Tida moden for digital signatur

Første bruker er helsesektoren

Den første norske løsningen for digitale signaturer er en realitet. Etrinell og Sysdeco Profdoc står bak systemet som er laget for helsevesenet. Et smartkort med hemmelig kode skal gjøre det sikkert for legen å sende elektroniske meldinger.

Heidi Egede-Nissen

To pilotprosjekter er i drift i Norge. På Høybråten legesenter i Oslo og Åsnes legekontor på Flisa brukes digitale signaturer i forbindelse med overføring av elektroniske legeregninger til Rikstrygdeverket (RTV). Sammen med RTV har Etrinell A/S og Sysdeco Profdoc A/S utviklet et system som integrerer EDIFACT-meldinger i journalsystemet.

Tiltrodde tredjeparter

Men flere viktige oppgaver må løses før digitale signaturer kan tas i ordinær bruk i ulike sektorer. Såkalte tiltrodde tredjeparter (TTP) må etableres for å få til sikker bruk av digitale signaturer.

Et utvalg har lagt fram en rapport hvor det foreslås å tilrettelegge en infrastruktur for å gjøre digitale signaturer absolutt sikre i bruk. Teknologisk er de fleste komponenter for å bygge en sikker EDI-infrastruktur på plass, men spørsmålet er hvordan ansvaret skal fordeles og organiseres.

Utvalget, som har bestått av Norsk EDIPRO, Norges Forskningsråd, departementer, Datatilsynet, Riksrevisjonen, Kredittilsynet, Norges Bank, Statens teleforvaltning, KITH og Televerket, foreslår hvem som kan fungere som tiltrodde tredjeparter i et system hvor digitale signaturer brukes.

En tiltrodd tredjepart skal bekrefte at den som bruker en digital signatur virkelig er den han gir seg ut for å være. Denne tredjeparten må være en aktør som både avsender og mottaker kan stole på.

Televerket vil

Mange ønsker å bli en tiltrodd tredjepart etterhvert som markedet for overføring av sensitiv informasjon ved hjelp av EDI vokser. Televerket har signalisert at de ønsker å ha en slik rolle. Utvalget mener Televerket har flere fordeler som TTP, men det er usikkert om markedet stoler nok på Televerket som sertifikatutsteder, heter det.

En sertifikatutsteder skal blant annet verifiserere kvaliteten på de offentlige nøklene i en digital signatur, registrere sertifikater i en database, utstede nye sertifikater og vedlikeholde en svarteliste over sertifikater som "misbrukes".

Men flere aktører er aktuelle for å sertifisere og registrere brukere av digitale signaturer. Utvalget mener bankene er svært velegnet på grunn av utbredelse over hele landet. Dessuten vil svært mye av den forventede EDI-trafikken være finansielle transaksjoner hvor banker er inne i bildet.

Sentrale offentlige myndigheter, som Statens teleforvaltning og Norges Bank er andre mulige sertifikatutstedere. Utvalget tenker seg også at et kommende IT-departement får et overordnet ansvar på dette feltet.

Det nye Enhetsregisteret i Brønnøysund er et godt alternativ, mener utvalget. Her vil alle organisasjoner være registrert. Her registreres også hvem som signerer for disse, og Enhetsregisteret vil derfor kunne bekrefte personer som signerer på vegne av bedrifter.

I helse- og trygdesektoren er Rikstrygdeverket (RTV) en mulig sertifikatutsteder. I denne sektoren er digitale signaturer allerede i bruk.

Smartkort best

RTVs legeregningsprosjekt, med bruk av EDI-meldinger mellom privatpraktiserende leger og RTV for refusjon av legereregninger, er godt i gang. Neste skritt er elektroniske resepter og sykemeldinger, hvor bruk av digitale signaturer er nødvendig.

-- RTV kan få et stort EDI-volum over natta. Elektronisk handel vil også bli viktig, og da er det EDIFACT man må standardisere på. En god x.400-infrastruktur, produkter og integrasjon mellom løsninger er på plass. Nå mangler bare en god organisering, sier Per Ole Johansen, daglig leder i Etrinell A/S.

For å få til sikker utveksling av EDI-meldinger er smartkort best, mener han. Kortet består av en spesialutviklet mikroprosessor og minne. Nøkkelen lagres og krypteringen utføres i kortet. Den hemmelige nøkkelen forlater aldri kortet, og kan derfor ikke kompromiteres.

Kortet som Etrinell og Sysdeco Profcoc bruker til elektronisk overføring av legeregninger er basert på et system fra Philips. Løsningen håndterer også sykemeldinger og resepter.

-- EDI i journalsystemet skal ikke være til bryderi. Derfor har vi utviklet en EDI-server - MediLink - som tar seg av alle medinger til og fra applikasjoner og brukere, sier Johansen.

EDI-serveren vil i dette systemet gjøre rutinejobbene, som for eksempel hente labprøvesvarene, som ellers ville ha vært helsepersonellets oppgave.

SMART: Et smartkort med legens digitale signatur og EDI-serveren Medi-Link vil gjøre det mye enklere å sende legeregninger, resepter og sykemeldinger. Men legen må huske på å ha smartkortet på seg hele tiden, sier Per Ole Johansen, i Etrinell A/S. (Foto: Heidi Egede-Nissen)


			Sikker EDI

* Mange aktører jobber for å få til sikker bruk av EDI (elektronisk dokument utveksling) i sektorer som behandler sensitiv informasjon.

* Digitale signaturer (DS) vil sette fart på bruken av åpen EDIFACT på nye områder. Målet er å bruke EDI, der jussen nå skaper hindringer. DS er nødvendig når en underskrift skal bevise at noe er gyldig.

* DS består av to ulike nøkler som hører sammen, og som begge tilhører avsender. Den ene nøkkelen er avsenderens hemmelige, som skal brukes til signeringen. Den andre er en offentlig nøkkel som "alle" kan få tak i, og som benyttes til å verifisere signaturen.

* Tiltrodd tredjepart (TTP) skal bekrefte om den offentlige nøkkelen tilhører den som bruker den. TTPen kan også disribuere offentlige nøkler. Dette må være en aktør som både avsender og mottaker stoler på.