Þjóðskrá Íslands Minnisblað um auðkenningarmál Útgáfa: 0,4 Dags. útg.: 29.6.2012 Opinberir aðilar og fyritæki bjóða í vaandi mæli upp á einstaklingsmiðaða þjónustu á svokölluðum mínum síðum. Til að tryggja öryggi gerir þessi þjónusta kröfu um að fólk skrái sig persónulega inn á þessar síður, þ.e. auðkenni sig. Minnisblaði þessu er ætlað að varpa ljósi á hinar mismunandi auðkenningarleiðir sem notaðar eru á Íslandi og í nágrannalöndum okkar í dag. Gerð er grein fyrir aðgengustu leiðum og þær metnar út frá þeim viðmiðum sem völ er á í dag. Helstu niðurstöður sjá nánar í fylgiskjölum: Helstu niðurstöður erlendis eru þær að margar aðferðir eru nýttar til auðkenningar í dag og því ólíklegt að ein og sama leiðin henti við allar aðstæður. Praktísk dæmi sýna líka að ekki er allt sem sýnist í erlendum könnunum. Þar sem vitað er um notkun bendir margt til þess að veflyklar sem styrktir eru á einhvern hátt séu nái mestri útbreiðslu. NemID hjá Dönum er styrkt með talnakóða á korti. eid hjá Svíum nýtir sér mjúkt skilríki í tölvunni. Á Íslandi er veflykill ríkisskattstjóra langútbreiddasta auðkenningarleiðin og innleiðing rafrænna skilríkja á debetkortum hefur gengið mun hægar en vænst var. Val á góðri auðkenningarleið byggist á tveimur þáttum, öryggi annars vegar og notendavænleika hins vegar. Þetta tvennt togast yfirleitt á. Við val á auðkenningarleið er mikilvægt að hafa í huga áhættu af notkuninni. Notkun samfélagsmiðla er ekki áhættusamur gjörningur, enda er notast við auðkenningu af fullvissustigi 1 þar. Stór hluti af þeim aðgerðum sem einstaklingar og lögaðilar þurfa að framkvæma gagnvart opinberum aðilum er fremur áhættulítill þannig að í flestum tilfellum ætti fullvissustig 2 að vera nægilegt. Til dæmis hefur ríkisskattstjóri nýtt þetta fullvissustig í 12 ár og Tryggingarstofnun í 4 ár. Ef gögn eru mjög viðkvæm eða það talið hafa alvarlegar afleiðingar að rangur aðili komist yfir þau, þarf að krefjast fullvissustigs 3 eða 4. Mikilvægt er að opinberir aðilar meti það hverju sinni hvaða fullvissustig þjónusta þeirra þarfnast og krefjist auðkenningar miðað við það. Til að auðkenningarleið nái sem mestri útbreiðslu er mikilvægt að opinberir aðilar og einkaaðilar vinni saman og nýti sömu auðkenningarleiðirnar. Í nýjum drögum að tilskipun ESB um auðkenningu verður opinberum aðilum gert að skyldu að bjóða fyrirtækjum að nýta auðkenningarleiðir sínar án endurgjalds inn á þjónustuvefi þeirra. Að lokum: Til að íþynga ekki borgurunum að óþörfu með því að krefjast alltaf dýrustu og flóknustu skilríkja sem völ er á virðist ekki óeðlilegt að fólk hafi val um auðkenningarleiðir og að kröfur til auðkenningar miðist við áhættu þjónustunnar. Sem dæmi má nefna að nýlega ákvað Landsbankinn að leggja niður auðkennislykilinn og láta veflykil duga fyrir algengustu aðgerðir, en styrkja sjaldgæfari aðgerðir til dæmis með símalausn. Bls. 1 af 8
