Sector Media AS  |  Kildals vei 17 A   |  0678  Oslo  | Tlf: 23 15 85 00
Skip Navigation Links.
Information in English Informationen in Deutsch
 Abonner (RSS)

    

Elektronisk signatur – hva nå?

Det har rent en del vann i havet siden det i 1958 ble reist spørsmål om signatur med kulepenn kunne likestilles med penn og blekk ved tinglysing av dokumenter. I dag arbeides det med å innføre elektroniske signaturer, men brukerne ser ikke vitsen med å skaffe seg sertifikat så lenge det er så få bruksmuligheter.

Tekst og bilde: Lars Ole Ørjasæter

Systemleverandørene på sin side ser ingen grunn til å forsere utviklingen så lenge det er så få brukere av elektronisk signatur. – Dette er en «høna-og-egget-problematikk» som i årevis har lagt en demper på utviklingen av PKI-løsninger i Norge, sier strategisk rådgiver i Steria, Kristin Vestmo. For «mannen i gata» er elektronisk signatur fortsatt et relativt ukjent begrep. Til tross for at Norge ønsker å være et foregangsland innen IT og teknologisk utvikling, har arbeidet med såkalt Public Key Infrastructure (PKI) – som er bruk av digitale sertifikater og elektroniske signaturer – gått heller smått. Det arbeides i dag med noen få, store løsninger, men «Gud og Hvermann» ligger løsningene fortsatt et stykke fram i tid.
   Fordelene med PKI og elektronisk signatur er innlysende. En tredjepart – en PKI-leverandør – verifiserer at du er den du utgir deg for å være. Deretter får du et sertifikat og et sett elektroniske «nøkler». Med dette som verktøy slipper du å huske et utall brukernavn og passord. Transaksjoner signeres digitalt, og digitale dokumenter sikres mot ikke-autoriserte endringer. Forutsetningen er selvsagt at antall brukersteder øker radikalt i tiden som kommer.

Statlig ansvar?
– Problemet er at ansvaret for å komme videre fra tanke til handling overlates helt og holdent til markedet. Sett fra mitt ståsted har både Arbeids- og adminstrasjonsdepartementet og Nærings- og handelsdepartementet laget mange fine utredninger og fasilitert mange godt mente fora rundt PKI-problemstillinger, men veien derfra til konstruktiv handling for at PKI skal bli utbredt, har vist seg kronglete, sier Vestmo.
   Hun trekker fram Finland som et eksempel der staten har vært villig til å ta ansvar for å få fart på PKI-implementeringen i samfunnet. Imidlertid har hun ikke helt mistet håpet her hjemme heller – selv etter å ha arbeidet med PKI og elektroniske signaturer i fem år, blant annet i Skattedirektoratet og nå i Steria.
   – Arbeidet med BankID gjør at en fortsatt kan være fast i troen. Systemet har den såkalte killer-applikasjonen – det vil se en applikasjon som er så viktig for oss at vi er villige til å skaffe oss en elektronisk ID for å få tilgang til den – nemlig nettbankene. Dersom bankene sier at vi må benytte PKI for fremdeles å få tilgang til bankenes løsninger, vil vi som privatpersoner måtte skaffe oss sertifikater for å kunne benytte nettbank etc., sier Vestmo.
   I dag finnes det hardware-nøkler i flere utgaver. Blant annet benyttes en fysisk nøkkel som settes i USB-porten på PC'en. Denne løsningen tilfredsstiller imidlertid ikke helt fordi nøkkelen kan åpnes uten å bli ødelagt. Vestmo tror at smartkort vil bli løsningen i fremtiden, men da trenger PC'en en kortleser eller annet grensesnitt (interface) som leser smartkortet.

To løsninger
I dag arbeides det med to PKI-løsninger i Norge – bankenes BankID og ZebSign som er et fellesprosjekt mellom Posten Norge BA og Telenor ASA. BankID og ZebSign er to løsninger som begge følger vedtatte standarder, men disse kan implementeres på helt forskjellige måter som gjør samspillet mellom løsninger mer komplisert.
   – Personlig skulle jeg ønske vi hadde bare én PKI-løsning i Norge, men brukerstedene må tilrettelegge for å akseptere begge. Det at forvaltningen har overlatt utviklingen av PKI-løsninger til markedet, betyr at man ønsker konkurranse og at offentlig forvaltning i sine løsninger må åpne for at det skal kunne benyttes forskjellige PKI-løsninger. Noe annet villevære helt på tvers av hva myndighetene har gjort de siste årene, sier Vestmo.

Godkjent bruker
– Jeg tror at systemene i første rekke vil bli brukt til autentisering. Den elektroniske signaturen kommer i andre rekke. Brukeren vil benytte PKI-systemet for å komme inn på en lukket nettside eller lignende, og det er her kjernen ligger. Den tiltrodde tredjeparten har godkjent brukeren. Så kan nettsideeieren si: «Jeg kjenner ikke deg, men en tredjepart har godkjent deg, og det er godt nok for meg». Brukeren bruker også tredjeparten som en godkjennelse på at det aktuelle nettstedet er det det gir seg ut for og at det har en kvalitet, sier Vestmo.
   Teknologien og bruk av kryptering/autentisering er i bruk i dag, men Norge ligger etter på å få i gang massebruken. Noen nettbanker bruker PKI som løsning, men dette er i dag en topartsløsning der sertifikatet utstedes av den aktuelle banken og kun kan benyttes i denne. BankID vil fungere slik at en kan få utstedt sertifikat uten å møte opp i banken dersom en har vært i banken og blitt fotografert til nytt bankkort i løpet av de siste fem årene.

