Säker Digital Kommunikation>Steg-för-steg guide>

Förarbete

Förarbete

Nulägesanalys

Ett viktigt steg i arbetet med SDK i respektive organisation har varit att få en gemensam bild över organisationernas nulägen. Nedanstående kapitel, frågeställningar och resonemang kan vara ett stöd för att genomföra en sådan analys.

Behov

Exempel på frågeställningar att beakta:

  • Identifiera vilka typiska flöden och vilken typ av informationsutbyte som inkluderar sekretessklassad information ni har med andra myndigheter.
  • Är behoven dokumenterade?
  • Vilka verksamheter är berörda?
  • Är flöden i berörda verksamheter identifierade och med vilken mottagare?

Resonemang från deltagare inom S2i2:
Det har uppvisats olika angreppssätt kring hur behovsinsamling sker, vissa har lutat sig mot mer heltäckande och övergripande inventering av behov, medan andra hanterar behov allteftersom de dyker upp.

Utmaningar

Exempel på frågeställningar att beakta:

  • Hur kan vi fånga upp alla relevanta flöden och avgöra om dem är relevanta för SDK?
  • Hur vill mottagaren kommunicera med oss?
  • Är informationen som ingår i flödet klassificerad?
  • Har teknisk lösning valts?

Resonemang från deltagare inom S2i2:

Deltagande organisationer ser ett stort behov av samverkan med motpart som central så att båda sidor av ett informationsflöde går i takt och har samma prioritering. Det finns en utmaning kopplat till prioritering internt i våra organisationer där ordinarie verksamhet och till exempel andra upphandlingar får ett högre fokus.

Det har även synliggjorts att olika storlek på organisation ger olika förutsättningar till exempelvis behovsinsamling. Kommuner med kortare väg till verksamheter och politik kan ofta agera mer effektivt.

Ytterligare en utmaning är att olika leverantörer paketerar sin SDK-förmåga i sina leveranser och olika organisationer behöver göra sina egna val av vilka tilläggstjänster som är relevanta. Det kan ibland göra det kommunikativt förvirrande för olika verksamheter att förstå vad som ingår i respektive organisations erbjudande, inte minst när de lyssnar in på var grannkommuner befinner sig.

Krav

Exempel på frågeställningar att beakta:

  • Finns det identifierade krav på hur organisationen vill arbeta?

Resonemang från deltagare inom S2i2:
Förutsättningar i deltagande organisationer ser olika ut, med olika grad av centralisering/decentralisering, vilket till exempel påverkar hur en sådan sak som administration av adressboken behöver se ut.

Vi ser också skillnader i hur SDK-införandet i olika organisationer ser ut, där vissa har ett uttalat agilt-tankesätt och andra har mer klassiska projektinförande.

Behovet av stöd från “SDK-expertis” till olika verksamheter ses dock i alla organisationer.

Förutsättningar

Exempel på frågeställningar att beakta:

  • Finns det en ansvarig samordnare för SDK inom kommunen?
  • Finns det en ansvarig per flöde?
  • Finns det intresse att införa SDK?
  • Finns det beslut om att införa SDK?
  • Finns det någon övergripande tidplan?
  • Finns förutsättningar att skapa en tydlig bild över framtida användningsområden?

Resonemang från deltagare inom S2i2:
Inom deltagande organisationer har olika strategier kring hur vi ser på leverantör/partnerskap diskuterats. Många efterfrågar en partner som kan stötta i hela införandet av SDK-förmåga och vara en guide genom hela SDK-resan. Oberoende av strategi så är tydlighet kring ansvarsfördelning viktigt, inte minst avseende vem som koordinerar och leder arbetet. Det kan också vara viktigt att ha en tydligt kommunicerbar implementationsstrategi.

Staffanstorps kommun summerar sina viktigaste förutsättningar som:

  • Verksamhetens engagemang
  • Mod
  • Politisk vilja
  • Mandat och budget

Informationssäkerhet

Till exempel rutiner för att säkra att rätt användare har access till SDK.

