Tankar kring DIGG och PTS forum

Den 19 November anordnade DIGG och PTS ett webinar med titeln "Forum för leverantörer av e-legitimationer och betrodda tjänster". Det var ett väl anordnat seminarium med mycket bra dialog som tog upp viktiga frågor där myndigheter och leverantörer deltog. ZealiD deltog som åhörare och gjorde några observationer:

• Uppdateringar kring eIDAS lagstiftning är att vänta och PTS/DIGG bidrar aktivt på några centrala områden. ZealiD välkomnar att harmoniseringen sker på området identifiering på distans och framförallt att kraven skärps på att metoder enligt eIDAS art 24, 1d skall certifieras. Vi ser idag lösningar på marknaden som ZealiD menar är icke förenliga med "equivalence to physical presence" främst för att de saknar transparens och kvalitetssäkring. Även området kring utrusting för remote signature creation är stökigt idag (t ex common criteria krav, låst TOE mm) och en harmonisering av krav skulle förenkla för leverantörer som ZealiD. 

• Det råder stora skillnader mellan hur avancerade underskrifter skapas och levereras. Det finns många olika lösningar på den svenska marknaden och även om enskilda leverantörer framställer fördelar med sina respektiva lösningar framstår valideringsproblematiken för förlitande parter som stor med avancerade underskrifter. Något som i Sverige drivs huvudsakligen volymmässigt av hur BankID används av många leverantörer av underskrifter. Enligt Bolagsverket är den största volymen av handlingar som inkommer försedda med "stämplar" på dokument där man inte kan knyta en underskrift av en individ till ett viss dokument (hela poängen med en elektronisk underskrift). Detta skapar stora problem för Bolagsverket och svenska myndigheter i övrigt. På frågan hur en användare kan se att en underskrift är avancerade var svaret från ledande leverantörer i princip att det inte går om man inte är "integrerad". ZealiD ser ett stort behov av att svenska aktörer anammar ETSI standarder som t ex pADES. Och det är uppenbart att fler svenska leverantörer behöver uppgradera sin teknik och sina organisationer till kvalificerad betrodd tjänstenivå. 

• ZealiD drar slutsatsen att trots Sveriges relativa försprång för tio år sedan på området elektronisk signering så ligger Sverige efter. Philip Levin från Regeringskansliet presenterade Regeringens kommittédirektiv kring utredning av betrodda tjänster från mars 2020. Viktigt är att Regeringen uppmärksammat att svenska myndigheter byggt in sig i e-tjänster där underskrift låses till eID. Det är inte förenligt med eIDAS. Därtill tittar utredningen på vilka områden Sverige skall ställa krav på kvalificerade underskrifter. ZealiD kommer snart att publicera en stor genomlysning av vilka krav som ställs i respektive EU land på kvalificerade underskrifter. ZealiD gör bedömningen att offentliga Sverige p g a BankIDs dominans helt missat att öppna för att svenska och utländska medborgare använder kvalificerade underskrifter. Det är i sig paradoxalt för att en ordning med en pdf i pADES format är den enklaste, mest rättssäkra och billigaste metoden att kommunicera elektronisk med medborgare. Självklart kan vissa typer av etjänster för att vägleda användare och strukturera data motivera inlogg. Men varför får man inte logga in med en kvalificerad signatur? Kanske är detta en utbildningsfråga och framförallt brist på lösningar och konkurrens. Där PTS har en viktig roll - DIGG ägnar sig framförallt åt eID området. ZealiD upplever att till skillnad från t ex GDPR verkar offentliga Sverige se eIDAS förordningen (svensk lag) som en "nice to have" som man kan implementera lite hur man vill. 

• Svenska e-legitimationer är ännu inte notifierade till andra EU länder verkar det som. Enligt DIGG skall detta realiseras först 2021 med en ”grace period” för medlemsländer på ytterligare ett år att acceptera. ZealiD funderar över hur otacksamt det måste vara att investera för att bli ett svensk eID och sen inte få den EU acceptans som eIDAS garanterar. Det är stor skillnad mellan att ha ett svenskt eID som accepteras i Sverige bara eller i hela EU. ZealiD klickade på SwedenConnect knappen på en Litauisk myndighetssajt i dagarna och länken var trasig. Kan det ha att göra med notifikationen inte är där? 

• Det verkar finnas frågor kring om detta kan ske när det gäller BankID (uppfyller BankID de krav som ställs i eIDAS förordningen?) och också vilken nivå BankID och Freja eID+ skall ha (Substantial eller med ytterligare förbättringar High "Level of Assurance"). ZealiD ser att t ex SPID i Italien och SK i Estland kommit betydligt längre än Sverige. Och i Italien så är kraven på ett eID beslutade i lag och förordning medan DIGG verkar ges större diskretionärt utrymme - kvalitetskraven hos DIGG är betydligt mindre detaljerade än t ex ETSI standarder och AGIG/SPIDs. 

• ZealiD hoppades på att förstå om det stämmer att Sverige byggt en särskild kategori "unverified" för BankID. Kanske vet någon? Mycket av BankiDs behandling hos DIGG är sekretessbelagd. Då återstår frågan - om en tillhandahållare av eID eller betrodd tjänst inte behöver publicera sina metoder i detalj (Certificate Practice Statement mm) - hur skall då förlitande parter veta vad de förlitar sig på? Vad är det DIGG förlitar sig på? Stämmer det överens med svensk lag? ZealiD publicerar alla metoder i flera practice statements. Inte för att vi är duktiga utan för att lagen tvingar oss.

• ZealiD funderar också över att DIGG valt en ordning där myndigheten själva utför revision/audit av lösningar. Det skiljer sig markant från t ex AGID i Italien som låter av förordningen utpekade Conformity Assessment Bodies ("CAB") utföra revision (certification audit). ZealiD skulle förorda en ordning i Sverige där leverantörer själva kan välja vem som skall göra en certifiering och att dennes kompetens garanteras av oberoende part t ex Swedac eller Dakks. Transportstyrelsen bör inte själva besiktiga bilar helt enkelt. Att en myndighet själva anvisar en extern konsult för godkännande av eID och har stort diskretionärt utrymme är menar ZealiD inte rättssäkert. 

• EU-kommissionen arbetar för att skapa ett EU eID och presenterade arbetet kring detta. ZealiD har fler frågor än svar.

• Norska motsvarigheten till PTS presenterade en intressant analys kring hur det ser ut i Norden. ZealiD uppfattade att trots geografisk och kulturell närhet råder stora skillnader mellan olika länder. Och Sverige är knappast ledande inom eID eller kvalificerade betrodda tjänster. Låt vara att svenska företag (Swedbank, SEB, Telia) definitivt är ledande genom ägarskap i t ex SK.ee, BankID mfl.