Så självklart men ändå så förändringströgt
2020-06-26 Redan i E-leg utredningen (SOU 2010:104) uppfattades tillitsnivåer (Level of Assurance, LoA) som något självklart även om diskussionerna om detaljerna gick heta. Där mejslades grunden ut till dagens tillitsramverk som Myndigheten för digital förvaltning (DIGG) idag förvaltar. Tio år har gått och tillitsnivåerna är än mer självklara, men det är tämligen uppenbart att identitetshantering och autentisering är ett ovanligt förändringströgt område. Jag vågar dock påstå att stora merparten av dem som hanterar skyddsvärd information nu är överens om att lösenord inte är den autentiseringsmetod som längre gör sig gällande.
Inera gjorde under våren en studie om
kommunernas utmaningar och behov avseende identitet och åtkomst (Identity and Access Management, IAM). En spännande läsning som sannolikt ger ett nytt tidsavtryck som vi kan återblicka till om tio år där vi kan se fortsatta förändringar i rätt riktning, men samtidigt konstatera att det är ett förändringströgt område. Det ska också sägas i sammanhanget att kommunerna ofta hängs ut i olika sammanhang, men efter att ha arbetat med dem, regioner, myndigheter och stora delar av näringslivets olika förgreningar i över 30 år kan jag enkelt dra slutsatsen att kommunerna varken är sämre eller bättre än övriga. De råkar bara vara en lätt grupp att göra olika stickprov på. Det trista är att de återkommande får klä skott för något som ofta visar sig vara ett ungefärligt genomsnitt i samhället. Tänk på det nästa gång när du hör en undersökning där kommunerna hängs ut.
En annan viktig milstolpe, och som också råkar vara några kommuner som får klä skott för, är när Datainspektionen i en rad tillsynsärenden i mitten av 2000-talet uttrycker att åtkomst till känsliga personuppgifter över öppna nät ska föregås av stark autentisering. Trots att det gått 15 år är det inte en självklarhet, inte minst i organisationer som inte är så enkla att stickprovskontrollera. Diskussionen sedan dess är vad som ska tolkas in i stark autentisering och där har ju många velat se en tydlig koppling till tillitsnivå 3 (LoA3) i DIGG:s tillitsramverk. Men, eftersom försörjningen på den nivån är undermålig och endast några få utfärdare är godkända av DIGG så går det inte att uttrycka det så tydligt. Tyvärr.
Inte blir det enklare när den stora dominerande aktören på området, BankID, som hanterar uppskattningsvis 90% av alla transaktioner på nivån “LoA3 ish” konsekvent i tio års tid vägrat en granskning av DIGG och därmed rent formellt inte är en av DIGG godkänd aktör. Det innebär också att vi i det europeiska perspektivet inte enkelt kan ratificera BankID som en betrodd europeisk e-legitimation inom ramen för eIDAS. Ytterligare ett bevis på hur förändringströgt området är.
Myndigheter, regioner och kommuner uttrycker ofta en vilja att konsumera alla de av DIGG godkända e-legitimationerna, men det är en dyster bild. I praktiken är det få som verkligen gör detta. Inte blir det enklare av att historiskt stora aktörer som BankID och Telia väljer att stå utanför och nya aktörer som Freja och Skatteverket/SvenskaPass har jämförelsevis få utfärdade E-legitimationer. Sannolikt på grund av oförmågan, eller är det en ovilja, att konsumera dem hos just myndigheter, regioner och kommuner i sina publika tjänster.
Återkommande väcks frågan om en statlig e-legitimation för att råda bot på detta. Senast i utredningen Ett säkert statligt ID-kort – med e-legitimation
(SOU 2019:14). Jag gillar tanken att vi har en statlig e-legitimation på tillitsnivå 4 (LoA4) som sedan växlas till andra e-legitimationer på tillitsnivå 3 (LoA3). Det skulle förenkla hela utgivningsprocessen för alla dem som har behov av e-tjänstelegitimationer men som inser att utgivningsprocessen på tillitsnivå 3 (LoA3) är betungande.
Utredningen har i praktiken inte lett någon vart. Vågar jag säga i vanlig ordning på det här området. Det ska dock sägas att ett av huvudsyftena med utredningen var att utreda det faktum att den analoga legitimeringen fungerar undermåligt. Jag väljer att i nuläget inte fördjupa mig ytterligare i det, men konstaterar det faktum att utredningen fick till följd att utgivningen av SIS-märkta ID-kort dalar samtidigt som det inte finns något bättre alternativ. I stället ökar utgivningen av icke SIS-märkta företagskort som vem som helst enkelt kan kopiera. Suck!
Apropå betungande utgivningsprocesser så torde det vara fullt rimligt att utgivningen av legitimationer, oavsett om de är analoga eller digitala, ska vara rigorösa. Det är ju här identiteten en gång för alla styrks. Hur skulle det se ut om det inte var en rigid process? Ungefär som idag kanske? Där exempelvis arbetstagare normalt inte legitimerar sig vid anställningen, där CV:s inte verifieras och så vidare. Det är faktisk bedrövligt hur det fungerar på många håll idag.
Även där processen borde vara på plats så är det lite spännande att se hur det fungerar i praktiken. Exempelvis vid utgivningen av Skatteverkets ID-kort med E-legitimationen Svenska Pass ombord så mäts längden på innehavaren vid ansökningstillfället. Detta tål verkligen att diskuteras. Dels det faktum att det var oklart vid mina bevittnade besök om det var längd med skor eller utan skor och vem som mättes, dels det faktum att en legitimation enbart ska styrka att jag är jag. Den ska inte bära några attribut eller andra egenskaper som kan förändras över tid. Ett bevis på en ökad förståelse är att det allt mer sällan diskuteras att en e-legitimation skulle bära behörighetsstyrande attribut, exempelvis mina behörigheter i min profession. De behörighetsstyrande attributen bor allra bäst i ett register (läs katalog) där min identitet kopplas till dessa behörigheter eftersom behörigheter förändras över tid. Det gör inte identitetsbegrepp, eller?
Denna krönika skulle inte vara komplett utan att avrunda med en kort reflektion om identitetsbegreppet. Ett begrepp som torde vara samma över tid, unikt, och kan kopplas till mig som fysisk person. Ändå har vi inte landat i detta faktum än utan diskussioner huruvida mina e-legitimationer är ”privata” eller inte fortgår i skrivande stund. Kort konstaterar jag att samma personer som gör sin röst hörd här återkommande kör bil i tjänsten med sitt ”privata” körkort. Det ska i sammanhanget sägas att jag har full förståelse för att vi inte ska överkonsumera id-begreppet personnummer, samtidigt som vi har allt större behov av persistenta id-begrepp kopplade till fysiska personer som är unika över tid. Dessvärre resulterar ofta alternativen till att samma fysiska person har flera olika id-begrepp som dessvärre inte är unika över tid. Förhoppningsvis reder den nya statliga utredningen Ökad och standardiserad användning av betrodda tjänster i den offentliga förvaltningen
(Dir. 2020:27) ut detta en gång för alla.
Detta sagt med viss ironi eftersom historien har visat att detta är, och sannolikt förblir, ett förändringströgt område. Det är också en del av dess natur. Det ska vara förändringströgt eftersom det ska vara långsiktigt hållbart. Det självklara borde inte behöva vara så här förändringströgt. Det gagnar ingen!