fredag den 9. maj 2014

Blå Blok vil bryde NETS monopol - Hvad vil de opnå?



Både Berlingeren og Børsen kommenterer i dag Nets-sagen og det giver sig som altid udslag i nogle meget hurtige politiske udmeldinger, som f.eks. Michael Aastrup Jensen, der udtaler at flere selskaber skal stå for driften af NemID, fordi den øgede konkurrence vil medføre større fokus på sikkerhed og oppetid og medvirke til at gøre driften billigere.

Før vi ser på hvad der er op og ned i de påstande, må vi træde et skridt tilbage og konstatere hvad det var, der gik galt og hvordan en kriminel person kunne få adgang til fortrolige data over en så lang periode, uden at nogen fattede mistanke. I samme runde kan vi jo så passende stille spørgsmålet om hvordan en svensk hacker i mange måneder kunne få adgang til CSC's kørekort database og mulige andre, CPR-relaterede databaser.

Sikkerhed i IT systemer
har traditionelt været fokuseret på den sidste type angreb, d.v.s udefra kommende angreb, og har derfor forsøgt med opbygningen af alle mulige firewalls, antivirussystemer - og ikke mindst med autorisationsystemer, som skal sikre, at kun de, der har en legitim adgang til systemet rent faktisk KAN komme ind. Oftest er det derefter meget avancerede adgangskontrol-mekanismer, der checker brugeren, hans rolle, hvilke applikationer/programmer han kan få adgang til - og i bedste fald også hvilke data og registre han får lov at se. De bedste installationer har desuden løbende kontroller - audits - af hvordan sikkerheden fungerer, og nøglemedarbejdere checkes løbende og i visse tilfælde udskiftes de efter en periode.

Hvor kommer truslerne fra?
Men trusselbilledet har ændret sig fra dengang alle medarbejdere sad i samme bygning eller på samme intranet, og alle data og programmer blev afviklet på een mainframe. I vore dage har medarbejdere hjemmearbejdspladser, mobile arbejdspladser eller bare mobiltelefoner, der giver adgang til virksomhedens data.
Og virksomhedens datacenter er blevet outsourcet og afvikles nu på en virtuel maskine, der fysisk kører sammen med 10-20 eller flere andre virksomheders systemer. Og nu bliver det meget mere interessant for eksterne hackere at angribe sådan en godbid, og der sættes i visse lande store ressourcer af til at prøve at penetrere den slags systemer. Og det lykkes forbavsende tit.
Det foregår som regel ved såkaldte fishing angreb, hvor (betroede) medarbejdere i de firmaer, som 'fiskerne' har fokuseret på, modtager falske e-mails, der er udformet så de tilskynder modtagerne at hente et attachment eller trykke på et link. Herefter downloades typisk en trojansk hest, der efter kortere eller længere tid giver sig til at undersøge sine omgivelser, jagte passwords eller aflure tryk på tastaturet.

Hver eneste dag bliver der sendt mere end 150 millioner fishing mails, hvoraf 16 millioner uden problemer passerer det før omtalte sikkerhedsfilter og når frem til interne medarbejdere. Omkring halvdelen af dem bliver åbnet, og ca. 800.000 klikker videre på det inficerede link.1
Hvert halve år angribes mellem 80.000 og 115.000 domæne navne.
En af de mest skræmmende og teknisk kompetente grupper benævnes APT1 og er med meget stor sandsynlighed styret og støttet af den kinesiske regering. Formålet er spionage og industrispionage. Man formoder at der er mere end 1000 højt professionelle hackere/spioner i denne gruppe. Det amerikanske firma Mandiant følger løbende denne udvikling og udgiver (gratis) oversigt over indikatorer for gruppens tilstedeværelse på virksomhedernes servere.

Udover disse meget professionelle grupper er der et væld af spammers og andre hackere, der søger at lokke penge ud af private og virksomheder på meget fantasifulde metoder. Herhjemme har vi set falske breve fra Skat og enkelte forsikringsselskaber, der fortæller at man har penge til gode. Også betalingskortselskaberne benyttes ofte som udgangpunkt, hvor man beder folk at genåbne deres 'lukkede' kort ved at indtaste kortnummer og pinkode.
Selvom det for professionelle ser højst primitivt ud, er der konstant nogen, der falder for tricket.

