TILLIT I DEN
DIGITALA VÄRLDEN

Tillit är en grundbult i den digitala världen. Den får oss att ge ut våra kreditkortsuppgifter, dela våra personliga uppgifter och skriva avtal med tjänster vi kanske inte alls känner. Och ju högre tillit, desto större blir möjligheterna.

TILLITSNIVÅER SOM MATCHAR ERA BEHOV

Identiteten är fundamentet för tillit – såväl i den fysiska som i den digitala världen. När du med säkerhet kan veta vem du har att göra med kan du koppla allt som möjliggör en meningsfull relation mellan en organisation och en individ; ansvar, betalning, samtycke, avtal och leverans.

För att en identitet skall vara tillförlitlig krävs två saker:

  1. En tillförlitlig metod att överföra användarens verkliga identitet till en digital identitet.
  2. Ett säkert sätt att över tiden säkerställa att det är samma individ som håller den digitala identiteten.

En e-legitimation som uppfyller båda kriterierna kan därför användas som den hävstång varpå all er digitala verksamhet vilar. Många gör misstaget att nöja sig med det första steget. Man utfärdar en digital identitet med noggranna kontroller av användaren men låter därefter identiteten bäras av ett användarnamn och lösenord. Så sårbara som lösenorden är numera uppfyller de inte det andra kriteriet, att över tiden hålla identiteten säker.

Mer problematiskt är att ännu fler nöjer sig utan något av kriterierna; man gör ingen kontroll av att användaren är den han eller hon utger sig för att vara och låter denna svaga identitet bäras av ett osäkert lösenord. I den digitala framtid som väntar kommer dessa spelare snart vara ute.

Freja eID är en e-legitimation utformad och granskad enligt svenska och internationella standarder för att uppfylla båda kriterierna.

TILLITSNIVÅER FÖR E-LEGITIMATIONER

För att bedöma en e-legitimations tillitsnivå har det skapats olika internationella standarder. Nivåerna i dessa olika standarder är i viss mån snarlika och olika tjänster, offentliga och privata, kan ha olika nivåer att förhålla sig till. Oftast är det dock upp till er som organisation att bedöma vilken tillitsnivå ni önskar för era användare och vi kan hjälpa er hitta den nivå som är lämplig, såväl utifrån regulatoriska som säkerhetsmässiga krav.

TILLITSNIVÅ ENLIGT SVENSK STANDARD

DIGG – Myndigheten för digital förvaltning, som skapar det tillitsramverk som ligger till grund för godkännande av kvalitetsmärket Svensk e-legitimation utgår från en internationell standard med fyra tillitsnivåer.

Nivå 1: Ingen styrkt identitet och endast krav på lösenord som skydd.

Nivå 2: Styrkt identitet med handling som individen förfogar över samt krav på tvåfaktorsautentisering (2FA).

Nivå 3: Identitet styrkt via fysiskt möte där individen uppvisar godkänd svensk ID-handling. Identiteten skyddas av säker bärare med skydd av exempelvis PIN eller biometri och 2FA.

Nivå 4: Samma krav som för Nivå 3 med tillägget att identiteten måste skyddas av ett chip som kräver kortläsare vid identifiering.

TILLITSNIVÅ ENLIGT EU-STANDARD

I och med det europeiska initiativet för gränsöverskridande elektronisk identifiering – eIDAS – har EU tagit fram tre tillitsnivåer.

Låg: Begränsad tillit till personens identitiet. Typiskt består identitetsbäraren av användarnamn och lösenord, som skickas till användaren per post.

Väsentlig: Väsentlig tillit till personens identitet. Utfärdandet av ett ID på denna nivå kräver att individen kan uppvisa en giltig, myndighetsutfärdad ID-handling. Tvåfaktorsautentisering är ett krav.

Hög: Hög grad av tillit till personens identitet. Kräver ett verifierad biometri eller giltigt foto-ID. Enheten där autentiseringen görs måste vara skyddad mot duplicering och intrång.

