På sidan:
Ett tillitsmärke är ett standardiserat, maskinläsbart och verifierbart påstående: “den här entiteten uppfyller de här kraven".
Om vi utgår från ett "klassiskt" bilateralt informationsutbyte mellan två parter så finns i regel:
en direkt relation mellan parterna,
ett avtal som utlämnande part utformat som reglerar vad just den organisationen anser är nödvändigt kopplat till ansvar, säkerhet och användning,
en praktisk kännedom om motparten och dess system.
När samma logik förs över till en federation, uppstår några nya utmaningar:
OpenID Federation (OIDF) definierar hur tillit uttrycks tekniskt – till exempel hur ett Trust Mark kan publiceras, signeras och verifieras maskinellt i federationens metadata.
Men ramverket säger ingenting om vilka krav ett sådant märke faktiskt ska omfatta.
Det är både en styrka och en risk.
Styrka, därför att det ger frihet att anpassa federationen efter nationella behov.
Risk, därför att utan en tydlig definition blir tillitsmärket ett otydligt artefakt och med det både svårt att förstå och omöjligt att förklara juridiskt.
I den svenska tillämpningen av federationsmodellen behöver vi därför tydligt avgränsa vilka typer av krav som kan ligga inom ett tillitsmärke.
Det gör märket begripligt, rättsligt hanterbart och praktiskt användbart.
Tillitsmärket ska samla de krav som är gemensamma, verifierbara och relevanta för den tillit som krävs i själva federationen – inte för hela organisationens övriga verksamhet.
Kraven kan delas in i fyra huvudområden:
Krav på att varje teknisk komponent har en ansvarig organisation samt har fastställda roller, kontaktvägar och rutiner för incidenthantering och kontinuitet. För att tilliten ska vara begriplig och juridiskt hållbar krävs att det finns en tydlig och ansvarstagande part bakom varje funktion.
Tillitsmärket kan innehålla särskilda krav för de roller som direkt påverkar tilliten i federationens funktioner:
Intygstjänster (utfärdare av behörighetsintyg): hur identifiering sker, hur intyg signeras, lagras och skyddas.
Förlitande parter: hur intyg verifieras, loggas och används för åtkomstbeslut.
Federationens styrka bygger på att alla roller beter sig på ett förutsägbart sätt. Rollspecifika krav säkerställer att behörighetsintyg fungerar på samma sätt oavsett vem som utfärdar dem – förutsättningen för interoperabilitet.
Tillitsmärket ersätter inte avtal mellan parter. Ett bilateralt avtal behöver många gånger fortfarande finnas för att reglera rättigheter, ansvar och konsekvenser mellan aktörer.
Ett tillitsmärke däremot visar att en aktör uppfyller en gemensam uppsättning tekniska och organisatoriska krav som federationens parter kommit överens om att lita på och som skapar kostnadseffektivitet, ökad skalbarhet, interoperabilitet och förtroende för infrastrukturen.
Skillnaden kan beskrivas så här:
| Bilateralt avtal | Tillitsmärke | |
|---|---|---|
| Syfte | Reglera ansvar, ersättning, villkor, sekretess, juridik | Visa att aktören uppfyller gemensamma tekniska och organisatoriska krav |
| Parter | Två eller flera namngivna organisationer | Utfärdare av märket + den som innehar det |
| Form | Juridiskt bindande dokument | Maskinläsbart, verifierbart bevis i federationens metadata |
| Användning | Uttrycker “vi får och vill utbyta information” | Visar “jag uppfyller förutsättningarna för att delta säkert” |
| Flexibilitet | Kräver omförhandling vid ändring | Uppdateras centralt och kan verifieras i realtid |
I praktiken innebär det att ett avtal kan hänvisa till ett tillitsmärke.
Till exempel:
“Part A ska vid anslutning inneha giltigt ENA-tillitsmärke på nivå X eller högre.”
På så sätt kan juridiska avtal bygga på samma kravkatalog utan att varje part behöver tolka och skriva om kraven på egen hand.
Federationen blir flexibel men inte rättslöst flytande.
För att summera så medför tillitsmärken ett antal fördelar som förenklar i ett federationssammanhang:
Gemensam tolkning: Samma krav för alla minskar risken för olika tolkningar av tekniska säkerhetsbegrepp.
Skalbarhet: Fler kan samverka utan att varje ny anslutning kräver nya avtal eller särskilda säkerhetsbilagor.
Effektivitet: Organisationer kan hänvisa till en standardiserad kravkatalog istället för att uppfinna egna.
Maskinell verifiering: Avtal kan inte läsas av system – tillitsmärken kan det.
Klar ansvarsfördelning: Märket visar att en aktör uppfyller de tekniska och organisatoriska förutsättningarna för att delta, men det är avtalet som styr vad man får göra med informationen.
