Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor

Denne veilederen er tiltenkt alle som skal bruke eID og signaturløsninger. Offentlige og private aktører som jobber med vurdering av sikkerhetsrisiko og valg av sikkerhetsnivå for identifikasjon vil finne god hjelp i veilederen.

    Innledning

    Nytt regelverk for eID og elektroniske tillitstjenester har gjort det nødvendig å revidere Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, fastsatt av Fornyings- og administrasjonsdepartementet 3. april 2008 samt oppheve Kravspesifikasjon for PKI i offentlig sektor. Denne veilederen erstatter rammeverket fra 2008. Veilederen har vært på høring samt vært diskutert med sentrale offentlige aktører. En klar tilbakemelding i høringsrunden var at de normative delene av utkastet til revidert rammeverk burde tas inn i selvdeklarasjonsforskriften. Dette ønsket er etterkommet, og 'rammeverket' har derfor blitt til veileder.

    Gjennom eIDAS-forordningen reguleres identifikasjon og sporbarhet, dette omfatter både autentiserings- og uavviselighetsløsninger. Det er derfor behov for å klargjøre sammenhengen mellom europeisk og norsk regulering. eIDAS-forordningen er implementert i norsk rett gjennom lov om elektroniske tillitstjenester. Norske tilpasninger til de konkrete kravene som skal oppfylles for identifikasjonssikkerhetsnivåene fremgår av selvdeklarasjonsforskriften del III.

    Kravene som følger av eIDAS-forordningen og selvdeklarasjonsforskriften er teknologinøytrale, og stiller ikke krav om PKI-teknologi. Det er derfor ikke lenger nødvendig å oppfylle Kravspesifikasjon for PKI i offentlig sektor for å levere eID-ordninger på høyeste sikkerhetsnivå. Kravspesifikasjonen for PKI vil derfor bare være veiledende, og vil ikke bli oppdatert. Behovet for samordning av krav til PKI-løsninger vil heretter ivaretas gjennom anbefalinger i Referansekatalogen for IT-standarder og eventuelle krav i forskrift om IT-standarder i offentlig forvaltning.

    Når det gjelder autentisering av virksomheter (maskin-til-maskin-kommunikasjon), kan behovet for identifikasjon og sporing av virksomheter håndteres ved hjelp av tillitstjenester for elektroniske segl (tidligere kalt virksomhetssignaturer) og for websertifikater. Dette gjelder både identifikasjon av nettsteder og andre systemløsninger.

    Veilederen omfatter bare eID-ordninger for fysiske personer. Knytningen til juridisk person kan eksempelvis løses ved bruk av autoritative registre.

    Denne veilederen skiller seg fra rammeverket fra 2008 på flere punkter. Omtalen av risiko er kortet ned og veilederen referer til Digitaliseringsdirektoratets veiledning i internkontroll. Kravsettet for eID fremgår av selvdeklarasjonsforskriften og innebærer store endringer:

    • Kravene er vesentlig mer omfattende enn tidligere. De baseres på kravene i eIDAS-forordningen og gjennomføringsrettsakten (identifikasjonsnivåforskriften), men har norske tilpasninger i selvdeklarasjonsforskriften. Det gis nå omfattende, teknologinøytrale beskrivelser på alle sikkerhetsnivåer for identifikasjon.
    • Antall sikkerhetsnivåer har gått ned fra fire til tre.
    • Selvdeklarasjon er nå mulig for alle sikkerhetsnivåer for elektroniske identitetsbevis, ikke kun for de høyeste.
    • Veiledningen gjelder identifikasjon, ikke kun autentisering. Det innebærer at kravene både gjelder identitetspåstandens presisjon (personen skal kunne identifiseres entydig i norsk folkeregister) og styrken på autentiseringen (tilliten til at påstanden er sann).
    • Veilederen omtaler ikke lenger autentisering av virksomheter.

    Omtalen av løsninger for å sikre dokumentasjon (sikre sporbarhet) er utvidet, blant annet ved at det er gitt eksempler på hvordan nye tillitstjenester kan tilfredsstille behovet for dokumentasjon. Begrepsbruken er endret og klargjør at tiltakene vil gi ulike grader av tillit, og ikke er et spørsmål om enten-eller, slik begrepene «uavviselighet» og «ikke-benekting» i rammeverket fra 2008 kunne gi inntrykk av. Begrepsbruken i denne veilederen følger ellers terminologien i eIDAS-forordningen slik at identifikasjonstjenester for eksempel også omfatter autentiseringsløsninger.

    Formål

    Veilederen er skrevet for personer som skal arbeide med vurdering av risiko, valg av sikkerhetsnivå for identifikasjon og valg av tekniske løsninger (tjenester) for sporbarhet i elektronisk kommunikasjon med og i offentlig sektor. Veilederen skal bidra til å gjøre det enklere å gjenbruke identifikasjonsløsninger med tilstrekkelig grad av sikkerhet på tvers av offentlige virksomheter og gjøre det enklere å knytte sammen tjenester, slik at de fremstår som enhetlige for brukeren. Gjenbruk av løsninger vil også redusere kostnader i offentlige virksomheter.

    Veilederen inneholder et teknologinøytralt sett med overordnede anbefalinger rettet mot hele offentlig sektor. Anbefalingene gjelder valg av sikkerhetsnivå ved behov for identifikasjon av brukere av elektroniske tjenester fra forvaltningen samt brukere i offentlig sektor ved kommunikasjon mellom offentlige virksomheter. Videre inneholder veilederen overordnede anbefalinger for valg av sporbarhetsnivå ved behov for å knytte en bruker til en elektronisk transaksjon (sporbarhet).

    Offentlige virksomheter skal gjennomføre tilstrekkelige risiko- og sårbarhetsanalyser ved etablering av nye, eller revidering av eksisterende, digitale tjenester og ved samhandling. Veilederen skal hjelpe virksomhetene til å vurdere aktuelle trusler for en digital tjeneste og velge et egnet sikkerhetsnivå for å ivareta identifikasjons- og sporbarhetsbehov. Det er viktig å merke seg at den enkelte offentlige virksomhet selv er ansvarlig for vurderinger og valg som gjøres for å sikre egne digitale tjenester og elektronisk kommunikasjon, og for eventuelle følger av disse valgene.

    For identifikasjonsnivåer for elektroniske identitetsbevis (eID) anbefales det i veilederen at det stilles krav om bruk av et selvdeklarert sikkerhetsnivå iht. selvdeklarasjonsforskriften. Selvdeklarerte tilbydere er underlagt tilsyn fra Nasjonal kommunikasjonsmyndighet (Nkom). For sporbarhet beskriver veilederen to nivåer, men tiltak utover dette vil kunne være nødvendig, basert på konkrete behov i tjenesten. For både identifikasjon og sporbarhet gis det eksempler på hvordan risiko for sikkerhetsbrudd kan vurderes.

