Security by Sweden

Latest posts

Vad är LoA?

LoA (Level of Assurance) är ett mått på hur tillförlitlig en digital identifiering är – alltså hur säkert det är att den som loggar in verkligen är den person som hen utger sig för att vara. I Sverige används LoA-nivåer i eID-modellen för att klassificera elektroniska identiteters tillitsnivåer. Modellen har fyra nivåer: LoA1 till LoA4, där LoA4 innebär högst säkerhet.

Tillitsnivåerna regleras av Myndigheten för digital förvaltning (Digg) och är centrala för offentliga verksamheter som hanterar känslig eller skyddsvärd information. En e-legitimation på tillitsnivå LoA3 eller LoA4 anses vara stark och kan användas för exempelvis åtkomst till patientdata eller digital signering av viktiga handlingar.

Hur fungerar LoA?

LoA bygger på en kombination av processer och tekniska krav som måste uppfyllas av en identitetsutfärdare för att en e-legitimation ska godkännas på en viss tillitsnivå:

  • Identitetskontroll: Hur noggrant individens identitet har kontrollerats vid utfärdande av e-legitimationen. Högre LoA kräver ofta ett fysiskt möte och giltig ID-handling.

  • Teknisk säkerhet: Kryptering, tvåfaktorsautentisering och skydd mot manipulation är exempel på tekniska krav.

  • Hantering av e-legitimationen: Hur legitimationen spärras, förnyas och administreras påverkar tillitsnivån.

  • Regelefterlevnad: LoA-nivåer är utformade för att följa relevanta lagar och riktlinjer som GDPR och säkerhetsskyddslagen.

Exempel på LoA-nivåer och godkända e-legitimationer:

  • LoA1: Låg tillitsnivå. Används för icke-kritiska tjänster utan skyddsvärd information.

  • LoA2: Måttlig tillit. Kan inkludera enklare verifiering via e-post eller sms.

  • LoA3: Hög tillit. Exempel: BankID, Freja eID Plus, SITHS eID och EFOS.

  • LoA4: Mycket hög tillit. Exempel: AB Svenska Pass (det nationella ID-kortet).

Läs mer om tillitsnivåer på Digg.se

Fördelar med SITHS

  • Informationssäkerhet: Skyddar känsliga data från obehörig åtkomst.

  • Förtroende: Användare och organisationer kan lita på att rätt personer får åtkomst till rätt information.

  • Regelefterlevnad: Uppfyller krav från svenska och europeiska myndigheter.

  • Riskminimering: Minskar risken för identitetskapning och andra digitala säkerhetsincidenter.

Exempel på användning

  • E-tjänster inom vård och omsorg: Kräver LoA3 eller högre för att personal ska kunna logga in säkert.

  • Digital signering av avtal: Kräver hög LoA-nivå för att signaturen ska vara juridiskt bindande.

  • Myndighetskommunikation: Offentliga aktörer ställer krav på viss LoA för att medborgare ska kunna använda deras tjänster.

LoA är en grundläggande del av en säker digital infrastruktur och spelar en avgörande roll för både privat och offentlig sektor. Genom att välja rätt tillitsnivå för rätt tjänst skapas en trygg och smidig digital upplevelse – för både användare och organisationer.

Vad är SITHS?

SITHS (Säker IT i Hälso- och Sjukvården) är en standardiserad e-legitimation som används inom svensk hälso- och sjukvård för att säkerställa trygg och korrekt identifiering av personal. Med SITHS kan användare på ett säkert sätt logga in i olika IT-system, signera digitalt och hantera patientinformation i enlighet med gällande regelverk. SITHS är godkänd på tillitsnivå LOA3 (Level of Assurance 3) enligt den svenska eID-modellen, vilket innebär att den uppfyller höga krav på identitetssäkring och informationssäkerhet. Detta är avgörande för verksamheter som hanterar känsliga personuppgifter, såsom inom hälso- och sjukvård.

Det finns också mobilt SITHS (SITHS eID), vilket gör det möjligt för användare att identifiera sig via mobiltelefon eller surfplatta – utan behov av kortläsare. Det ger ökad flexibilitet för personal i fält eller på distans.

Hur fungerar SITHS?

  • Stark autentisering: Användaren identifierar sig genom ett smartkort och PIN-kod – eller med SITHS eID i mobilen – vilket ger en hög nivå av säkerhet.
  • Digital signering: Dokument och åtgärder kan signeras elektroniskt, vilket skapar juridiskt bindande bevis.
  • Säker åtkomst: Endast behörig personal kan logga in i journalsystem och andra skyddade IT-miljöer.
  • Följer nationella riktlinjer: SITHS är utformat för att uppfylla krav från eHälsomyndigheten och andra tillsynsmyndigheter.

Fördelar med SITHS

  • Hög säkerhet: Minskar risken för obehörig åtkomst till patientdata.
  • Effektiv hantering: Underlättar snabb och säker inloggning i IT-system.
  • Regelefterlevnad: Hjälper organisationer att följa GDPR och andra lagkrav.
  • Förbättrad patientsäkerhet: Säkerställer att endast behörig personal har åtkomst till patientuppgifter.
  • Mobilitet: Med SITHS eID kan personalen arbeta säkert även på språng.

Exempel på användning

  • Inloggning i journalsystem: Hälso- och sjukvårdspersonal identifierar sig för åtkomst till patientjournaler.
  • Digital signering av läkemedelsordinationer: Läkare signerar recept digitalt med SITHS.
  • Fältarbete och mobila enheter: Personal kan använda mobilt SITHS för säker åtkomst till system från olika platser.

