Produktgruppestrategi for Tillitstjenester

Produktgruppestrategien for Tillitstjenester består av produktene ID-porten, eSignering og Maskinporten. Strategien inneholder fem kapittel som blant annet inkluderer dagens situasjon, rammevilkår, strategisk retning og veikart.

    Innhold - Dagens situasjon - produkter og funksjoner

    • Dagens situasjon - produkter og funksjoner
    • Rammevilkår og utviklingstrekk
    • Strategisk retning for Tillitstjenestene
    • Styring og prioritering
    • Veikart

    Hva produktområdet tillitstjenester består av

    <>

    Viktige nasjonale og internasjonale rammevilkår

    <>

    Produktgruppestrategien skal følge en rød tråd fra overordnede lover/forskrifter og strategier

    • Produktgruppestrategien bygger videre på regjeringsvedtatte strategier og handlingsplaner, og har blant annet som formål å konkretisere regjeringsvedtatte mål og tiltak.
    • I tillegg er det en rekke føringer rammebetingelser i lovverket, særlig i Lov om Tillitstjenester som implementerer felles europeisk regelverk på vårt område.
    <>

    Nasjonal eID-strategi definerer overordnede rammer

    Vi skal underbygge den nasjonale eID-strategien, og bidra til at den kan realiseres gjennom våre mål.

    1. Legge til rette for eID til alle relevante brukergrupper på det sikkerhetsnivået de har behov for.
      1. I dette ligger det både beskrevet et tydelig behov for fullmaktsløsninger som muliggjør tilgang til tjenester på vegne av andre, og behovet for at også personer uten norsk ID-nummer får tilgang til tjenester i Norge.
    2. Sikre kostnads- og ressurseffektiv helhetlig løsning for innlogging og bruk av ulike typer offentlige digitale tjenester
      1. Her pekes det både på behovet for digital ID-kontroll og videreutvikling av dagens infrastruktur i offentlig sektor. Vår rolle er å sikre robust, skalerbar og kostnadseffektiv utvikling og drift av våre tjenester.
    3. Angi rammer for sikre og effektive løsninger for eID til offentlig ansatte.
      1. Autentisering i konteksten av å være ansatt løftes frem som en prioritet, med behov for tekniske løsninger.
    4. Sikre at eksisterende løsninger er tilpasset markeds- og teknologiutviklingen på området.
      1. Behov for at blant annet Digdir har tilstrekkelig kompetanse og kapasitet til følge med på utviklingen på området.
    5. Bidra til best mulig samordning av eID-utviklingen mellom sektorene, og forvaltningsnivåer, særlig kommunene, slik at sektorspesifikke løsninger unngås.
      1. Styrke samordningen mellom nasjonale fellesløsninger og sektorløsninger. Det pekes blant annet på FEIDE i utdanningssektoren og HelseID i helsesektoren.

    Den foreslåtte revisjonen av eIDAS-forordningen utgjør en viktig ramme for den nasjonale strategien.

    Felles europeisk regelverk setter rammer

    Felles europeisk regelverk

    • eIDAS er en EU-forskrift om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det europeiske indre marked, innført i Norge i 2018.
    • eIDAS består av to deler. Første del regulerer elektronisk identifisering (eID), og inneholder blant annet kravene som gjelder til eID på ulike sikkerhetsnivå. Den andre delen regulerer tillitstjenester (AS).
    • Reguleringen fasiliteter gjensidig annerkjennelse av eID-løsninger på tvers av landegrenser i Europa.
    • Den reviderte reguleringen innfører en plikt å utstede eID på nivå «Høyt» til alle innbyggere gjennom en digital lommebok. Dette skal være en harmonisert løsning med harmonisert forretningsmodell. Statene plikter å utstede en slik gratis til alle innbyggere.
    • Reguleringen legger også opp til at lommeboken skal kunne inneholde attesterte bevis (attributter).
    • I tillegg inneholder eIDAS et rammeverk for tillitstjenester som elektroniske signaturer, tidsstempel og kvalifiserte nettstedssertifikater.
    • Revidert eIDAS er ventet å bli vedtatt i 2023, med implementering i Norge i 2026/2027.

