Inledning

Samordnad identitet och behörighet är ett byggblock i Ena - Sveriges digitala infrastruktur. Byggblocket mål är att med införandet av en nationellt gemensam identitets- och behörighetsfederation möjliggöra enklare etablering och förvaltning av digital samverkan över organisationsgränser. Denna typ av samverkan finns redan etablerad, men ofta är det sektorspecifika lösningar som endast möjliggör samverkan mellan aktörer inom en sektor. När någon aktör har verksamheter med behov av samverkan inom många olika sektorer behöver man ansluta till många olika federationer. Flera aktörer erbjuder inte sina digitala tjänster via någon federation utan kräver separata anslutningar, vilket driver stora kostnader. Med en samordnad identitets- och behörighetshantering som bygger på en anslutning till federationen och digitala tjänster som linjerar med nationella standarder för interoperabilitet kan tids- och kostnadseffektiviteten för samhällets digitalisering öka avsevärt.

Det vore önskvärt om det offentliga Sverige kunde samlas runt ett antal mål för sin digitalisering:

  1. Digitala tjänster som vänder sig till invånare ska stödja alla e-legitimationer godkända enligt Svensk e-legitimation.
  2. Digitala tjänster som ska kunna användas av EU-invånare ska erbjudas inom Sweden Connect
  3. Digitala tjänster som vänder sig till andra organisationer eller deras medarbetare ska erbjudas inom Samordnad identitet och behörighet

Samordnad identitet och behörighet bygger vidare på erfarenheter och standardiseringar som gjort i och med etableringarna av Svensk e-legitimation 2013, Sweden Connect 2018, samt till viss del från e-tjänstelegitimationer via Valfrihetssystem 2017 och avtal om förbetalda e-tjänstelegitimationer 2022.

Konceptuell målbild

Samordnad identitet och behörighet stödjer etablering av digital samverkan genom att erbjuda en federationsinfrastruktur som möjliggör säker förmedling av identiteter, behörighetshandlingar och behörighetsbeslut. Dessutom tas det fram nationellt fastställda profileringar av standarder, och mönster för hur standardernas användning.

Nedan ges en konceptuell modell för hantering av identitet och behörighet vid digital samverkan, som också visar att det faktiska utbytet av verksamhetsinformation mellan samverkande parter inte regleras av Samordnad identitet och behörighet utan mellan parterna själva, för den specifika digitala samverkan som sker.

En konsekvens av etableringen av Samordnad identitet och behörighet är att regeringen får ett verktyg för att kontinuerligt stärka samhällets resiliens i digitala kanaler inför cybersäkerhetshot.

Att styra för samhällsnytta

För att Samordnad identitet och behörighet ska leverera sin potentiella nyttoeffekt till samhället totalt och en effektiviserad digitalisering behöver den nationella infrastrukturen nyttjas framförallt av offentliga aktörer för sin externa samverkan. Då aktörer inom den offentliga Sverige redan har "fungerande" integrationslösningar utformade enligt egen färg och smak behöver aktörers förflyttningar beslutas om på strategisk nivå och antagligen finansieras gemensamt av staten. Nyttjandet av en nationell infrastruktur kommer inte ge snabb avkastning för enskilda aktörer utan bör ses som ett verktyg för att på längre sikt effektivisera digitalisering och Sveriges konkurrenskraft på samhällsnivå.

För en effektiv styrning bör regeringen:

  1. Instruera till någon myndighet att långsiktigt etablera och förvalta Samordnad identitet och behörighet, samt ge dem och andra myndigheter i uppdrag att delta i samordning av infrastrukturens fortsatta utveckling.
  2. Instruera myndigheter (speciellt de som har någon samverkan med kommuner eller regioner) att ansluta sina tjänster för organisationsöverskridande samverkan till Samordnad identitet och behörighet. 
    Exempel på sådana typer av tjänster är:
    1. Digitala tjänster för informationsdelning (t.ex. HOSP, Navet, vårdgivarregistret, aktiebolagsregistret)
    2. Digitala tjänster för myndighetsrapportering 
    3. Digitala tjänster för samverkan (t.ex. Nationell läkemedelslista)

Avtalsreglering 

Nedan visas en översikt över strukturen av avtal som möjliggör Samordnad identitet och behörighets federationsinfrastruktur. Bilden visar också hur avtal om samverkan med faktiskt informationsutbyte relaterar till federationsinfrastrukturen.


Federationsoperatörsavtal

Reglerar villkor för aktörer som vill etablera sig som federationsoperatör inom Samordnad identitet och behörighet.

Operatörsavtal

Reglerar villkor för de aktörer som vill etablera sig som anslutningsoperatör under ett visst tillitsankare.

De informationssäkerhets- och cybersäkerhetskrav som tas fram här bör registreras i den kravkatalog som upprättas och förvaltas inom Samordnad identitet och behörighet.

Federationsavtal

Reglerar villkor för de parter som vill erbjuda, alternativt ansluta till, digitala tjänster som anslutits till federationsinfrastrukturen.