SITHS är en viktig del av en säker och effektiv digital infrastruktur inom hälso- och sjukvården. Genom att använda denna e-legitimation kan organisationer garantera att rätt personer har rätt åtkomst till rätt information – oavsett om det sker via kort eller mobil enhet.

Läs mer på: www.ehalsomyndigheten.se

Vad är Zero Trust?

Zero Trust är en säkerhetsmodell som utgår från principen "lita aldrig, verifiera alltid". Det innebär att ingen enhet eller användare, oavsett om de befinner sig inom eller utanför organisationens nätverk, automatiskt får tillgång till resurser utan verifiering. Zero Trust minskar risken för dataintrång genom kontinuerlig autentisering och strikt åtkomstkontroll.

Hur fungerar Zero Trust?

Zero Trust bygger på flera grundprinciper:

  1. Verifiering av identitet: Alla användare och enheter måste autentiseras och auktoriseras innan de får åtkomst.
  2. Minsta möjliga åtkomst (Least Privilege): Användare får endast den åtkomst som är absolut nödvändig för deras arbetsuppgifter.
  3. Segmentering av nätverk: IT-miljön delas upp i mindre delar för att begränsa åtkomsten och minska riskerna vid intrång.
  4. Kontinuerlig övervakning: Aktivitet loggas och analyseras för att identifiera och stoppa misstänkt beteende i realtid.

Fördelar med Zero Trust

  • Ökad säkerhet: Genom att eliminera implicit förtroende minskas risken för obehörig åtkomst och dataintrång.
  • Skydd mot insiderhot: Eftersom åtkomst ges baserat på verifiering och behov, begränsas skador från interna hot.
  • Bättre regelefterlevnad: Hjälper organisationer att uppfylla krav på datasäkerhet och hantering av känslig information. 

Exempel på användning

  • Fjärrarbete: Medarbetare måste verifiera sin identitet och enhet innan de får tillgång till företagets system.
  • Skydd av känslig data: Endast behöriga användare får åtkomst till affärskritisk information.
  • Automatiserad säkerhetspolicy: Regler styr åtkomst baserat på riskbedömning och enhetsstatus.

Zero Trust är en viktig strategi för att stärka cybersäkerheten i dagens hotlandskap. Genom att implementera denna modell kan organisationer minska risker, förbättra säkerheten och säkerställa att rätt personer har rätt åtkomst vid rätt tillfälle.

Vill du veta mer om hur PhenixIDs PAS-lösning använder Zero Trust? Läs mer här (ENG).

Vad är SP?

En Service Provider (SP) är en applikation eller tjänst som användare vill få åtkomst till inom en IT-arkitektur, speciellt i sammanhang av identitets- och åtkomsthantering (IAM). SP är beroende av en Identity Provider (IdP) för att autentisera användare och hantera inloggning. SP använder autentiseringsuppgifter från IdP för att verifiera användarens identitet och ge dem åtkomst till sina resurser.

Hur fungerar en Service Provider?

När en användare försöker logga in på en Service Provider, sker följande steg:

  1. Inloggningsbegäran: Användaren försöker logga in på SP, vilket utlöser en begäran om autentisering.
  2. Förfrågan till IdP: SP skickar en autentiseringsbegäran till IdP för att verifiera användarens identitet.
  3. Autentisering: IdP autentiserar användaren, ofta genom att be användaren att ange sina inloggningsuppgifter (t.ex. användarnamn och lösenord) och eventuellt genom ytterligare säkerhetsåtgärder som multifaktorautentisering (MFA).
  4. Tokenutgivning: Om användaren autentiseras framgångsrikt, utfärdar IdP en säker token (t.ex. en SAML-token eller OAuth-token) som bekräftar användarens identitet.
  5. Åtkomstbeviljande: SP tar emot token från IdP, verifierar dess äkthet och beviljar användaren åtkomst till de begärda resurserna.

Exempel på Service Providers

Service Providers kan vara allt från webbapplikationer och molntjänster till interna företagsapplikationer. Här är några exempel:

  • Webbapplikationer: Applikationer som Office 365, Google Workspace, och Salesforce.
  • Molntjänster: Tjänster som Amazon Web Services (AWS), Microsoft Azure, och Google Cloud Platform.
  • Interna företagsapplikationer: Företagets intranät, kundhanteringssystem (CRM), och resursplaneringssystem (ERP).

Fördelar med att använda Service Providers med IdP

Att integrera Service Providers med en IdP har flera fördelar:

  • Säkerhet: Centraliserad autentisering minskar risken för säkerhetsöverträdelser genom att eliminera behovet av att hantera flera uppsättningar autentiseringsuppgifter.
  • Användarvänlighet: Användare behöver bara logga in en gång för att få tillgång till flera applikationer, vilket förbättrar deras upplevelse och produktivitet.
  • Effektivitet: IT-avdelningar kan hantera autentisering och åtkomstkontroller centralt, vilket förenklar administration och minskar arbetsbelastningen.

Service Providers spelar en avgörande roll i moderna IAM-lösningar genom att möjliggöra säker och effektiv åtkomst till olika applikationer och tjänster. Genom att integrera med en identitetsleverantör kan organisationer säkerställa att deras användare får en smidig och säker inloggningsupplevelse, samtidigt som de upprätthåller strikta säkerhetsstandarder.

  1. Vad är SSO?
  2. Vad är eIDAS?
  3. Vad är OAuth?
  4. BankID Riskindikation: Ett kraftfullt verktyg mot bedrägerier
© 2025 PhenixID AB. All Rights Reserved.