Kontrollen över vem som har tillgång till vilka system och vilken information är en grundförutsättning för en säker och effektiv kommunal verksamhet. Med SKR:s nya rekommendationer för identitets- och behörighetshantering finns nu en tydlig karta för resan framåt. Men hur går vi från teori till praktisk handling?
Identitets- och behörighetshantering, eller IAM (Identity and Access Management), har snabbt blivit en av de mest prioriterade frågorna för Sveriges kommuner. Det handlar inte bara om teknik, utan om att skydda våra invånare, säkra välfärdens digitalisering och möta nya lagkrav som NIS2.
En central poäng i SKR:s vägledning är att IAM inte är en renodlad IT-fråga. Det är en säkerhetsfråga som vilar på kommunledningens och den politiska ledningens ansvar. Att ha en robust hantering av digitala identiteter innebär att:
För att hjälpa kommuner att prioritera rätt har en mognadstrappa tagits fram. Den fungerar som ett självskattningsverktyg inom sex områden, bland annat användarprovisionering, säker åtkomst och loggning.
Målet bör vara att nå minst nivån "Hög mognad". Då används bland annat tjänstelegitimationer på tillitsnivå 3 konsekvent, behörigheter hanteras strukturerat och i hög grad automatiserat genom hela livscykeln, och det finns systematisk loggning och uppföljning för att upptäcka avvikelser.
SKR:s rekommendationer spänner över sex sammankopplade områden. Svaghet i ett område riskerar att underminera hela kedjan.
1. Styrning och policy. Det börjar med ett aktivt beslut. Kommunen behöver ta fram, besluta om och faktiskt använda en policy eller strategi för identitets- och behörighetsarbetet. Utan ett tydligt mandat från ledningen tenderar arbetet att drunkna i operativa prioriteringar.
2. Livscykelhantering. En anställd rör sig genom organisationen – ny roll, ny enhet, nytt uppdrag, och till slut ett avslut. Varje steg ska avspeglas direkt i systemens behörigheter. SKR rekommenderar att varje person tilldelas en separat e-identitet per uppdrag, vilket gör det möjligt att hantera behörigheter granulerat och utan risk för att gamla rättigheter lever kvar. Det är just här de flesta kommuner i dag förlorar kontrollen.
3. Säker autentisering. För att kunna delta i nationella digitala ekosystem och federationslösningar, exempelvis att en socialsekreterare ska kunna logga in i statliga system, ställer Ena-infrastrukturen krav på att användare autentiseras på tillitsnivå 3. Det innebär att kommunen behöver utfärda tjänstelegitimationer via en Digg-godkänd leverantör. Vanliga privata e-legitimationer som BankID räcker inte – de saknar organisationskoppling och den livscykelhantering som krävs.
4. Maskiner som identiteter. En dimension som ofta förbises: det är inte bara människor som behöver identifieras. Servrar, tjänster och system kommunicerar med varandra, och dessa maskiner behöver egna certifikat för att kommunikationen ska vara spårbar och säker. SKR rekommenderar att kommunen strävar efter att identifiera sina maskiner och system på ett konsekvent sätt.
5. Åtkomstkontroll och behörighetsstrukturer. Att tilldela behörigheter ad hoc leder oundvikligen till behörighetskryp – gradvis ackumulerade rättigheter som ingen längre har koll på. Rekommendationen är att arbeta med strukturerade modeller, exempelvis rollbaserad åtkomstkontroll (RBAC), och att hålla behörighetsstyrningen nära verksamhetens faktiska arbetsuppgifter snarare än i lösryckta IT-beslut.
6. Loggning och uppföljning. Det räcker inte att ha rätt kontroller på plats, kommunen behöver också kunna se om de fungerar. Systematisk loggning och regelbunden uppföljning gör det möjligt att tidigt upptäcka avvikelser, vilket är ett direkt krav under NIS2-direktivet för de kommunala verksamheterna som berörs.
En viktig tanke i SKR:s vägledning är att IAM-arbetet inte stannar vid kommungränsen. Digitaliseringen av välfärden förutsätter att aktörer kan samverka; t.ex. att en läkare på en kommunal enhet kan nå regionens journalsystem, att socialförvaltningen kan kommunicera med Försäkringskassan, att en lärare kan logga in i statliga lärplattformar. Allt detta kräver att kommunen lever upp till de förtroendenivåer som Enas federationsstruktur ställer.
I praktiken innebär det att kommunens IAM-arbete måste planeras med blicken utåt, inte bara inåt. Vilka externa system ska kommunens medarbetare kunna nå? Vilken tillitsnivå krävs? Hur säkerställer vi att en avslutad anställd omedelbart förlorar sin åtkomst, även i system som driftas av en annan organisation?
Att implementera SKR:s rekommendationer handlar i slutändan om att skapa en trygg och obruten kedja av tillit i kommunens digitala ekosystem. Men vägen dit kräver ofta både djup teknisk förståelse och förmågan att se till helheten i verksamheten.
På Knowit har vi lång erfarenhet av att stötta offentlig sektor i allt från informationssäkerhet och arkitektur till praktisk implementering av IAM-lösningar. Vi fungerar som en strategisk partner som inte bara förstår regelverken utan också vet hur man omsätter dem i en fungerande vardag som förenklar för ledningen, IT-avdelningen och slutanvändaren.
Som ett nästa steg bjuder vi in till ett fördjupande webbinar för dig som vill gå från rekommendation till konkret genomförande.