Ferill 62. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
149. löggjafarþing 2018–2019.
Þingskjal 324 — 62. mál.
Svar
fjármála- og efnahagsráðherra við fyrirspurn frá Andrési Inga Jónssyni um aðgang að rafrænni þjónustu hins opinbera.
1. Eru uppi áform um að rafrænir auðkennislyklar á borð við Íslykil og veflykil ríkisskattstjóra víki fyrir rafrænum skilríkjum líkt og raunin er með aðgang að heilbrigðisgáttinni Heilsuveru?
Árið 2007 var undirritaður samstarfssamningur til milli fjármálafyrirtækja og fjármálaráðuneytisins um þróun og útgáfu rafrænna skilríkja á Íslandi sem byggja á svokölluðu PKI-dreifilyklaskipulagi (e. Public Key Infrastructure). Grundvöllur samstarfsins byggist á sameiginlegum hagsmunum þessara aðila um að tryggja örugg stafræn samskipti fyrir almenning á Íslandi. Þjónusta hins opinbera krefst þess oftar en ekki að almenningur sé í viðskiptum við fjármálastofnun, þ.e. hafi bankareikning, og því er þetta samstarf mikilvægt í veitingu stafrænnar opinberrar þjónustu.
Hlutverk ríkisins í þessu samstarfi er ekki síst að skapa traust til rafrænna skilríkja. Traust til útgefanda rafræns skilríkis byggist á trausti þess aðila sem vottar hann. Í einfölduðu máli eru þrjú stig skilríkja: rótarskilríki, milliskilríki og endaskilríki, þar sem rótarskilríkið gefur út og vottar milliskilríkið og milliskilríkið gefur út og vottar endaskilríkið (þ.m.t. rafrænt persónuskilríki).
Íslandsrót er rótarskilríki fyrir Ísland sem ætlað er að staðfesta áreiðanleika annarra skilríkja sem gefin eru út á Íslandi. Íslandsrót er gefin út af fjármála- og efnahagsráðuneytinu og er eign þess. Íslandsrót er sjálfsvottuð, þ.e. íslenska ríkið hefur sjálft vottað hana. Auðkenni ehf. er eini handhafi milliskilríkis á Íslandi, en félagið var stofnað í tengslum við ofangreindan samstarfssamning og er í eigu helstu fjármálastofnana í landinu auk Símans. Eftirlitsaðili með starfsemi Auðkennis er Neytendastofa og fer starfsemin m.a. fram samkvæmt lögum um rafrænar undirskriftir, nr. 28/2001, og reglugerð nr. 780/2011.
Ástæða lítillar samkeppni um útgáfu rafrænna skilríkja og veitingu vottunarþjónustu hér á landi er fyrst og fremst í sá hái kostnaður sem felst í uppbyggingu innviða vegna þjónustunnar. Aðilar hafa ekki séð tækifæri í að leggja í svo háan stofnkostnað fyrir jafn lítinn markað og er hér á landi fyrir þjónustu af þessu tagi. Benda má á að ríkið reiðir sig á einkaaðila víðar við veitingu opinberrar þjónustu og því er þjónusta Auðkennis ehf. ekki einsdæmi í þessum efnum. Þannig verður ekki séð að hægt sé að nota rafræna auðkenningu án þess að vera í viðskiptum við símafyrirtæki; ef netið er notað þarf að vera í viðskiptum við fyrirtæki sem veitir internetþjónustu. Fyrirtæki sem veitir auðkenningarþjónustu er þannig einungis einn hlekkur í keðjunni milli tveggja aðila þar sem þörf er á tryggri auðkenningu.
Rafræn skilríki eru í vaxandi mæli hluti af innviðum samfélagsins og mikill ávinningur er af því að almenningur geti notað sömu öruggu auðkenninguna og fullgilda rafræna undirskrift hjá öllum þjónustuveitendum, bæði hjá hinu opinbera og fyrirtækjum á almennum markaði.
Upplýsingatæknin gegnir mikilvægu hlutverki við þjónustuveitingu ríkisins og er eitt helsta tækifæri til hagræðingar og umbóta í ríkisrekstri. Innan ráðuneytisins er unnið að eflingu stafrænnar opinberrar þjónustu, þvert á stofnanir ríkisins, til þess að svara auknum kröfum einstaklinga og fyrirtækja. Þar gegna rafræn skilríki veigamiklu hlutverki.
