"Digisikker 2012" som PDF - RFSITS

Recommendations

Info

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed NemID og folkets tillid NemID skulle give os sikker kommunikation mellem borgere, virksomheder og offentlige myndigheder. Men sikkerhedshuller og kritik af løsningens opbygning lægger op til en revurdering af NemID. REGERINGEN HAR FORTSAT fuld tillid til NemID. Allerede i efteråret 2011 fastslog finansminister Bjarne Corydon, at der fra starten har været stort fokus på sikkerheden i NemID. Han beskrev, at der hos Nets DanID er beredskab, som gør det muligt hurtigt at sætte ekstra sikkerhedsforanstaltninger i værk, hvis der bliver brug for det. ”Af sikkerhedsmæssige årsager kan det ikke oplyses, hvad disse konkret går ud på, men bankerne, Nets DanID og Digitaliseringsstyrelsen foretager løbende risikovurderinger,” lød forsikringen til it-ordfører Dennis Flydtkjær fra Dansk Folkeparti. For kritikerne af NemID er hemmelige sikkerhedslapper ikke overbevisende. De mener, at tiden er løbet fra det, som kaldes security by obscurity, altså at man skaber sikkerhed ved hjælp af skjulte og hemmelige teknikker. I stedet ønsker de en mere tydelig og veldokumenteret sikkerhed, så interesserede kan forholde sig til de principper og metoder, der anvendes. DEBATTEN KAN VÆRE SVÆR at gennemskue. Det fyger med tekniske begreber og forklaringer. I sidste ende kan det hele koges ned til, om NemID over de kommende år bliver i stand til at opnå folkets tillid og blive et velkendt og normalt tillidsvækkende fænomen på linje med kreditkort, pas og kørekort. NemID er nemlig kommet for at blive, og sikkerhedsløsningen vil blive en stadigt vigtigere og mere omfattende del af hverdagen for danske borgere, virksomheder og myndigheder. RÅDET FOR STØRRE IT-SIKKERHED har peget på behovet for en hurtig revision af NemID-løsningen. Ifølge Charlotte Bagger Tranberg, jurist, forsker og næstformand for Rådet For Større ITsikkerhed, har NemID bredt sig til at omfatte mange aspekter af vores liv, og det rejser nye problemstillinger: ”NemID er oplagt til finansielle transaktioner. Vi vil aldrig opnå en 100 pct. sikker løsning, men vi mener, at afvejningen mellem sikkerhed og risiko her er i orden. Hvis en person udsættes for svindel i sin netbank, vil dette kunne gøres op i penge. De nye problemer er opstået, i takt med at NemID i stigende grad benyttes til udveksling af personfølsomme data mellem det offentlige og borgerne. En sikkerhedsbrist her kan ikke gøres op i penge, og konsekvenserne kan være uoverskuelige for både borgere og myndigheder,” siger Charlotte Bagger Tranberg. Hun påpeger, at det i 2015 vil blive obligatorisk for borgere at dele oplysninger med det offentlige digitalt. Altså det som af kritikere bliver kaldt for tvangsdigitalisering, fordi man som udgangspunkt ikke kan fravælge NemID – der leveres af en privat udbyder – eller vælge mel- 6 Rådet For Større IT-Sikkerhed Digitaliseringsstyrelsen har fortsat fuld tillid til, at NemID er tilstrækkelig sikker, siger styrelsens direktør, Lars Frelle-Petersen Der gik kun cirka et år, fra NemID blev taget i brug, til de første eksempler på misbrug dukkede op – vel at mærke forudsigeligt misbrug, som udnytter en af de designmæssige svagheder i NemID-løsningen. lem flere konkurrerende, teknologiske løsninger. DER GIK KUN cirka et år, fra NemID blev taget i brug, til de første eksempler på misbrug dukkede op – vel at mærke forudsigeligt misbrug, som udnytter en af de designmæssige svagheder i NemID-løsningen. ”Vi mener, det er afgørende, at befolkningen har høj tillid til NemID, fordi det er fremtidens kommunikationsnøgle. Derfor bør arbejdet med en forbedret