    ⬇️

    Strategisk betydning for tillitstjenestene

    • Digital lommebok vil måtte utvikles for å kunne innføres i Norge. Valg av konsept for realisering er opp til hvert enkelt land med tanke på bruk av markedet kontra egenutvikling.
    • En digital lommebok vil implementeres i ID-porten for bruk mot offentlige tjenester, og vil trolig leve i parallell med andre løsninger i en periode. Det vil også i fremtiden være behov for et nasjonalt tillitsanker slik som ID-porten er i dag, men rollen vil kunne endre seg.
    • Lommeboken skal kunne inneholde attesterte bevis (attributter), som for eksempel førerkort og pass eller noe enkelt som et bibliotekkort. Utstedelse av slike krever tekniske løsninger, og må i mange tilfeller utstedes via en tillitstjeneste.
    • Lommeboken kan være en mekanisme som er relevant for representasjon og fullmakt, gjennom at man kan utstede attributter om disse forholdene til lommeboken.
    • Det er foreløpig uvisst i hvor stor grad reguleringen treffer tillitstjenestene i praksis i den kommende strategiperioden.

    Utviklingstrekk nasjonalt og internasjonalt

    Utviklingstrekk og behovStrategisk betydning for Tillitstjenestene
    Manuelle og fysiske tjenester blir mindre tilgjengelig
    • Kravene til tilgjengelighet for digitale tjenester øker, for at alle fortsatt skal kunne ivareta egne rettigheter og plikter.
    • Dette gir større fokus på digitalt utenforskap og løsninger som gir alle muligheten til å delta digitalt
    Mer sammensatte tjenester med komplekse verdikjeder
    • Mer komplekse verdikjeder betyr at tillit må bygges på tvers av disse, og ivaretas gjennom hele kjeden.
    • Fellesløsninger må kunne integreres i verdikjedene og bidra til at helheten fungerer.
    Bruk av biometri et sentralt tema i utviklingen av passordfri autentisering.
    • Bruk av biometri er brukervennlig, og innføring av biometri hos de store techselskapene driver en forventning hos brukeren for at slike løsninger også tas i bruk av det offentlige
    Revisjon av felles europeisk regelverk (eIDAS)
    • Kan endre rollen til ID-porten for offentlig sektor på sikt.
    • Innfører behovet for nye kapabiliteter innenfor området, slik som attesterte attributt.
    Økt press på behovet for tilgang til tjenester for utenlandske personer
    • Gjennom revisjonen av eIDAS setter EU større kraft bak målet om mer bruk av eID på tvers i Europa.
    • Flere offentlige virksomheter har utenlandske personer som brukere av sine tjenester, men kan ikke gi dem digital tilgang.
    Utvikling av digitale tjenester rettet mot unge brukere
    • Svært få unge under 15 år har eID på høyeste sikkerhetsnivå, ingen under 13 år. Foreldre mister tilgangen til helsenorge.no når barnet fyller 12 år.
    Representasjon i digitale tjenester
    • Det er både et krav og en forventning om å kunne representere i digitale tjenester på samme måten som i fysiske. Både som privatperson og i en rolle som ansatt for eksempel.

    Strategisk retning for Tillitstjenestene

    Fra visjon til utvikling

    <>

    Strategisk retning for Tillitstjenestene

    strategisk retning for tillitstjenestene

    Tillitstjenestenes rolle i det nasjonale økosystemet

    Felles økosystemet for digital samhandling og tjenesteutvikling består av elementer fra aktører i hele samfunnet. Økosystemet har som formål at løsninger fra ulike virksomheter virker sammen for å skape helhetlige og gode digitale tjenester. Et fungerende økosystem er en forutsetning for å lage sammengende tjenester, hvor tjenester som eies av ulike virksomheter fungerer i sammenheng for å løse det som for brukeren oppleves som en tjeneste. For å få dette til jobbes det med både juridiske, organisatoriske, semantiske og tekniske tiltak.