Dessa villkor bör främst täcka villkor för metadata som publiceras inom federationen samt användandet av de digitala tjänster (e-tjänster  och API:er) som används för detta ändamål.

Avtalet ska även omfatta villkor för användning av uppslags- och verifieringstjänster hos anslutnings- och federationsoperatör.

Dessa omfattar 

  1. villkor för anslutande parter,
  2. villkor för anslutning av anslutande parters tekniska komponenter och de verksamheter inom organisationen som hanterar dem, samt
  3. villkor för anslutning av tekniska komponenter av typerna klienter, identitetsintygstjänster, åtkomstintygstjänater, e-tjänster, och skyddadde resurser.

Observera: federationsavtalets krav kring informations- och cybersäkerhet KAN uppdateras under avtalets giltighetstid. Detta då förändringar i vår omvärld kan kräva detta.

Specifikt skall villkor för intygsutfärdande, attributhantering, åtkomstbegäran, åtkomstkontroll och tillitsnivå 1, enligt Kravkatalog och Ena tillitsmärken inkluderas eller refereras till i avtalet.

Dessa generella krav behöver endast representeras som ett tillitsmärke om man vill separera anslutande parts registrering av metadata från anslutningsoperatörens verifiering av denna metadata.

Om en separation inte behövs kan det faktum att det finns registrerad metadata (signerat av en anslutningstjänst i ett subordinate statement) räcka som tillitsskapande grund.

Samverkansavtal

Avtal eller överenskommelse för reglering av den faktiska samverkan ligger utanför Samordnad identitet och behörighet och ingås antingen direkt mellan parter eller via en utpekad tredje part som förvaltar den digitala tjänsten. Dessa avtal kan styra informatik, API-specifikationer, åtkomstpolicyer, processer, kommersiella villkor, personuppgiftsbiträdesrelationer, eventuella kompletterande informationssäkerhetskrav, m.m.

För ökad samhällelig interoperabilitet kring informationsutbyten rekommenderas användning av följande leverabler som tas fram inom Ena, Samordnad identitet och behörighet, eller andra standardiseringssammanhang:

  1. Nationella profileringar av OIDC och OAuth.
  2. Nationella definitioner för behörighetsgrundande attribut.
  3. Nationell publicering av attribut specifika för vissa verksamhetsområden
  4. Nationellt etablerade attributprofiler
  5. Nationell publicering av attributprofiler specifika för vissa verksamhetsområden
  6. API-utformning i enighet med Diggs API-profil om det inte finns andra existerande API:er för aktuell samverkan (ex FHIR för e-hälsodata).
  7. Nationella vägledningar kring hur standarder och mönster ska tillämpas.
  8. Nationellt hamoniserade krav i kravkatalogen för krav på organisationers och verksamheters förmågor, framförallt gällande informationssäkerhet.

Arkitekturell modell

Den arkitekturella modellen är uppdelad i tre delar:

  1. Tillitshantering bekriver de tillitsskapande krav som ställs på tekniska komponenter som ska delta i samverkan, de aktörer som hanterar kraven och uppföljning av dem, samt hur dessa krav representeras digitalt.
  2. Federationsinfrastruktur beskriver den infrastruktur som möjliggör säker hantering och delning av metadata om tekniska komponenter och tillhörande komponentansvarig organisation.
  3. Digital samverkan beskriver samverkande parters användning av och följsamhet till Samordnad identitet och behörighet.

Modell exemplifierad genom NLL

Nedan ser du först en exemplifiering för Ineras anslutning av sin IdP och tjänsten Pascal respektive EHMS anslutning av sin AS och deras NLL-API. 


Modell utan exemplifiering

Roller och ansvar inom Samordnad identitet och behörighet

  1. Ledningsaktören 
    1. SKA ansvara för att upprätta och förvalta en central katalog med informationssäkerhetskrav
    2. SKA ansvara för att upprätta och förvalta en central katalog med definitioner av åtkomststyrande attribut
    3. SKA ansvara för att upprätta och förvalta nationella profileringar, anvisningar och vägledningar för identietets- och åtkomsthantering.
    4. SKA ansvara för anslutning av nya federationsoperatörer inom Samordnad identitet och behörighet
    5. BÖR agera egenskapintygsägare för egenskapsintyg för nationellt harmoniserad kravefterlevnad (några få varianter per typ) hos tekniska komponenter som ansluts till federationsinfrastrukturen.
  2. Egenskapsintygsägare
    1. SKA ansvara för förvaltning av en uppsättning krav som en teknisk komponent och den verksamhet och organisation som ansvarar för komponenten behöver uppfylla
    2. SKA i största möjliga mån återanvända krav från den centrala kravkatalogen 
    3. KAN realisera sin hantering av sina egenskapsintyg via Egenskapsintygsombud
    4. KAN erbjuda stämpling av egenskapsintyg
  3. Egenskapsintygsombud
    1. SKA ta emot ansökningar om att komponenter ska tilldelas egenskapsintyg
    2. SKA validera efterlevnad för komponenten enligt intygets regelverket för efterlevnadskontroll
    3. KAN erbjuda stämpling av egenskapsintyg vid beställning från egenskapintygsägare eller egenskapsintygsombud.
  4. Federationsoperatörer
    1. SKA etablera en tillitsankartjänst
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA ansvara för efterlevnadskontrollen av intermediates under sitt tillitsankare.  Not: Detta BEHÖVER INTE realiseras med specifika egenskapsintyg då intermediates antas bli relativt få.
    4. SKA erbjuda nyetablering av anslutningsoperatör - detta omfattar avtal, tekniskt ramverk, tillitsramverk, processer, mm (not: jmfr system för etablering a e-legitimationsutfärdare)
  5. Anslutningsoperatörer 
    1. SKA ansvara för upprättande av federationsavtal med anslutna parter 
    2. SKA erbjuda en uppslags- och verifieringstjänst
    3. SKA stämpla tekniska komponenters validerade metadata
    4. KAN erbjuda tjänst för publicering av anslutna tekniska komponenters metadata
  6. Ansluten part
    1. SKA efterleva villkor i federationsavtalet för Samordnad identitet och behörighet
    2. SKA efterleva de krav som ställts via de egenskapsintyg partens anslutna tekniska komponenter tilldelats

