Þegar almennir borgarar sækja rafræna þjónustu hjá fyrirtækjum og stofnunum þurfa þeir yfirleitt að gera grein fyrir sér með einhverjum hætti. Þetta má gera með ýmsum sannvottunaraðferðum, t.d. einföldu lykilorði, flóknu lykilorði, tveggja þátta aðferð (t.d. lykilorði með SMS eða annarri styrkingu) eða fullgildum rafrænum skilríkjum. Nýlegur ISO staðall mælir með því að val á sannvottunaraðferð við innskráningu byggi á áhættugreiningu og ekki sé krafist hærra fullvissustigs en sú áhættugreining gefur tilefni til.

Fullvissustig sannvottunar

Veitendur rafrænnar þjónustu og aðrir sem vilja geta valið viðeigandi sannvottun eftir aðstæðum ættu að kynna sér efni alþjóðastaðalsins ISO 29115:2013. Hann er nú til umsagnar sem íslenskur staðall,  frÍST ISO 29115:2013 „Upplýsingatækni - Öryggistækni - Umgjörð um fullvissu sannvottunar eininda“, að tillögu tækninefndar um dreifilyklaskipulag, sem starfar á vegum Fagráðs í upplýsingatækni. Á vegum tækninefndarinnar starfar vinnuhópur um skipulag, sem hefur ritað formála til skýringar á íslensku, en ákveðið var að þýða ekki meginefni staðalsins. Í vinnuhópnum sitja fulltrúar frá Auðkenni, Fjármálaráðuneytinu, Neytendastofu og Þjóðskrá Íslands.

Með aðstoð þessa staðals geta þeir sem veita rafræna þjónustu metið hvaða kröfur þeir vilja gera til fullvissu sannvottunar fyrir tiltekna þjónustu og valið viðeigandi sannvottunaraðferð(ir), t.d. veflykil RSK, Íslykil, styrktan Íslykil eða rafræn skilríki frá Auðkenni.
Þrennt þarf að gera:

1. Þjónustuveitandi metur þörfina fyrir fullvissustig við tilteknar aðstæður, út frá viðkvæmni þeirra gagna og vinnslu sem ætlunin er að veita aðgang að.
2. Útgefendur sannvottunaraðferða (eða aðrir aðilar) meta fullvissustig tiltekinna sannvottunaraðferða.
3. Þjónustuveitandi velur þær sannvottunaraðferðir sem hann ætlar að bjóða upp á (og ná að lágmarki því fullvissustigi sem hann krefst).

1. skref: Mat á þörfinni fyrir fullvissustig
Hver þjónustuveitandi þarf að framkvæma áhrifagreiningu fyrir hverja tegund þjónustu sem hann veitir, þar sem þjónustan getur verið mismunandi viðkvæm fyrir svikum. Áhættugreiningin er gerð í samræmi við töflu sem er að finna í kafla 6 í staðlinum.
Þörfin fyrir fullvissustig fæst með því að meta sex mismunandi afleiðingar rangrar sannvottunar: óþægindi, fjárhagslegar, almannahagsmuni, persónuvernd, öryggi fólks og brot á réttindum. Mat á hverjum þætti gefur stig, og heildarmatið ræðst af þeim þætti sem fær flest stig.

Ef við tökum ímyndað dæmi um aðgang einstaklings að uppflettingu á eigin fjárhagsupplýsingum í heimabanka, þá gæti mat bankans á þörfinni fyrir fullvissustig t.d. litið þannig út:

2. skref: Mat á fullvissustigi einstakra sannvottunaraðferða (innskráningarleiða)

Til að þjónustuveitandi geti valið viðeigandi sannvottunaraðferð þarf að liggja fyrir raunhæft mat á fullvissustigi mismunandi aðferða. Þekktustu sannvottunaraðferðir á Íslandi eru veflykill RSK, Íslykill, lykilorð banka+Auðkennislykill, styrktur Íslykill og rafræn skilríki frá Auðkenni.

Staðallinn tiltekur hvaða ráðstafanir þurfa að vera til staðar svo sannvottunaraðferð geti talist ná tilteknu fullvissustigi. Þjónustuveitandi getur metið fullvissustig aðferðanna, eða treyst mati annarra. Fullvissustig tiltekinnar sannvottunaraðferðar ákvarðast af því trausti sem borið er til þeirra ferla, stjórnunar og tækni sem beitt er við skráningu, afhendingu og notkun sannvottunargagna. Traustið er metið með því að skoða hvaða ráðstafanir gagnvart ógnum eru til staðar í hverjum þætti, í samræmi við kafla 10 í staðlinum.
Neðangreind tafla sýnir nokkur þekkt íslensk dæmi:

3. skref: Val á sannvottunaraðferð (innskráningarleið)

Loks velur þjónustuveitandinn viðeigandi sannvottunaraðferð eða -aðferðir sem uppfylla kröfur hans um fullvissustig fyrir viðkomandi rafræna þjónustu.

Til að tryggja sem best aðgengi notenda að viðkomandi þjónustu er eðlilegt að þjónustuveitandi bjóði upp á a.m.k. eina sannvottunaraðferð sem er af sama fullvissustigi og þjónustan krefst (út frá fyrrgreindu mati af afleiðingum rangrar sannvottunar).  Það kemur þó ekki í veg fyrir að einnig sé boðið upp á sannvottun af hærra fullvissustigi fyrir þá notendur sem það kjósa.

Í dæminu hér að ofan myndi veflykill RSK, lykilorð banka (án Auðkennislykils) eða annað einfalt lykilorð duga, en einnig mætti bjóða þeim notendum sem svo kjósa að nota Íslykil eða fullgild rafræn skilríki.

Nýtið ykkur staðalinn

Að lokum eru allir þeir sem veita rafræna þjónustu hvattir til að kynna sér efni staðalsins og nýta sér hann til að velja viðeigandi innskráningaraðferðir með því að áhættugreina hverja þá tegund þjónustu sem þeir veita.

Höfundur: Þorvarður Kári Ólafsson, gæða- og öryggisstjóri Þjóðskrá Íslands og formaður vinnuhóps um skipulag