    Tillitstjenestene er en del av økosystem for nasjonal digital samhandling og tjenesteutvikling, som byggeklosser som ivaretar fellesbehov innenfor autentisering, autorisasjon elektronisk signatur m.m. En viktig forutsetning for å lykkes er god dialog og koordinering med kunder, samt offentlige og private samarbeidspartnere, slik at man i felleskap er best rustet for fremtiden. Dette har krevd at løsningene har hatt en fleksibilitet som både har sikret vedlikehold av infrastruktur og kjernefunksjonalitet, har gjort det mulig å utnytte ny teknologi og innovasjon, og samtidig ivaretar at vi jobber behovsstyrt. Dette er avgjørende også videre for at tillitstjenestene skal fortsette å være gode virkemiddel i omstillingen av offentlig sektor, og realisere regjeringens mål om et felles økosystem for nasjonal digital samhandling og tjenesteutvikling.

    Dagens tillitstjenester løser viktige oppgaver, og har et enda større potensial for bruk enn det som utnyttes i dag. Samtidig må produktene og porteføljen tilpasses de fellesbehovene som oppstår.​

    •Tillitstjenestene skal bidra til at offentlig sektor tar ut økonomiske gevinster gjennom å løse felles behov i fellesløsninger.​
    •Vår ambisjon er å levere på fellesbehovene innenfor vårt område som er nødvendige for å realisere utviklingen i det nasjonale økosystemet. Eksempler på dette er behov som oppstår i grensesnittene mellom ID-porten, Maskinporten og Autorisasjon hvor disse må samspille for å løse behovene offentlig sektor har.
    •Nye rammer vil komme fra lovarbeid i EU (eIDAS 2.0), og vil påvirke behovene som skal løses. Det er usikkert når dette innføres i Norge, og i hvor stor grad dette treffer oss i nåværende strategiperiode.
    •Det er også vår ambisjon å få på plass felles vilkår og finansieringsmodeller ut til kundene som gjør det enklere å ta i bruk tjenestene vi tilbyr, særlig der hvor produktene brukes i kombinasjon med hverandre.

    Grunnleggende prinsipper

    🔒Sikkert - Tillitstjenestene lever av tillit. Sikkerhet, kvalitet og tilgjengelighet er førende i utviklingen av tjenestene

    🙂Brukerorientert - Tillitstjenestene skal ha høy brukskvalitet, være enkle å ta i bruk og fungere der brukeren har behov

    ☁️Frittstående - Produktene skal kunne tas i bruk enkeltvis, og fungere som en del av et nasjonalt økosystem hvor de effektivt kan integreres som en del av større verdikjeder

    🛜Tilgjengelig - Tillitstjenestene skal være tilgjengelige og levere høy oppetid. Relevante deler av løsningene kan være tilgjengelige også for private aktører.

    💰Kostnadseffektivt - Tillitstjenestene skal være kostnadseffektive i utvikling, drift og forvaltning. Felles behov blir prioritert i retningsvalg, ikke skreddersøm og særbehov.

    Visjonen

    Trygg tilgang til offentlige digitale tjenester for alle

    Tjenester skal digitaliseres på en åpen, inkluderende og tillitvekkende måte. Digitale løsninger må ivareta brukernes personvern og være trygge og tilgjengelige slik at tilliten ivaretas. Sikker tilgang til offentlige digitale tjenester, og sikker deling av data utgjør forutsetninger for at vi skal lykkes med å skape en enklere digital hverdag, og at alle må ha mulighet til å samhandle digitalt.

    Utviklingen av en digital infrastruktur som leverer proaktive, sammenhengende tjenester forutsetter bruk av fellesløsninger som kan ivareta tilliten på tvers. Tillitstjenestene skal være kostnadseffektive, bidra til å øke verdiskapningen i samfunnet og sikre trygg tilgang til digitale tjenester for alle.

