Tillitsnivåer och LoA - vi reder ut begreppen

Loanivåer

Hur säker kan din organisation vara på att den som loggar in till era e-tjänster eller system på sin telefon eller i datorn verkligen är rätt person? Och hur hög är er förmåga att skydda er och andras information mot dataintrång och andra cyberangrepp? Det är i grunden, om än lite förenklat, vad LoA handlar om. Vilken nivå just er organisation behöver beror på en rad olika faktorer.

Först, vad är LoA?

LoA (Level of Assurance) är ett tillitsramverk som används för att värdera hur tillförlitlig och säker en organisations hantering av identiteter är. Amerikanska National Institute of Standards and Technology (NIST) tog fram ett av de första ramverken. Det har sedan kommit att ligga till grund för många organisationers och länders egna standarder. Den standard som i sin tur har fått störst genomslag är den internationella ISO/IEC 29115. Där delas LoA-nivåerna upp i fyra delar utifrån graden av tillit och hur säker kontrollen av identiteterna är.

De fyra LoA-nivåerna är:

LoA1: Användarens identitet (entity på engelska) kan inte styrkas, kanske används enbart en e-postadress eller telefonnummer för identifiering. Tilliten till identiteten av en LOA1 är mycket låg.

LoA2: Användarens identitet kan kopplas till exempelvis användarnamn och lösenord. Bör enbart användas när skyddsbehovet av informationen är lågt.

LoA3: Användarens identitet skyddas genom minst tvåfaktorsautentisering som innebär att personen identifieras med hjälp av något som enbart den personen har tillgång till, exempelvis en engångskod eller säkerhetsnyckel. Identifieringens äkthet skyddas av den höga trovärdigheten i livscykelhanteringen. Används när skyddsbehovet av informationen är relativt högt.

LoA4: Användarens identitet kan styrkas med en identitetshandling som har lämnats ut vid ett personligt möte med en betrodd utgivare. Används när skyddsbehovet av informationen är mycket högt.

Vad gäller i Sverige?

Nämnda ISO/IEC-standarden ligger även till grund för det nationellt anpassade tillitsramverket i Sverige. Myndigheten för digital förvaltning – DIGG – står bakom och använder det för att granska och godkänna e-legitimationer för det statliga kvalitetsmärket för e-legitimering; Svensk e-legitimation. Några skillnader mellan svenska tillitsnivåer och LoA enligt ISO/IEC finns dock.

Tillitsnivå 1: Ingår inte i det svenska ramverket eftersom det inte kräver legitimering. Här ingår även i DIGGS definition även användarnamn och lösenord.

Tillitsnivå 2: Identiteten kan styrkas med tvåfaktorsautentisering, exempelvis genom något som enbart användaren kan ha tillgång till som en engångskod.

Tillitsnivå 3: Precis som enligt ISO/EIC måste identiteten kunna styrkas med exempelvis en godkänd identitetshandling eller e-legitimation. Här återfinns de av DIGG godkända e-legitimationerna Freja eID Plus och BankID, samt Freja Organisations eID och SITHS för identifiering i tjänsten.

Tillitsnivå 4: Liksom enligt ISO/EIC krävs ett personligt möte för att verifiera identiteten. Användaren kan även identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på till exempel ett plastkort, en mobiltelefon eller en USB-enhet. Svenska Pass är den enda godkända e-legitimationen som uppfyller högsta nivån.

Vad gäller i EU?

ISO/IEC-standarden ligger också till grund för identifiering med utländska e-legitimationer inom EU vilket styrs av eIDAS-förordningen. Där delas dock nivåerna upp i tre istället för fyra; låg, väsentlig och hög. Offentliga verksamheter ska erbjuda inloggning i sina tjänster med utländska e-legitimationer genom eIDAS.

Så, vilken LOA-nivå behöver just er organisation och era tjänster?

Ibland utökas LoA-frågan till att förutom handla om grad av skydds- och säkerhetsbehov till att också hantera vilka tekniska ramverk som ska uppfyllas för autentiseringen. Viktiga frågor, men separerade från LoA-definitionen enligt oss. Vårt råd är att först fundera över vilka behov organisationen har innan beslut om LoA-nivå tas.

Frågor att ställa för att bestämma LoA-nivå

  • Vilken standard ska gälla för oss? Är det ett absolut krav att metoden för identifiering är officiellt godkänd av DIGG, uppfyller ISO/IEC eller räcker det med att kraven om en viss bestämd LoA-nivå ändå kan uppfyllas?
  • Hur stor blir skadan om informationen som ska skyddas kommer i orätta händer?
  • Vilken organisation eller så kallad IdP-leverantör hanterar datan som autentiseringen sker emot? Vem skapar identitetsintyget som bekräftar vem användaren är som vill ha åtkomst till en tjänst?
  • Om vi själva står för användarkatalog, exempelvis i ett AD-konto, hur ser informationssäkerheten ut i övrigt?
  • Det hänger i sin tur samman med frågan om vilka det är som som ska identifieras och i vilket syfte? Räcker det med personer med inkomst och bankkonton? Eller bör det vara alla som befinner sig i Sverige? Är det alla anställda, kunder, medlemmar? Finns det användare utomlands?
  • Vad är ett rimligt pris att betala för aktuellt behov?
  • Hur lång tid är vi beredda att vänta på anslutning?

Svensk e-identitet hjälper er med både råd och anslutning

Oavsett era svar motsvarande LoA 2-4 har Svensk e-identitet en lösning för er. Allt ifrån enklare inloggningsmetoder och egna lösningar till samtliga av DIGG godkända svenska e-legitimationer.

Varmt välkommen att kontakta oss!