    Bakgrunn

    Offentlig sektor skal tilrettelegge for gode digitale tjenester til innbyggere og næringsliv, og for god elektronisk samhandling med og i offentlig sektor.

    Forvaltningen er gjennom flere regelverk pålagt å ha tilstrekkelig informasjonssikkerhet. Tiltakene skal være tilpasset risikoen. Dette følger både av eforvaltningsforskriften, personopplysningsloven og krav til effektiv drift (for staten: økonomireglementet). Forvaltningen kan stille krav til bruk av sikkerhetstjenester eller produkter, herunder til å bekrefte partenes identitet (autentisering) eller å hindre at data utilsiktet eller urettmessig endres (integritet); å beskytte informasjon mot innsyn fra uvedkommende (konfidensialitet) og å dokumentere henvendelser og aktiviteter, og informasjon om hvem som har sendt eller utført dem (sporing). Dette skal gjøres i henhold til den offentlige virksomhetens egen sikkerhetsstrategi. Virksomheten skal likevel ikke kreve vesentlig høyere sikkerhet enn det som i henhold til sikkerhetsstrategien er nødvendig for den type informasjon som kommuniseres eller den type handling som tilbys utført elektronisk, så fremt det ikke er andre forhold som skulle tilsi det.

    Elektronisk samhandling fører med seg et behov for å koordinere bruk av tjenester for identifikasjon og sporbarhet på tvers av offentlig sektor. Felles sikkerhetsnivåer for dette i offentlig sektor gir mulighet for bruk av felles sikkerhetstjenester (som ID-porten, helse-ID, Feide, signeringsløsning, felles eID-løsning som BankID) eller gjenbruk av sikkerhetstjenester, i kommunikasjon med brukere av offentlige digitale tjenester. Gjenbruk av slike tjenester gir økt brukervennlighet for brukerne og fører til besparelser i de offentlige virksomhetene.

    Identifikasjon innebærer at en påstått identitet som benyttes i elektronisk samhandling kan fastslås entydig. For å kunne fastslå en påstått identitet benyttes en autentiseringstjeneste. Ved autentisering finnes tre metoder, disse er noe man vet, noe man er og noe man har – f.eks. passord, fingeravtrykk og adgangskort. Begrepene identifikasjon og sporbarhet er, i tråd med det nye regelverket, gjennomgående brukt i denne veilederen, i stedet for begrepet autentisering og uavviselighet. Sporbarhet innebærer å kunne sannsynliggjøre at en handling ble gjennomført på et bestemt tidspunkt, knyttet til en bestemt identitet. Sagt på en annen måte er sporbarhet dokumentasjon for autentisitet og informasjonsintegritet over tid. Denne egenskapen blir tidvis omtalt som ikke-benekting, men dette er et begrep vi ønsker å gå bort fra. Sporbarhet handler om nyanser i grått og grader av sikkerhet, ikke et enten-eller. Norsk rett har fri bevisføring og -vurdering, begrepet «ikke-benekting» underkommuniserer dette. Sporbarhet tar opp i seg uavviselighet, som det vil være behov for å stille krav om.

    Veilederen gjelder i prinsippet uavhengig av hvilken type informasjon som behandles. Sporbarhetstjenester sikrer bevis for hva som har skjedd, og bidrar til at handlingene får de konsekvenser som rettsordenen fastsetter. Identifikasjonstjenester brukes både som grunnlag for tilgangsstyring til informasjon som bare noen skal ha tilgang til å se eller endre, og som delprosess i sporbarhetstjenester. Det er viktig å være klar over at identifikasjons- og sporbarhetstjenestene kun er en del av det som utgjør sikkerhetsnivået til en offentlig digital tjeneste. I vurderingen av en tjenestes totale sikkerhet må også mange andre forhold vurderes opp mot tjenestens sikkerhetsmål.

    Konfidensialitet innebærer at informasjon ikke skal bli kjent for uvedkommende. Tilgangskontroll, logging, kryptering og overvåking er de viktigste tekniske mekanismene for å sikre konfidensialitet. Sporbarhets- og identifikasjonstjenester vil være sentrale virkemidler for å sikre dette.

    Veilederen er todelt. Første del omfatter identifikasjon, dvs. entydig påstand om identitet (kobling til folkeregistrert person) og autentisering (bekreftelse) av påstanden. Veilederen beskriver krav til identitetspåstanden og bekreftelsen, med utgangspunkt i de sikkerhetsnivåene som er definert i eIDAS-forordningen med forskrifter. Andre del av veilederen tar for seg sporbarhet i elektronisk kommunikasjon ved bruk av tillitstjenester.

    Sikkerhetsnivå skal velges basert på en risikovurdering

    Veilederen beskriver tre sikkerhetsnivåer for identifikasjon og to nivåer for sporbarhet. Nivåene tar utgangspunkt i ulike sikkerhetsmål og beskriver løsninger som gir ulike grader av tillit til påstander om identitet. Hvilket sikkerhetsnivå som skal kreves, beror på risikoen i tjenesten, herunder hvilke konsekvenser brudd på sikkerhet vil ha, samt trusselbildet for den aktuelle tjeneste mv.

    Den enkelte virksomhet er selv ansvarlig for å velge tilstrekkelig sikkerhetsnivå. Valget må tas på bakgrunn av risikovurderinger, og valg av sikkerhetsnivå må stå i forhold til andre sikringstiltak. Autentiseringstjenester er bare en av flere sikringsmekanismer og beskytter kun mot enkelte trusler mot tjenesten. En virksomhet må bruke et sikkerhetsnivå for identifikasjon som er tilstrekkelig ut fra risikovurderingene. Det er samtidig viktig at sikkerhetskravene ikke fører til for tungvinte løsninger, og slik hindrer bruken.

    Veilederen beskriver ikke hvordan risikovurderingen skal gjøres. Her vises det til Digitaliseringsdirektoratets veiledningsmateriell i internkontroll. Vi gjentar likevel her enkelte punkter som er viktige å vektlegge:

    • En trussel kan bli reell dersom det finnes trusselaktører med tilstrekkelig motivasjon til å prøve et angrep på tjenesten. En virksomhet må, ut fra tjenestens funksjon og den informasjon tjenesten gjør tilgjengelig, vurdere hvilke trusselaktører som kan tenkes å prøve seg, hvilke sårbarheter som skal adresseres, og hvilken kapasitet (tilgjengelige virkemidler) en trusselaktør kan ha for å utnytte sårbarhetene.
    • I risikovurderingen bør virksomheten vurdere motivasjon og kapasitet for alle aktuelle trusselaktører – både basert på evne/mulighet og motivasjon. To grupper som kan være særlig aktuelle er økonomisk motivert kriminalitet og personer som har en enklere tilgang til eID-en eller miljøet hvor opplysningene behandles, herunder nærstående (f.eks. familiemedlemmer).
    • Virkemidlene som en trusselaktør kan tenkes å bruke, vil vanligvis stå i forhold til den gevinsten trusselaktøren kan forvente å oppnå.
    • Noen trusselaktører kan være på «innsiden» hos eID-utstederen eller det kan være en aktør som har en rolle i utstedelsesfasen, hos tjenestetilbyderen eller andre som er involvert i bruksfasen.
    • I vurderingen av risiko bør virksomheten se på de(t) hendelsesforløp som gir den høyeste risikoen. Risikoen må vurderes basert på hvilke konsekvenser identifikasjons-/sporbarhetssvikt vil ha i ulike hendelsesforløp og sannsynligheten for at slik svikt inntreffer. Trusselbildet for den aktuelle tjenesten vil påvirke både hvilke konsekvenser som er aktuelle å vurdere, og sannsynligheten både for sviktende identifikasjon/sporbarhet, og for at hver av de ulike konsekvensene inntreffer.