    Sikker identifisering, autentisering og elektronisk signatur

    Målet for ID-forvaltningen er én person, én identitet i Norge. Sikre og brukervennlige eID-er forutsetter en helhetlig identitetsforvaltning som fungerer. En helhetlig identitetsforvaltning omfatter fastsettelse av identitet, tildeling av identitetsnummer, utstedelse av fysiske ID-bevis og avvikling av identitet.

    Å identifisere noen er å fastslå noens identitet, mens autentisering er å bekrefte en påstått identitet. Sikker identifisering og autentisering er en forutsetning for utvikling av digitale tjenester i det offentlige, og er en kjerneoppgave som tillitstjenestene skal ivareta.

    Dagens situasjon

    Digdir har utviklet et sett med løsninger dette området, med stor utbredelse og høy bruk.

    • ID-porten knytter virksomheter og e-ID-leverandørene sammen og skaper tillit mellom sluttbruker, leverandører og offentlige tjenester. ID-porten har de siste årene utviklet seg til å kunne tilby flere nyttige funksjoner for offentlig sektor.
    • OAuth 2.0 og OpenID Connect har åpnet nye muligheter som mekanisme for deling av data gjennom å sikre APIer.
    • Bruk av langlevde sesjoner gjør at ID-porten fungerer godt til bruk i apper, og også som mekanisme for å gi samtykke mellom apper
    • MinID gir tilgang til mange offentlige tjenester, og brukes av 1 million brukere.
    • Fellesløsningen for eSignering brukes for å elektronisk signere dokumenter og sikre sporbarhet og uavviselighet for offentlige virksomheter.
    • Maskinporten er brukes til å sikre APIer for deling av data ved bruk av virksomhetssertifikater. Maskinporten bidrar i dag blant annet til å sikre APIene til Folkeregisteret.
    • Vi utforsker token-berikelse for å kunne tilby ansattpålogging gjennom egen pilot, som også er grunnlag for representasjon gjennom ID-porten i stort.
    • Vi tilbyr pålogging med eIDAS for europeiske borgere som har en eID som er notifisert av sitt hjemland.
    <>

    Våre mål

    1. Brukervennlig eID kan benyttes for brukere uten fødsels- eller d-nummer basert på en tverrgående identifikator
    2. MinID skal være en modernisert eID med sikkerhetsnivå betydelig som støtter digital ID-kontroll
    3. Maskinporten understøtter offentlig API-management
    4. Offentlige virksomheter kan avkreve og validere elektroniske signaturer fra norske og utenlandske personer
    5. Tillitstjenestene bidrar til implementering av eIDAS 2.0 i Norge.
    6. ID-porten samarbeider med HelseID og FEIDE for best mulig utnyttelse av løsninger og kompetanse

    Sikker identifisering, autentisering og elektronisk signatur forts.

    Fellesløsningen for eSignering og eID-porteføljen, inkludert ID-porten, MinID og Maskinporten skal videreutvikles slik at den holder den kvaliteten både virksomheter og innbyggere forventer.

    • eID-plattformen i Digdir gjennomgår frem til starten av 2024 en større modernisering. Ny plattform er på plass i starten av 2023, og løsningene løftes over gradvis gjennom året.
    • MinID er blitt en mobilløsning, og har fått et betydelig løft både på sikkerhet og brukervennlighet.
    • Piloten på ansattporten lar oss utforske hvordan ID-porten kan brukes som en mekanisme for å knytte en autentisering sammen med autorativ informasjon om roller og rettigheter.
    • Moderniseringen løfter kvaliteten og sikkerheten i løsningene, og vil sette Digdir i stand til å jobbe mer smidig i fremtiden.
    • Fellesløsningen for eSignering går gjennom en evaluering og behovsvurdering i 2023, og anskaffes på nytt som følge av at avtalen med Posten Norge utløper våren 2024.

    Våre ambisjoner

    Våre ambisjoner er å bidra til at enda bedre tjenester som virker for enda flere brukere.

