Vi har dekket på perrongen

For to uker siden angrep Computerworld fornyingsministeren fordi den nasjonale sikkerhetsportalen for digitale signaturer ligger i dødvannet. Påstanden var at toget går, men hun står igjen på perrongen. Statsråd Grande Røys svarte forrige uke under overskriften "Det går mange tog". Hvem har rett?

Det er umulig å være uenig i statsrådens svar. Det inneholder generelle observasjoner, snusfornuftige vurderinger og absolutt ingen løfter. Innlegget slutter slik: "Departementet arbeider saman med nøkkelaktørar i offentlig sektor med ei løysing som vil sikre ein sterkare grad av styring med forsyning av eID-ar til bruk i offentlege tenester. Strategien skal ta omsyn til dei mange ulike behova offentlege verksemder har for sikre autentiserings- og signeringsløysingar. Eg venter forslag frå dette arbeidet så snart nøkkelaktørane i offentleg sektor er blitt samde om dei." Forsiktigere kan det ikke sies.

Statsrådens problem er at hennes forgjenger i jobben, Morten "Min Side" Meyer fra Høyre, lovet så mye og så fort. Han hadde visjonene, men ingen vet om han hadde gjennomføringsevnen fordi han måtte gå av før noe som helst var ferdig. Etterfølgeren er i knipe. Jeg tror Grande Røys er i gang med å distansere seg fra Meyers løfter uten å tape ansikt i den politiske arena. Derfor snakker hun om at "vi treng tid til å vurdere dei ulike initiativa som kjem opp og setje dei i ein heilskap som gir meining".

Etter min mening har Grande Røys rett i sin forsiktighet. Å implementere og drifte PKI-løsninger er vanskelig og kostbart i et livssyklus-perpektiv. Sertifikatene skal være der fra nå og uten tidsbegrensning. Det er mye arbeid med å utstede, inndra og administrere dem. Det er slett ikke sikkert at det landet behøver er en enhetlig nasjonal PKI-løsning til alle formål, og det er heller ikke sikkert at det skal være en offentlig oppgave å etablere noe slikt.

Å utvikle infrastruktur, uansett område, er meget kostbart. Alt må tenkes i en nasjonal målestokk, også de som bor innerst i en fjordarm skal ha tilgang. Dessuten er det risikabelt. Mens man bygger, kan utviklingen ta en annen retning og så sitter man der. Derfor er leverandørene ute etter offentlig finansiert utbygging for deretter å foredle kapasiteten og tjene penger på den. Dessuten gjelder prinsippet om "gjensidig usikkerhet": Ingen vil bygge infrastruktur før innholdet er der, men det motsatte er også riktig – ingen vil skape innhold før infrastrukturen er på plass.

Det er naturlig at det offentlige tar initiativet til de store, risikofylte grep i utbyggingsfasen. At "stamnettet" som setter standarder og muliggjør tilgang ble offentlig finansiert. Ellers hadde utbyggingen aldri kommet i gang. Det er like naturlig at markedet overtar når "stamnettet" er der. Da skal konkurransen råde. Den offentlige styringen skal sørge for at leverandørene på den ene side konkurrerer hardt, på den annen side skal de ikke konkurrere seg i hjel, de skal ha økonomiske incentiver til å bygge neste generasjons infrastruktur.

Utviklingen er nå kommet så langt at staten rolig kan redusere sin innsats som infrastrukturbygger. De private er klare til å overta. De har utviklet produktene og ser for seg markedene. Bankene er i gang med å spre BankID i det ganske land, ErgoGroup og Kantega har forslag til hvordan kommunene kan løse sine autentiseringsbehov. Hvorfor skulle offentlig sektor bruke fellesmidler på dette?

Det finnes tre typer PKI-baserte løsninger. Den enkleste er den såkalte PKO, public key operations, som betyr enkle PKI-mekanismer bygget inn i enkeltapplikasjoner og tjenester. Man skrur på noen parametre og vips er en standardisert kryptering på plass for den applikasjonen. Ofte kan dette være godt nok, akkurat som VPN og SSL er godt nok for mange formål. Så finnes det lukkede PKI-løsninger, beregnet på en gruppe samarbeidspartnere som kjenner hverandre, for eksempel deler av helsesektoren.

De administrerer det selv. Den tredje typen er åpen PKI, en frittstående tjeneste beregnet på å autentisere individer, uansett hvilke applikasjoner de bruker. Borgerkort er et ord som blir brukt. Gratis for brukerne, selvfølgelig. Det var hva Morten Meyer hadde i tankene. Ideen er enkel og fengende, men det koster å være kar.

Fatt mot statsråd Heidi: Det er bedre å sitte på perrongen enn å ligge på skinnegangen. Du har fått mye pepper i denne saken, men din forsiktighet er berettiget. La de kommersielle aktører overta dette markedet og la offentlig sektor bruke de løsninger som tilbys. De vil være gode nok.

hidas@online.no