Kommunal NSIS revision, eller National NSIS revideret Identity Provider (MitID Erhverv)
Er der noget alternativ til kommunal NSIS revision?
I de forgangne år er der brugt samlet set hundredvis af millioner kroner på at sikre kommunernes egen NSIS reviderede Identity Provider (IdP). En kompliceret proces der skulle sikre at lokale kommunale bruger identiteter kunne logge sig ind i de fagsystemer der krævede en NSIS revideret IdP.
Målet var selvfølgelig at sikre et ensartet og højt sikkerhedsniveau på tværs af kommunerne, men har den decentrale implementering været den rigtige tilgang, eller burde man have grebet opgaven anderledes an?
For NSIS revisionen er gaven der bliver ved med at give - primært til ekterne leverandører. For sker der ændringer i miljøet skal der naturligvis en ny erklæring til, og uanset skal der årligt foretages en ny IT revision.
Men findes der ikke alternativer til dette løbende kapløb mellem ændringer i ens miljø og nye revisorregninger?
Lokal eller National
Identity Provider (IdP)
Der findes flere veje til målet. Nogle investerer i en Hosted IdP løsning, hvilket flere af vores kunder er glade for. Man "outsourcer" problemet og opgaven med at "revidere" IdP løsningen ligger hos den eksterne leverandør.
I ID Connect er strategien at anvende og støtte kommunale og- eller nationale løsninger. Vi undgår så vidt muligt direkte integrationer til fagssystemer, og udfordrer altid den optimale anvendelse af kommunale og nationale løsninger.
Men her ved ingangen til februar måned 2025, er der 120 NSIS reviderede IdP løsninger i Danmark. Er det virkelig den optimale måde at løse opgaven på for alle, eller findes der en tilgang, der er nemmere at implementere, billigere at drifte og stadigvæk på et lige så højt sikkerhedsniveau som påkrævet af den lokale NSIS reviderede løsning?
Ja, udsteder man MitID erhverv til de brugere der skal anvende de systemer der kræver en NSIS revideret IdP, gøres det for en engangsudgift på kr. 20,- pr. bruger.
Men skal man ikke NSIS revideres?
I forhold til NSIS er der 5-6 systemer inden sommerferien som kræver en NSIS revideret IdP løsning. Øvrige systemer kræver pt. ikke en NSIS revideret IdP.
På de øvrige systemer vil man fortsat logge ind med ens eksisterende login, og så længe der er 2 faktor på løsningen får man både en sikker og brugervenlig adgang til de services der udbydes via FK Adgangsstyring i dag.
De øvrige systemer der kræver en NSIS revideret IdP, kan sikres via MitID Erhverv. Når behovet for en NSIS revideret IdP opstår, kan der sikres automatisk step-up til validering med MitID erhverv.
For at sikre en brugervenlig administration af MitID erhverv, bliver integration til MitID erhverv implementeret hos vores kunder indenfor de kommende måneder.
Det betyder at man med ID Connect kan benytte sig af automatisk provisionering og deprovisioning af brugere til de MitID erhverv grupper, der er relevante at tildele til sine brugere.
Er NSIS den rette vej for alle, eller bør man overveje alternativer?
Med den høje omkostning forbundet med en NSIS-revision kan det være værd at overveje, om ressourcerne kan bruges bedre.
ID Connect tilbyder muligheden for at anvende MitID Erhverv og dermed opnå en national fremtidssikret NSIS revideret IdP, der løbende videreudvikles og vedligeholdes.
Kommunen anvender dermed den eksisterende nationale infrastruktur, til at logge sikkert ind til de services der kræver en NSIS revideret IdP løsning.
For nogen kommuner kan det give en bedre balance mellem sikkerhedsniveau, omkostninger og øvrige prioriteter.
Men vi er allerede NSIS revideret
Giver det så mening hvis man allerede er blevet NSIS revideret? Det vil altid være en vurdering for den enkelte.
Der er fordele og ulemper ved begge løsninger, men uanset tilgang så er den energi og viden som er opsamlet i organisationen for at få de første NSIS revisioner i hus, af stor betydningning for sikkerhedsniveaut alle steder.
Den viden kan og skal selvfølgelig bruges til kommende revisions opgaver. Det er netop besluttet at NIS2 direktivet også skal implementeres i kommunerne, og der er ingen tvivl om at kompetencer til compliance og sikkerhed også fremover bliver en efterspurgt ressource.