version af NemID igangsættes hurtigst muligt i 2012. Første version af NemID blev udviklet i et lukket forløb. Rådet mener, at udformningen af næste version bør ske i samspil og dialog med en bred vifte af aktører,” siger Charlotte Bagger Tranberg. Hos Digitaliseringsstyrelsen, der under Finansministeriet har ansvaret for NemID, er man opmærksom på problemerne. Direktør Lars Frelle-Petersen påpeger, at der ud af de over 700 mio. transaktioner, der er gennemført med NemID, blot har været en håndfuld såkaldte man-in-the-middle-angreb i forhold til netbanker. Endnu er der ingen kendte tilfælde af angreb mod det offentliges selvbetjeningsløsninger baseret på NemID. ”De aktuelle eksempler på vellykkede angreb på netbanker bliver naturligvis taget alvorligt, og vi har konstant fokus på sikkerheden i NemID. Bankerne, Nets DanID og Digitaliseringsstyrelsen foretager derfor løbende risikovurderinger af de aktuelle trusler og afvejer behovet for supplerende sikkerhedsforanstaltninger i forhold til både brugervenlighed og økonomi. Vi mener dog fortsat, at risikoen for svindel på nuværende tidspunkt er minimal. Digitaliseringsstyrelsen har på den baggrund fortsat fuld tillid til, at NemID er tilstrækkelig sikker,” sammenfatter Lars Frelle-Petersen. De skarpe er skeptiske IT-Politisk Forening har siden NemID’s introduktion været blandt de skarpeste og mest vedholdende kritikere af NemIDløsningen. Flere medlemmer har helt fravalgt NemID. Sikkerheden er for dårlig, mener de, og der er risiko for, at virksomheder og myndigheder kan snage i borgernes private data. DER ER PROBLEMER med den administrative opbygning af NemID, og sikkerheden i NemID’s software er forældet, mener IT-Politisk Forening. Samtidig er foreningen stærkt skeptisk over for mulighederne for, at NemID kan benyttes af serviceudbydere til at få adgang til brugernes computere. ”Et problem er, at man har valgt at basere NemID på en Java-applet. Det gør det i princippet muligt for staten og bankerne at afvikle programmer på brugernes computere og snage i personlige forhold,” siger formand for IT-Politisk Forening, ph.d. i datalogi, Niels Elgaard Larsen, der har stillet spørgsmål til, om efterretningstjenester kan benytte NemID til at spionere på borgeres computere. DanID har tidligere afvist, at det kunne lade sig gøre for serviceudbydere at ”udføre funktionalitet på brugerens computere.” IT-Politisk Forening har dog på deres hjemmeside dokumenteret, hvor nemt det er at få adgang til brugeres harddiske via en Java-applet. Det har øget IT-Politisk Forenings skepsis over for NemID. ”SIKKERHED BØR IKKE være baseret på uklarhed, det vi kalder security by obscurity. Det her handler om privatlivets fred for alle borgere. Derfor burde der være en mere åben debat om NemID, og hvordan løsningen rent faktisk er opbygget.” En anden anke er NemID’s sårbarhed over for man-in-the-middle-angreb, hvor en kriminel opretter en falsk side, som en bruger derefter kommer til at indtaste sine koder på. ”Dette er ikke teori. Vi har set flere angrebsbølger. Det er rigtigt, at det kun er banker, som er blevet ramt, men det kunne lige så godt være offentlige tjenester. Der er tale om alvorlige fejl i hele systemets design, som gør NemID til et slaraffenland for kriminelle, nysgerrige virksomheder og myndigheder,” siger Niels Elgaard Larsen. VIDSTE DU AT? • Der er over 200 forskellige danske websites som benytter NemID • NemID drives af bankerne gennem Nets DanID med Digitaliseringsstyrelsen som ansvarlig myndighed • 99 pct. af alle danskere i trediverne har NemID • 3,84 millioner danskere har NemID • NemID været brugt lidt over en halv milliard gange siden introduktionen.
