Rutin för säker inloggning

Dokumentversion

Bakgrund och Syfte

En av kommunernas viktigaste resurser för att utföra sina uppdrag är information. Informationen som hanteras i kommunen är av varierad känslighet. Ett exempel är inom omsorgen, där är informationen som hanteras till stor del känsliga personuppgifter och uppgifter som omfattas av sekretess.

Känsliga personuppgifter och uppgifter som omfattas av sekretess innebär högre krav på säkerheten. Säkerhetsåtgärderna som finns på plats idag är många och varierande. En grundläggande säkerhetsåtgärd är hur personal loggar in i system där den känsliga informationen finns att ta del av (även kallat autentisering). I den enklaste formen är inloggning endast krav på ett användarnamn och ett lösenord som bara användaren känner till. Detta har under lång tid varit ett tillräckligt skydd men idag finns det säkrare lösningar för inloggning som måste tillämpas för verksamhetssystem som hanterar känslig information. Det finns en internationell säkerhetsstandard som definierar fyra tillitsnivåer (level of assurance, LOA) för säker inloggning till verksamhetssystem. Kravet på tillitsnivå bestäms utifrån hur stor skadan riskerar att bli om fel person får tillgång till informationen i verksamhetssystemet. Ju högre tillitsnivå, desto starkare krav på säkerheten.

Tillitsnivåerna kan beskrivas enligt följande:

Värdering av hur tillförlitlig en organisations hantering av identiteter är. Målet är att man ska kunna veta vilken person som faktiskt sitter vid datorn vid inloggning på ett konto, och att det är en betrodd person med aktuell behörighet.

Värderingen och tillförlitligheten hänger på flera faktorer. Sammanfattningsvis gäller följande för tillitsnivåerna:

Tillitsnivå 1 (LOA1)

Användarens identitet styrks inte alls. Användaren identifieras genom exempelvis e-postadress och lösenord. Det finns ingen tillit till identiteten, men viss tilltro till att det är samma individ över tid. Vissa krav på lösenord och hanteringen av dem.

Tillitsnivå 2 (LOA2)

Användarens identitet verifieras genom att bevisa innehav av en tillhörighet som bara användaren kan antas förfoga över. Exempel kan vara kod som skickats i kodkuvert till sökandes folkbokföringsadress.

Användaren identifieras genom exempelvis engångslösenord från dosa eller mobiltelefon.

Det finns en viss tillit till identiteten, och krav på tvåfaktorsautentisering.

Tvåfaktorsautentisering innebär att användare loggar in med två faktorer, till exempel något som bara användaren känner till (lösenord) och något som bara användare har (mobilen).

Tillitsnivå 3 (LOA3)

Användarens identitet verifieras på likvärdigt sätt som vid utgivning av en fullgod svensk legitimationshandling. E-legitimationen kan utfärdas på distans om utfärdaren redan har identifierat mottagaren, till exempel i samband med öppnandet av ett bankkonto eller vid en anställning.

Användaren identifieras genom exempelvis en skyddad app i en smarttelefon.

Det finns en hög tillit till identiteten, och krav på tvåfaktorsautentisering.

Tillitsnivå 4 (LOA4)

Användarens identitet verifieras vid personligt besök genom en fullgod svensk legitimationshandling, både första gången och vid förnyelse vart femte år.

Användaren identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på till exempel ett plastkort, en mobiltelefon eller en USB-enhet.

Det finns en mycket hög tillit till identiteten, och krav på tvåfaktorsautentisering.

Flera av kommunernas system måste uppfylla Tillitsnivå 3

Kommunernas analyser, informationsklassningar och bedömningar har landat i att vårdsystemen måste uppnå Tillitsnivå 3. Denna rutin ämnar beskriva hur säker inloggning till system kommer att uppnås.

Övergångsperiod

Förändringen av inloggningen till kommunernas system är stor och påverkar många användare som måste komma åt informationen i respektive system för att kunna utföra sina uppdrag. På grund av detta kommer det vara en övergångsperiod, där även utvalda inloggningslösningar som endast uppfyller Tillitsnivå 2 får användas.

Övergångsperioden för respektive system bestäms i samband med klassning.

Målgrupp

Anställda som har användarkonton till verksamhetssystem med känslig information.

Säker inloggning

Som anställd i kommunerna har du möjlighet att ansluta till säkra inloggningslösningar som uppfyller Tillitsnivå 3.

Under övergångsperioden kan anställda som inte önskar använda kommunernas tillhandahållna Tillitsnivå 3 tjänster (Freja Organisations eID och SITHS) nyttja befintliga inloggningslösningar.

Nedan beskrivs lösningar som kommunen tillhandahåller samt Mobilt BankID.

Freja Organisations eID

Freja eID+ är en kostnadsfri statligt godkänd mobil e-legitimation och kan användas som en fysisk legitimation i mobilen, Freja eID+ krävs för att kunna utfärda ett Freja Organisations eID, vilket är en statligt godkänt mobil tjänstelegitimation.

Freja Organisations eID uppfyller kraven för att logga in säkert i tjänster tillhandahållna av arbetsgivaren som kräver Tillitsnivå 3.

Klicka här för att komma till kommunernas guide för anslutning till Freja Organisations eID Länk till annan webbplats..

SITHS

SITHS är en elektronisk identitetshandling som används för säker identifiering av både personer och system inom regioner, kommuner, privata vårdgivare och statliga myndigheter. SITHS används till exempel vid inloggning i tjänster, för elektronisk signering och för säker kommunikation mellan system. SITHS uppfyller Tillitsnivå 3.

För att få tag på ett SITHS-kort behöver du kontakta din närmaste chef. Din närmaste chef kommer att göra en beställning av ett HSA-ID.

När du fått ditt HSA-ID kan du klicka här Länk till annan webbplats. för att beställa ett SITHS-kort.

Mobilt Bank ID

BankID är en e-legitimation som du använder till att styrka din identitet när du är ute på Internet, t.ex. på banken, hos Försäkringskassan eller CSN. BankID är Sveriges i särklass största e-legitimation och utfärdas av 12 banker i samarbete.

För tjänster tillhandahållna av arbetsgivaren uppfyller Mobilt BankID endast Tillitsnivå 2. Detta alternativ kommer endast vara tillgängligt under övergångsperioden (se Övergångsperiod ovan).

För att få tag i ett Mobilt BankID behöver du kontakta din bank.