Det er ikke alle utviklere som kan skryte på seg at løsningen de har bygget har spart samfunnet for 1 milliard kroner.
Det er nettopp det løsningsarkitekt og utvikler Aamund Bremer i Digitaliseringsdirektoratet (Digdir) kan gjøre:
Bremer var nemlig sentral i utviklingen av Maskinporten, som ifølge en analyse fra Oslo Economics skal ha spart skattebetalerne for rundt 1 milliard kroner siden lanseringen i 2019.
Mer effektiv bruk av fellesløsningene
Kort fortalt er Maskinporten en løsning for sikker autentisering og tilgangskontroll når data skal utveksles mellom offentlige virksomheter og andre offentlige eller private virksomheter.
Bremer forteller til kode24 at mens andre fellesløsninger som ID-porten og Altinn kanskje er mer kjent blant folk flest, så er Maskinporten en litt mer usynlig infrastrukturkomponent.
– Tjenesten skal fungere på tvers av mange ulike organisasjoner og driftsmiljøer. Så vi bruker åpne standarder som OAuth2 og JWT-bearer grants.
Denne illustrasjonen fra Digdir illustrerer hvordan Maskinporten fungerer på et overordnet plan:
Essensen i Maskinporten er at du har to roller: En konsument og en tilbyder:
- API-tilbydere kan gi konsumenter (offentlige eller private virksomheter) tilgang til sine API-er basert på virksomhetens organisasjonsnummer.
- Maskinporten verifiserer hvem som er hvem og sørger for sikker og styrt datatilgang mellom tilbyder og konsument.
– API-konsumenten kan gå inn i Maskinporten og opprette sine egne klienter, tekniske integrasjoner og registrere sertifikatene sine selv, basert på tilgangene de har fått, forklarer Bremer.
Siden hele infrastrukturen bygger på sertifikater tilknyttet organisasjonen oppnår man en sterk autentisering og høy grad av sikkerhet.
Masse manuelt arbeid
Aamund Bremer forteller at idéen til Maskinporten kom etter at Digdirs såkalte Kontakt- og reservasjonsregister hadde behov for å dele data med offentlig sektor.
Dette registeret inneholder kontaktinformasjon til norske innbyggere, og brukes for at stat og kommune skal vite om de kan sende deg meldinger og dokumenter elektronisk, se hvilken digital postkasse du har valgt, og så videre.
Uthenting av data fra Kontakt- og reservasjonsregisteret er tilgangsstyrt, slik at man skal være sikker på at de som gjør oppslag i registeret er de de utgir seg for.
– Før Maskinporten var det vanlig at hver enkelt av konsumentene måtte utveksle data. Vi snakker om 1.500 til 2.000 konsumenter som vi måtte utveksle sertifikater med manuelt, sier Bremer.
For å gjøre dette mer smidig ønsket man å bygge en mer skalerbar løsning – en løsning som etter hvert skulle få navnet Maskinporten. Den ble først laget for Kontakt- og reservasjonsregisteret, men så fikk Skatteetaten snusen i arbeidet til Bremer og kollegaene hans.
– De moderniserte folkeregisteret og hadde samme behov som oss. Da kom de til oss og spurte om dette ikke kunne lages som en felles komponent.
Og en felles komponent ble det. Den første varianten av koden til Maskinporten var klar i 2017, mens offisiell lansering var i 2019.
«Vi snakker om 1.500 til 2.000 konsumenter som vi måtte utveksle sertifikater med manuelt.»
NAV hiver seg over AI: – Skal ikke ta jobbene fra noen
Høy sikkerhet
Selv om det finnes andre løsninger på markedet som gjør noe av det samme som Maskinporten, er mange av de andre løsningene gjerne bundet til et økosystem der både konsument og tilbyder må være på samme plattform. Og man har heller ikke den samme abstraksjonen til organisasjonsnivå som man har gjennom Maskinporten.
Jørgen Binningsbø er produkteier for ID-porten og Maskinporten. Han forteller til kode24 at det er en stor fordel for utviklere som skal bruke tjenesten at de bruker OAuth2, en standard mange kjenner godt til.
– Du løser sikker identifisering av hvilken virksomhet utvikleren kommer fra, gjennom at man har kjøpt sertifikater gjennom Buypass eller Commfides, sier Binningsbø.
Dette er sertifikater som er strengt regulert gjennom Lov om elektroniske tillitstjenester (eIDAS), og altså ikke noe hvem som helst kan lage.
Dette brukes Maskinporten til
Maskinporten sikrer tilgang til flere hundre forskjellige API-er, hvor man finner de som er offentlig synlige i denne JSON-responsen. API-tilbyder kan velge om sitt API skal være offentlig synlig eller ikke.
Her er eksempler på noen av API-oppslagene som gjøres:
- Oppslag mot folkeregisteret
- Registrering av kjøretøy hos Statens Vegvesen
- Oppslag mot AA-registeret hos NAV
- Oppslag på kundeforhold hos banker
- Saldoopplysninger fra Lånekassen
- Lakselusrapportering til Mattilsynet
- Tolldeklarasjon
– Er det bare offentlige virksomheter som kan bruke Maskinporten, eller kan private selskaper også bruke den?
– En forutsetning for å bruke offentlige løsninger er at det offentlige må være enten på tilbyder- eller konsumentsiden, sier Binningsbø.
Gjennom ordninger som Digitalt Samarbeid Offentlig Privat (DSOP) brukes for eksempel Maskinporten for utveksling av data mellom banker og Skatteetaten. Forsikringsselskaper gjør også enkelte opplysninger tilgjengelig for NAV gjennom Maskinporten.
En annen stor tilbyder av data via Maskinporten er Vegvesenet, som har blant annet API-er for omregistrering av biler, oppslag av førerkortopplysninger, og så videre – alt sikret gjennom Maskinporten.
Nå får UNE bruke Copilot: «11 måneder med forsiktig masing»
Integrasjon mot skyplattformer
Mens Maskinporten til nå stort sett har vært for de som utvikler egne løsninger, er det også et prosjekt i samferdselssektoren – Samferdselsdata.no – hvor man ser på hvordan man kan bruke Maskinporten og andre felleskomponenter mot standard hyllevare i skyen.
Gjennom en pilot ser nå Digdir og Samferdselsdata-prosjektet på hvordan man bedre kan tilpasse Maskinporten og ID-porten til å kunne plugge seg rett inn mot de store skyplattformene som Azure, Google eller Amazon.
Dette har store fordeler, mener Binningsbø.
– Tidligere løste man ting ofte ved at man kjøpte sitt eget virksomhetssertifikat som man ga til leverandøren, så kunne leverandøren opptrå som virksomheten i alskens systemer.
– Det er en sikkerhetsrisiko av dimensjoner! advarer Binningsbø.