Spår digitalt gjennombrudd
Tunge aktører i norsk næringsliv jobber med å tilby digitale signaturer på nett. På den ene siden har Telenor og Posten slått seg sammen i selskapet ZebSign. På den andre siden har medlemmene i Finansnæringens Hovedorganisasjon og Sparebankforeningen stukket sine hoder sammen i samarbeidsprosjektet BankID.
Begge sammenslutninger mener at 2003 vil bli et viktig år for å utbre digitale signaturer i Norge.
Digitale signaturer og elektroniske sertifikater kan bidra til gjøre en ny generasjon av tjenester tilgjengelig på nett. Ved bruk av koder for kryptert informasjonsoverføring skal for eksempel digitalt signerte byggesøknader, lånesøknader, og søknader om barnehageplass kunne sendes sikkert via nettet uten innsyn for utenforstående. Slike løsninger vil også kunne gjøre netthandel enda sikrere. Kodene baserer seg på løsninger basert på Public Key Infrastructure (PKI).
INFRASTRUKTUR,
IKKE TJENESTER
I dag er status for løsningen til BankID at infrastrukturen er klar. Men mange banker har ennå ikke tjenestene på plass. Likevel mener BankID altså at bankkundene snart skal få benytte løsningen.
- Nå skal de enkelte bankene tilpasse løsningen til egne behov, og lage egne tjenester, sier Grete Sørensen, koordinator i BankID-samarbeidet.
Pilotprosjekter er i gang i Gjensidige Nor, Sparebank 1 og Fokus Bank. Etter gjennomført pilotprosjekt vil bankene rulle ut tjenester til egne kunder. Deretter står tredjepart for tur.
- Vil løsninger nå ut til tredjepart allerede i 2003?
- Jeg håper det. Men mye avhenger her av hva hver enkelt bank gjør. Mange vil nok se at løsningen fungerer godt i egne tjenester før de begynner å levere til tredjepart. Det er en veldig god kvalitetskontroll, sier Sørensen.
Selv om tjenestene ennå ikke er ferdige, har BankID vært svært på offensiven i forhold til samarbeidspartnere. Sørensen kan fortelle at sammenslutningen har inngått intensjonsavtaler med 18 aktører. Men intensjonsavtalen innebærer ikke kjøpsforpliktelser, aktørene har kun forpliktet seg til å utvikle partnerprogrammet sammen med BankID. Blant de 18 finner vi Visa Norge, EDB Fellesdata, Software Innovation, SPAMA og Consult IT, for å nevne noen.
LØSNINGER
ZebSign kan skilte med å ha flere produkter på markedet. Mens BankID i første omgang satser på en softwareløsning som lastes ned på PC, og en som ligger sikkert forvart på nett, går ZebSign langt videre i produktspekter for digitale signaturer. I tillegg til rene softwareløsninger tilbyr de også løsninger hvor smartkort eller SIM-kort er integrert. En variant er å benytte engangskoder mottatt via mobiltelefon i tillegg til digital signatur og kryptert overføring.
Men til forskjell fra bankene sitter ZebSign ikke på gigantiske mengder av egne kunder som snarlig vil ta løsningen i bruk. De har imidlertid flere kjente navn på leveranselisten, som Norsk Hydro, Norsk Tipping, Storebrand og Skattedirektoratet.
Likevel har utviklingen gått tregere enn forventet. Men i januar løsnet det for ZebSign da de sammen med Buypass og Ergo vant den første store statlige PKI-kontrakten, nemlig Rikstrygdeverkets standardløsning for helsesektoren.
- Det er positivt at det offentlige endelig kommer på banen med prosjekter innen et bruksområde hvor vi vet at behovet er stort. Dette er en sterk satsning fra Rikstrygdeverkets side som gjør at vi får store forhåpninger til helsesektoren fremover, sier Jon Kummen, administrerende direktør i ZebSign.
SPILL
I tillegg til helsesektoren har han stor tro på at digitale signaturer vil ta av innen spillsektoren og kommune-Norge i tiden fremover. I tillegg er løsninger basert på Virtual Private Network (VPN) til bedriftsmarkedet et viktig satsningsområde.
- Er 2003 året da digitale signaturer kommer til ta av?
- Når større lokomotiver som Rikstrygdeverket går foran, ser vi realisme i at det kan bli volum på relativt kort sikt. Men vi jobber mot evolusjon, ikke revolusjon, sier Kummen.
Selskapet opplevde en tredobling i salget av digitale sertifikater i 2002, i forhold til året før. Ved inngangen til 2003 var om lag 100.000 eksemplarer solgt. Kummen tror på ny stor økning i 2003. Selskapet er i dialog med flere mulige samarbeidspartnere. Men han blir hemmelighetsfull når det er snakk om nye avtaler og kontrakter. Kommune-Norge er imidlertid i fokus, Kummen vil ikke si hvilke kommuner de er i dialog med, men kommunene befinner seg i Oslo-området og i midt-Norge.