Ingen dato for NemID på mobilen Danske forbrugere benytter i stigende grad deres tablets og smartphones til at handle, gå i banken og kommunikere med myndigheder. Men det sker uden brug af NemID. DER MANGLER EN MOBIL udgave af NemID, og indtil den er på plads, må borgerne tage til takke med mindre sikre løsninger. Det er uheldigt i en tid, hvor forbrugerne i stigende grad bruger deres mobile enheder til personlig kommunikation med eksempelvis myndigheder og banker. Det mener IT-Brancheforeningen. ”Sikker login fra smartphones og tablet-computere er en af de største drivere for at opnå en mere effektiv digitalisering. Hver anden familie har i dag smartphones, og hver femte familie har en tablet-computer. Hvis NemID skal følge med udviklingen, er det vigtigt, at vi hurtigt får klare svar på, hvorhen udviklingen går,” siger direktør Morten Bangsgaard fra IT-Branchen. DET ER VIGTIGT for udviklere af løsninger at vide, hvilke sikkerhedskrav det offentlige stiller til brug af hvilke typer data på hvilke enheder. SÅDAN SKAL NemID FORBEDRES RÅDET FOR STØRRE IT-SIKKERHED har udarbejdet en ønskeliste til en fremtidig generation af NemID. Først og fremmest er det nødvendigt, at regeringen iværksætter et forberedende arbejde, der inkluderer høringer med eksperter og organisationer. Rådet For Større IT-sikkerhed mener, at en ny generation af NemID blandt andet bør: • Udarbejdes i en åben proces • Etableres på baggrund af åbne standarder • Leve op til EU’s krav til ”kvalificerede digitale signaturer” • Være platformsuafhængig Sikkerhed for kvalitet i outsourcing En revisorerklæring fra den statsautoriserede revisionsvirksomhed REVI-IT sikrer, at både god it-skik og lovgivning overholdes. REVI-IT arbejder med it-revision og rådgivning, og specielt offentlige myndigheder, sundhedsvirksomheder og den finansielle sektor kræver i stigende grad attestering af ydelserne fra underleverandører. Følsomme personoplysninger skal beskyt- Martin Brogaard Nielsen. tes, og det sikrer man sig ved at få en revisorerklæring på eksempelvis den hosting-leverandør, man outsourcer til. ”Vi auditerer virksomheder og tester deres systemer, så vi kan dokumentere, at de lever op til kravene i eksempelvis revisionsstandard ISAE 3402. Det kan være cloud-leverandører eller andre, der opbevarer store datamængder, hvor det er vigtigt for kunderne at have en sikkerhed for at tingene foregår efter bogen,” forklarer direktør Martin Brogaard Nielsen fra REVI-IT. Stigende krav om erklæringer Sådanne revisorerklæringer bliver mere almindelige i takt med, at virksomheder og myndigheder efterspørger det hos leverandørerne. Mange leverandører ser det også som et markedsføringsinstrument, der giver en garanti for, at leverancen lever op til lovgivningens krav. ”De fleste virksomheder har ikke kompetencer eller ressourcer til selv at kontrollere leverandørerne, så de ser på, om leverandøren er auditeret og har revisorerklæring. Og det er der, vi kommer ind i billedet. Vi leverer erklæringer direkte i markedet, men også gennem vores partnerprogram via en række tilsluttede revisionsfirmaer,” understreger Martin Brogaard Nielsen. www.revi-it.dk Leverandørerne har også et stort behov for at vide, hvilke komponenter de skal forvente selv at bygge, og hvilke der vil blive stillet til rådighed i en kommende, fælles infrastruktur. Det er spørgsmål, som er af afgørende betydning for de investeringer, leverandørerne skal foretage, og for hvor hurtigt langtidsholdbare og sikre løsninger