetsmässigt lämpligt Undvik teknisk inlåsning hos leverantör Använd inte eID idag i tjänster med där säkerheten kanske duger med användarnamn/ lösenord istället Använd eID ifall användarna redan har eID och vill slippa komma ihåg ett till användarnamn/lösenord – kanske parallellt med eID Sammanfattning av idéer till råd för individuella kommuner idag

  13. Arbeta för ett rimligt statligt ansvarstagande för kostnader för e-tjänster (inkl eID) Överväg arbeta för andra finansierings-former för eID Balanserad affärsetik kund/leverantör Arbeta för att undvika leverantörsinlåsning Bevaka situationen när nuvarande eID-ramavtal börjar gå ut – då gäller ett nytt läge med nya förhållanden som är svåra att gissa idag Sammanfattning av idéer till råd för kommunorganisationer etc

  14. När eID beslutades: Ett eget statligt e-leg hade i sig varit ett synnerligen stort investeringsbeslut Stora teknikrisker – bankerna hade lärt sig en hel del av olika id-lösningar (Nordea hade t ex miss-lyckats med sitt hårda kort, SHB:s första lösning var urtrasslig...) – lättare låta bankerna fortsätta ta teknik-risken samt använda deras teknikerfarenhet Finland hade inte lyckats så bra med sitt statliga e-leg Bankerna hade en existerande mycket stor kundskara som var ”färdig-identifierade” redan via tidigare personligt möte och fysiskt id-kort Bankerna hade redan existerande tillräckligt säker inloggningsteknik (dosa, skraplotter, mjukt cert etc) tillsammans med persnr/PIN Moment-22-liknande läge, man behövde ett sätt att ”kicka igång” Orsakerna till eID (via bankerna mfl)

  15. Brist på konkreta kunskaper/erfarenheter inom många kommuner ang e-tjänster och eID Få förebilder, få success-stories (förutom FK och RSV berättas)... dels vad gäller att få igång lösningarna dels att få dem att bli aktivt använda Osäkerhet om vad det verkligen kostar i praktiken vid årets slut Upplevt högt pris Oro för tekniktrassel Dock, Verva kan göra det kostnadsfritt nu! Nackdelar med dagens eID

  16. Den egna serverdelen av eID kan installeras och driftas i egen driftmiljö, vid webbservern, eller Den egna serverdelen av eID kan outsourcas på konventionellt vis, ofta tillsammans med webbservern, eller Serverdelen av eID kan köpas som tjänst via Infratjänsten En ev outsourcing eller Infratjänste-leverantör lägger därmed till en kostnad till den som eID-leverantören tar. Nivån mittemellanstor, varken jättedyr eller jättebillig Infratjänsten är tekniskt OK, nu tycks också tillföras standard-iserade anrop för att slippa inlåsning (både m a p eID-lev och Infra-tjänste-lev) Infratjänsten och eID

  17. Roll/rättighet BankID Ev extra behörighets-system såsom Portwise? Nordea Telia (SEB) Webbsidor med användar-val av eID-sort samt ev BankID-applet Köparprogram-vara, installeras i webbservern (alt. driftas i Infra-tjänsten). OSIF-protokollet. Online uppslagning av eID via säkrad Internet-kommunikation Identifiering Roll/rättighet sköts antingen i extra behörighetssystem i webb-applikation eller i verksamhets-applikation Komponenterna Medborgare Företag Handläggare etc E-tjänst Webb-applikation

  18. Sambruk ÖTP v1.2 Integrationcentrala regoch eID E-tjänst Ny webb-applikation I allra görligaste mån samma definierade nytto-meddelanden oberoende av leverantör av e-leg/e-underskrift. Dock trol. olika anpassningslogik. Anpassnings-skikt (med integrations-logik) e-leg / e-underskr-koll, leverantör 3 e-leg / e-underskr-koll, leverantör 4 Register-hållandemyndighet 1 Register-hållandemyndighet 2

  19. Nyttomedd/begrepp för eID • Från nyttomedelandemodell version 2005-03-31 • SBAInlogg - Inloggning • Syfte • Syftet är att autenticera en användare och meddela applikationen hans rättigheter. • Begäran • Personnummer och lösenord skickas in. • Denna första versionen var främst tänkt för Bistånd varvid identifiering sker med eID och roll/rättighet ges av verksamhetsapplikationen (Procapita/Sofia/WM-Omsorg etc) – denna uppdelning bör funka för många andra bruk också • Tillkommer eID-meddelanden enl OSIF mellan webbapplikation och Köparprogramvara – läge att utvidga Sambruks Nyttomeddelanden för delning av kostnad och återanvändning!

  20. Exempel 1 på inloggning

  21. Exempel 2 på inloggning

  22. Exempel 3 på inloggning

  23. Exempel 4 på inloggning och val av e-tjänst

  24. Klient “För att använda tjänsten krävs att du använder det säkerhetsprogram som du fått installerat när du begärde e-legitimation från Nordea/Telia/BankID. Det säkerhetsprogram som Nordea använder är Nexus Personal (även SmartTrust Personal fungerar). Telia använder NetID som säkerhetsprogram och Bankerna som ingår i BankID använder en Java applet.“ Från www.fk.se

  25. 12 miljoner till elektronisk identifiering i förvaltningens e-tjänster Om man planerar att införa en e-tjänst med elektronisk identifiering är det nu möjligt att ansöka om finansiering av ett sk startpaket för kontrollen av eID. En myndighet, kommun eller landsting som inte tidigare använder elektronisk identifiering i sina e-tjänster kan ansöka om finansiering i form av Vervas startpaket. Startpaketet innebär att myndigheten eller kommunen får kostnadsfri tillgång till kontrollen av de elektroniska legitimationerna. Verva har också förberett för uppföljning och fortsatt stöd genom avrop av årliga fortsättningspaket under den tid regeringen ger finansiellt stöd. För att kunna ansöka om startpaketet måste myndigheten, kommunen eller landstinget vara berättigad att avropa från Vervas ramavtal. Man måste också ha en e-tjänst som är framtagen och klar att lansera. De som ingår i G9-avtalet kan inte ta del av detta finansierinsprogram. Regeringen har gett Verva i uppdrag att stimulera användandet av e-legitimationer och nya e-tjänster i förvaltningen. Verva ska också förenkla avrop från infratjänst- och eID-avtalen, som stödjer elektronisk identifiering. Till uppdraget har Verva fått 12 miljoner. Ansök eller anmäl intresse Från www.verva.se Kontaktperson: Göran Ribbegård Se även www.avropa.nu

  26. Avtalen • Ifall man driftar ”köparprogramvaran” inom kommunen: • Anskaffa köparprogramvara (Nexus, TE, Teleca...) • Teckna tre parallella kontrakt (Verva har kontraktspaket) med • BankID (även kallat BID, ca 9 banker via FSB/SHB) • Nordea • Telia (för SEB) • Ifall man köper Infratjänsten • Slipper köparprogramvaran (måste dock installera en “plug-in” istället i sin webbservermiljö) • Tecknar kontrakt med WM eller TE • Löpandeavgifter uppstår hos bankerna och ev Infratjänst. Verva kan stå för löpandeavgifter nu.

More Related