Vid första anblick kan det kanske tyckas att det är självklart vad en e-legitimation är, men i själva fallet är det ett komplext ämne som förtjänar att förklaras.
Inte minst nu när cybersäkerhet, nätintrång, hackare och tvåstegsverifiering mer än någonsin behöver förstås och hanteras för att skydda vår egen och andras data.
En e-legitimation eller elektronisk identitetshandling kan jämföras med en vanlig id-handling, till exempel id-kort eller körkort. Skillnaden är att den användas för att identifiera innehavaren elektroniskt och på så vis kan användaren få åtkomst till olika myndigheters, företags och arbetsgivares elektroniska tjänster på nätet.
Kärt barn har många namn …
e-legitimation även kallad e-leg, eID eller e-ID
Det finns idag fyra e-legitimationer som är godkända av Myndigheten för digital förvaltning (DIGG) för privatpersoner och deras leverantörer inom både privat och offentlig sektor i Sverige: BankID, Mobilt BankID, Freja eID+, Svenska Pass och Telia E-legitimation. Inom vård och omsorg finns en femte godkänd e-legitimation för säker åtkomst av information; SITHS
Öka säkerheten och hindra cyberattacken
Genom öka säkerhetsmedvetenheten och implementera tvåfaktorslösning som låter användarna logga in med av DIGG godkänd e-legitimation i tjänster, system och appar, skyddas data från de som inte ska komma åt den.
Det bidrar till trygghet då regler och lagar styr hur tillförlitlig och säker en organisations hantering av identiteter är. Mer om tillitsnivåer nedan.
Vi uppmärksammas allt mer om hur antalet cyberattacker ökar och att alla kan drabbas. Att få sin identitet kapad eller bankkontot länsat är förstås en påfrestande upplevelse. Därför vill vi lyfta vikten av cybersäkerhet. Läs mer om i European Cyber Security Month (ECSM) här
Hur fungerar e-legitimering och hur ser processen ut?
En e-legitimering sker när en en e-legitimation stärker en individs identitet vid exempelvis inloggning till ett verksamhetssystem eller en app. För att detta ska fungera krävs ett bakomliggande samarbete av flera olika funktioner och system.
Användare:
Har en e-legitimation som kan används för att legitimera sig elektroniskt mot en tjänst.
E-legitimationsutfärdare:
Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
Leverantör av identitetsintyg: kallas också för “identity provider” eller IdP:
Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att det är rätt person som legitimerar sig.
Tillhandahållare av e-tjänst: Kallas också för “service provider” eller SP.
Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör.
Integrationsbroker
Integrationsbroker, på engelska även kallat Message Broker eller Integration Broker fungerar som en mellanhand för att underlätta när verksamheter behöver integrera tjänster och användardata. Man kan likna det med en mäklartjänst som agerar stöd för både SP och IDP
Integrationsbrokern hjälper till oavsett om rollen representerar en tjänst som Service Provider eller en organisation som vill identifiera användare mot en tjänst som Identity Provider
Hur vet man hur tillförlitlig en e-legitimation är?
För att beskriva hur säker och tillförlitlig en e-legitimation är delar man in dem i olika tillitsnivåer. Ju högre tillitsnivå desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.
Tillitsnivå påverkas av vilken inloggningslösning som valts och bedöms utifrån vilken skada som riskerar att uppstå om fel person får tillgång till e-tjänsten.
Att skydda innehavare och användares information mot dataintrång och andra cyberangrepp är av stor vikt och delvis grunden till LoA (Level of Assurance) ett tillitsramverk som togs fram av Amerikanska National Institute of Standards and Technology (NIST) och används för att värdera hur tillförlitlig och säker en organisations hantering av identiteter är.
Det har sedan kommit att ligga till grund för många organisationers och länders egna standarder. Den standard som i sin tur har fått störst genomslag är den internationella ISO/IEC 29115. Där delas LoA-nivåerna upp i fyra delar utifrån graden av tillit och hur säker kontrollen av identiteterna är, LoA nivåerna kan därför se olika ut för olika organisationer beroende på en rad olika faktorer.
LoA1: Mycket låg tillitsnivå – Användarens identitet kan inte styrkas.
LoA2: Relativt låg tillitsnivå – Användarens identitet kan kopplas till exempelvis användarnamn och lösenord.
LoA3: Relativt hög tillitsnivå – Användarens identitet skyddas genom minst tvåfaktorsautentisering.
LoA4: Mycket hög tillitsnivå – Användarens identitet kan styrkas med en identitetshandling som har lämnats ut vid ett personligt möte med en betrodd utgivare.
Vad gäller i Sverige?
Nämnda ISO/IEC-standarden ligger även till grund för det nationellt anpassade tillitsramverket i Sverige. Myndigheten för digital förvaltning – DIGG – som står bakom och använder det för att granska och godkänna e-legitimationer för det statliga kvalitetsmärket för e-legitimering; Svensk e-legitimation. Några skillnader mellan svenska tillitsnivåer och LoA enligt ISO/IEC finns dock.
Tillitsnivå 1: Ingår inte i det svenska ramverket eftersom det inte kräver legitimering. Här ingår även i DIGGS definition även användarnamn och lösenord.
Tillitsnivå 2: Identiteten kan styrkas med tvåfaktorsautentisering, exempelvis genom något som enbart användaren kan ha tillgång till som en engångskod.
Tillitsnivå 3: Precis som enligt ISO/EIC måste identiteten kunna styrkas med exempelvis en godkänd identitetshandling eller e-legitimation. Här återfinns de av DIGG godkända e-legitimationerna Freja eID Plus och BankID, samt Freja Organisations eID och SITHS för identifiering i tjänsten.
Tillitsnivå 4: Liksom enligt ISO/EIC krävs ett personligt möte för att verifiera identiteten. Användaren kan även identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på till exempel ett plastkort, en mobiltelefon eller en USB-enhet. Svenska Pass är den enda godkända e-legitimationen som uppfyller högsta nivån.
Svensk e-identitet hjälper till med både råd och anslutning
Oavsett svar motsvarande LoA 2-4 har Svensk e-identitet en lösning för er. Allt ifrån enklare inloggningsmetoder och egna lösningar till samtliga av DIGG godkända svenska e-legitimationer.