Malmö stad

Formalia (till exempel självdeklaration) från Inera/DIGG innehåller många krav kopplat till IT och informationssäkerhet. Kraven riktar sig både till vår centrala förvaltning av tjänsten och de verksamheter som ska använda tjänsten. IT och Infosäkerhetsexpertis från alla intressenter behöver inkluderas i kravuppfyllnaden. Vårt ordinarie arbete med informationsklassning (med iFacts som systemstöd) ger de flesta svaren som behövs. En utmaning är att en del av klassningen är generisk men att verksamhetsdelen behöver göras för varje process/informationsmängd som ska implementeras. Inera/DIGGs formalia har inte den separationen mellan central förvaltning och verksamhetsimplementationer.

Helsingborgs stad

En förvaltning tog tag i taktpinnen och genomförde en konsekvensanalys och sekretessprövning medan alla övriga förvaltningar var delaktiga i framtagandet. På det sättet blev tjänsten godkänd av alla samtidigt. När nya flöden skapas så kan det i specifika fall uppstå behov av ytterligare informationssäkerhetsanalys.

Simrishamns kommun och Tomelilla kommun

Simrishamn och Tomelilla delar resurser för informationssäkerhetsarbete och dataskydd. Genom den samverkan planerar vi att gemensamt genomföra konsekvensanalys och sekretessprövning för varje verksamhet som går in i SDK. Efterhand som fler verksamheter går in i SDK kommer den konsekvensanalysen och sekretessprövningen kunna utgå ifrån befintligt material.

Landskrona stad

Vi ser att vi kommer att behöva göra en konsekvensbedömning och riskanalys för varje organisation inom staden som ansluter. Är det flera flöden inom samma organisation så kommer vi i första hand att komplettera den befintliga konsekvensbedömningen och riskanalysen.

Analysera verksamhetsbehov

Verksamheterna behöver fundera på vilken kommunikation som lämpar sig för SDK.
Det finns hjälp att få från Inera. Verksamhetsinvolvering – Vem och hur?

Helsingborgs stad

Alla verksamheter funderade igenom kommunikationsbehovet internt och externt. Utifrån det skapades en Excel-lista där lämplig kommunikationsform framgår. Listan pekar på ett antal kommunikationsbehov som vi bedömer bara kan lösas digitalt med SDK tjänsten.

Vidare arbete med detta sker om och när nya informationsflöden introduceras.

Simrishamns kommun

En djupare analys är ännu inte gjord, däremot dyker frågan om att kunna kommunicera säkert upp hela tiden i olika forum och intresset är stort från flera verksamheter. Idag finns inget stöd för säkra meddelanden varken till privatpersoner, företag/organisationer eller andra offentliga verksamheter.

Störst intresse har det hittills visats hos individ- och familjeomsorgen samt arbetsmarknad. I och med den samverkan vi har med Arbetsförmedlingen kommer vi börja med informationsflöden kopplat till arbetsmarknad.

Landskrona stad

En djupare analys är ännu inte gjord, men behovet finns och det efterfrågas att även internt kunna kommunicera säkert.

Tomelilla kommun

Ingen djupare analys är gjord. Vi har sedan ganska länge tillbaka i gång säkra meddelanden till privatpersoner. Arbetsmarknadsenheten är de som gärna vill komma igång med tjänsten för att kunna kommunicera säkert med Arbetsförmedlingen.

Malmö stad

Ett par av stadens förvaltningar har genom olika nätverk identifierat behov som de vill realisera genom SDK. I andra fall är det central IT och digitalisering som informerar om möjligheterna med SDK och verksamheter med passande behov. Behovsbilden växer alltså fram verksamhetsdrivet och någon mer centraliserad inventering har ännu inte genomförts.

  • Arbetsmarknadsavdelningen har analyserat sina processer och beslutat sig för att köra i gång med SDK och då kommunicera med Arbetsförmedlingen (AF). Processen de ska börja med kommer att beröra kommunvägledning och introduktionsjobb.
  • Funktionsstödscentrum har en process som hanterar hjälpmedel och de kommer gå i gång med den för att kommunicera med Region Skåne.
  • Kontaktcenter (en väg in för medborgare och företagare) planerar att gå med i SDK för att kunna kommunicera säkert med förvaltningarna inom Malmö stad.
  • HR:s första process handlar om att kommunicera säkert inom staden.