    Sikkerhetsnivåer for identifikasjon

    Hva er identifikasjon?

    Identifikasjon betyr "gjenkjenning som den samme", og kommer av latinsk idem, som betyr 'den samme'.

    Elektronisk identifikasjon gjennomføres ved at en identitetspåstand bekreftes (autentiseres) ved bruk av elektroniske identifikasjonsmidler (også kalt et elektronisk identitetsbevis eller en eID). Sikkerhetsnivået for identifikasjonen beror på identitetspåstandens presisjon og sikkerheten knyttet til utstedelse og bruk av det elektroniske identitetsbeviset.

    I selvdeklarasjonsforskriften § 18 er det stilt krav om at personen skal kunne identifiseres med fødselsnummer eller d-nummer. Slik identifisering gir mulighet for gjenkjenning av personen i grunndataregistre som Folkeregisteret, Enhetsregisteret og Kontakt- og reservasjonsregisteret (jf. efvf § 29). Det gir også en kobling til opplysningene om identitetsgrunnlaget som lå til grunn for registreringen av personen i Folkeregisteret. Fødselsnummer eller d-nummer kan enten fremgå direkte av eID-en, eller koplingen kan gjøres indirekte via oppslag i en autoritativ tabell som knytter sammen en eID og et fødsels- eller d-nummer.

    For virksomheter som ikke har behov for at personen knyttes til en identitet i Folkeregisteret, vil det være mulig å benytte de definerte sikkerhetsnivåene i selvdeklarasjonsforskriften med en presisering om at kravet i forskriftens § 18 er fraveket og eventuelt gitt en alternativ utforming.

    Hva er autentisering?

    Autentisering er å verifisere en påstått identitet. Denne veilederen omhandler kun autentisering av fysiske personer (mennesker) ved tilgang til elektroniske tjenester.

    Den som skal autentiseres må inneha/kunne benytte ulike autentiseringsfaktorer som kan bekrefte identiteten. En bruker kan avkreves en eller flere av disse autentiseringsfaktorene avhengig av sikkerheten i løsningen. Det finnes tre forskjellige typer autentiseringsfaktorer:

    • Noe personen vet – for eksempel et passord (kunnskapsbasert)
    • Noe personen har – for eksempel en passordkalkulator (besittelsesbasert)
    • Noe personen er – for eksempel et fingeravtrykk (attributtbasert, biometrisk)

    Autentiseringsfaktoren(e) må på et tidspunkt bli knyttet til en bruker og dennes identitet – brukeren må også alene ha full råderett over autentiseringsfaktoren. Prosesser for utstedelse og ev. utlevering av autentiseringsfaktorer til brukeren kan gjøres av en tredjepart eller av en tjenesteyter selv, avhengig av sikkerhetsnivå.

    Definisjon av sikkerhetsnivåer for identifikasjon

    Kravene til sikkerhetsnivåene fremgår av selvdeklarasjonsforskriften del III.

    Tabellen under gir en enkel oversikt over sentrale krav for de ulike norske sikkerhetsnivåene. Dette er en sammenstilling av krav fra Kommisjonens gjennomføringsforordning EU 2015/1502 (identifikasjonsnivåforskriften) og selvdeklarasjonsforskriften. Identifikasjonsnivåforskriften gjelder som forskrift jf. forskrift om tillitstjenester for elektroniske transaksjoner § 6, mens de norske tilpasningene fremgår av selvdeklarasjonsforskriften del III.

    Utleveringskrav innebærer utlevering, aktivering og utstedelse i en sammenhengende prosess.

    Norske nivå Antall autentiseringsfaktorer Utleveringskrav Revisjonskrav
    Lavt Én autentiserings-faktor Som for betydelig eller høyt Intern
    Betydelig To autentiserings-faktorer Utlevering kan baseres på kontaktinformasjon i Folkeregisteret/ Kontaktregisteret Intern
    Høyt To autentiserings-faktorer Førstegangs utlevering baseres på at fysiske egenskaper observeres og sammenlignes med f.eks. et autoritativt
    dokument (f.eks. ved personlig
    fremmøte eller maskinelt)    		 Ekstern

    Sikkerhetsnivåer for elektronisk identifikasjon av fysiske
    personer

    Introduksjon

    Sikkerhetsnivåene angir ulike grader av tillit til at påstanden om identitet, i en elektronisk kommunikasjon, er korrekt. Identitet er i denne veilederen begrenset til å gjelde fysiske personer. Elektroniske identitetsbevis utstedes ved at en person – etter egnet identitetskontroll – gis rådighet over autentiseringsfaktorer, eller at egenskaper ved personen registreres som biometriske identifikasjonsmidler. Personen kan senere bruke disse autentiseringsfaktorene overfor en autentiseringsordning, f.eks. ID-porten. Hvilket sikkerhetsnivå som skal velges, beror på risikoen i tjenesten, herunder hvilke konsekvenser identifikasjonssvikt vil ha samt trusselbildet for den aktuelle tjeneste mv.

    Kort om sikkerhetsegenskaper som skiller nivåene

    Sikkerhet i løsninger for identifikasjon og sporbarhet kan beskrives ved hjelp av forskjellige sikkerhetsegenskaper. En sikkerhetsegenskap er en faktor som påvirker sikkerhetsnivået i løsningen hvis den endres. Et eksempel på en slik faktor er "utlevering til bruker". For en passordløsning vil "utlevering til bruker" beskrive hvordan passordet i praksis deles ut til brukeren. Er passordene delt ut til bruker på bakgrunn av fysisk legitimering, er det vanskelig å skaffe seg et passord i andres navn. Deles passordene ut over internett på bakgrunn av påstått identitet er det mulig å skaffe et passord i andres navn. Dette viser at ulike krav til samme sikkerhetsegenskap endrer graden av hvor vanskelig det er å kompromittere løsningen. Sikkerhetsnivåene i selvdeklarasjonsforskriften er, jf. identifikasjonsnivåforskriften, definert på bakgrunn av følgende sett av egenskaper (parentesene viser til de relevante punktene i vedlegg til identifikasjonsnivåforskriften):

    • Søknad og registrering (kap. 2.1.1)
    • Krav til bekreftelse og kontroll av identitet (fysisk person) (kap. 2.1.2)
    • Krav til bekreftelse og kontroll av identitet (juridisk person) (kap. 2.1.3)
    • Krav til de elektroniske identifikasjonsmidlenes egenskaper og utforming, herunder antall autentiseringsfaktorer, (kap. 2.2.1)
    • Krav til utstedelse, levering og aktivering (kap. 2.2.2)
    • Krav til midlertidig oppheving, tilbakekalling og reaktivering (kap. 2.2.3)
    • Krav ved fornyelse og erstatning (kap. 2.2.4)
    • Krav til autentiseringsordningen, herunder hvordan identifikasjonsmiddelet kontrolleres forut for tilgang til tjenester (kap. 2.3.1)
    • Krav til håndtering og organiserings (kap. 2.4)

    Egenskapene er beskrevet på en teknologinøytral måte.

