Faxdödaren Säker Digital Kommunikation (SDK)

I tidigare blogginlägg har jag skrivit om digitala ekosystem och e-legitimering. Nu ska vi titta lite på hur saker och ting hänger ihop med praktiska användningsområden. Det börjar nämligen röra på sig ganska mycket vad gäller nationell gemensam infrastruktur, det vill säga tjänster som myndigheter, kommuner och regioner kan ansluta sig till och nyttja.

Det finns gott om insikt och arbete som pågår kring Digitala Nationella Prov (DNP), men inte lika mycket som riktar sig mot en annan mycket intressant tjänst, nämligen Säker Digital Kommunikation (SDK). Därför ska vi titta lite närmare på Säker digital kommunikation (SDK) och vad som är skillnaden mot Digital Post / Mina meddelanden.

Vad är Säker digital kommunikation (SDK)

Säker digital kommunikation är en infrastruktur från SKR/Inera och tanken med den är att offentlig sektor ska kunna kommunicera säkert med varandra, digitalt. Från och med hösten 2023 har DIGG fått i uppdrag av regeringen att ta över infrastrukturen från SKR/Inera för Säker digitala kommunikation (SDK).

Låt oss sammanfatta SDK

Kortfattat är SDK en lösning för att skicka säkra meddelanden mellan offentliga aktörer. Användarupplevelsen är ganska jämförbar med e-post, du skriver ett meddelande, bifogar eventuellt en fil (SDK har bara stöd för PDF-filer), väljer mottagare och trycker på skicka. Sedan kan även mottagaren svara.

• Tvåvägskommunikation
  • Man kan både skicka och svara på ett meddelande
• Funktionsbrevlådor
  • Man skickar och svarar som funktion och inte som person
• Mellan offentlig aktörer
  • Kommuner, myndigheter, regioner, privata vårdgivare med offentlig finansiering, privata aktörer med offentlig finansiering t.ex. skolor, hemtjänst och annan omsorg.
• Känslig och sekretessbelagd information kan utbytas
  • Man ska alltid göra en egen bedömning och egna riskanalyser

SDK används istället för:

• Personlig kurir
• Fax
• Telefon
• Brev, Rek
• eBrev (digitalt – fysisk)
• Vanlig osäker epost
• Separata lösningar för ”säker e-post”

De stora skillnaderna mellan SDK och Digital Post / Mina meddelanden är att SDK är till för kommunikation mellan offentliga aktörer och Digital Post / Mina meddelanden är från offentliga aktörer till privatpersoner. En annan viktig skillnad är att med SDK kan man svara på meddelanden vilket man inte kan med Digital post / Mina meddelanden. Dessutom riktar sig SDK till funktioner och inte personer som Digital post / Mina meddelanden gör.

För att SDK ska fungera krävs följande komponenter

Meddelandeklient / verksamhetssystem

Det är i denna komponent som slutanvändaren komponerar ihop sitt meddelande som hen vill skicka. I dagsläget finns det två programvaror som är godkända av DIGG/Inera för att användas som meddelandeklienter och det är TDialog och Sefos. Ska vi tänka jämförelse med e-post, så tänk på t.ex. Microsoft Outlook.

Meddelandetjänst

Detta är en integrationskomponent mellan accesspunkt och meddelandeklient/verksamhetssystem.
Denna är vad jag hittills sett ihop byggd med meddelandeklienten.

Accesspunkt

Detta är en standardiserad mjukvara som anpassas enligt specifikationer från DIGG. Denna ska bland annat följa det EU gemensamma eDelivery ramverket. Accesspunkten kan du antingen välja att köpa som tjänst, sätta upp en själv (finns öppen källkodsmjukvara) eller samarbeta med andra offentliga aktörer och ansluta dig till deras accesspunkt. Ska vi tänka jämförelse med e-post så tänkt mailserver som t.ex. Exchange.

Informationssäkerhet

Förutom de tekniska komponenterna så behövs det även att man uppfyller regelverk för informationssäkerhet, detta kontrolleras genom att man lämnar in en självdeklaration till SKR/Inera.

Det är lite olika saker som ska uppfyllas beroende på om man är accesspunktsoperatör eller om man ”bara” ska använda sig av SDK i form av att man har meddelandeklient/verksamhetssystem och meddelandetjänst. Men en del saker är värda att nämna som till exempel

”Användarorganisationen, för de delar av verksamheten som berörs av anslutning till SDK, bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete motsvarande standarden ISO/IEC 27000-serien. Detta innebär minst:

• Regelbundet analysera risker förknippade med anslutningen. Riskanalysen ska inkludera en åtgärdsplan som följs upp årligen.
• Förutom det som framgår av detta regelverk ska ändamålsenliga och proportionella organisatoriska och tekniska åtgärder vidtas för att hantera risker. Åtgärderna ska säkerställa en nivå av säkerhet som är lämplig i förhållande till risken.
• Tillse att lämpliga åtgärder vidtas för att förebygga och minimera konsekvenser av incidenter. Åtgärderna ska syfta till att säkerställa kontinuitet.
• Det systematiska informationssäkerhetsarbetet ska dokumenteras och revideras årligen.”

Vad ska vi logga in med?

Sedan har vi den stora frågan, vad vi ska logga in med mot SDK, vilket har koppling till DIGG:s godkända e-legitimationer. Se mer om dessa i detta här. För administratörer som ska kunna komma åt och redigera gemensamma komponenter som t.ex. metadata och adressinformation står det:

”För åtkomst och autentisering ska e-legitimation som är godkänd enligt Diggs kvalitetsmärke Svensk e-legitimation (minst LoA3) användas.”

För användare av SDK, som ska skicka och ta emot meddelanden står det:

”I första hand ska e-legitimation som är godkänd enligt Digg:s kvalitetsmärke Svensk e-legitimation (minst LoA3) användas”

Lägg märke till att precis som i Digitala Nationella Prov så ställs inget krav på att e-legitimationen ska vara utfärdad för att användas i tjänsten det vill säga så kan man rent säkerhetsmässigt använda BankID. Sedan kommer BankID med en del andra utmaningar att använda i tjänsten men det är en helt annan fråga, som ni gärna får kontakta mig för att reda ut om ni vill.

Hur ska vi gå tillväga om vi vill ansluta oss till Säker Digital Kommunikation?

Börja med att skapa dig en uppfattning om vad som krävs, både från verksamheten, it och informationssäkerhet, för att kunna ansluta sig. Det finns mer information på Ineras sida.

Viktigt att man tidigt börjar informera verksamheterna och göra en behovsanalys ute hos verksamheterna, så de är med på tåget.

Sedan är det ”bara” att identifiera vad som behövs åtgärdas för att man tekniskt, informationssäkerhetsmässigt och verksamhetsmässigt ska kunna ansluta sig till SDK och skapa en plan för hur man åtgärdar det som behövs åtgärdas.