Fylgiskjöl Fylgiskjal 1 Helstu auðkenningarleiðir... 3 Fylgiskjal 2 Hagnýt dæmi... 4 Fylgiskjal 3 Mat ESB á auðkenningarleiðum... 5 Fimm ástæður til að ná árangri / eða ekki... 5 Fylgiskjal 4 Skilgreining STORK á öryggi auðkenningarleiða... 6 Nokkur íslensk dæmi... 7 Fylgiskjal 5 Samræmd reglugerð ESB um rafræna innskráningu... 8 Bls. 2 af 8
Fylgiskjal 1 Helstu auðkenningarleiðir Þjóðskrá Íslands skoðaði helstu auðkenningarleiðir sem í boði eru hjá opinberum aðilum á Íslandi og í nágrannalöndum okkar. Í flestum tilvikum var litið inn á þjónustugáttir landanna, en einnig var upplýsinga aflað með því að fara inn á einstakar þjónustuveitur. Eftirfarandi tafla sýnir niðurstöðuna. Taka ber fram að aðeins er um lauslega könnun að ræða og listinn þarf því ekki að vera tæmandi. Taflan sýnir aðeins hvaða leiðir eru í boði, en segir ekkert um útbreiðslu eða raunverulega notkun. Sem dæmi má nefna að á Íslandi hafa verið gefin út rafræn skilríki á debetkortum til um 200.000 Íslendinga. Aðeins helmingur skilríkjanna hefur verið virkjaður og við auðkenningu í bankana eru þau um 2 6% á móti auðkennislyklunum. Við auðkenningu með auðkenningarleið Ísland.is eru þau um 2 3% á móti veflykli ríkisskattstjóra og hjá ríkisskattstjóra sjálfum eru þau innan við 1%. Helstu ástæður fyrir slakri útbreiðslu skilríkja á debetkortum er sú að fólk sér ekki ábatann. Borga þarf fyrir kortalesara og setja þarf upp forrit í tölvu viðkomandi. Uppsetning forritsins vefst fyrir mörgum auk þess sem forritið gengur ekki á Mac tölvum með nýjasta stýrikerfinu. Einnig er ekki hægt að nota debetkort í spjaldtölvum og ekki í snjallsímum. Land Austurríki Belgía Notendanafn og lykilorð Notendanafn, lykilorð + kóði (eins skiptis lykilorð) Not+lyk Kóði í sms Auðkenning gegnum banka Danmörk NemID (not+lyk), kóði á pappír eða vistaður í tölvu Eistland Kóði á pappír 5 bankar, Kort, SIM, not+lyk, not+lyk +auðkennislykill Finnland 8 bankar, Kort, SIM, not+lyk, not+lyk +auðkennislykill Ísland Veflykill RSK Ýmsir veflyklar Holland Noregur Svíþjóð Veflykill sendur á lögheimili Styrkt auðkenning Not+lyk Kóði í sms MinID (not+lyk), kóði á pappír eða í sms 11 bankar BankID eða e legitimation: Mjúk skilríki sótt með aðstoð síma og vistuð í tölvu Mjúk skilríki á USB lykli Commfides Skilríki á korti Nafnskírteini með mynd Nafnskírteini með mynd Nafnskírteini með mynd SIM kort Nafnskírteini með mynd SIM kort Debetkort Buypass Hægt að fá en ekki algengt Mjúk skilríki á tölvu Mjúk skilríki Mjúk skilríki (Tollurinn) Ekki með heimabanka: Mjúk skilríki sótt með síma og vistuð í tölvu (Nordea og Telia) Bls. 3 af 8
Fylgiskjal 2 Hagnýt dæmi Þjóðskrá Íslands hélt fund með tveimur útlendingum, Dana og Svía, og fékk þá til að sýna hvernig þeir auðkenndu sig í sínum heimalöndum. Danska leiðin NemID: Langalgengasta leiðin í Danmörku er NemID. Um er að ræða notendanafn (kennitala eða nafn að eigin vali) og veflykil sem styrkt er af talnakóða. Gerð er krafa um mjög sterkt 8 stafa lykilorð, bókstafi og tölustafi, stóra og litla stafi. Talnakóðinn er sendur til fólks á blaði sem brotið er í þrennt og er á stærð við kreditkort. Hver tala er aðeins notuð einu sinni og þegar allar tölur á blaðinu hafa verið