    • Bidra til at utenlandske personer i større grad får tilgang til norske tjenester med norsk eller utenlandsk eID.
    • Videreutvikle Maskinporten som et verktøy for deling av data.
    • Etablere ny løsning for eSignering som ivaretar de behovene offentlig sektor har.
    • Samspille og samarbeide tettere med andre relevante fagmiljøer i offentlig sektor.
    • Kontinuerlig videreutvikle løsningene for å forbedre sikkerhet og brukervennlighet.

    Representasjon og fullmakt

    Tilgang til tjenester på vegne av andre er et behov i mange sammenhenger.

    • Som arbeidstaker vil man for eksempel i mange tilfeller ha behov for å representere en arbeidsgiver.
    • Som privatperson vil man kunne la andre representere seg selv, eller for eksempel gi tilgang til opplysninger, f.eks. skattedata eller helseopplysninger.

    Det er en grunnleggende forutsetning for digitalisering å kunne vite hvem som kan opptre på vegne av hvem. På denne måten vil de digitale tjenestene bli tilgjengelig for den som skal bruke de. Det betyr at:

    • de som skal ha tilgang til tjenesten og data får det.
    • det er enkelt å få oversikt over hvem som kan representere hvem og hva det gir tilgang til på tvers av ulike applikasjoner og løsninger.
    • det er enkelt å administrere representasjonsforhold
    • det er enkelt å se hvem som har tilgang til mine data

    Behov for brukervennlige fullmaktsløsninger er et viktig tiltak i eID-strategien, og er løftet frem blant annet av SKATE som et av de absolutt viktigste tiltakene som må løses fremover.

    Dagens situasjon

    Altinn Autorisasjon benyttes idag av svært mange offentlige aktører som fullmaktsløsning for virksomheter. For innbyggere er Altinn Autorisasjon valgt som den sentrale fullmaktsløsningen, i tillegg til at NAV og eHelse valgt å utvikle egne sektorløsninger for sine brukere.

    Det finnes ulike kilder til informasjon om fullmakter og roller en person kan ha, med ulikt omfang inn mot ulike tjenester i offentlig og privat sektor. Det finnes også ulike regelverk som er med på å påvirke hvordan representasjon kan settes opp for ulike tjenester.

    Det finnes ikke helhetlige overordnede føringer på dette feltet for offentlig sektor og samfunnet i stort. Representasjon og fullmakt er et komplekst område hvor behovet for en helhetlig tilnærming er stort, og hvor det er nødvendig å få på plass overordnede strategier for hvordan dette skal løses.

    Representasjon og fullmakt

    Våre mål

    1. Implementere relevante autorative kilder for representasjonsforhold for bruk gjennom tillitstjenestene.
    2. Utvikle funksjonalitet som lar en innbygger, på en effektiv og sikker måte, representeres av andre, og få tilgang til tjenester og opplysninger på vegne av andre enn seg selv.
    3. Videreutvikle eksisterende funksjonalitet for å opprette og delegere tilganger og roller til egne tjenester.
    4. ID-porten har støtte for representasjonsforhold.
    5. Bidra til relevant regelverksutvikling.
    6. Altinn Autorisasjon samspiller med andre sektorløsninger for innbyggerfullmakter for best mulig utnyttelse av løsninger og kompetanse.

    Representasjon og fullmakt forts.

    Altinn Autorisasjon benyttes i dag av et stort antall offentlige etater som fellesløsning for representasjon og fullmakt. Altinn Autorisasjon kan benyttes som fullmaktsløsning for både virksomheter og innbyggere for tilgangsstyring og tilgangskontroll. Altinn Autorisasjon og ID-porten/Maskinporten skal videreutvikles slik at de samspiller bedre og blir enklere å ta i bruk for tjenesteeiere og sluttbrukere. En videreutvikling av løsningene vil dekke flere behov enn den gjør i dag, og løsningen kan tas i bruk av flere.


    Våre ambisjoner

    Tillitstjenestenes ambisjon er å bidra til å løse fellesbehov for å gjøre det mulig å opptre på vegne av andre i digitale tjenester og dele data på en trygg og sikker måte.