Alla användare som ligger i fas att börja använda SDK kommer kallas till våra fasta avstämningsmöten vi har i staden.  Här är alla som planerar att gå med i SDK inbjudna.

Tekniska vägval

Tekniska vägval, val av leverantör och produkt (Meddelandeklient, meddelandetjänst och Accesspunktsoperatör). Ta beslut om egen eller extern drift, samt beslut om hur ni ska hantera behörighetshantering/autentisering. När denna text skrevs fanns inga ramavtal specifikt att använda sig av för SDK. Adda hänvisar till befintligt ramavtal Programvaror och molntjänster 2019.

Välj meddelandeklient och meddelandetjänst

Helsingborgs stad

Vi såg SDK som ett framtida användbart koncept. För att vara förbereda för införandet valde vi att installera det enda kommersiella verktyg som på den tiden fanns att tillgå, TDialog, och började använda verktyget för att skicka säkra meddelanden från person till person internt och externt.

Tomelilla kommun

Som liten kommun kände vi att det bästa valet för oss var att välja en helhetslösning. Vi valde Meaplus och deras produkt Sefos. Valet att använda denna leverantör berodde dels på att vi kunde teckna ett avtal på bara 15 månader, dels att de uppfyllde kraven i form av erbjudande av en helhetslösning, samt att produkten förutom SDK-förmåga har stöd för säkra meddelanden och säkra digitala videomöten. Detta är två behov som uppmärksammats sedan tidigare i kommunens verksamheter och där det idag saknas befintligt systemstöd. Vi såg en fördel med att samla dessa olika former av säker kommunikation i samma gränssnitt så att våra användare känner igen sig.

Simrishamns kommun

När det kom till val av leverantör var en viktig parameter att hitta en leverantör som kunde leverera en helhetslösning. Det innebär att leverantören ska tillhandahålla allt i från stöd med anslutningsprocessen mot SDK, accesspunktsoperatör, meddelandetjänst och meddelandeklient. Dessutom ville vi hitta en leverantör som är intresserad av att arbeta med fortsatt utveckling av sin produkt. En ytterligare parameter som var viktig var att kunna börja i liten skala och med en kort avtalstid.

Vi valde Meaplus och deras produkt Sefos. Valet att använda denna leverantör berodde dels på att vi kunde teckna ett avtal på bara 15 månader, att de uppfyllde kraven i form av erbjudande av en helhetslösning, samt att produkten förutom SDK-förmåga har stöd för säkra meddelanden och säkra digitala videomöten. Detta är två behov som uppmärksammats sedan tidigare i kommunens verksamheter och där det idag saknas befintligt systemstöd.  Vi såg en fördel med att samla dessa olika former av säker kommunikation i samma gränssnitt så att våra användare känner igen sig.

Malmö stad

Under våren 2022 beslutade vi oss för att välja TDialog som meddelandetjänst utifrån det pilotarbete som genomförts. Vi valde dessa då vi hade kort om tid för att komma i gång med piloterna och för att TDialogs lösning var den som var mest frekvent använd av övriga SDK-pilotaktörer.

Av olika anledningar kom vi aldrig i gång med TDialog och vi har nu bestämt oss för att göra en ny bedömning då det idag finns fler leverantörer som kan leverera de tjänster vi önskar. Vi kommer inom kort att besluta vilken teknisk lösning vi kommer köra och därifrån gå ut med en ny upphandling. En viktig del i vår kommande upphandling är att leverantören ska kunna integrerade klienten i våra olika verksamhetssystem. Detta kommer bli ett krav som införlivas efterhand som verksamhetssystemen utvecklats för att köra SDK.

Landskrona stad

Vi har inte valt lösning men tittar på en lösning som både kan hantera Ineras SDK-tjänst men också kunna agera fristående för säker digital kommunikation internt. Ansatsen är att välja en helhetslösning från en leverantör som också kan hjälpa oss komma i gång.

Välj accesspunktleverantör

Välj om ni själva vill sätta upp en accesspunktleverantör eller anlita någon extern part.

Helsingborgs stad

Eftersom vi valt TDialog och de rekommenderade Crediflow som accesspunktsleverantör, så valde vi att följa rekommendationen från TDialog.