    Forholdet til eIDAS-nivåene

    De norske sikkerhetsnivåene bygger på eIDAS' kravsett som er nedfelt i identifikasjonsnivåforskriften. Det er lagt opp til at eID-løsningene både kan oppfylle kravene som stilles i identifikasjonsnivåforskriften og de norske tilpasningskravene som følger av selvdeklarasjonsforskriften.
    I selvdeklarasjonsforskriften er kravene tilpasset norske forhold, dels med eksempler på hvordan krav kan tilfredsstilles, og dels ved presiseringer. Viktige tilpasninger er:

    • Norsk nivå "lavt" stiller nasjonalt tilpassede krav til identitetskontroll gjennom å gjenbruke kravsettet for nivå "betydelig"
    • Norske nivåer forutsetter at eID-innehaveren er registrert i det norske folkeregisteret, og at det foreligger en entydig knytning til personens fødsels- eller d-nummer.
    • De norske nivåene er tydeligere risikobaserte, og Nkom avgjør etter en helhetlig vurdering om et sikkerhetsnivå er oppfylt eller ikke, jf. selvdeklarasjonsforskriften §§ 11 og 12.

    For norske eID-ordninger som skal meldes til EU-kommisjonen vil det være nødvendig at både identifikasjonsnivåforskriften og tilpasningene som følger av selvdeklarasjonsforskriften er oppfylt. For eID-ordninger som kun skal brukes i Norge vil selvdeklarasjon til Nkom være tilstrekkelig. For fullstendighetens skyld presiseres at i tjenester som benytter eIDAS-nivåene "betydelig" eller "høyt" skal også eID-ordninger fra andre EØS-land anerkjennes for bruk i norske digitale offentlige tjenester som benytter samme sikkerhetsnivå, gitt at ordningen er meldt til Kommisjonen, jf. eIDAS-forordningen artikkel 6. Pålogging med utenlandsk eID til norske digitale offentlige tjenester forutsetter imidlertid at en person kan gjenkjennes gjennom å kunne kobles til et norsk fødsels- eller d-nummer.

    Eksempler på eID-løsninger på ulike sikkerhetsnivåer

    Sikkerhetsnivå lavt

    Dette nivået gir enkel pålogging, og tilfredsstiller behovet til mange tjenester. Det gir en viss sikkerhet for at personen er rette vedkommende. Eksempler er løsninger basert på:

    • Innlogging med passord som er aktivert ved hjelp av melding til personens e-postadresse i Kontakt- og reservasjonsregisteret (KRR), eller til folkeregistrert adresse
    • Innlogging med brukerkonto som er aktivert gjennom e-post eller SMS-sendt adresse fra KRR
    • Et program (app) på mobil enhet som er knyttet til personen gjennom engangskode sendt personens mobilnummer i KRR
    • Passord, program (app) på mobil enhet eller brukerkonto som er blitt knyttet til personen gjennom innlogging med annen eID

    Sikkerhetsnivå betydelig

    Dette nivået tilfredsstiller behovet for de fleste tjenester. Eksempler på løsninger:

    • MinID, opprettet med engangspassord sendt til folkeregistrert adresse
    • Tofaktorinnlogginger som måtte tilbys av markedet, men som ikke tilfredsstiller nivå høyt

    Sikkerhetsnivå høyt

    Dette nivået tilfredsstiller også behovet for tjenester med særlig høye krav til sikkerhet. Eksempler på løsninger:

    • eID utstedt ved manuell identitetskontroll (pass/ID-kort sjekkes ved fysisk fremmøte mot personen), tofaktorløsning, ev. med bruk av PKI-teknologi16
    • eID utstedt ved automatisert identitetskontroll (pass/ID-kort sjekkes mot bilde/video som tas av personen), tofaktorløsning med sterk knytning til telefonen og til passord

    Veiledning for valg av sikkerhetsnivå for identifikasjon

    Risikovurderinger for valg av sikkerhetsnivå for identifikasjon

    Sikkerhetsnivåene for identifikasjon skiller seg fra hverandre primært når det gjelder følgende egenskaper:

    • I utstedelsesfasen: Identitetsfastsettelse og utlevering – hvor sikker en kan være på at eID utstedes og utleveres til korrekt person,
    • I bruksfasen: Autentiseringsfaktorer – en eller flere, og hvor godt disse sikrer at det er korrekt person som bruker dem.

    I utstedelsesfasen er trusselen at en angriper klarer å få utstedt eID i en annen persons navn eller klarer å stjele autentiseringsfaktoren(e) som skal utleveres til brukeren i forbindelse med korrekt utstedelse av eID. I bruksfasen er trusselen at en angriper kan stjele, kopiere, skaffe seg tilgang til eller på annen måte kunne misbruke en annen persons eID, for så å utgi seg som denne personen.

    I utstedelsesfasen (inkl. utlevering) går det et viktig skille ved hvorvidt tjenesten krever kontroll av fysiske egenskaper ved personen mot et identitetsbevis (ev. annen autoritativ kilde), eller om løsningen ikke krever dette.

    Generelt vil nærstående, særlig personer i husstanden, ha større mulighet til å misbruke eIDen i bruksfasen fordi de har lettere tilgang til både autentiseringsfaktorer og utstyr som benyttes for tilgang til elektroniske tjenester. Nærstående kan ha fått låne en annens eID for å utføre enkeltoppgaver (for eksempel tilgang til ektefellens bankkonto med bruk av hans eID), og kan utnytte dette til å utføre andre handlinger (for eksempel få tilgang til helseinformasjon eller å ta opp lån).

    Tjenester som baseres på flere autentiseringsfaktorer (nivå betydelig og høyt), vil generelt være vanskeligere å misbruke enn løsninger som bare benytter én faktor.

    I bruksfasen kan en eID misbrukes også av en utenforstående som stjeler, kopierer eller på annen måte skaffer seg tilgang. Statiske autentiseringsfaktorer kan være utsatt for kopiering ved gjetting (for eksempel passord), avlytting av kommunikasjon eller innbrudd i brukerens utstyr. Noe en har, som engangspassordkalkulator eller smartkort kan stjeles.