notaðar er sent út nýtt blað á lögheimili fólks. Lausnin er frá 2007 og er barn síns tíma. T.d. byggir hún á Java Applet sem setja þarf upp á hverri tölvu fyrirfram. Ekki er hægt að nota lausnina í snjallsímum né í spjaldtölvum. Hægt er að nota lausnina til að undirrita skjöl. Danir eiga fleiri leiðir til auðkenningar, en að sögn Danans eru þær lítið útbreiddar. Sænska leiðin eid: Langalgengasta leiðin í Svíþjóð er eid. Um er að ræða kennitölu og lykilorð. Gerð er krafa um sterkt 8 stafa lykilorð, bókstafir og a.m.k. 2 tölustafir. Auk þessa þarf að setja upp mjúkt skilríki á tölvu viðkomandi. Skilríkið fæst afhent hjá öllum bönkunum í Svíþjóð. Þegar skilríkið er sett upp í fyrsta sinn á tölvu viðkomandi er farsími viðkomandi notaður sem aukastaðfesting á því að um réttan aðila sé að ræða. Aðrar leiðir eru skilríki á korti og kortalesari. SEB bankinn gefur út skilríki á debetkorti. Að sögn Svíans er þetta lítið notuð leið og almennt ekki þekkt meðal almennings. Önnur leið sem er að ryðja sér til rúms núna er svokallað mobilid. Um er að ræða app í snjallsíma sem á samskipti við bankann og styður við að eingöngu sé notað notandanafn og lykilorð í tölvunni. Bls. 4 af 8
Fylgiskjal 3 Mat ESB á auðkennin ngarleiðum 1 http://www.capgemini.com/insights and resources/by publication/2010 egovernment benchmark/ Evrópusambandið gerir reglulega úttekt á framboði á rafrænni þjónustu og eru niðurstöðurnar oftast kenndar við fyrirtækið CapGemini sem hefur framkvæmt úttektinaa frá upphafi. Könnuninn er gerð meðal ESB landa, en einnig EES og þeirra landa sem eru í umsóknarferli, allss 32 landa. Í nýjustu könnuninni sem er frá 2010 1 voru einnig skoðaðar helstu auðkenningarleiðir aðildarlandanna. Hafa ber í huga að gögn könnunarinna eru að verða tveggja ára gömul ogg því lítið fjallað um nýjustu tækni eins og símalausnir sem eru að ryðja sér rúms í dag. Í könnuninni kemur fram að algengasta auðkenninga rleiðin er snjallkort, en fimmtán lönd segjast nota þá leið. Næst algengast eru mjúk skilríki í tölvu sem tólf lönd segjast nota. Átta lönd segjast nota notendanafn og lykilorð og þrjú lönd nefna skilríki á USB lykli. Algengt er að fleiri en ein leið sé notuð. Til dæmis eru þrír valkostir í Eistlandi, Luemburg og o Slóveníu, þ.e. snjallkort, mjúk skilríki og notendanafn ogg lykilorð. Myndin er þóó alls ekki tæmandi. T.d. vantar á hana NemID sem er langalgengasta auðkenningarleiðin í Danmörku. Mikilvægt er, þegar valin eru rafræn skilríki,, að horft sé bæði til öryggis og notagildis. Eins myndinni hér fyrir neðan þarf þetta tvennt alls ekki að fara saman og máá segja að aðalvandinn við val á skilríkjum. og sést á þar liggi Fimm ástæður til að ná árangri / eða ekki Í ofangreindri könnun voru einnig tekin saman þau fimm lykilatriði sem þjóðirnar nefndu, annars vegar varðandi árangursríka innleiðingu á rafrænum skilríkjum og o hins vegar varðandii það að innleiðing misheppnaðist. Eftirfarandi tafla sýnir þessi atriði: Fimm algengustu ástæður þess að ná árangrii 1. Hentar til notkunar í margs konar