Hvor sikkert er sikkert nok?

Hvordan skal en IKT-tjeneste i utdanningsektoren kunne finne ut hvor sikker den må være på at en person er den han/hun utgir seg for før den slipper denne personen inn? Hvilke kriterier skal en se etter og hva er “sikkert nok”?

For snart et år siden kom “Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor” fra FAD og selv om dette er et godt dokument og vel verdt å lese er det veldig generelt. Det skal jo dekke alle deler av det offentlige og må derfor være overordnet.

Det fine med rammeverket er at det definerer et sett med risikonivåer med tilhørende sikkerhetsnivåer. Så om du klarer å finne ditt risikonivå så får du “tildelt” et sikkerhetsnivå med krav som må følges for å kunne tilfredstille dette nivået.

Vi har nå satt i gang et prosjekt som vi håper skal gjøre det lettere for tjenester i utdanningsektoren å finne sitt risikonivå. I og med at vi avgrenser oss til vår sektor kan vi være mer konkrete i hvordan en kan vurdere tjenesten og vi ønsker lage en tilnærming/veileder som kan brukes av skoleeiere og tjenesteleverandører. Prosjektet vil gå utover våren og vi vil komme med mer informasjon etterhvert.

Det vil bli interessant å se hvordan sektoren vurderer tjenestene sine, spesielt om en ser nivåene i sammenheng med tjenester i andre sektorer/etater som helse, NAV, o.l. Andre typer risikoer, men noen er kanskje store? Vi får se.

Hva er sikkert nok? Hvordan kommer balansen mellom sikkerhet og brukervennlighet inn i dette? Sikkerhet og kostand?