    Ved innbrudd i brukerens utstyr kan en angriper få tak i autentiseringsfaktorer som er lagret der, men en angriper kan også plante programkode som oppdager at brukeren selv legitimt bruker eID-en, og kopiere og utnytte dette.

    Eksempler på hendelser som følge av bruk av falsk eID eller kompromittering av eID, og som bør tas med i en risikovurdering. (Hendelsene er beskrevet i tråd med anbefaling i Digitaliseringsdirektoratets internkontrollveilederen):

    • Konfidensialitetsbrudd: Kriminelle får utstedt eID til person på hemmelig adresse, logger inn og ser hvor personen går på skole. Mulig konsekvens: Personen oppspores og utsettes for grov vold.
    • Konfidensialitetsbrudd: En arbeidskollega utnytter en glemt utlogging på et sykehus, og får sett helseopplysninger om en nabo. Mulig konsekvens: Stigmatiserende helseopplysninger om naboen spres, og personen utstøtes i lokalmiljøet.
    • Integritetsbrudd/konfidensialitetsbrudd (karakterer er taushetsbelagt informasjon): En lærer logger seg på en læringsplattform på storskjerm i klasserommet med funksjonen «vis passord» på. En elev noterer seg brukernavn og passord, logger seg senere på og endrer en annen elevs karakter fra bestått til stryk. Mulig konsekvens: Den andre eleven stryker i faget.
    • Integritetsbrudd: En elev låner mobilen til en medelev, og logger inn som vedkommende med SMS-passord. Eleven sender trakasserende meldinger i den andre elevens navn til flere klassekamerater. Mulig konsekvens: Eleven som får meldingene sendt i sitt navn blir utvist, da skolen har nulltoleranse for mobbing.
    • Integritetsbrudd: En ondsinnet aktør fra en fremmed stat får utstedt eID i helsepersonells navn, og endrer helseopplysningene til politisk sentral person. Mulig konsekvens: Personen får uriktig helsehjelp, og dør.

    En risikovurdering av behovet for identifikasjon opp mot sikkerhetsmål må ta i betraktning trusler og tiltak som selve eID-en ikke, eller i begrenset grad, kan beskytte mot. Eksempler på slike trusler knyttet til identifikasjon er for eksempel:

    • En angriper kan kompromittere brukerens utstyr, slik at bruken av eID-en kan kontrolleres av angriperen, for eksempel til å logge på et annet nettsted uten brukerens vitende og vilje.
    • Phishing-angrep kan lure brukeren til å gå til en nettside kontrollert av angriperen, og røpe sine eID-hemmeligheter.
    • Det legitime nettstedet kan være kompromittert slik at brukerens eID kan misbrukes.
    • Hvis kommunikasjonen ikke er kryptert, kan den avlyttes slik at eID-informasjon kan stjeles.

    Beskyttelse mot en del av disse truslene er i hovedsak nettstedets ansvar, for eksempel bruk av kryptering. Nettstedet bør også, som del av beskyttelse mot phishing, sørge for å bruke en god løsning for nettstedsautentisering. Men brukeren selv har også et ansvar for å holde seg unna phishing-nettsteder.

    Identifikasjonstjenester øker sannsynligheten for at det er den identifiserte personen som bruker tjenesten. Sikkerhetsnivå for eID er en viktig parameter i dette. Sikkerheten i selve bruken av tjenesten, for eksempel hvilke funksjoner og informasjon brukeren skal ha tilgang til (autorisasjoner), må løses med andre mekanismer.

    Praktiske eksempler på tjenester som kan benytte de forskjellige sikkerhetsnivåene

    Dette er eksempler på hvordan sikkerhetsnivåene kan brukes. Tjenesteeier må gjøre sin egen vurdering av trusselbildet for sin tjeneste, jf. avsnittet ovenfor, herunder vurdere risikoen for sikkerhetsbrudd og konsekvenser av dette.

    • Nivå lavt
      • Mange tjenester, blant annet gjelder dette ofte skolepålogging som gir innsyn i egne lekser mm. Innsending av skjema (barnehagesøknad etc.), statistikkoppgaver.
    • Nivå betydelig
      • De fleste tjenester med taushetsbelagte opplysninger, blant annet innsyn og endring i egen skattemelding.
    • Nivå høyt
      • Tjenester som gir innsyn i taushetsbelagte opplysninger med særlig beskyttelsesbehov, herunder stigmatiserende opplysninger, forretningskritisk informasjon, sikkerhetskritisk informasjon og helseopplysninger.

    Om sporbarhet

    Hva er sporbarhet?

    Mens identifikasjon handler om å avklare hvem du samhandler med, går sporbarhet ut på å dokumentere samhandlingen over tid. Krav til sporbarhet beskriver i hvilken grad det i ettertid skal være mulig å sannsynliggjøre at en aktør står bak et informasjonselement eller har utført en handling på et bestemt tidspunkt.

    Sporbarhet innebærer at det er mulig å fremskaffe et bevis med en viss styrke for bestemte handlinger. Denne egenskapen blir tidvis omtalt som "ikke-benekting", et begrep vi mener er uheldig. Vi bruker i stedet begrepet sporbarhet, fordi sporbarhet handler om nyanser i grått, grader av sikkerhet vurdert opp mot risikoen, ikke et enten/eller. Som omtalt ovenfor under kapittel 1.2, underkommuniserer begrepet "ikke-benekting" dette.

    I sporbarhetssammenheng vil styrken på beviset avhenge av

    1. styrken på identifikasjonen (identifikasjonsstyrke)
    2. styrken på koblingen mellom informasjonselementet og identifikasjonen (bindingsstyrke)
    3. koblingen til handlingen samt styrken på hvor godt beviset er vernet mot endringer over tid (integritetsstyrke)

    Virksomheten må avgjøre hvilke deler av samhandlingen som skal spores, eksempelvis hva brukeren er gjort kjent med (fått forevist), hva hun har samtykket til eller levert inn. I det følgende brukes for enkelhets skyld begrepet «dokument» for informasjonselementet som beviset/sporet knyttes til, uten at dette er ment som en begrensning.

    Sporbarhet består i:

    • Å produsere dokumentasjon (av en eller annen styrke) for at en bestemt aktør utførte en handling på et bestemt dokument på et bestemt tidspunkt.
    • Å lagre dokumentasjonen så lenge det er påkrevd, og med tilstrekkelig sikkerhet for at den ikke slettes eller kan endres.

    Dokumentasjonsverdien vil blant annet bero på muligheten til - på bevisføringstidspunktet - å sannsynliggjøre at dokumentet er autentisk. Styrken på et bevis er først og fremst avhengig av hvor pålitelig informasjonen i beviset er. En handling utføres alltid i en kontekst, for eksempel en prosess som ender opp med at brukeren "signerer" et dokument eller klikker "aksepterer" på en nettside. Et bevis vil aldri kunne dokumentere hele konteksten.