Roller och ansvar inom Digital samverkan

Nyttjande av Samordnad identitet och behörighet är valfritt. Forutsättningen för nedanstående KAN/BÖR/SKA-krav är att man beslutat sig för att nyttja Samordnad identitet och behörighet.

  1. Samverkande part
    1. KAN ansvara för avtal och överenskommelser för specifik samverkan
    2. KAN ansvara för upprättande och förvaltning av interoperabilitetsspecifikationer för den samverkan som sker.
    3. KAN välja att nyttja en eller flera förmågor som erbjuds via Samordnad identitet och behörighet för att realisera samverkan.
    4. KAN etablera en verksamhet som egenskapsintygsägare om man för samverkan har specifika krav på samverkande parter och/eller tekniska komponenter.
    5. SKA realisera eller upphandla de komponenter ska anslutas till Samordnad identitet och behörighet
  2. Anslutande part
    1. SKA ansluta tekniska komponenter till Samordnad identitet och behörighet
  3. Egenskapsmärkesägare
    1. SKA ansvara för förvaltning av krav som behöver uppfyllas för den specifika samverkan
    2. BÖR i största möjliga mån återanvända krav från den centrala kravkatalogen
    3. BÖR verka för att eventuella nya krav förs in i den centrala kravkatalogen

Resonemang kring tillit

Tillit mellan aktörer skapas i regel genom att deras förehavanden regleras av förordningar, lagar, föreskrifter, avtal och överenskommelser och en tilltro till en aktörs följsamhet till dessa. Brister i aktörers efterlevnad kan medföra konsekvenser i form av förelägganden, viten, och i vissa fall verksamhetsförbud. I juridisk mening är efterlevnad var parts eget ansvar och behöver inte kontrolleras av någon extern part. 

Tillitsmodellen inom Samordnad identitet och behörighet är tänkt att utgå ifrån att man vid anslutning ställer upp villkor för anslutningen som ställer krav både på teknisk följsamhet och organisatoriska förmågor inom främst informationssäkerhetsområdet. Kraven är tänkta att regleras i avtal och överenskommelser. 

Huruvida man inom Samordnad identitet och behörighet önskar utforma ett ramverk för efterlevnadskontroll och nyttja egenskapsintyg för att representera att en komponent efterlever kraven är ej ännu fastställt utan är något man behöver jobba vidare med och analysera behov och bedöma säkerhetsmässiga och ekonomiska konsekvenser av.


Det finns andra exempel i samhället på efterlevnadskontroll för anslutning av tekniska komponenter:

  1. Utgivning av Svenska e-legitimationer för användning granskas av Digg och deras ombud för detta ändamål (exempelvis Inera för SITHS). Detta regleras av eIDAS-förordningen
  2. Medicinska laboratorier ackrediteras av Swedac. 
  3. I Hälso- och sjukvården utförs externa revisoner av verksamheter som hanterar behörigheter för medarbetare - detta grundar sig i en överenskommelse regionerna emellan kring HSA.
  4. Myndigheten för civil beredskap utför revision av aktörer som ansluter till nätverkstjänsten SGSI. Denna revision baseras på aktörers självdeklarerade förmågor.

Eventuellt kan det grundläggande juridiska ansvaret som regleras i lagar, överenskommelser och avtal behöva kompletteras med ett ramverk för efterlevnadsredovisning och -kontroll. Ett sådant ramverk kan då behöva göra skillnad mellan olika typer av organisationer (offentliga, privata) ta hänsyn till andra revisioner som organisationen och verksamheten genomgått. Myndigheter, regioner och kommuner har till exempel redan idag väl utvecklade interrevisioner och många verksamheter granskas redan idag av tillsynsmyndigheter, riksrevisionen, och på andra sätt. Privata aktörer och leverantörer kan ha relevanta ISO-certifieringar som kan fylla behoven av tillitsskapande grund.