Rafræn þjónusta - Hve örugg þarf innskráning að vera?

Thorvardur KariÞegar borgararnir sækja rafræna þjónustu hjá fyrirtækjum og stofnunum þurfa þeir yfirleitt  að gera grein fyrir sér með einhverjum hætti. Þetta má gera með ýmsum sannvottunar-aðferðum, t.d. einföldu lykilorði, flóknu lykilorði, tveggja þátta aðferð (t.d. lykilorði með styrkingu) eða fullgildum rafrænum skilríkjum. Nýlegur ISO staðall mælir með því að val á sannvottunaraðferð við innskráningu byggi á áhrifagreiningu og að ekki sé krafist hærra fullvissustigs en sú greining gefur tilefni til.

Fullvissustig sannvottunar
Veitendur rafrænnar þjónustu og aðrir sem vilja geta valið viðeigandi sannvottun eftir aðstæðum ættu að kynna sér efni alþjóðastaðalsins ISO 29115:2013. Hann er nú til umsagnar sem íslenskur staðall, frÍST ISO 29115:2013 Upplýsingatækni - Öryggistækni - Umgjörð um fullvissu sannvottunar eininda. Á vegum Fagráðs í upplýsingatækni starfar vinnuhópur um skipulag, sem hefur ritað formála til skýringar á íslensku, en ákveðið var að þýða ekki meginefni staðalins. Í vinnuhópnum sitja fulltrúar frá Auðkenni, Fjármálaráðuneyti, Neytendastofu og Þjóðskrá Íslands.

Valið fer fram í þremur skrefum:

  • 1. skref: Mat á þörfinni fyrir fullvissustig
    Hver þjónustuveitandi þarf að framkvæma áhrifagreiningu fyrir hverja tegund rafrænnar þjónustu sem hann veitir, þar sem þjónustan getur verið mismunandi viðkvæm fyrir svikum. Greiningin er gerð í samræmi við töflu sem er að finna í kafla 6 í staðlinum.

    Þörfin fyrir fullvissustig fæst með því að meta sex mismunandi afleiðingar rangrar sannvottunar sem varða: óþægindi, fjárhagslegar afleiðingar, almannahagsmuni, persónuvernd, öryggi fólks og brot á réttindum. Mat á hverjum þætti gefur stig, og heildarmatið ræðst af þeim þætti sem fær flest stig.
     
  • 2. skref: Mat á fullvissustigi einstakra sannvottunaraðferða (innskráningarleiða)
    Til að þjónustuveitandi geti valið viðeigandi sannvottunaraðferð þarf að liggja fyrir raunhæft mat á fullvissustigi mismunandi aðferða.

    Fullvissustig tiltekinnar sannvottunaraðferðar ákvarðast af því trausti sem borið er til þeirra ferla, stjórnunar og tækni sem beitt er við skráningu, afhendingu og notkun sann-vottunargagna. Traustið er metið með því að skoða hvaða ráðstafanir gagnvart ógnum eru til staðar í hverjum þætti, í sam-ræmi við kafla 10 í staðlinum.
     
  • 3. skref: Val á sannvottunaraðferð (innskráningarleið)
    Þjónustuveitandi velur viðeigandi sannvottunaraðferð eða -aðferðir sem uppfylla kröfur hans um fullvissustig fyrir viðkomandi rafræna þjónustu.

    Til að tryggja sem best aðgengi notenda að viðkomandi þjónustu er eðlilegt að þjónustuveitandi bjóði upp á a.m.k. eina sannvottunaraðferð sem er af sama fullvissustigi og þjónustan krefst (sjá 1. skref). Það kemur þó ekki í veg fyrir að einnig sé boðið upp á sannvottun af hærra fullvissustigi fyrir þá notendur sem það kjósa. Staðallinn gefur einnig þjónustuveitanda kost á að leyfa sannvottun af lægra fullvissustigi en þjónustan krefst ef hann er tilbúinn til að taka þá áhættu sem því fylgir.

Nýtið ykkur staðalinn
Að lokum eru allir þeir sem veita rafræna þjónustu hvattir til að kynna sér efni staðalsins og nýta sér hann til að velja viðeigandi innskráningaraðferðir með því að áhrifagreina hverja þá tegund þjónustu sem þeir veita.

Þorvarður Kári Ólafsson, gæða- og öryggisstjóri Þjóðskrár Íslands og formaður vinnuhóps um skipulag.

Staðlaráð Íslands    Þórunnartúni 2, 3. hæð, 105 Reykjavík    Kennitala: 591193 2019    Opnunartími    Sími 520 7150 fax 520 7171