Hem Knowledge base E-identitet för offentlig sektor
KNOWLEDGEBASE

SecMaker och EFOS - 
E-identitet för offentlig sektor

KNOWLEDGE BASE

E-identitet för offentlig sektor

Inom myndigheter och offentlig sektor finns i många fall skyddsvärd information som inte bara är ett mål för "vanliga hackare" utan även för mer utstuderade och målinriktade organisationer. Icke att förneka är också att information som finns hos statliga myndigheter och inom offentlig förvaltning är attraktiva för främmande staters säkerhets- och underrättelsetjänster. Syftet för en främmande stat kan vara möjligheten att kunna utöva påtryckningar i politiska eller ekonomiska syften. Hoten har dessutom aldrig tidigare varit så konkreta, avancerade och många som i dag.

På många ställen i samhället är användarkonton fortfarande bara skyddade med traditionella lösenord fast det är allmänt känt att det behövs flerfaktorautentisering (MFA) för att uppnå ett rimligt skydd. Försäkringskassan har uppdraget att driva inloggningstjänsten E-identitet för offentlig sektor (EFOS). Myndigheten för digital förvaltning (DIGG) har givit ut ett ramverk som EFOS baserar sig på och som innebär hög säkerhet och tydlighet om vad som gäller.

Ett 10-tal myndigheter har redan anslutit sig. Samtidigt tillkommer nya myndigheter löpande.

EFOS är en PKI-lösning med en gemensam CA (Certificate Authority) och administrationsplattform som utfärdar certifikat till smarta kort i en säker process. Bakom tekniken står vi på SecMaker och Thales. EFOS ger stark MFA som fungerar för inloggning till datorer, systemplattformar och kritiska system. Tjänsten ger även stark inloggning till molnbaserade system och appar på mobiler och läsplattor. Genom att använda EFOS kommer anslutna myndigheter igång snabbare än om de försöker att bygga motsvarande säkerhet på egen hand. Att använda en enda, pålitlig lösning har visat ge stora samordningsfördelar och betydligt mer för pengarna än om varje myndighet driver egna parallella lösningar.

Vår gemensamma tekniska lösning för EFOS

SecMakers del i den tekniska lösningen till EFOS omfattar följande:

  1. Modernt administrationsgränssnitt för smartkort och certifikat i form av Net iD Portal.
  2. Att göra det enkelt för applikationsleverantörer att lägga till stöd för smartkort och certifikat i sina tjänster.
  3. Net iD Enterprise är en klientprogramvara för att läsa ut och hantera certifikat i de flesta förekommande målmiljöer.
  4. Plattform för mobilt arbete med hjälp av Net iD Access.

Försäkringskassans erbjudande EFOS

EFOS är en PKI-lösning som idag har en stor, publik och bred användning inom Sveriges offentliga sektor och som löser olika behov på IT- och informationssäkerhet.

Det finns ett ramverk för EFOS som definierar villkoren för hur certifikat kan utfärdas. De användare som omfattas i EFOS är alla slutanvändare som har certifikat utfärdade av en EFOS CA (Certificate Authority, se förklaring nedan) och de kallas ibland abonnenter. Användare (abonnenter) kan utgöras av individer, alltså fysiska personer, och funktioner som t. ex routrar, betrodda servrar och brandväggar. I det fall användaren är en person måste vederbörande godkänna användarvillkoren för EFOS och i det fall användaren är en funktion måste användarvillkoren godkännas av den person som utfärdar certifikatet.
Certifikat som är utfärdade enligt Försäkringskassans Certificate Policy (CP) är avsedda att användas inom svensk offentlig sektor.

Certificate Policy (CP) innehåller ett flertal nivåer av försäkrande av identitet och omfattar utfärdande av certifikat för följande ändamål:

  • Individer, i själva verket användare. Autentisering och undertecknande med certifikat på smartkort och mobila enheter är avsett för att identifiera fysiska personer.
  • Funktioner, Transport Layer Security certifikat för servrar, apparater och delade epostadresser som är avsedda att identifiera icke mänskliga enheter.

Tjänsten följer ett globalt regelverk som behövs för att det ska vara möjligt att bli betrodd på global nivå hos viktiga systemleverantörer. Den är granskad av en oberoende tredje part och enligt Certificate Authority också WebTrust-certifierad. Just nu är EFOS med i Microsofts tillitsprogram och i och med detta är EFOS betrodd globalt i de Windows system som uppdateras enligt rekommendationerna. Datorer anslutna till EFOS kan när användaren navigerar på Internet ansluta till en server som har ett giltigt certifikat. Den betraktas då som betrodd vilket medför att användaren slipper en varningsruta.

