Næste generation af digital signatur?
Vi er knap nok færdige med at tage anden generation af digital signatur kaldet NemID i anvendelse, så hvem orker at tænke på næste generation nu? Alligevel er det faktisk nødvendigt, når vi ser på, hvor lang tid det tog at planlægge, udbyde og implementere den nuværende løsning.
Danmark er på en længere rejse med digital signatur, startende i 2003 og indtil videre rækkende frem til slutningen af 2017, hvor den nuværende aftale om NemID med DanID udløber.
Det er nok ret uhørt i it-verdenen at have fjorten år med nogenlunde stabile standarder og forretningsmodeller. Dette har undervejs givet mulighed for at beskytte de store investeringer, der er foretaget i infrastrukturen, og i de tjenester der anvender signaturen.
”Arvesølvet” bag digital signatur-infrastrukturen er i mine øjne de offentligt ejede certifikat-politikker OCES1 og OCES2, som fastlægger sikkerhedsniveauet, den tilhørende ansvarsfordeling mellem brugere af infrastrukturen og endelig de tekniske standarder og det offentlige tilsyn.
Hvor de tekniske standarder på tjenestesiden har været stabile, har der derimod været flere forskellige implementeringer af den digitale signatur ude hos slutbrugerne, startende med en softwarebaseret løsning tilbage i 2003 og nu domineret af den centrale løsning med ”papkortet” markedsført som NemID.0.
Både første og anden generation af digital signatur fra henholdsvis TDC og DanID har igennem årene været genstand for stor interesse og heftige diskussioner i medier og fagkredse. Men trods kritik af teknologi, brugervenlighed, sikkerhed og mange andre emner, er der vel i dag få, som ikke mener, at vi har brug for en lignende mekanisme i vores viderudvikling af digital forvaltning og tjenesterne på nettet?
Kigger man på, hvor lang tid det tog at planlægge, udbyde og indføre NemID og den nye medarbejdersignatur fra 2006 til 2010, er det faktisk ved at være tid til at planlægge forløbet omkring den næste generation af digital signatur. Og det er jo næsten ikke til at bære, for vi er ikke engang færdige med at få den nye medarbejdersignatur rullet ud endnu!
Og det er lidt af en opgave vi står overfor: Hvordan finder vi de rigtige sikkerhedsløsninger til signaturen i 2018, og hvilke devices vil vi ønske at bruge signaturen på i 2020’erne? Tilbage i 2006-2007 kunne man for eksempel ikke se udviklingen i smartphones endnu, og Java var den sikreste og bredest understøttede platform til sikkerhedssoftware. Det er selvfølgelig en stor udfordring at skulle igennem et så langstrakt planlægnings-, udbuds- og implementeringsarbejde på et så dynamisk område.
Et andet interessant spørgsmål er, hvad næste generation af digital signatur egentlig må koste? OCES1 kostede tilbage i 2003 det offentlige ca. 50 mio. over 5 år, og nåede ud til mere end én mio. privatbrugere. Den offentlige andel af OCES2/NemID regningen er i størrelsesordenen 218 mio. i perioden 2010 til 2015, og når i dag ud til ca. 3,8 mio. privatbrugere. Den økonomiske ramme for NemID er i øvrigt yderligere beskrevet i denne artikel, som også beskriver den store medfinansiering fra private interessenter.
Medtager man antallet af medarbejder-, virksomheds- og funktionssignatur, kan man med lidt gennemsnitsregning godt forsvare at mene, at den centrale offentlige del af finansieringen af OCES1 var i omegnen af 15 kr. pr. bruger pr. år, imens OCES2 med den store volumen måske kan snige sig ned imod 10 kr. pr. bruger pr. år.
Det er da billigt!
Men den centrale offentlige finansiering afspejler ikke de samlede omkostninger ved at etablere og drive infrastrukturen. Som det kan ses af den refererede artikel, omfattede budgettet for NemID en deling af regningen med halvdelen til netbankerne, en fjerdedel til det offentlige og en fjerdedel finansieret af digital signatur-infrastrukturen selv.
Så hvad må OCES3 mon koste, og hvordan skal regningen deles næste gang?
Er der grund til at lave om på ansvarsfordelingen mellem offentlige og private aktører? Bør det offentlige for eksempel eje flere dele af infrastrukturen for at øge kontrollen og indflydelsen?
Kan vi få netbankerne med igen, eller er digital forvaltning også kørende uden netbankerne, når vi kommer frem til 2018?
Dette er blot nogle af de vigtige spørgsmål, som det offentlige skal til at begynde en afklaring af. Gad vide, om der egentlig er nogen, der har energi til at bekymre sig om dette her midt i en krise og andre fortrædeligheder?
Morten Storm Petersen er oplægsholder på DIT's konference om offentlig digitalisering, der foregår den 22.-23. maj i Århus. Han er direktør for Signaturgruppen, der udbyder sikkerhedsløsninger inden for bl.a. digital signatur og digital identitet.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.