Skolfederation ska bli (ännu) säkrare

12 dec, 2013

Det första användningsområdet för Skolfederation, och det som det talats mest om, är att ge lärare och elever smidig åtkomst till digitala lärresurser. Men det går att använda plattformen till annat också.

Jonas Ryberg på Unikum vill till exempel erbjuda sitt verktyg för att hantera åtgärdsprogram för enskilda elever via Skolfederation. Innan han kan göra det måste dock federationen kompletteras med en högre säkerhetsnivå.

– Vårt nya verktyg för att hantera åtgärdsprogram innehåller känsliga personuppgifter. Vi har ett femtiotal kommuner som kunder idag, och ett antal har redan nu börjat använda Skolfederation. Nu är flera av dem intresserade av att även komma åt Unikums nya åtgärdsprogram den vägen, men då måste vi kunna identifiera användaren på ett säkrare sätt än vad som är möjligt i Skolfederation i dag, säger han.

Det är Datainspektionen som ställer kraven när det gäller hantering av personuppgifter och den brukar kräva det som kallas tvåfaktorinloggning för känsliga personuppgifter – ungefär som bankernas lösenord plus koddosa.

– Det kravet är på god väg att lösa sig självt, i och med att vi snart kan räkna med att all personal i skolan har mobiler som kan användas vid autentiseringen, säger Jonas Ryberg.

– Den andra utmaningen är att se till att ha kontroll över informationssäkerheten hela vägen från kommunens system ut till personalen, och det måste göras på ett sätt som fungerar i praktiken ute i skolorna.

Jonas Ryberg deltar i en arbetsgrupp inom Skolfederation som ska ta fram förslag på en högre säkerhetsnivå (fast i federationssammanhang används vanligtvis ordet ”tillitsnivå”) för federationen.

– Det behövs tydlig kommunikation för gemensam hantering av ”den högre nivån”, för att beskriva både vad det är och hur det görs. Vi arbetar utifrån att E-legitimationsnämndens ramverk är normen. Nämnden är i slutfasen av sitt arbete och när det är klart går vi igenom vad som behöver ändras i Skolfederations ramverk för att uppfylla LoA2 (LoA = Level of Assurance, det vill säga tillitsnivå). Att nå upp till LoA2 är dock ett stort steg, därför avser vi att också erbjuda ett ramverk som uppfyller Datainspektionens krav och som är ett steg på vägen mot LoA2, säger Staffan Hagnell på .SE som leder arbetsgruppen.

– Vi arbetar också med att specificera hur de olika säkerhetsnivåerna ska signaleras mellan identitets- och tjänsteleverantörer i Skolfederation och hur federationsoperatören ska tagga metadata.