Anslutning till EFOS

När en ny myndighet vill ansluta sig till EFOS kan processen för detta beskrivas enligt nedanstående figur:

Funktioner, delar och enheter inkluderade i EFOS PKI lösning

Certification Authorities (CA), eller certifikatutfärdare. Enheter i EFOS som är godkända att ge ut publika nyckelcertifikat. 

Registration Authorities (RA), kan hänvisa till organisationen eller personen som är ytterst ansvarig för utfärdande av certifikat inom en utgivningsdomän. En RA anses vara en betrodd utgivare. 

Användare (abonnenter), inkluderar alla enheter som har certifikat utfärdade av en CA inom EFOS. En användare är enheten som avses vara slutanvändare av certifikatet och de kan (som redan nämnts) vara individer (fysiska personer) eller funktioner (routrar, servrar etc.) 

Relying Parties (RP) eller förlitande part. Kan utgöras av individer, organisationer och funktioner som använder certifikat inom EFOS. En tjänst som använder informationen i ett certifikat och som måste fatta beslut om att lita på eller inte lita på certifikatet. Varje RP måste i sin tur lita på ett certifikat i enlighet med villkoren som finns i en överenskommelse för förlitande parter. En RP måste hela tiden göra kontroller gentemot en CRL (Certificate Revocation List) eller Online Certificate Status Protocol (OCSP) innan den kan förlita sig på informationen i ett certifikat.

Auditors (revisorer, granskare). PKI-lösningen inom EFOS kommer att kräva tjänster av andra säkerhetsauktoriteter som t. ex granskare för uppfyllnad och efterlevnad. Sådana granskare utses av EFOS Policy Authority (regelefterlevnad).

Processing centers (bearbetningscenter). Detta är enheter som inte är en CA men deltar i processen för att utfärda certifikat.

Användande av certifikat i EFOS

Användande av certifikat är hårt styrt till det avsedda ändamålet.

I samband med anslutning till EFOS konfigureras organisationens PKI och alla arbetsstationer som tillåts ansluta till CA och inblandade system.
Detta innebär bland annat:

  • Autentisering av användaridentiteter innan access tillåts till PKI-aktiverade system och applikationer.
  • Generering och arkivering av loggar för alla transaktioner.
  • Tvingande domänavgränsningar till kritiska processer och processer relaterade till säkerheten.
  • Handhavande av användarrättigheter för att begränsa användare till tilldelade roller.
  • Stödja systemåterställning från systemhaverier och nycklar som av någon anledning har slutat att fungera.

Förutom fysiska personer kan EFOS även användas för identifiering i kommunikation med IT-utrustning, tjänster i nätverket, funktionsbrevlådor och andra objekt.

Ytterligare en viktig förutsättning är utbildning av RA-personer (Registration Authorities). Det är personer som ges förtroende att organisera rutin för utgivning, spärr och förnyelse av smartkort, samt certifikat i organisationen.

IT-säkerhet i samhället, myndigheter och offentlig sektor

Listan på sårbarheter i vårt digitaliserade samhälle kan göras väldigt lång om man vill, här är några vanliga:

  • Autentisering. Lösenord och användarnamn måste ersättas med starkare sätt för autentisering. Två bra sätt är PKI-certifikat och annan MFA-autentisering.
  • Hanteringen av konton och behörigheter. Ofta eftersatt, många gånger på grund av den mänskliga faktorn. 
  • Undermålig eller ej godkänd utrustning ansluts till nätverket.
  • Tjänster och protokoll som inte används är fortfarande aktiva i nätverket. Portar som inte används längre deaktiveras inte.
  • Äldre IT-utrustning underhålls inte i tillräcklig omfattning.
  • Dåliga rutiner för uppdateringar av IT-utrustning. Ett exempel är Internet of Things eftersom de ofta inte är byggda för att uppdateras eller har kort livslängd och därför inte prioriteras.

Bland många som hanterar känslig information på myndigheter i Sverige har det börjat att hända saker och lösenord är inte lika självklart den autentiseringsmetod som dominerar numera. Försäkringskassan tillhandahåller i EFOS nu också som mobila certifikat, likt mobilt bank-id. Till de myndigheter som använder tjänsten EFOS räknas Barnombudsmannen, Brottsoffermyndigheten, Försäkringskassan, Kronofogdemyndigheten, Myndigheten för digital förvaltning (DIGG), Pensionsmyndigheten, Riksgälden, Skatteverket, Statens Servicecenter och Tullverket. Lösningen är skalbar och byggd för att fler organisationer och myndigheter än de som redan är anslutna ska kunna erbjudas samma lösning. 

2021-03-15

Kontakta oss

Har du fler frågor? Tveka inte på att kontakta oss så berättar vi mer.