    • Tillitstjenestene vil bidra til å realisere felles nasjonale behov ved å videreutvikle funksjonalitet i Altinn Autorisasjon og legge til rette for bruk av digitale fullmakter gjennom ID-porten og Maskinporten.
    • For å imøtekomme krav til funksjonalitet og sikkerhet er Altinn Autorisasjon i ferd med å videreutvikles og moderniseres og flyttes fra Altinn II til Altinn 3. Dette arbeidet skal ferdigstilles juni 2025.
    • Representasjon og fullmakt for innbyggere videreutvikles slik at Altinn autorisasjon blir et nav for fullmakter for innbyggere og på den måten gi innbygger totaloversikt over registrerte representasjonsforhold.
    • For virksomheter benyttes Enhetsregisteret som kilde for representasjonsforhold. Det er ønskelig å ta i bruk nye autorative kilder, f eks vergemål, foreldreansvar, advokatregister, AA-registeret, noe som vil gjøre det enklere for bruker å få riktig tilgang til digitale tjenester.
    • Altinn Autorisasjon etableres som et eget produkt frikoblet fra resten av tjenesteporteføljen i Altinn.

    Digital inkludering

    Digitalt utenforskap innebærer manglende tilgang til eller mulighet til å bruke digitale tjenester som er nødvendige for å få innfridd sine rettigheter. Det at en stor gruppe mennesker ikke har tilgang til offentlige tjenester digitalt, medfører unødvendige kostnader for det offentlige ved at kommunikasjonen må skje ved fysisk oppmøte eller via post. For innbyggerne medfører begrenset digital tilgang at det blir vanskelig å benytte offentlige tjenester, og i noen tilfeller at deres rettigheter og plikter ikke blir ivaretatt fordi de ikke er digitalt inkludert.

    Dagens situasjon

    Personer har ulike forutsetninger for digital deltakelse.

    • 11 prosent av Norges befolkning har svake digitale ferdigheter, og 3 prosent bruker ikke digitale verktøy. Totalt viser beregninger fra Kompetanse Norge at 600 000 er i disse kategoriene.
    • Over 60 000 innbyggere i Norge er ikke samtykkekompetente, og er satt under vergemål.
    • Rundt 200 000 innbyggere har valgt å reservere seg mot digital kommunikasjon med det offentlige.
    • Noen kan bruke digitale verktøy, men likevel ikke ta del i det offentlige digitale tjenestetilbudet. Det kan være folk som ikke får en eID høy høyeste sikkerhetsnivå. Unge har for eksempel i liten grad BankID, antakelig fordi det krever foreldresamtykke og er en krevende prosess. Personer med D-nummer får heller ikke BankID på grunn av bankenes praksis rundt hvitvaskingsregelverket. Det er ca. 1 million aktive brukere av MinID, som illustrerer noe om omfanget av hvor mange som er digitale men likevel ikke har en eID på høyt sikkerhetsnivå.

    Felles for disse personene er at de kun kan samhandle i begrenset grad med offentlig sektor digitalt, eller ikke i det hele tatt.

    digitalt ferdighetsnivå etter alder

    Våre mål

    1. Ikke-digitale innbyggere skal på en effektiv og sikker måte kunne delegere og trekke tilbake tilganger til tjenester på vegne av seg selv.
    2. Legge til rette for bruk av digital representasjon i offentlige tjenester
    3. Bidra til at alle innbyggere har en elektronisk ID på det sikkerhetsnivået de har behov for
    4. MinID kan brukes til flere offentlige tjenester

    Digital inkludering handler om å gi alle innbyggere muligheten til å delta i det digitale samfunnet. Dette henger tett sammen med representasjon og fullmakt, og retter seg spesifikt mot de gruppene som av ulike grunner faller utenfor. Tillitstjenestene ønsker å legge til rette i våre tjenester for at så mange som mulig kan delta digitalt, gjennom målrettet arbeid inn mot de ulike årsakene til at utenforskapet oppstår.