FREJA eID:S TILLITSNIVÅER

Freja eID är skapad för såväl nationell som internationell användning. Vi erbjuder också olika tillitsnivåer som gör det möjligt för er att välja utifrån era behov och förutsättningar. En användare kan enkelt och kostnadsfritt uppgradera sig till de olika nivåerna när behovet uppstår.

Basnivå: I de fall där ni som tjänsteleverantör redan har en etablerad relation med användaren, eller inte har specifika krav på tillitsnivån, kan ni använda Freja eID som en molnbaserad flerfaktorsinloggning. Det enda användaren behöver göra i förhållande till Freja eID är då att ladda ner appen och bekräfta en e-postadress. Det här upplägget hanterar inte personnummer alls vilket gör att den är skalbar till alla användare, oavsett nationalitet och hemvist.

Validerad identitet: Här validerar Freja eID identiteten på användaren, som då registrerar sig med bland annat en giltig ID-handling och ett ID-foto. Därefter gör vi en ID-kontroll i vårt säkerhetscenter och utfärdar en e-legitimation ifall alla kontroller går igenom. Vi kan för närvarande validera användares identiteter med samtliga godkända ID-handlingar i Sverige och med pass i Norge, Danmark, Finland och Storbritannien.

Den information som registreras varierar lite beroende på land, men generellt sett är det namn, personnummer, födelsedatum och e-postadress. I Sverige och Norge gör vi också ett adressuppslag och för vissa användare har vi också mobilnummer, ifall de registrerat detta. I Storbritannien har vi inga personnummer vilket beror på att det inte finns någon motsvarighet till detta där.

Kvalitetsmärkt Svensk e-legitimation: I Sverige utfärdar DIGG – Myndigheten för digital förvaltning ett kvalitetsmärke till e-legitimationer som fyller vissa regulatoriska krav. Freja eID fyller dessa krav, men för att nå den högsta tillitsnivån – LOA3 – krävs att användaren, efter att ha validerat sin identitet enligt ovan också gör en fysisk ID-kontroll. Detta sker hos något av våra 2000 ombud runt om i Sverige.

KVALITETSMÄRKET SVENSK E-LEGITIMATION

För att skapa en samsyn i e-legitimeringsfrågan har svenska staten tagit fram kvalitetsmärket Svensk e-legitimation. Det är DIGG – Myndigheten för digital förvaltning som, utifrån nationella och internationella säkerhetskriterier, granskar och godkänner svenska e-legitimationer för kvalitetsmärket.

Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har kvalitetsmärket Svensk e-legitimation, och användare kan känna sig trygga med att det är en säker identitetshandling.

För att få kvalitetsmärket måste e-legitimationen uppfylla kraven i Tillitsramverk för Svensk e-legitimation. Syftet är att säkerställa att e-legitimationen kan utfärdas och upprätthålla hålla den tillitsnivå ansökan gäller. Utöver den tekniska arkitekturen granskas även utfärdaren på följande punkter:

  • Finansiell stabilitet.
  • Informationssäkerhetsarbete och internkontroll.
  • Process för identifiering av personer som ansöker om att få en e-legitimation.
  • Framställande och tillhandahållande av e-legitimationer.

Freja eID Plus är Sveriges enda mobila e-legitimation som godkänts för det statliga kvalitetsmärket Svensk e-legitimation.

FÖRBEREDD FÖR eIDAS

EU-förordningen eIDAS har tillkommit för att underlätta digitala ärenden mellan medlemsstaterna och bidrar därmed till ”digitalt först” för myndigheter. Inom eIDAS är målet att skapa en gränsöverskridande e-legitimering, där varje medlemsland anmäler en eller flera nationella e-legitimationer att användas av landets medborgare för åtkomst till offentliga e-tjänster i andra EU-länder.