Malmö stad

Vi har Domibus installerat i vår driftmiljö. Domibus följde med på “köpet” vid det tillfälle TDialog installerades hos oss (2020). Vi har ännu inte beslutat oss för vilken AP-leverantör vi kommer anlita. Vi har dock beslutat att vi inte ska drifta den onprem.

Tomelilla kommun

Vi har Domibus installerat sedan testpiloten från TDialog. Meaplus lösning för meddelandeklient innefattar möjligheten att också använda dem som accesspunktsoperatör vilket vi valde att göra.

Simrishamns kommun

Meaplus lösning för meddelandeklient innefattar möjligheten att också använda dem som accesspunktsoperatör vilket vi valde att göra.

Landskrona stad

Vi valde Domibus och fick den installerad för SDK piloten. Eftersom leverantören hade tekniska utmaningar så fick vi aldrig en fungerande version under pilottiden. Vi kunde aldrig testa och använda den. Vi har nu avvecklat och plockat bort Domibus och siktar på en helt ny upphandling istället.

Välj om du göra jobbet själv eller anlita extern hjälp

Rekommendation är att kontakta leverantören om man vill ha extern hjälp.

Malmö stad

Som det ser ut nu kommer vi anlita en extern leverantör för att drifta Accesspunkten.

Tomelilla kommun

Tomelilla har i detta skede valt leverantör som kan ta merparten av arbetet då vi inte har möjlighet att driva detta själva.

Helsingborgs stad

Den support som kan utföras av konsulter hanteras av Certezza. Vid behov finns interna systemtekniker som stöttar Certezza.

Simrishamns kommun

Simrishamn är en liten kommun utan specifika resurser för att arbeta med införandet av nya system och tjänster i kommunens verksamheter. När kommunen ska införa nya system och tjänster sker det ”utöver” det dagliga arbetet. Med det som förutsättning, i kombination med Simrishamns vilja att komma i gång med sin SDK-resa så snart som möjligt, beslutade kommunen i ett tidigt skede att påbörja arbetet i en liten skala och att anlita en extern leverantör som kan hjälpa oss igenom hela anslutningsprocessen.

Landskrona stad

Kommer i första hand anlita extern hjälp i form av tjänst för att få hjälp med att genomföra anslutningsprocessen.

Behörighetshantering/autentisering

Malmö stad

När det gäller behörighetskontrollen behöver vi själva hålla koll på vilka SDK-funktionsbrevlådor en viss användare ska få tillgång till. I pilotarbetet har detta hanterats genom attribut på användare i AD:t. Detta är ingen optimal lösning (administrativt krävande och svårt att överblicka) och vi letar efter bättre alternativ. Användare loggar in i TDialog med sitt Freja Organisations eID.

Tomelilla kommun

Meaplus har färdiga integrationer mot svensk e-id som vi sen tidigare har som IDP. Bank-ID eller Freja Organisations eID/SITHS kommer användas. Det blir då genom att användarna ligger i en AD-grupp och inloggningen sker via svensk e-identitet.

Helsingborgs stad

TDialog har koppling till AD, så att alla anställda teoretiskt kan logga in för att skicka säkra meddelanden.

I uppsättningen till SDK så tänker vi oss att centralt hantera uppsättning av funktionsbrevlådor, och att låta verksamheterna hantera förändringar av personer kopplade till funktionsbrevlådorna. Master för detta är AD med automatisk överföring till TDialog. Förhoppningen är att det på sikt ska kunna gå att ha automatisk överförföring även till funktionsadresser i SDK adressbok.

Inloggning av anställda sker med Bank-ID i dagsläget. För (åtminstone) Säkra meddelanden kan externa logga in med Freja eID+.

Simrishamns kommun

Meaplus har färdiga integrationer mot svenskt e-id som vi sen tidigare har som IDP. Därigenom kan vi erbjuda inloggning med SITHS eller mobilt Bank-id kopplat mot vårt AD. Behörighet mot olika funktionsbrevlådor i SDK tänker vi kan styras med säkerhetsgrupper i AD.

Landskrona stad

Kommer i första hand att utgå från vårt lokala AD men behöver också hitta en lösning till hur vi ska hantera SITHS kort. Då vi har gått över till svensk e-identitet så tittar vi även på den möjligheten för inloggning.

Säker Digital Kommunikation