    En måte vi har startet å jobbe med digital inkludering på, er gjennom å modernisere MinID. Gjennom 2022 og 2023 har MinID fått et stort løft, både på teknisk sikkerhet og brukervennlighet. I samarbeid med store og viktige tjenesteeiere som i dag ikke tillater MinID til egne tjenester, jobber Digdir for at det gjennomføres risikovurderinger for å vurdere om MinID kan brukes til flere tjenester. Dette kan potensielt gi 1 million flere innbyggere tilgang til viktige digitale tjenester innenfor helse og velferd.


    Våre ambisjoner

    Vår ambisjon er å bidra til at hullene som påpekes i eID-strategien tettes.

    • Vi vil lage tilgjengelige grensesnitt for virksomhetene til å kunne administrere tilganger for de ikke-digitale slik at de kan representeres i digitale tjenester.
    • Vi ønsker å legge til rette for at tjenestene tar i bruk representasjon til sine tjenester, både teknisk men også praktisk mtp. eventuelle regulatoriske forhold og vurderinger rundt hva representasjon skal gi tilgang til.
    • Vi ønsker å bidra til at alle får en eID på det sikkerhetsnivået de har behov for, slik at de som er i stand til å være digitale kan være digitale. Årsakene til at disse ikke får en eID på høyeste sikkerhetsnivå må være godt kjent, slik at tiltak kan vurderes.
    • Vi vil jobbe for at MinID tas i bruk av flere tjenester som i dag kun tillater høyeste sikkerhetsnivå.

    Sikkerhet, sporbarhet og personvern

    Digitalisering har medført at samfunnets risikobilde har endret seg, både for enkeltindividet og for samfunnet i stort. Blant annet utsettes digitale systemer kontinuerlig for uønskede hendelser, både tilsiktede og utilsiktede. Det kan utgjøre en trussel mot systemene i seg selv, informasjonen som er i systemene, og tjenestene de bidrar til å levere. Nasjonal sikkerhetsmyndighet (NSM) har observert en tredobling av alvorlige cyberhendelser mot offentlige og private virksomheter i Norge. En del av disse er utført av aktører som opererer på vegne av fremmede stater.

    Offentlig sektor er helt avhengig av å sikre tjenester og IT-systemer som en grunnleggende forutsetning for å opprettholde tillit. For å ivareta tillit er det nødvendig å ha et kontinuerlig proaktivt sikkerhets- og personvernfokus i tjenesteutviklingen.

    Dagens situasjon

    Digitaliseringsdirektoratet leverer fellesløsninger som sikrer raskere, billigere og mer brukervennlig digitalisering. Dagens skjerpede sikkerhetssituasjon medfører at trusselbildet for fellesløsningene er vesentlig endret på kort tid, og fellesløsningene er blant annet blitt attraktive mål for statlige trusselaktører.


    Både tilsiktede og utilsiktede sikkerhetsbrudd kan medføre skade på opp mot 11.000 tjenester i ulike virksomheter, og dette påvirker disse virksomhetens evne til å levere på sine samfunnsoppdrag. Angrep mot fellesløsningene vil kunne gjøre stor skade. Konsekvensene vil berøre nær sagt hele den norske offentlige digitale forvaltningen. Viktige digitale tjenester og samfunnsfunksjoner kan bli utilgjengelige eller viktig informasjon kan komme på avveie.

    <>

    Våre mål

    1. Videreutvikle en sikker, robust og skalerbar infrastruktur for produktene.
    2. Ivareta tilstrekkelig sporbarhet når man opptrer på egne eller andres vegne.
    3. Gi brukeren innsyn i egne data, og få en komplett oversikt over egne representasjonsforhold.

    Sikkerhet, sporbarhet og personvern forts.