    Kort tid etter en handling kan det være enkelt å rekonstruere konteksten, f. eks. ved å referere til en nettside som eksisterer og ikke er endret. Over tid vil konteksten gradvis "glemmes", noe som vil føre til at bevis, uansett vedlikehold, vil svekkes over tid. Endelig vil det være opp til den som skal vurdere beviset, i siste instans en domstol, å vurdere styrken av beviset.

    Produksjon av dokumentasjon

    Dokumentasjonen vil gjerne bestå av følgende:

    • Hvem har samhandlet? Klarhetshensyn taler for at aktørene identifiseres entydig, f.eks. med organisasjonsnummer eller fødselsnummer. Tilliten til identitetspåstanden kan styrkes gjennom at de er autentiserte, jf. sikkerhetsnivåene som er beskrevet tidligere i dokumentet.
    • Hva er handlingen? Det bør framgå tydelig av beviset hva konteksten for handlingen er, f.eks. at et dokument er sett, lest, godkjent, sendt inn eller videresendt.
    • Hvilket dokument knytter handlingen seg til?
    • Hva er tidspunktet for handlingen? Som regel er det viktig at tidspunktet for handlingen er kjent. Det vil bl.a. gjøre det enklere å knytte beviset til annen dokumentasjon.

    Styrken på et bevis avgjøres først og fremst av hvor korrekt og pålitelig informasjonen er for disse fire elementene. I tillegg har et bevis en "teknisk styrke" som avgjøres av hvor sterkt selve beviset beskyttes, det vil si hvor vanskelig det er å endre eller forfalske det.

    Lagring og vedlikehold av bevis

    Dersom det er behov for å lagre dokumentasjonen over lang tid, f.eks. flere tiår, må noen særlige utfordringer håndteres. Dokumentasjon forvitrer over tid. Dette skaper tilleggsutfordringer knyttet til for eksempel:

    • Bevisets lesbarhet over tid, som kan utfordres av bytte av IT-systemer eller IT-leverandører og/eller formater.
    • Svekkelse av kryptografiske mekanismer og nøkler, der økt prosessorkapasitet i fremtiden kan føre til at mekanismer som er sikre i dag, blir for svake etter en viss tid.

    Bevisførsel

    Ved behov må beviset kunne presenteres på en tillitvekkende måte. Det vil si at det må kunne sannsynliggjøres at dokumentasjonen er et sannferdig uttrykk for hva som skjedde. Merk at det i en del tilfeller kan være utfordrende å finne igjen og samle sammen informasjon som skal utgjøre et bevis, for eksempel dersom informasjonen skal hentes fra forskjellige logger.

    Virkemidler for å sikre sporbarhet

    Sporbarhet kan sikres både ved hjelp av tekniske, organisatoriske og rettslige tiltak. Vi beskriver her kort noen aktuelle løsninger, som kan være etablert av virksomheten selv (egenregi), av aktører i markedet (tillitstjenester) eller av offentlige fellesløsninger.

    Virkemidler fra aktører i markedet (tillitstjenester mv.)

    eIDAS-forordningen spesifiserer felles regler for hele EØS-området når det gjelder aksept av elektroniske dokumenter, elektroniske signaturer (signatur av en fysisk person) og elektroniske segl (virksomhetssignatur). eIDAS-forordningen definerer et sett med tillitstjenester som skal kunne tilbys av kommersielle aktører i EUs indre marked. Tillitstjenestene som defineres av eIDAS-forordningen, er:

    • Sertifikater for elektronisk signatur, det vil si til fysiske personer
    • Sertifikater for elektronisk segl, dvs. si til juridiske personer (virksomhetssertifikater)
    • Elektronisk tidsstempling
    • Elektronisk tjeneste for rekommandert sending
    • Sertifikater for autentisering av nettsteder (web-autentisering)
    • Valideringstjenester for elektronisk signatur og elektronisk segl
    • Lagringstjenester for elektronisk signatur og elektronisk segl

    En av tjenestene ovenfor, tilbudt på en måte som oppfyller kravene i forordningen, defineres som en kvalifisert tillitstjeneste. Dette inkluderer krav til tredjepartsrevisjon og tilsyn. Ikkekvalifiserte tillitstjenester kan underlegges tilsyn i tilknytning til hendelser.

    Elektroniske signaturer er i eIDAS-forordningen definert som mekanismer som binder et
    dokument til en person som signerer dokumentet. Begrepet elektronisk signatur er i
    utgangspunktet teknologinøytralt. Forordningen definerer flere typer (tilsvarende for segl):

    • Elektronisk signatur: Alle mekanismer som knytter en person til informasjonen som signeres.
    • Avansert elektronisk signatur: Krever i praksis PKI-teknologi18 med sertifikater, men med få krav til kvalitet. Signaturen kan også baseres på et kvalifisert sertifikat, da er det stilt krav til utstedelsen og oppbevaringen av privat signeringsnøkkel.
    • Kvalifisert signatur: Avansert signatur med kvalifisert sertifikat og tilleggskrav til oppbevaring av signeringsnøkkel i sertifisert elektronisk utstyr.

    Samtlige tillitstjenester er relevante for sporbarhet. Signaturer/segl kan brukes til å forsegle dokumentasjonen.

    I tillegg til eIDAS-forordningens tillitstjenester vil det kunne finnes andre løsninger i markedet som kan brukes for å sikre sporbarhet. Identifikasjonsløsninger, jf. beskrivelsen ovenfor under kapittel 3, og digitale postkasser, er eksempler på slike tjenester. I Norge tilbys digitale postkasser fra private leverandører som en fellesløsning i offentlig regi. Det vilogså kunne etableres andre løsninger som skal bekrefte at informasjon ikke er blitt endret.

    Offentlige fellesløsninger som understøtter sporbarhet

    Offentlig sektor har etablert flere tillitstjenester som infrastruktur. Tjenestene er dels etablert av det offentlige selv og dels basert på løsninger fra markedet. Tjenestetilbudet vil være i utvikling i takt med offentlig sektors behov. Per 2021 finnes følgende offentlige fellesløsninger som kan benyttes for å ivareta sporbarhetsbehov:

    • DPI – Sikker digital post for innbygger, med bruk av Digipost og eBoks samt meldingsboksen i Altinn for elektronisk meldingsutveksling og lagring av (signerte) dokumenter.
    • Digitaliseringsdirektoratets signeringstjeneste dekker flere funksjoner
      • Avansert elektronisk signatur med kvalifisert sertifikat basert på tjenester fra sertifikatutstedere i markedet.
      • Elektronisk signatur supplert med avansert elektronisk segl fra signeringstjenesten for å "forsegle" bevis for elektronisk signering,
      • Tidsstempling knyttet til elektroniske signaturer og segl,
      • Lagringstjeneste for dokumenter med elektronisk signatur eller elektronisk segl.
    • Digitaliseringsdirektoratets tidsstemplingstjeneste
    • Altinns juridiske logg for elektronisk signatur og støtte for avanserte signaturer i forbindelse med skjemainnsending.
    Løsninger i virksomheten

    Logging av informasjonselementer og handlinger i virksomhetens egne IT-løsninger kan i mange tilfeller også være et egnet virkemiddel for økt sporbarhet. Bruk av egen logginformasjon fra egne løsninger som bevis fordrer at kvaliteten på informasjonen som er blitt logget er god og at en kan ha tillit til at informasjonen ikke er blitt endret. Virksomheter som er avhengig at denne typen virkemidler bør ha utviklet god internkontroll og et godt utviklet styringssystem for informasjonssikkerhet. For blant annet å kunne forhindre endringer fra egne ansatte, kan ev. integritetssikring ved hjelp av tidsstempling benyttes.

