Digitalisering (Computerworld 2018-06-05)

 

Digitalisering har pågått i Norge i mer enn femti år. Standardisering og etablering av datasentraler var kjennetegn; Statens Datasentral så dagens lys i 1972, vi fikk KommuneData, Merkantildata, Computas og flere. Prinsipper og metoder for databehandling kom i etterkrigstiden. Teknologi med kapasitet fulgte, gjenbruk av data i maskiner fra forskjellige leverandører kom først på 80-tallet. Her ble Norsk Data et
stjerneeksempel. Også kundetjenester ble digitale, vi fikk elektroniske banktjenester, digitale mobiltelefoner, epost. Med Internet og nettlesere skjøt antallet digitale tjenester fart fra 1990. Mobiltelefoner, bærbare datamaskiner og nettbank, mail og nettaviser preget fort hverdagen; tilgangen til tjenestene fulgte hverken åpningstider eller landegrenser – digitalisering åpnet for globalisering og tilgang til tjenester
døgnet rundt.

Sikker digital kommunikasjon og eID.

I papirsamfunnet antok man at brev nådde riktig adressat. Digitale løsninger har nye og sikrere metoder, her bruker man eID til autentisering, og man antar da at denne administreres av riktig person. eID fra BankID, Buypass (tippekortet) og Commfides blir vedlikeholdt mot skatteetatens folkeregister, de gir pålogging med kjent fødselsnummer og tilgang til mange offentlige tjenester – også til de to statlige samletjenestene Digipost og Altinn, andre land har tilsvarende for deres fødselsnumre. Offentlige tjenester involverer sensitive persondata eller større beløp. Bruk av uriktig eID vil forekomme, i en globalisert digital verden er dette en voksende utfordring. Statene deler ut fødselsnumre, og de har dermed ansvar for å sikre deres kvalitet med tidens beste metoder.

Nasjonalt og internasjonalt.

Fødselsnummer er personlig, det oppleves å ha en offentlig godkjenning, men det kan administreres av hvem som helst. Det er utstedt rundt 9 million norske fødselsnumre som gir rett til eID, de fleste administreres av fødselsnummerets eier, men et ukjent antall disponeres nok av andre. Dette er en alvorlig trussel for utsteder, det kan være lite gunstig når de brukes til å autentisere feil person for offentlige tjenester med sensitiv informasjon:

  • Ingen kunne forutse dagens digitale situasjon den gangen fødselsnumrene ble konstruert for mer enn femti år siden.
  • Fødselsnumre er bygd opp og regulert på forskjellige måter fra land til land.
  • I land, som Storbritannia, Tyskland, Frankrike, finner politikerne at generelle fødselsnumre truer personvernet – de er knyttet til for mye informasjon om eier, det blir som å ha samme nøkkel til hjem, hytte, bil og verdiskap.
  • I noen asiatiske land, som i India, er fødselsnumrene sikret mot tyveri ved at en del av tallene er beregnet ut fra fingeravtrykk.

Facebook, Microsoft, Google opererer også autentiseringstjenester; innlogging hos dem kan gi tilgang til tredjeparts tjenester. Disse er ikke knyttet til offentlige folkeregisterdata, de gir ingen offentlig godkjente data om personen. Slik autentisering fungerer grenseløst, den brukes mye mot globale tjenester, som billettjenester, skylagring, netthandel.

Nytt fagfelt under utvikling

Autentisering med eID er et nytt fagfelt under rask utvikling; de store selskapene, som Microsoft, Google, Facebook, styrer mye av standardiseringen på dette feltet gjennom globalt samarbeid i Kantara Initiative og i FIDO Alliance. Teknologi og standarder for autentisering tillater globaliserte tjenester, nasjonale offentlige tjenester avgrenses ved bruk av nasjonale identitetsdata, ikke av nasjonale grenser. EU koordinerer stater tilpasning og finansierer europeiske prosjekter på dette fagfeltet, et av nåtidens er LIGHTest (www.lightest.eu); her samles erfaringer til nytte for både offentlige og private tjenesteytere.

eID i digital tid.

Digital autentisering er essensielt i det globale digitale samfunnet, offentlige tjenester krever gode identitetsdata fra vedlikeholdte nasjonale databaser, et tema for stater i internasjonalt samarbeid! Nasjonalstatene er eiere av registrene over sine borgere, det er de som må vedlikeholde og sikre oss mot tyverier og misbruk av identitetsdata.
De globale autentiseringstjenestene til Microsoft, Facebook, Google får navn og identitetsdata fra brukerne – her er det fritt å velge egne identitetsdata, det kan være velkjente, lånte eller pseudodata. Men hva er vel en identitet? Utviklingen her er ikke ferdig!