    Fellesløsningene løser de samme behovene mange virksomheter har, på en ensartet og sikker måte. De blir svært mye brukt og er viktige deler av en nasjonal offentlig infrastruktur. Flere av løsningene er definert som kritiske samfunnsfunksjoner. Et større moderniseringsarbeid av den tekniske infrastrukturen for ID-porten, Maskinporten, MinID og Altinn Autorisasjon har vært nødvendig for å opprettholde sikre og robuste fellesløsninger. ID-porten ble laget for over ti år siden, på teknologi som er enda eldre, hvor risikoen for sikkerhetshull og vellykkede angrep nærmet seg å bli uakseptabel høy. Den pågående moderniseringen adresserer ikke bare Digdir sin evne til å levere raskere og smidigere, men i stor grad vår evne til å levere på sikkerhet, sporbarhet og personvern.

    Våre ambisjoner

    Arbeid med tillitstjenestene skal bygges på innebygd personvern og innebygd sikkerhet blant annet for å ivareta sikkerhet, sporbarhet og personvern for brukerne.

    • Personvern og informasjonssikkerhet skal være en integrert del av forvaltning, bruk og utvikling av tillitstjenestene.
    • På samme måte som deling av data og bruk av ny teknologi gjør at det kan oppstå kryssende hensyn mellom ønsket om mer åpenhet og personvern, vil det i arbeidet med å videreutvikle tillitstjenestene være nødvendig å håndtere avveiningen mellom sikkerhet og brukerretting. Vår ambisjon er å lage løsninger som ivaretar begge hensyn på en fornuftig måte.

    Samtidig vet vi at mye misbruk skjer i nære relasjoner. Et viktig aspekt ved personvern er å sikre sporbarhet og at brukeren har innsyn i egne data.

    Styring og prioritering

    Styringsstruktur

    styringsstruktur

    Prioritering av behov

    prioritering av behov

    Strategi, veikart og utviklingsplan

    3-årig veikart for de viktigste tiltakene

    • De store og viktige utviklingstrekkene vi ser for tillitstjenestene synliggjøres i et veikart for de neste 3 årene.
    • Formålet er å vise hvordan vi ser for oss utviklingen i et mellomlangt perspektiv, og for å ta frem en større helhet i utviklingen av produktene.
    • Veikartet detaljerer ikke tiltakene og viser heller ikke tenkte leveransetidspunkter. Jo lenger ut i tid, desto større er usikkerheten.
    • Et veikart representerer et forsøk på å se litt frem i tid, og vil revideres ved behov. Faktisk utvikling vil trolig avvike fra planen, særlig utover i tid.

    Årlige utviklingsplaner detaljerer prioriterte tiltak

    De årlige utviklingsplanene representerer de tiltakene som er prioritert utviklet ett år frem i tid.

    Planene legger utviklingen ut i tid for det kommende året. Utviklingen skjer fortløpende, og leveransetidspunkt er derfor tentativt.

    Endringer vil kunne forekomme, som resultat av forsinkelser, endring i omfang, endring i ressurser o.l.

    Utviklingsplanen vedlikeholdes gjennom året som et resultat av kontinuerlige prioriteringer i produktgruppen og i utviklingsteamet.

    Fremtidsbildet - Hvor er vi om 3 år

    3-års scenario

    • Tillitstjenestene vil i den neste 3-års perioden i hovedsak fokusere på hvordan vi kan tilrettelegge for at flere får tilgang til offentlige tjenester.
    • Forberedelser til innføring av eIDAS 2.0 vil ha høy prioritet
    • Funksjonalitet for representasjon og fullmakt vil prioriteres høyt, både for innbyggere og i en rolle som ansatt.
    • Vi vil jobbe med å få ned brukerterskelen, og sikre større utbredelse av de eIDene som finnes.

    Viktige leveranser på veien

    • En hovedprioritet vil være å levere en frittstående autorisasjonsløsning som også kan fungere som fullmaktsløsning for innbyggere.
    • MinID leveres som en digital lommebok for bedre brukeropplevelse og for å få erfaring og forberede innføring av eIDAS 2.0.
    • Ansattporten blir en viktig leveranse på veien, som skal løse behovene knyttet til ansattpålogging og skille mellom jobb og privat.

    Veikart

    veikart