Ett tillitsmärke inom Ena är i grunden ett sätt att göra det enklare att lita på varandra när vi delar information digitalt. Det handlar om att vi tillsammans (i federationen) bestämmer vilka spelregler som gäller och hur vi kan visa att vi följer dem.
a) Trygghet i behörighetsintyg
När en intygstjänst utfärdar ett behörighetsintyg – till exempel att en viss organisation eller användare har rätt att begära information – måste mottagaren kunna lita på att intyget är korrekt.
ENA-tillitsmärket säkerställer att intygstjänsten och den organisation som driver den följer en gemensam uppsättning krav för informationssäkerhet och regelefterlevnad. Det gör att andra kan förlita sig på intyget utan att själva behöva granska hur den underliggande organisationen arbetar.
Detta är en grundförutsättning för att t.ex. möjliggöra för en användare att hämta uppgifter om sig själv genom tredje part utan att den utlämnande parten ska bedöma att den har behov av att identifiera användaren på nytt.
b) Tillit i kommunikationen
För den förlitande parten (den som tar emot ett intyg eller ett anrop) handlar det främst om kommunikationstillit – alltså att kommunikationen sker på ett säkert och kontrollerat sätt. Kryptering, korrekt adressering och signering är exempel på sådana grundkrav.
Tillitsmärket visar att den som deltar uppfyller dessa krav, så att kommunikationen mellan parter i federationen kan ske tryggt och förutsägbart.
c) Minskad fragmentering och förutsägbarhet
Idag förhandlas krav på informationssäkerhet och tillit ofta bilateralt, i varje avtal eller teknisk integration. Det leder till olika tolkningar, dubbla kontroller och höga kostnader.
Med ENA-tillitsmärket används en gemensam kravkatalog som alla parter i federationen kan peka på. Den standardiserar vad som gäller och gör det billigare och enklare att utveckla, köpa och leverera system. Alla vet från början vilka krav som gäller.
d) Maskinell verifierbarhet
I en federation där många parter kommunicerar med många andra krävs nya sätt att upprätthålla tillit.
ENA-tillitsmärket är maskinläsbart och kan verifieras automatiskt genom federationens metadata.
Det betyder att systemen själva kan kontrollera att motparten har ett giltigt tillitsmärke innan ett informationsutbyte sker. Det minskar behovet av manuella kontroller och gör federationen skalbar.
Kort sagt:
ENA-tillitsmärket gör det möjligt för många parter att samarbeta säkert, effektivt och förutsägbart utan att behöva bygga tillit på nytt varje gång.
Gemensamma krav: En standardiserad kravkatalog för informationssäkerhet och regelefterlevnad inom identitet och behörighet.
Tillit till intygstjänster: Säkerställer att de som utfärdar behörighetsintyg gör det på ett korrekt och säkert sätt.
Kommunikationstillit: Grundläggande säkerhet i kommunikationen mellan parter (kryptering, signering, korrekt adressering).
Maskinell verifierbarhet: Möjlighet att tekniskt kontrollera att motparter uppfyller kraven.
Effektivitet och förutsägbarhet: Färre bilaterala avtal, minskade kostnader och tydligare krav för systemutveckling och anslutning.
Särskilda juridiska krav vid direktåtkomst: I vissa reglerade informationsutbyten, till exempel inom hälso- och sjukvården, krävs särskild insyn i motpartens informationssäkerhet. Dessa krav går längre än vad ENA-tillitsmärket omfattar.
Branschspecifika risker: Sektorer med egna regelverk (som vården, skatteområdet eller rättsväsendet) behöver komplettera det nationella tillitsmärket med egna krav som speglar deras juridiska ansvar.
Organisationens hela säkerhetsarbete: Märket gäller en aktörs funktion i federationen, inte dess samlade interna säkerhetsstyrning.
Inom hälso- och sjukvården sker många informationsutbyten med direktåtkomst – det vill säga att en aktör har teknisk åtkomst direkt in i en annan aktörs informationssystem.
Det ställer höga krav på etablerad tillit än normalfallet för federerade infomationsutbyten, detta eftersom den utlämnande parten (t.ex. EHM) måste kunna visa att den mottagande parten (t.ex. en vårdgivare) uppfyller särskilda säkerhetskrav enligt lag (se t.ex. 8 kap 2 § lagen (2018:1212) om nationell läkemedelslista)
Exakt hur detta problem ska lösas lämnas osagt, men det skulle kunna lösas genom att t.ex. vårdsektorn definiera egna tilläggsmärken som bygger ovanpå ENA-märkets grundkrav och innebär fördjupade krav på informationssäkerhet och sekretesshantering,
ENA-tillitsmärket skulle vid en sådan lösning utgöra grundplattan som alla kan använda, medan vårdens kompletterande tillitsmärken bygger vidare på den för att möta de särskilda rättsliga och verksamhetsmässiga behoven.
Denna utmaning fördjupas ytterligare i Användningen av en behörighetsinfrastruktur inom hälso- och sjukvården.