Förvaltningsforum 22 oktober 2015 www.elegnamnden.se www.sveleg.se
28 oktober 2015 1
Dagordning 1. Inledning och status i nämndens arbete 2. Statusrapport från undergrupperna 3. Genomgång kring hur respektive myndighet ligger till i sina anslutningsplaner och avrop kring underskriftstjänst
4. Presentation av inkomna enkätsvar 5. Genomgång av FAQ teknik och säkerhetsfrågor 6. Incidenthantering 7. Kapacitetsplanering i federationen 8. Utvecklingsplan och ändringshantering 9. Information om pågående arbete inom ramen för eIDAS 10. Övriga frågor
28 oktober 2015 2
Myndigheter som tecknat anslutningsavtal Rekryteringsmyndigheten Bolagsverket Skatteverket Transportstyrelsen Arbetsförmedlingen Kronofogdemyndigheten Pensionsmyndigheten
28 oktober 2015 3
Jordbruksverket Trafikverket Åmåls kommun Tullverket Finansinspektionen Kammarkollegiet Lantmäteriet
2 a) Undergrupp Användbarhet Prototyp anvisningstjänsten och flödet Prototyparbetet har kommit igång Första användartestet har kommit igång Två iterationer kvar Tidplan december
Diskussioner om prototypens avgränsningar (t.ex. vilka felfall, intygskonverteringstjänstens felfall, eID-leverantörerna och utfärdarna)
Funderingar kring support – vem ska användaren kontakta i vilket skede och var syns information om det, samt krav på utfärdarna om det
Vägledningen för användargränssnitt – uppdatera efter prototypen Marknadsföring av kännetecknet – behovet förs fram till nämnden 28 oktober 2015 4
4. Presentation av inkomna enkätsvar
28 oktober 2015 5
Svarsfrekvensen låg, trots påminnelse - därför öppnat för några svar till 350
290
300
250
232
200 155 150
134
100
50
21
11 0 Kommuner
Landsting Svar
28 oktober 2015 6
Utskick
Stat
Antal kommuner med behov av identifieringar och e-underskrifter (av 155 svar exkl. Inera/landstingen) 53
33
26
17
18
8
eID och e-underskrifter
28 oktober 2015 7
Endast eID
Nej, men inom tre år
Nej, inte inom tre år
Vet inte
Ej svar
Antal statliga myndigheter med behov av identifieringar och e-underskrifter (av 134 svar)
66
23
21 10
10 4
eID och e-underskrifter
28 oktober 2015 8
Endast eID
Nej, men inom tre år
Nej, inte inom tre år
Vet inte
Ej svar
Antal e-legitimeringar och e-underskrifter (totalt, alla svar, avrundat) 160 000 000 142 000 000 140 000 000 119 000 000
120 000 000
102 000 000 100 000 000 84 000 000 80 000 000
60 000 000
40 000 000 18 000 000
20 000 000
23 000 000
0 E-legitimeringar
E-underskrifter 2014
28 oktober 2015 9
2016
Totalt
Sju upphandlande LOU-myndigheter står för 90 % av den offentliga volymen E-legitimeringar och e-underskrifter 2014
Andel
Ack. %
2016
Skatteverket
33 180 726
33%
32,5%
41 693 380
Försäkringskassan
32 000 000
31%
63,9%
43 000 000
Inera *)
8 400 000
8%
72,1%
10 000 000
Arbetsförmedlingen
6 358 133
6%
78,4%
13 500 000
Centrala studiestödsnämnden
4 658 000
5%
82,9%
6 540 000
Stockholms stad
4 000 600
4%
86,9%
5 001 000
Pensionsmyndigheten
3 824 000
4%
90,6%
5 284 000
Organisation
*) Inera hanterar landstingens huvudsakliga trafik 28 oktober 2015 10
Antal e-legitimeringar och e-underskrifter per stor myndighet eller sektor E-legitimeringar 2014
E-underskrifter 2014
E-legitimeringar 2016
E-underskrifter 2016
Skatteverket
21 003 291
12 177 435
29 060 846
12 632 534
Försäkringskassan
28 000 000
4 000 000
36 000 000
7 000 000
Övriga staten
17 933 150
2 217 766
29 296 343
3 565 448
Landsting
8 400 000
360
10 000 000
0
Kommuner*)
5 113 896
26 853
8 630 054
102 519
83 545 321
18 422 414
118 932 243
23 300 501
Totalt
*) Göteborgs stad och Malmö stads underlag saknas i materialet
28 oktober 2015 11
Några svar kom denna vecka. Återkommer med enkätsammanställning inom några veckor. på www.elegnamnden.se
28 oktober 2015 12
5. FAQ teknik och säkerhetsfrågor Vi har nu en begriplig och transparent ’Frågor och Svar’ presenterad på webben rörande säkerhet & teknik.
