Få torde vara omedvetna om det kommande paradigmskiftet med nya e-legitimationer i Sverige. I och med att E-legitimationsnämnden i januari publicerade det skarpa förslaget till tillitsramverk finns det nu tydliga spelregler för den som vill ge ut e-legitimationer.
Skiftet är att det som Datainspektionen nu kallar tvåfaktorsautentisering, utan någon egentlig precisering av kravbilden, snart kan mätas och bedömas efter uppsatta säkerhetskrav. Tillitsramverket hjälper dig som utfärdare och som förlitandepart (dvs den som litar på en e-legitimation) att bedöma hela kedjan från det att användaren är identifierad till det att denne autentiserar sig vid datorn. I jämförelse med den fysiska världen är det som att gå ifrån att bara titta på ett hänglås till att följa alla länkarna i kedjan.
Vi har fram till nu utgått från att de större aktörerna, som exempelvis bankerna, gör tillräckligt bra lösningar för bästa tänkbara identifiering och autentisering. Samtidigt är det märkligt att just bankernas lösning för e-legitimation accepteras när såväl de tekniska lösningarna som rutiner, processer med mera inte publicerats, utan hanteras som en form av banksekretess. Tilläggas kan också att bankerna under tid själva inte har använt samma lösningar överallt som erbjudits inom ramen för eID2008 vilket också har väckt undran.
I och med tillitsregelverket från e-legitimationsnämnden har vi nu en försvenskning av det som går att finna bland annat i NIST SP800-63, Kantara IAF, Stork QAA och ISO/IEC 29115. Alla möjligheter finns nu att Sverige går från ett oligopol med några få aktörer till en fungerande marknad där målbilden är att var och en ska klara sig med EN e-legitimation. Inte en per tillämpning, och ibland även per enhet, som under en period utgjorde trenden.
Den som har ambitioner att förse sin personal med en e-legitimationshandling för fysisk och elektronisk legitimering har nu alla möjligheter att ta steget fullt ut och tillse att e-legitimationen också har ett reellt värde utanför den egna organisationen när den nu kan mätas och accepteras inom de federationer som kan vara aktuella för verksamheten. Därmed kan personalen, oavsett om det är i tjänsten eller privat, använda en och samma handling för e-legitimering
Men det gäller att spela på samma villkor som de andra medlemmarna i federationerna. Följs inte reglerna kan medlemmen i värsta fall bli utesluten vilket skulle resultera i att samtliga av medlemmen utgivna e-legitimationer blir oanvändbara. Reglerna för en federation behöver inte vara den andra lik, vilket kan bli ett problem ifall en organisation är medlem i flera federationer med sinsemellan motstridiga regler. Hittills har stor möda lagts vid att harmonisera regelverken mellan de nationella federationerna såsom Skolfederation, Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) och E-legitimationsnämndens federation för Svensk e-legitimation som ibland benämns EID2.
Slutligen kan nämnas att det federationsbaserade ramverket för de nationella federationerna sätter stopp för slentrianmässig användning av personnumret som identitetsbegrepp vilket också är en fjäder i hatten för den personliga integriteten. Nu kan du bestämma vilka uppgifter du delar med dig av till varje e-tjänst vilket gör att du också kan skilja på i vilken roll du legitimerar dig.
Carl Önne och Thomas Nilsson