Uklarheter og lyspunkter
Uklarheter i lovverket påstås å koste Statens lånekasse for utdanning flerfoldige millioner kroner. Samtidig har Norsk Hydro utviklet en egen løsning for digitale signaturer som har gitt stor forretningsmessig nytte for selskapet. Mens Norsk Hydro er nominert til Rosings kreativitets- og anvenderpriser, må Lånekassens planer om å innføre elektronisk signatur utsettes til Justisdepartementet har kommet med en avklaring, og rettsvesenet aksepterer elektronisk signatur på gjeldsbrev. For hvert år innføringen utsettes, taper Lånekassen ti millioner kroner, hevdet nylig underdirektør Arnulf Wold i Lånekassens IT-avdeling i et intervju med bladet Computerworld.

Langt framme
– Spania har fått til mye på relativt kort tid. Der har en fokusert sterkt på å forenkle statsforvaltningen. Et godt eksempel er justissektoren i regionen Andalucia, som alene har et innbyggertall dobbelt så stort som hele Norge. Her har en bortimot fjernet fysisk forsendelse av papirer i systemet. Spanjolene har gått fra elektrisk skrivemaskin til PKI i løpet av noen måneder – noe som må betegnes som litt av et kvantesprang. Samtidig har også den spanske helsesektoren og det spanske rikstrygdeverket kommet langt. Her hjemme har en nettopp skrevet kontrakt for utvikling av AltInn-prosjektet – samarbeidet om elektronisk innrapportering til det offentlige. Det er forstemmende at Skattedirektoratet, Brønnøysundregistrene og Statistisk sentralbyrå legger PKI på hylla for ikke å plage brukerne for mye, sier Vestmo. Hun synes allikevel at det er fullt forståelig med den situasjonen som er i dag.
   Rikstrygdeverket deltar ikke i AltInn-samarbeidet, men har arbeidet med en egen PKI-løsning som nylig materialiserte seg i en tilbudsforespørsel om rammeavtale på området for hele helsesektoren.
   – Med så mange felles behov i etatene, burde det vært duket for et bredt samarbeid. Dessverre er det altfor mye silotenkning innen norsk forvaltning. En skulle satset mye mer på tverrtenkning, men slik det er i dag, er det ingen belønning for å samarbeide på tvers av etatsgrensene. Nå prøver alle å få mest mulig penger til seg selv og lage egne løsninger. For fire-fem år siden var vi langt fremme, men i dag er vi forbigått av nasjoner som vi ikke liker å bli forbigått av. De har tatt et krafttak mens offentlige myndigheter i Norge har hatt en feilaktig tanke om at markedskreftene skal løse alt. Vi har for lite næringsvirksomhet til å klare alt alene, og det er like dyrt å lage en PKI-infrastruktur for fire som for 40 millioner mennesker. Jeg tror faktisk at vi må senke skuldrene og ikke la det beste bli det godes fiende. Vi må velge en bra løsning og komme i gang med arbeidet. Dette må også være holdningen til Arbeids- og administrasjonsdepartementet og Nærings- og handelsdepartementet. En del etater har for lengst vurdert hva som er godt nok, men dette holder ikke i forhold til hva premissleverandørene vil ha. PKI og elektroniske signaturer kommer aldri til å ta av dersom en skal vente på myndighetene. Her synes jeg statsråd Victor Norman har skuffet. Jeg hadde håpet på en statsråd som ville ha evnen til å se litt klart innen dette feltet. Nå trenger ikke Norge flere IKT- eller IT-strategier. Vi trenger handling! avslutter Kristin Vestmo.

Artikkelen ble publisert første gang i Sterias kundemagasin i desember 2003 og senere i redigert versjon, benyttet som Sterias innlegg i Teknologirådet 1. desember 2003 - Personvern i en ny tid.

Fakta 1
Definisjoner
Elektronisk identifisering benyttes for å vise hvem som er mottaker eller avsender av et dokument. Elektronisk signatur benyttes for å signere dokumenter elektronisk slik at de får binding til avsenderen eller eventuelt en juridisk status. Kryptering benyttes for å verne informasjon når den sendes, mottas og/eller lagres. For å utføre disse tre grunnfunksjonene, benyttes gjerne metoden og teknikken Public Key Infrastructure (PKI). Teknikken er basert på et «nøkkelpar» – én privat og én offentlig – som benyttes for å skape ulike funksjoner som elektronisk identifisering og signering samt kryptering.

Fakta 2
USA først
Mens Norge fortsatt diskuterer hva og hvordan i forbindelse med elektronisk signatur, har USA hatt regler for dette gjeldende fra august 1997. Første utkast til regelverket kom på begynnelsen av 90-tallet, og det var den farmasøytiske industrien som ba Food and Drugs Administration (FDA) om å få klargjort hva som skulle være norm i forhold til elektronisk signatur. Reglene har vært gyldige for den farmasøytiske industrien fra 1997, og skal etterhvert gjelde alle elektroniske data og signaturer i USA. Loven heter 21 CFR Part 11. Mer informasjon om loven ligger på www.fda.gov/ora.