Incidenthantering
28 oktober 2015 13
Ett urval… Är det obligatoriskt att begäran om identitetsintyg är signerad? Vid e-legitimering för e-underskrift är signerad begäran alltid obligatorisk. De som ansvarar för e-tjänsterna (upphandlande myndigheter, förlitande parter) kan dessutom välja att göra signerade begäran obligatoriskt även för e-legitimeringar. Denna åtgärd stoppar risken för bl.a. ”Man in the middle”. (Signerade AuthnRequest)
Risken för missbruk av intyg genom att hoppa mellan e-tjänster Ramverket tillåter nu inte oombedda intyg, ger förtydliganden hur man undviker oavsiktlig ”single-sign-on” och s.k. ”replay attacker” samt genom ovan beskrivning av att kräva signerade begäran.
28 oktober 2015 14
Ser användaren skillnad på inloggning och underskrift? Ja, användaren ser nu skillnad på inloggning och underskrift. Elegitimationsnämnden har gjort följande kompletteringar för att lösa behovet: Överföring av information som av förlitande part fylls med en text som beskriver vad man som användare skriver under. Texten är skyddad med hjälp av signering, kryptering och att texten gallras omedelbart. Spårbarheten är genomtänkt.
28 oktober 2015 15
Men hur hanterar vi risken för sabotage genom överbelastningsattacker? Exempel på åtgärder vi kan och får vidta är blockering av IPadressintervall och blockering av e-tjänst som är under attack.
Genom signerade begäran om identitetsintyg försvåras DDOSattackerna. Endast e-tjänster i federationen kan skapa giltiga begäran och de e-legitimeringstjänster som går via intygskonverteringstjänsten kommer därför inte att drabbas. Identitetsintygen är både signerade och krypterade. Alla e-tjänster och legitimeringstjänster får i metadata tala om huruvida de kräver (skickade respektive mottagna) signerade förfrågningar.
28 oktober 2015 16
6. Incidenthantering Två incidenter
Vi har sett två incidenter i federationstjänsten under oktober månad 1. 6 oktober 15:15-19.00
- Virtuell servermiljö-
Leverantör upptäcker att flera tjänster i en plattform för virtuella servrar är överbelastad. Snabb åtgärd genom att stänga av testservrar och flytta vissa servrar ”manuellt”. Miljön reparerade sig självt efter denna åtgärd. Efter detta har leverantör lagt på två nya uppdateringar som de tror relaterar till denna problematik. Sveleg.se drabbades en kort stund av denna störning (17.13) vilket förstås inte är godtagbart vid en samtidig störning på anvisningstjänsten.
2. 13 oktober 14:12- 14:37
- Brandvägg-
Normal konfigurationsändring i brandvägg orsakade oväntade störningar. Testmiljön drabbad då denna inte i dagsläget är uppsatt redundant. Brandvägg uppfattade inte att dess funktionalitet var nere och följaktligen fungerade inte heller automatisk ”fail over” till den andra brandväggen. (Kluster)
28 oktober 2015 17
6. Incidenthantering Månadsrapporter för federationstjänster Augusti. September
Mall för incidentrapportering Vidareutveckling sker tillsammans med federationstjänsteleverantören
Mall för incidentrapport finns på projektplatsen, mappen ”Mallar och utkast
28 oktober 2015 18
”Ytterligare kommentarer mottages tacksamt!