    Logginformasjon fra egne systemer som bevisførsel bidrar til å anskueliggjøre informasjonselementer eller handlinger. Tjenesteleverandøren må uansett ha et styringssystem for informasjonssikkerhet og tilhørende internkontroll. Det bør særskilt vurderes sikringstiltak i henhold til god praksis for logging, eksempelvis som etter ISO 27001 A12.4: Logging and monitorering, hvor det heter:

    • 12.4.1 Handlingslogg (event logging): Registrér informasjon om tilgang og handlinger av brukere, feil, hendelser etc. i informasjonssystemer.
    • 12.4.2 Beskyttelse av handlingslogg (Protection of log information): Loggene må beskyttes, ettersom de ikke skal kunne fjernes eller endres av uvedkommende. Her bør reglene kun tillate endring av loggen av bestemte personer.
    • 12.4.3 Adskilt systemadministratorlogg (Administrator and operator logs): Ettersom administratorer ofte har flere privilegier og brukerrettigheter enn vanlige brukere, kan de utføre flere handlinger på systemer. Med tanke på sporbarhetskrav, anbefales det at systemer registrerer lik informasjon om alle brukere, uavhengig av hvilke privilegier de har i systemene.
    • 12.4.4 Synkroniserte klokker (Clock synchronization): Alle systemer bør konfigureres med samme tid og dato for å forenkle sporbarhet hvis en hendelse oppstår og det skal utføres en sporbarhetstest av hva som har skjedd i de involverte systemene.

    Ofte vil det være tilstrekkelig at virksomheten er pålagt å ha rutiner som sikrer
    arkivmateriale.

    Teknikker som vil styrke tilliten til løsningene kan være:

    • Loggen er sikret mot endringer i ettertid. Ulike former for kryptografiske mekanismer kan benyttes til sikring av logginformasjon. I tillegg kan det benyttes tekniske løsninger som hindrer endring av informasjon.
    • Loggen bør oppdateres i sanntid med informasjonselementer og handlinger som utføres.
    • Løsningen bør fortrinnsvis være utformet med logging av bevis som funksjon slik at
    • informasjonen som logges er tilstrekkelig og sikret for formålet.
    • Logget informasjon bør være knyttet til annen aktivitet i virksomheten (daily business
    • practice) slik at det anskueliggjøres at virksomheten selv har tillit til informasjonen.
    • Det kan innhentes tredjepartsvurdering av styrken (prosess og metoder) for logging og at disse følges.
    • Implementering av ISO 27001 A12.4-tiltak som beskrevet ovenfor.

    Riksarkivaren har gjennom NOARK-standarden stilt krav til arkivsystemer, for at kravene i arkivforskriften skal kunne oppfylles. Systemer som følger disse kravene skal sikre integriteten til de journalførte saksdokumentene. Kravene gjelder både for arkivering i særskilte arkivsystemer og for arkivering i fagsystemer.

    Anbefalinger for sporbarhet/bevissikring

    Mekanismer som kan sikre sporbarhet vil dels kunne være å stille krav til autentisering av handlingen som det skal sikres dokumentasjon for. Her vil det kunne stilles krav til eID-nivå iht. beskrivelsen i kapittel 3. I tillegg vil det kunne stilles krav til koblingen mellom (eller forseglingen av) autentiseringen og informasjonselementet og til sikring av integritet og tilgjengelighet for denne dokumentasjonen.

    Vi beskriver her to typer sporbarhetsmekanismer med lav (1) og høyere (2) sikkerhet:

    Type 1

    Det er behov for rutiner og logger, som gjør at det er rimelig sikkert at
    kommunikasjonsparten står bak en handling eller et informasjonselement uten at det vurderes som nødvendig å bruke tredjepart for å oppnå dette.

    Type 2

    I tillegg til behovet som beskrives under type 1 vurderes det som viktig at en part ikke i ettertid selv skal kunne produsere eller endre på et bevis for at motparten står bak en handling eller et informasjonselement. For å oppnå dette vil det være behov for å bruke en tredjepart, dvs. en tjeneste fra markedet (tillitstjenester mv.), offentlige fellesløsninger eller annet. Tredjeparten må da ha tilstrekkelig uavhengighet fra partene i kommunikasjonen.

    Eksempler på løsninger som kan tilfredsstille sporbarhetsbehov

    Nedenfor følger eksempler på løsninger som kan tilfredsstille sporbarhetsbehov i henhold til sporbarhetstypene som beskrives ovenfor.

    Type 1

    For type 1 må det foreligge rutiner og logger, som gjør at det er rimelig sikkert at kommunikasjonsparten står bak en handling eller et informasjonselement. Eksempler på handlinger hvor slik sporing kan anses som rimelig sikker bevisførsel er som følger:

    • Innkommet brev som er arkivert i NOARK-system, og hvor det kan sannsynliggjøres at parten stod bak brevet, eksempelvis gjennom annen saksbehandling (herunder utbetalinger) eller kommunikasjon.
    • Kopi av utgående brev som er arkivert i NOARK-system, og hvor det foreligger logginformasjon som viser at brevet er internt godkjent og sendt.
    • Logg i fagsystem for elektronisk innsending av skjema, basert på innlogging med eID.
    • Logg fra chat med innlogget person, med tidspunkt.
    • Tidsstemplet registrering i fagsystem av kontakt (f.eks. fysisk møte) med person hvor identiteten er tilstrekkelig godtgjort.
    • Bildebevis hvor personen er gjenkjennbar, automatisk lagret i system med logging av tidspunkt.

    Type 2

    En part skal ikke i ettertid selv kunne produsere eller endre på et bevis for at motparten står bak en handling eller et informasjonselement.

    Eksempler på løsninger som kan tilfredsstille type 2 mht. å sannsynliggjøre at en part selv står bak en handling eller et informasjonselement:

    • Dokument og autentisering som er bekreftet av tredjepart gjennom bruk av segl eller digital signatur i webløsning, som for eksempel Digitaliseringsdirektoratets signaturtjeneste.
    • Dokument og autentisering som sendes inn og er bekreftet av tredjepart gjennom bruk av segl eller digital signatur.
    • Logg i fagsystem, som nær handlingstidspunktet er tidsstemplet av tredjepart.
    • Bruk av leveringstjeneste fra tredjepart, som sannsynliggjør avsenders identitet og sendingstidspunkt.
    • Logg i Altinns juridiske logg av innsendt skjema.