Stefnt er að því að rafræn skilríki sem byggjast á PKI-dreifilyklaskipulaginu verði meginauðkenningarleið við veitingu stafrænnar opinberrar þjónustu og að öðrum auðkenningarleiðum verði fækkað samhliða. Ríkið nýtir þrjár meginauðkenningarleiðir í þjónustu sinni: Íslykil, sem rekinn er af Þjóðskrá, veflykil RSK og rafræn skilríki sem byggjast á Íslandsrót. Þær tvær fyrrnefndu eru ekki af sama fullvissustigi og rafræn skilríki og teljast t.a.m. ekki hæfar til fullgildrar undirskriftar.
Til þess að meta notagildi einstakra auðkenningarleiða ber að líta til hve hátt fullvissustig hver og ein leið uppfyllir. Atvinnu- og nýsköpunarráðuneytið vinnur nú að innleiðingu svokallaðrar eIDAS-reglugerðar nr. 910/2014/ESB, þar sem kveðið er á um fullvissustig, sem flokkast á eftirfarandi hátt:
* Lágt fullvissustig: Vísar til rafrænnar auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur nokkra tiltrú á kennslum sem aðili gerir tilkall til.
* Verulegt fullvissustig: Vísar til rafrænnar auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur verulega tiltrú á kennslum sem aðili gerir tilkall til.
* Hátt fullvissustig: Vísar til rafrænnar auðkenningarleiðar undir rafrænni auðkenningarskipan sem gefur meiri tiltrú en verulegrar á kennslum sem aðili gerir tilkall til.
Rafræn skilríki undir PKI-dreifilyklaskipulaginu uppfylla „hátt fullvissustig“. Tvær útgáfur eru af Íslykli, hefðbundinn, sem krefst notandanafns og lykilorðs, og svokallaður „styrktur Íslykill“, sem krefst jafnframt staðfestingar notanda með SMS eða tölvupósti. Styrktur Íslykill er talinn uppfylla „verulegt fullvissustig“.
Tekin hefur verið ákvörðun um að leggja veflykil RSK af og taka upp rafræn skilríki í hans stað.
Líta verður til þess að þjónusta ríkisins krefst ekki öll „hás fullvissustigs“ auk þess sem lögaðilar hafa ekki kost á rafrænum skilríkjum. Mikilvægt er að styrkur auðkenningarleiðarinnar sé í samræmi við viðkvæmni þeirrar þjónustu sem verið er að veita. Stofnunum ber að meta viðkvæmni þeirrar þjónustu sem veitt er og bjóða upp á auðkenningarleiðir í samræmi við það.
2. Telur ráðherra ástæðu til að tryggja aðgang að þjónustu hins opinbera með því að sjá almenningi fyrir rafrænum skilríkjum sem krefjast þess ekki að viðkomandi sé í viðskiptum við einkaaðila?
Ráðherra telur mikilvægt að almenningi verði áfram tryggður aðgangur að rafrænum skilríkjum og að tryggja beri samfellu í útgáfu þeirra. Sú leið sem farin hefur verið tryggir almenningi möguleikann á að nýta sama skilríkið til auðkenningar hjá fjármálastofnunum og opinberum aðilum, auk þess sem einkaaðilar bjóða í auknum mæli upp á notkun rafrænna skilríkja. Þá hefur ríkið byggt upp miðlæga auðkenningarþjónustu, sem nefnist Innskráningarþjónusta Ísland.is og veitir almenningi og lögaðilum kost á að auðkenna sig inn á vefi opinberra aðila, einkaaðila og félagasamtaka með Íslykli og rafrænum skilríkjum. Í þessu felst aukið öryggi og hagræði fyrir samfélagið.
Líkt og fyrr er rakið hefur ríkið tekið virkan þátt í uppbyggingu innviða rafrænna skilríkja. Innan ráðuneytisins er unnið að endurskipulagningu og framtíðarfyrirkomulagi þessa málaflokks. Í þeirri vinnu er litið til kosta þess að opna fyrir samkeppni á þessum markaði.
Hvort útgáfa rafrænna skilríkja í tengslum við opinbera þjónustu verði alfarið á hendi ríkisins í framtíðinni eða í samstarfi við einkaaðila, líkt og í núverandi fyrirkomulagi, er óráðið. Óháð fyrirkomulagi mun almenningur ekki greiða fyrir notkun rafrænna skilríkja í tengslum við opinbera þjónustu.