búnaði og opinberri þjónustu 2. Samstarf við einkageirann (bæði við að koma upp skilríkjunum og að bjóða upp á notkunarmöguleika) 3. Ódýrt að fá sér skilríki (helst ókeypis fyrir notendur eða mjög ódýr) 4. Auðveld í notkun, bæði fyrir f þá sem sjá um að koma út skilríkjunum og viðhalda þeim en einnig fyrir notendur som nota skilríki til innskráningar og auðkenningar 5. Örugg og traust í rekstri Fimmm algengustuu ástæður þess að misheppnast 1. Skortur á samræmingu meðal skipulagseininga 2. Lítil þekking (bæði meðal þeirra sem s dreifa og viðhalda skilríkjunum og meðal notenda) ) 3. Skortur á lagastuðningi 4. Flókin tækni 5. Mikill kostnaður, bæði fyrir skipulagseiningar semm innleiða notkun skilríkjanna og fyrir einstaklinga sem s nota þau Bls. 5 af 8
Fylgiskjal 4 Skilgreining STORK á öryggi auðkenningarleiða Áreiðanleiki hverrar notandaauðkenningar (sannvottunar notanda) fer eftir því hvernig borin eru kennsl á umsækjanda skilríkisins sem er notað, hvernig það var afhent, á hvaða geymslumiðli, öryggi útgefandans og loks sjálfu auðkenningarferlinu. Hver sá sem treystir á auðkenningu þarf að gera áhættumat á ógnum og afleiðingum misnotkunar og ákvarða lágmarks fullvissustig út frá því. Því alvarlegri sem afleiðingar misnotkunar eru fyrir eiganda upplýsinganna, veitanda þjónustunnar eða þann sem notar þjónustuna þvi áreiðanlegri þarf auðkenningin að vera. Í Evrópusambandsverkefninu STORK sem snýst um að byggja upp sam evrópskt kerfi fyrir notkun rafrænna auðkenna yfir landamæri eru auðkenningarleiðir flokkaðar í fernt eftir svokölluðu fullvissustigi (QAA levels): 1. Fullvissustig 1: Þetta er lægsta stigið. Uppgefið auðkenni er annað hvort ekki sannreynt eða sannreynt að mjög litlu leyti. Þarna eru t.d. skráningar inn á vefmiðla þar sem notandi býr sjálfur til notendanafn og lykilorð. Stundum er beðið um netfang og þá er kannað hvort það er til. 2. Fullvissustig 2: Þetta stig hentar vel þegar það hefur litlar afleiðingar þótt skilríkið komist í rangar hendur. Viðurkenndur aðili þarf að bera kennsl á umsækjanda skilríkis. Auðkenna þarf viðtakanda skilríkis, sem þarf að vera amk. sterkt lykilorð. Veflykill ríkisskattstjóra fer nálægt því að komast á þetta stig, þótt hann standist ekki þá kröfu að allir séu með sterk lykilorð, en bætt er fyrir það með því að leyfa aðeins 10 tilraunir áður en lokað er á innskráningu. 3. Fullvissustig 3: Þetta stig er viðeigandi ef afleiðingar af misnotkun er taldar vera miðlungs. Útgáfa skilríkjanna þarf að vera með þeim hætti að tryggt sé að þau séu afhent réttum aðila. Útgáfan og notkunin þarf að vera viðurkennd af opinberum aðilum. Skilríki í þessum flokki eru t.d. mjúk skilríki sem sett eru inn á tölvur notenda eða á minnislykil, og auðkennislyklar bankanna. 4. Fullvissustig 4: Þetta stig þarf að nota þegar misnotkun getur valdið miklum skaða. Skilríkin eru eingöngu afhent notendum persónulega og sýna þarf opinber pappírsskilríki við afhendingu. Útgáfa og notkun þessara skilríkja byggist á lögum um fullgild rafræn skilríki. Í þennan flokk falla rafræn skilríki á debetkortum. Á næstu síðu er tafla sem sýnir hvaða kröfur þurfa að vera uppfylltar fyrir hvert fullvissustig. Bls. 6 af 8