7. Kapacitetsplanering i federationen Prognoser ska lämnas senast 1/9. Kansliet har hittills fått in prognos från fem aktörer. Påminnelse kommer att gå ut till övriga aktörer.
Även aktörer som anslutit efter den 1/9 behöver lämna en prognos för kommande år.
Prognosmallen finns på projektplatsen, mappen ”Mallar och utkast” Prognoserna är ett viktigt underlag för produktionsplanering inför 2016
28 oktober 2015 19
Aggregerad prognos (avser 5 aktörer) 2016
2017
2018
(a) beräknat totalt antal begärda Identitetsintyg för legitimering per år
47 228 221
55 449 043
62 890 347
(b) beräknat totalt antal begärda Identitetsintyg för underskrifter per år
16 093 370
18 078 707
20 349 878
(d) antal unika Användare per år
14 000 438
14 869 794
15 633 283
112
119
128
8
8
11
(e) antal e-tjänster
(f) antal nya e-tjänster (ange år när de planeras sättas i drift)
28 oktober 2015 20
Prognos begärda identitetsintyg 12 000 000
10 000 000
8 000 000
2016 6 000 000
2017 2018
4 000 000
2 000 000
0 jan
28 oktober 2015 21
feb
mar
apr
maj
jun
jul
aug
sep
okt
nov
dec
8. Utvecklingsplan och ändringshantering Förslag på utvecklingsplan finns på projektplatsen, mappen ”Mallar och utkast”
Kommentarer mottages tacksamt!
Gällande regelverk publiceras på www.elegnamnden.se Förändring såtillvida att det ska framgå vilken version som är gällande för var och en av de ingående bilagorna
Tydlighet kring när respektive bilaga senast ändrades
28 oktober 2015 22
28 oktober 2015 23
8. Utvecklingsplan och ändringshantering Releaseplan för regelverket Översikt över kommande releaser När respektive release planeras att vara gällande
Beskrivning av releaserna och dess innehåll Vilka förändringar som planeras in i respektive release
Release notes för varje ny gällande version av regelverket Beskrivning av releasen Tidpunkter för samråd och underrättelse
Nyheter och förändringar Nya, förändrade och utgående delar av regelverket
28 oktober 2015 24
9. Rapportering om eIDAS Regeringsuppdraget I skrivarfas Värdefulla bidrag från myndigheterna kommer in Samråd
Samverkansnätverket Kontaktpunkten Näringsdepartementet: samrådsgrupp och bara en referensgrupp Näringsdepartementets övriga aktiviteter
28 oktober 2015 25
Samarbetsnätverk Nätverkets verksamhet Leds av kommissionen Rätt att anta yttranden om interoperabilitetsramverk, tekniska specifikationer och anmälan, ge vägledning och riktlinjer kring sakkunnighetsbedömning samt granska utkast till anmälningsformulär
Tystnadsplikt
E-legitimationsnämnden representerar Sverige (Kanslichef Eva Ekenberg)
Första mötet den 15 september
28 oktober 2015 26
Samarbetsnätverk (forts.) Utbyte av information, erfarenheter och god praxis (art 4) Större ändringar & utvecklingssteg Incidenter som kan påverka säkerheten i andra system
Begäran om information om interoperabilitet och säkerhet (art 5-6) För att säkerställa interoperabilitet För att utreda säkerhetsproblem och incidenter
28 oktober 2015 27
Samarbetsnätverk (forts.) Sakkunnighetsbedömning (art 7-11)
Säkerställa interoperabilitet och säkerhet Initieras av MS själv eller av andra MS
Frivillighet för MS att delta med experter, en MS ansvarig för samordning 2-års spärr efter genomförd bedömning CN ska ta fram vägledning Utgångspunkt i anmälan enligt Art 7 + stöddokumentation
Får begära ytterligare dokumentation (om inte hänvisning till nationell säkerhet, företagshemligheter, etc.)
28 oktober 2015 28
Förhållande mellan grupperingar
28 oktober 2015 29