Från och med den 29 september 2018 är det obligatoriskt för offentliga myndigheter att tillåta inloggning även med utländska e-legitimationer. Varje land har möjlighet att tillsammans med sina e-legitimationsutfärdare välja vilka e-legitimationer landet ska anmäla enligt eIDAS för att möjliggöra inloggning i andra länders digitala tjänster.

Hittills har ungefär en tredjedel av EU-länderna anmält en e-legitimation till eIDAS. Innan den accepteras måste den först genomgå en prövning av övriga länder och vi är ännu i ett tidigt stadium innan visionen om en gränsöverskridande e-legitimering blir verklighet. Sverige har ännu inte anmält någon e-legitimation.

Freja eID skapades från start med utgångspunkt att inte bara bli godkänd för det statliga svenska kvalitetsmärket Svensk e-legitimation, utan också för att bli en e-legitimation inom eIDAS. Freja eID uppfyller alla tekniska och regulatoriska krav och vi har också gjort en formell ansökan till Regeringen om att anmäla Freja eID som Sveriges e-legitimation inom eIDAS.

Dock har Freja eID redan viss koppling till eIDAS, rent tekniskt. Freja eID är godkänd e-legitimation inom Valfrihetssystem 2017 och därmed kopplad till identitetsfederationen Sweden Connect. All trafik till och från Sverige inom eIDAS kommer att gå genom Sweden Connect, så en viktig pusselbit är redan på plats.

Att bli en del av eIDAS är en lång process och för svenskt vidkommande är vi fortfarande i ett mycket tidigt skede. Dock finns – vad vi vet – ingen annan svensk e-legitimation som är lika långt komna i sina förberedelser för eIDAS som Freja eID.

FYSISK OCH LOGISK SÄKERHET

Säkerheten är helt fundamental för Freja eID. Att skydda användarens uppgifter och integritet är grundläggande och förtroendet för en e-legitimation bygger på att den är säker. Freja eID bygger på beprövad teknik och världsledande säkerhetslösningar för att säkerställa identitetens tillförlitlighet över tiden.

Verisec, som ligger bakom Freja eID, har arbetat med IT-säkerhet sedan 2002 och hanterar digitala identiteter för miljontals människor världen över. Mycket av den teknik som ligger till grund för Freja eID har utvecklats för banker, myndigheter och företag med stora användargrupper och är beprövad och testad i storskaliga sammanhang.

SKIKTAD SÄKERHETSMODELL

Kärnan i Freja eID-tekniken är en skiktad säkerhetsmodell. För att skydda användare från olika typer av attackvektorer, särskilt identitetsstöld, och med beaktande av mobilplattformens alla sårbarheter, bygger Freja eID in säkerhetsåtgärder både i front-end och back-end för mobilappen.

AVANCERAD APPSÄKERHET

Freja eID innehåller avancerad app-avskärmningsteknik, som ger bästa möjliga skydd mot körning i potentiellt fientliga miljöer såsom jailbreakade och rootade telefoner, eller system som är smittade med skadlig kod. Dessa tekniker gör att förlitande parter kan fokusera på vad som är viktigt för deras verksamhet istället för att oroa sig för säkerheten hos de mobilaenheter som deras användare har.

KRYPTERING OCH CERTIFIKAT

All trafik mellan Freja eID appen och backend-systemet är krypterad och krypteringsnycklarna i Freja eID:s kärna skyddas av säkerhetsklassade HSM:er (Hardware Security Model). För förlitande parter krävs en symmetrisk nyckel eller SSL klientcertifikat och ett unikt förlitande part-ID för att kunna använda tjänsten. Alla personuppgifter i Freja eID:s databas är skyddade med avancerad teknik.

FYSISK SÄKERHET

Freja eID opereras helt av egen säkerhetsklassad personal och all åtkomst till systemet kontrolleras av minst två individer i förening. Systemet är helt redunant och placerat i en av världens mest avancerade datacenter, Digiplex. Anläggningen är skalskyddad, brandskyddad och försedd med avancerad kameraövervakning och dygnet-runt-bevakning av säkerhetspersonal.