    Eksempler på løsninger som kan tilfredsstille type 2 mht. å sannsynliggjøre at en offentlig tjenestetilbyder står bak en handling eller et informasjonselement:

    • Bruk av leveringstjeneste fra tredjepart, som sannsynliggjør avsenders identitet og sendingstidspunkt.
    • Brev fra tjenestetilbyder formidles via offentlig fellesløsninger for digital post, som sannsynliggjør avsenders identitet og sendingstidspunkt.
    • Sending av dokumentet med elektronisk segl med sertifikat utstedt av tredjepart.

    Veiledning i valg av type sporbarhetsløsning

    Risikovurdering for valget

    Valg av type sporbarhetsløsning må baseres på en risikovurdering. Formålet med sporbarhet er å kunne bidra til å avklare hva som faktisk har skjedd ved en ev. tvist. Dette bidrar dessuten til å øke tilliten til forvaltningen og vil redusere faren for at uriktige krav fremmes for domstolen.

    Ivaretakelse av sporbarhet bidrar primært til at dokumentbevis kan fremskaffes, men vil også kunne suppleres av vitnebevis om hvordan dokumentbeviset er produsert, og hvor robust det er. For rettslige tvister vil også andre forhold kunne være relevante for bevisvurderingen. Tjenesteeierne må vurdere dokumentasjonskravene opp mot trusselbildet (for eksempel hvilke andre feil som kan skje, hvem som har gevinst av at feil skjer/motivasjon for å fremprovosere feil), og hvilken mulighet det eventuelt er for å dokumentere hvem som har fordel av feilen.

    Hvor store ressurser som skal brukes på å sikre dokumentasjon av en bestemt handling beror på risikobildet, jf. at ressursene bør brukes der de gir størst effekt. Dokumentasjon av handlingene i den elektroniske løsningen kan ofte være en liten del av et større bevisbilde. Ved krav om tilbakebetaling av lån kan for eksempel andre aktuelle bevis være at personen har vært student/tatt utdannelse, hadde rett til lån, hvilke andre inntekter studenten hadde i perioden, og at beløpet kom inn på konto og ble brukt. Det vil si at behovet for sporbarhet også avhenger av om handlingen kan dokumenteres indirekte gjennom andre bevis.

    Mekanismene som beskrives for sikring av sporbarhet under type 1 er i mange henseender å anse som god praksis. Dersom en risikovurdering tilsier at kommunikasjonspartene ikke selv skal kunne produsere eller endre på handlinger eller informasjonselementer, bør det vurderes bruk av en eller flere av mekanismene for sikring av sporbarhet som beskrives under type 2.

    Det kan skilles mellom to ulike faser i samhandlingen mellom kommunikasjonspartene, hvor det er behov for å stille krav til sporbarhet:

    • på selve handlingstidspunktet: Hvor sikker en kan være på at logging av handlinger og informasjonselementer ved eID ikke kompromitteres ved bruk og
    • ved langtidslagring: Hvor godt sikrer arkiveringstjenestene at informasjonen ikke kan endres på et senere tidspunkt

    Trusselen på handlingstidspunktet kan være at en angriper klarer å endre dokumentasjonen om logging av handlinger eller informasjonselementer. En trussel ved langtidslagring kan være at en angriper kan skaffe seg tilgang til informasjonselementer eller endre logging av handlinger på et senere tidspunkt.

    En risikovurdering for sporbarhet må også ta i betraktning trusler og tiltak som logging og lagring av handlinger som er gjennomført med en eID, ikke, eller i begrenset grad, kan beskytte mot. Slike trusler knyttet til sporbarhet er for eksempel:

    • Den opprinnelige og legitime loggen kan endres av en utro tjener, slik at brukerens eID kan koples til feilaktig handlingstidspunkt.

    Eksempler på hendelser som kan følge av at en trusselaktør produserer eller endrer på dokumentasjon er:

    • Integritetsbrudd: En lege endrer en pasientjournal etter å ha blitt kjent med en klage, slik at feilbehandling ikke lenger er dokumentert i journalen. Mulig konsekvens: Pasienten får ikke erstatning for feilbehandlingen.
    • Integritetsbrudd: En bruker har levert en søknad, men søknaden kan ikke gjenfinnes på grunn av kryptovirus. Mulig konsekvens: Bruker må sende inn på nytt.
    • Falsk: En bruker hevder uriktig å ha levert en søknad. Virksomheten gjenfinner ikke søknaden pga. en feil i datasystemet. Mulig konsekvens: Virksomheten velger å stole på brukers påstand om at søknad er innlevert, tillater ny innsending, og bruker slipper sanksjon for sent innsendt eller manglende søknad.
    • Integritetsbrudd: En administratorbruker utnytter tilgang til eksamensoppgaver og selger dem før eksamen. Han sletter sine loggspor. Mulig konsekvens: Noen kandidater får bedre karakter enn de fortjener, og forbigår mer kompetente søkere i første ansettelsesprosess.
    • Integritetsbrudd: Teknologiske framskritt kan muliggjøre endring av et digitalt signert skjøte. En hjemmelshaver fjerner statens veirett fra skjøtet. Mulig konsekvens: Staten påføres kostnader, vanskelig å oppspore gode vitner.
    • Integritetsbrudd: En lærer logger seg på en læringsplattform på storskjerm i klasserommet med funksjonen «vis passord» på. En elev noterer seg brukernavn og passord, logger seg senere på og endrer en annen elevs karakter fra toppkarakter til stryk. Mulig konsekvens: Eleven klager, vinner fram, og læreren får refs for uforsvarlig karaktersetting.

    Slike hendelser bør tas med i en risikovurdering, men selv om risikovurderingen viser at type 1 er tilstrekkelig, er det ikke noe til hinder for at løsninger fra type 2 benyttes. I noen tilfeller vil det være rimeligere å benytte løsninger fra type 2 for å sikre sporbarheten, enn ved kun å bruke tiltak i virksomheten. Det er imidlertid viktig at man vurderer hele risikobildet, og tar hensyn til både gevinster (risikoreduksjon, reduserte kostnader til å dekke tap) og ulemper (kostnader ved tiltaket, ulemper for brukerne, ev. redusert bruk) ved de valgte tiltak for å sikre sporbarhet.

    Eksempler på tjenester som kan benytte de ulike typene sporbarhetsløsningene

    Type 1: De fleste tjenester.

    Type 2: Tjenester hvor risikovurderingen viser en særlig risiko for at partene produserer eller endrer på bevis, eksempelvis tilfeller hvor man har tapt rettssaker på grunn av utilstrekkelig dokumentasjon.