IT- og digitaliseringschef Nikolaj Kolte, Holstebro Kommune, mener, at implementeringen af NSIS (National Standard for Identitets Sikring) er godt for digitaliseringen i landets kommuner, da det løfter sikkerheden. Men han kalder det direkte “uheldigt”, at der er inkluderet ekstern revision, som hvert år skal godkende kommunens NSIS-implementering gennem en årlig certificering.
Det er noget af en opgave landets kommuner er kastet ud i med implementeringen af NSIS, som er en sikring af den enkelte medarbejders identitet, når han eller hun kobler sig på en fællesoffentlig løsning, som Skat, Virk.dk, arbejdsmarkedssystemer, sociale systemer og økonomisystemer. IT- og digitaliseringschef Nikolaj Kolte, Holstebro Kommune, mener, at NSIS er godt for digitaliseringen og sikkerheden.
“Vi får løftet vores sikkerhed, så vi fremover er sikre på, at vores medarbejdere, der logger på de nationale løsninger, også er dem, de siger, de er. Det er rigtig, rigtig godt. Det giver stor sikkerhed og autenticitet. Men jeg havde gerne set, at implementeringen af NSIS var blevet en del af den almindelige IT-revision. Nu kommer der et nyt eksternt NSIS-revisionsspor i organisationen, som kræver en årlig certificering I den proces, som vi har været igennem indtil nu, er det vores opfattelse at mange fortolkninger bliver overladt til revisoren. De har fået ret stor magt. Det havde været bedre for os, hvis Digitaliseringsstyrelsen havde stillet kravene direkte til kommunerne og en myndighed kontrollerede,” siger Nikolaj Kolte.
Holstebro Kommune har i mange år benyttet sig af Signaturgruppens løsning til login. Medarbejderne kobler sig på fællesoffentlige løsninger med brugernavn en signatur og deres almindelige kodeord, som også bruges til kommunens it-systemer. Det vil kommunen også gerne have, at de kan gøre via en lokal IdP (Identity Provider) som indgang, når de skal på et fællesoffentligt system. Herefter kan medarbejderen identificere sig med MitID Erhverv og en to-faktor-enhed, som f.eks. en app eller en elektronisk nøgleviser.
“Vi har ikke brugt to-faktor login før, men vi har gennem vores nuværende løsning haft den ekstra sikkerhed lagt ind, som en integreret del af vores infrastruktur, at når brugerne for eksempel møder Virk.dk, bliver de mødt af en login prompt, hvor de skal bruge deres signaturfil, brugerid og kodeord. Så skal medarbejderne ikke huske en masse forskellige kodeord eller signaturer, hver gang de møder en ny løsning. Vi har altid taget det ret alvorligt,” siger Nikolaj Kolte.
NSIS implementeringen bliver en ekstra sikkerhed, fordi privat MitID kommer med i ligningen, når den ansatte første gang ibrugtager sit MitID-Erhverv.
Temmelig længe undervejs
Ifølge projektleder, Stine Wagner Larsen, som har ansvaret for implementering af NSIS og MitID Erhverv i Holstebro Kommune, har NSIS-projektet været temmelig længe undervejs. Projektet begyndte før coronanedlukningen i begyndelsen af 2020, men under corona pandemien stod det stille - bl.a. pga. udsættelser fra Digitaliseringsstyrelsen.
“Det er den proces, vi har forberedt os på og nu er klar til. Vi besluttede ret tidligt i processen, at vi ville have en lokal IdP-løsning installeret. Fordi vi netop gerne vil fortsætte den brugeroplevelse, hvor medarbejderen kan beholde sit brugernavn og kodeord fra dagligdagen, og så derfra steppe op til NSIS. Den beslutning traf vi i 2020”.
“Vi har så valgt at fortsætte samarbejdet med Signaturgruppen og implementere deres lokale IdP, for at kunne løfte brugerne over i det nye miljø på en god og sikker måde, samtidig med at vi bevarer den gode bruger-
oplevelse, som vi hele tiden har haft. Vi har jo sat os ind i NSIS-standarden, og brugt meget tid på at vælge det bedste tekniske set-up i samråd med Signaturgruppen. Jeg vil også sige, at det er et ret dynamisk miljø, da NSIS fortolkningerne flytter sig hele tiden, så løsningen og organisationen er også nødt til at flytte sig, fordi vi skal opfylde kvalitetskontrollerne for at få vores revisionserklæring,” siger Stine Wagner Larsen.
Utryghed
At vilkårene flytter sig hele tiden skaber en vis utryghed i organisationen.
Nikolaj Kolte: “Der er mange fortolkningsspørgsmål, som vi kan være nervøse for nu og her, og som vi nu skal i gang med. Vi har forberedt os godt, og vi har været alle vores processer igennem med tættekam. Vi kan sige, Vi er kommet igennem mange IT-revisioner med få anmærkninger, men med NSIS er der tale om langt flere krav med mulighed for flere fortolkninger, der rykker sig. At vi er kommet godt igennem den finansielle IT-revision betyder ikke, at det automatisk vil ske med NSIS-revisionens pre-audit. Vi har forberedt os så godt vi kan, men de fortolkningsmæssige krav og revisionens indflydelse på kravene, skaber en utryghed i organisationen.”
IT-og digitaliseringschefen siger, at NSIS-opgaven har været en et besynderligt forløb med mange forsinkelser, og de strammere krav medvirker til, at ledelsen har involveret sig meget i opgaven. Holstebro Kommune arbejder efter en pre-audit i slutningen af marts 2023, og har sat en måned yderligere af til den endelige audit.
“Jeg synes, at revisionen af NSIS er en betragtelig økonomisk udgift, som vi skal sætte penge af til. Ikke nok med det, så får revisorerne en voldsom magt i audit. Vi kunne godt have tænkt os, at få nogle mere firkantede, ikke-fortolkbare krav, fra Digitaliseringsstyrelsen,” siger Nikolaj Kolte.
Løfter kvaliteten
Selvom NSIS implementeringen er lang og sej, arbejder Holstebro Kommune efter at få sidegevinster ud af forløbet. De mange og høje kvalitetskontroller i NSIS, vil Nikolaj Kolte gerne have effekt af parallelt med implementeringen af identitetssikringen.
“Vi har en række ændringsprocesser (change management) om, hvordan vi opdaterer vores it-løsninger. Kan vi blive bedre til at opdatere kritiske komponenter over en bredere kam? Vi synes, vi gør det godt allerede, men NSIS implementeringen har presset os yderligere, da vi ved, vi skal revideres. Det vil vi bruge til at forberede opdateringer af software i vores infrastruktur på vores netværk endnu bedre,” siger Nikolaj Kolte.
Nikolaj Kolte fortæller videre, at der tidligt i processen blev implementeret nye brugerrettede værktøjer, som kræves for at ibrugtage i NSIS i praksis. F.eks. egenkontrol af kodeord. ”De processer har vi indført, så medarbejderne skal autentificeres via privat MitID. Nu kan en medarbejder ikke bare ringe ind til vores servicecenter, og få skiftet sit kodeord. Så dele af de værktøjer, som skal bruges af medarbejderne, når vi begynder at anvende NSIS lokal IdP’en, er allerede implementeret. Næste skridt bliver to-faktor login for step-op til NSIS, når det kræves af it-systemet.”