Taflan sýnir nánar hvaða kröfur þurfa að vera uppfylltar til að ná hærra fullvissustigi. Allar kröfur sem merkt er við í viðkomandi dálki þurfa að vera uppfylltar. Kröfur sem þurfa að vera uppfylltar Fullvissustig 1: mjög lágt Fullvissustig 2: lágt Fullvissustig 3: miðlungs Fullvissustig 4: hátt Kennsl borin á umsækjanda skilríkis ID1 Rafræn skráning, nafn eða þul, og netfang gefið upp. ID2 Rafræn skráning og kennitala eða annað rafrænt staðfest einkvæmt auðkenni gefið upp ID3 Mætingarskylda og gefið upp einkvæmt auðkenni sem er rafrænt undirritað af útgefanda ID4 Mætingarskylda og opinber skilríki með mynd Afhending skilríkis IC1 Afhent án auðkenningar IC2 Léttvæg auðkenning móttakanda (t.d. sent á lögheimili) IC3 Miðlungs auðkenning móttakanda (t.d. einkabanki) IC4 Sterk auðkenning móttakanda (t.d.opinber skilríki) Útgefandi skilríkis IE1 Án opinberrar viðurkenningar IE2 Samningur við ríkið IE3 Faggiltur eða í umsjá ríkisins IE4 Fullgildur Geymslumiðill skilríkis RC1 Frjálst lykilorð RC2 Sterkt lykilorð RC3 Rafræn skilríki eða lykilorðadós RC4 Fullgildur harður einkalykill Auðkenningarþjónusta AM4 EAL4+ eða sambærilegt Nokkur íslensk dæmi Facebook auðkenning er í öllum tilvikum á fyrsta stigi og fullvissustig þess því 1. RSK lykilorð uppfyllir kröfur ID2, IC2, IE3 og RC1 (+ takmarkaður fjöldi tilrauna). Fullvissustig þess er því 2. Sterkt opinbert lykilorð myndi uppfylla kröfur ID2, IC2, IE3 og RC2. Fullvissustig þess væri því 2. Auðkennislyklar bankanna uppfylla kröfur ID3, IC3, IE3 og RC3. Fullvissustig þeirra er því 3. Rafræn skilríki á debetkorti eða farsíma (frá Auðkenni) uppfylla kröfur ID4, IC4, IE4 og RC4. Fullvissustig þeirra er því 3 eða 4, eftir því þau eru notuð gegnum auðkenningarþjónustu sem uppfyllir kröfu AM4. Bls. 7 af 8
Fylgiskjal 5 Samræmd reglugerð ESB um rafræna innskráningu Þann 4. júní 2012 voru birt drög að tilskipun ESB um rafræna innskráningu og traust í rafrænum sendingum á innri markaði 2. Um er að ræða viðbót við tilskipun um rafrænar undirskriftir þar sem brugðist er við hraðri tæknilegri þróun og nýjum möguleikum byggðum á nýrri tækni. Sérstaklega hefur vantað umgjörð um auðkenningu. Áhersla er lögð á lagalegt öryggi, samræmingu á eftirliti milli landa og viðurkenningu á innskráningarleiðum þvert á landamæri. Í kafla 2 er fjallað sérstaklega um innskráningu. Þar kemur í stuttu máli fram að aðildarríkin mega tilkynna 3 framkvæmdastjórn um þær auðkenningaraðferðir sem notaðar eru í heimalandinu verða að viðurkenna þær auðkenningaraðferðir sem tilkynnt er um og ætlaðar eru til að bjóða þjónustu þvert á landamæri verða að bjóða upp á fría auðkenningarþjónustu eru ábyrga fyrir ótvíræðri auðkenningu einstaklinga verða að leyfa einkageiranum að nota auðkenningaraðferðir sem tilkynntar eru 2 http://ec.europa.eu/information_society/policy/esignature/eu_legislation/regulation/inde_en.htm 3 e. notify Bls. 8 af 8