Troen på offentlig sektor som lokomotiv deles også av leder av PKI-forum, Paul Chaffey.
- Det er få lokomotiver i norsk næringsliv, og privat sektor er litt nede for telling. Derfor er det offentlig sektor som er interessant, sier han.
Chaffey har også tro på at det offentlige kan bidra til å sette standarder for hva som er tilstrekkelig sikre løsninger.
- De kan lage kravspesifikasjoner som offentlige instanser må følge. Dette kan danne de-facto standarder. Slike standarder blir ofte gjeldene også for andre kundegrupper, sier han.
Dette kan for eksempel dreie seg om krav til at en sikkerhetsløsning både bør bestå av software og hardware.
IKKE PROBLEM
Mange frykter at de ulike sikkerhetsløsningene ikke skal fungere sammen. Men i følge Grete Sørensen vil ikke problemet med samtrafikk bli så stort som det ofte fremstilles.
- Jeg føler at dette er overdramatisert. Vi har et utmerket samarbeid i PKI-forum, og har jobbet sammen i halvannet år. Her har vi nettopp lagt frem forslag til en handlingsplan for 2003 for å unngå samtrafikk-problemer, sier hun.
- Men software-løsningene fra bankene og Zebsign snakker jo ikke sammen. Vil ikke dette få konsekvenser for kundene?
- Det er ikke så viktig at de skal snakke sammen, men det er vesentlig at de fungerer sammen og fungerer så ukomplisert og nyttig som mulig, sier hun.
For å få dette til mener hun det er viktig at implementeringen er enkel. Hun mener også at kundene bør spares for å kjøpe mye teknologi for å benytte ulike løsninger, som for eksempel flere ulike smartkortlesere.
Sørensen avviser imidlertid ikke at brukerne på sikt kan bli nødt til å benytte mer enn en løsning for å dekke sine transaksjonsbehov. Men hun finner dette lite bekymringsverdig. Derimot mener hun at brukerne kan ønske å ha noen ulike IDer for å skille mellom ulike roller, for eksempel rollen som ansatt i en bedrift og som privatperson. I tillegg vil ulike tjenestetilbydere kunne ha ulike behov.
- Hvilken løsning det er hensiktsmessig å benytte til en transaksjon vil avhenge av både sikkerhetsnivå og pris. Her er det opp til brukerstedene å definere sine behov. Det er dette som er konkurranse. Ingen vil være tjent med at én utsteder får diktere markedet, sier hun.
Sørensen mener det er andre problemstillinger enn samtrafikk som i dag er mer vesentlige i forhold til å gjøre digitale signaturer utbredt.
- Jeg tror det er mye større utfordringer knyttet til tjenester, til å få andre aktører til å se nytten av digitale signaturer for deres løsninger. Her er vi så vidt på vei ut av startgropa, sier hun.
KONKURRANSE OG SAMARBEID
Både BankID og ZebSign er på sikt prisgitt det offentlige og private tjenestemarked for å oppnå suksess. Samtidig samarbeider de i PKI-forum. Men de er også konkurrenter. Rollen som den tiltrodde tredjepart henger høyt i kurs. Både ZebSign og ulike banker vil gjerne ha denne posisjonen hos tjenestetilbyderne.
Men når det gjelder teknisk infrastruktur er ikke bildet like entydig. ZebSign kan bli aktuell som underleverandør for banker i BankID-samarbeidet. Dette bekreftes av BankID.
- Pilotene i BankID er basert på teknisk infrastruktur fra BBS. Men når bankene utvikler egne tjenester står de fritt til å velge underleverandører, sier Sørensen.
Konkurranse utenfra vil sannsynligvis også komme. Men Kummen mener utenlandske aktører vil finne det mest hensiktmessig å samarbeide med de norske tiltrodde tredjepartene, blant annet på grunn av nasjonale krav til sikker oppbevaring av persondata.
Når det gjelder tekniske løsninger, tror Chaffey at både utenlandske og norske aktører vil delta i konkurransen. Han tror utenlandske aktører som vil inn på markedet vil tilpasse løsningene til det som allerede finnes her. Og mye av det som finnes i Norge har allerede internasjonalt tilsnitt fordi utenlandske underleverandører benyttes.
Hvis digitale signaturer for alvor når ut til tredjepartstilbydere i år, så vil Norge være godt i rute i europeisk sammenheng. Men akkurat hvordan vi ligger an i forhold til andre land vil være svært vanskelig å måle. Mange land har prosjekter på gang både i privat og offentlig sektor. Men Nærings- og handelsdepartementet kjenner ikke til noe land i Europa der folk har én, privat digital ID til allmenn bruk. I enkelte land, som Danmark og Finland, har det imidlertid vært gjort forsøk på å dele ut smartkort til befolkningen. Men noe utbredt tilbud av tjenester har ikke eksistert. Dermed har innbyggerne i liten grad kunnet nyttiggjøre seg av smartkortet.