kan komme på markedet. ”Jo længere tid der går uden klare svar, jo større sandsynlighed er der for, at der sker knopskydninger af midlertidige sikkerhedsløsninger,” siger Morten Bangsgaard. Digitaliseringsstyrelsen undersøger i øjeblikket potentialet for mobil borger- og virksomhedsbetjening med henblik på at udarbejde en fællesoffentlig handlingsplan for mobil selvbetjening. Den nuværende NemID-løsning kan ikke anvendes på mobile platforme. Digitaliseringstyrelsen kan ikke sige noget om, hvornår en løsning er på plads. ANNONCE Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed • Give sikkerhed for, at der ikke kan hentes uvedkommende data fra brugerens PC • Følges op med større åbenhed og dialog • Give brugerne mulighed for at gemme deres digitale nøgler både centralt og decentralt • Følges op af mulighed for flere konkurrerende login-løsninger. SE MERE PÅ: www.rfsits.dk/20120104-nemid Nu endelig it-sikkerhed på nettet En førende dansk platform for debat og viden om it-sikkerhed. Det er målet med Ezentas nye website. It-sikkerhedsvirksomheden Ezenta vil meget mere end at sælge et produkt. Ezenta vil skabe debat og gøre op med hemmelighedskræmmeriet omkring it-sikkerhed, og det skal blandt andet ske gennem en helt ny og interaktiv website med vidensdeling, blogs og et dansk ”trusselsbarometer”. ”Vores website skal være mere end blot et Niels Kemal Onat. visitkort for vores virksomhed. Vi ser gerne, at alle kan bruge siden til at blogge om it-sikkerhed og til at udveksle viden og teste sikkerhedsniveauet. Vi vil kort sagt tage udgangspunkt i erhvervslivets behov frem for vores eget behov for at vise os frem,” siger CEO og partner i Ezenta, Niels Kemal Onat. For meget hemmelighedskræmmeri Han mener, at branchen er præget af for meget hemmelighedskræmmeri, og det betyder, at ingen kender det reelle trusselsbillede for netop deres branche. Derfor vil Ezenta på sigt offentliggøre et ”trusselsbarometer” i lighed med det, man har i andre lande. ”Vi vil være med til at skabe et mere nuanceret kendskab til, hvad der findes af trusler aktuelt og i den nærmeste fremtid, og gennem vores producenter har vi et verdensomspændende kendskab til trusselsbilledet. Vi kender markedet og kan samle alle disse oplysninger her, og vi ser ingen grund til at holde det for os selv,” understreger Niels Kemal Onat. Udgangspunkt i behovet Først og fremmest tager det nye site udgangspunkt i erhvervslivets behov. ”It-sikkerhed drejer sig om tillid og troværdighed, og det vil vi vise at vi lever op til, ved at fokusere på behovet mere end på produkter. Det er en rejse der lige er startet, men vi håber at rigtig mange vil være med til at skabe denne platform,” påpeger Niels Kemal Onat. Ezenta A/S Hørkær 14 2730 Herlev Ezenta A/S Katrinebjergvej 115 8200 Århus N www.ezenta.com Tlf. 70 20 12 60 CVRnr. 32 56 27 60 ANNONCE
Page 1 and 2: DigiSikker 2012 EU-STRAMMER GREBET
Page 3 and 4: ANNONCE Peter Madsen, it-manager i
Page 5: Sikker digital tovejskommunikation
Page 9 and 10: ds.dk/informationssikkerhed Sikkerh
Page 11 and 12: siger Niels Chr. Juul, som dog ikke
Page 13 and 14: FAKTA SÅDAN ANGRIBES INDUSTRI COMP
Page 15 and 16: DET ER IKKE ALT, DER KAN SIKRES BAG
Page 17 and 18: Kronik SYSTEMER HAR INGEN SAMVITTIG
Page 19 and 20: God sikkerhed kræver ledelsens eng
Page 21 and 22: It-sikkerhed skal tænkes ind aller
Page 23 and 24: Krisen sætter fokus på sikkerhed

"Digisikker 2012" som PDF - RFSITS

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?