BYOD - Bring You Own Device - men tag hovedet med på arbejde
Og har hackerne fået fat i en PC'er, der tilhører en betroet medarbejder i en virksomhed, er porten til data åben. Mandiant mener at kunne påvise, at APT1-netværket har stjålet flere hundrede terrabyte dat fra mindst 141 organisationer. Hvad værre er, at disse angreb iflg. Mandiant i gennemsnit har stået på mere 356 dage, og en enkelt organisation var sågar udsat i hele 4 år for angreb før de opdagede det.

Selvom det nok er vanskeligt, er der altså i højeste grad brug for en pædagogisk indsats for at få hr. og fru Jensen til at interessere sig for deres sikkerhed, og så vidt muligt anvende sig af SSL (Secure Sockets Layer) og EV = Extended validation. Det er sådan, at firmaer eller websites, der anvender EV SSL certifikater vises på en browser med et grønt felt og med navnet på den certificeringsmyndighed, der har godkendt det.

Trusler mod borgerne
Identitetstyveri er en reel og stigende trussel for private mennesker. Ifølge en undersøgelse, som Københavns Universitet har lavet for Det Kriminalpræventive Råd, sker det for mere end 46.000 danskere hvert år. Dette omfatter ikke svindel med betalingskort, men tilfælde hvor en persons identitet misbruges f.eks. til at købe varer, rejser, oprette lån etc. Tallet stiger kraftigt - en fordobling på 4 år. Det hænger sammen med vores tiltro til, at de profil oplysninger vi lægger ind på Facebook, twitter, Linkedin etc. ikke benyttes kriminelt. Men jo flere personlige data der ligger tilgængeligt på nettet, desto nemmere er det at kunne udgive sig for en anden. Og hvis man er sløset med sine CPR-numre, kan det gå rigtigt galt. (Læs hvordan Identitetstyveri virker i praksis)

Tys-Tys kilden - datatyveriet fra Nets
Lad os nu vende tilbage til vores kriminalsag fra Nets/IBM. Vi taler altså om en medarbejder, der som en hel del andre, havde adgang til 'produktionsdata' , d.v.s. data vedrørende betalingskorttransaktioner. Det var disse informationer han solgte til Se & Hør, så vidt det er oplyst for en fast månedsgage på 10.000 kr. Vi ved på nuværende tidspunkt ikke, om han havde systemadministratoradgang til mange andre systemer, noget som politiet og IBM undersøger.
Uanset hvad han i kraft af jobbet har haft adgang til, har han under alle omstændigheder gjort sig skyldig i noget strafbart i kraft af en betroet stilling, ligesom de 'hælere', der havde ham ansat, også står til straf.

'Security breaches are inevitable - being a headline is not' (Mandriants hjemmeside!)
Jeg og med mig mange sikkerhedseksperter vil påstå, at man kan lave IT systemerne så sofistikerede, at det bliver meget svært at omgå dem selv for en 'insider', men det kan aldrig blive 100% sikkert. Vi kan forlange at de organisationer, der passer på vores data, logger alle adgange og regelmæssigt kører statistik på log data, så man kan se evt. mønstre, vi kan gøre det meget besværligt at få adgang til ukrypterede data, men nogen skal på et eller andet tidspunkt kunne få denne adgang, og selv i hæderkronede firmaer med en traditionel høj arbejdsmoral kan man ikke gardere sig mod egentlig kriminel adfærd. (Når medarbejdere som tys-tys kilden bliver 'body shoppet' fra eet firma til et andet, er loyaliteten for firmaet måske heller ikke den bedste - og fyrede medarbejdere er ofte de værste skadevoldere)

Hvad skal vi så gøre ved det?
Er det logisk at sikkerhedsniveauet vil blive højere, hvis 3 uafhængige organisationer hver især skulle kunne få adgang til vores personlige data? I min optik er risikoen for en kriminel insider bare 3 gange højere. Og hvad værre er, hvis infrastrukturen varierer fra udbyder til udbyder, vil een af de 3 uvægerligt være det svageste led i et eksternt hacker-angreb.
Det er forståeligt, at man ved næste udbudsrunde i 2015 (som er lige straks!) skærper kravene til sikkerhed, så den leverandør, der på dette tidspunkt vinder NemID-kontrakten, allerede ved at barren er blevet løftet. Men at 3 forskellige skulle kunne se en forretningsmæssig fordel i det, og ovenikøbet som Michael Aastrup og Mike Legarth forventer, gøre det billigere - det kræver mere end normal nytænkning - eller en ekstra bevilling, som jeg ikke tror at selv en borgerlig regering vil stå på mål for.

Hvordan kan man tjene penge på infrastruktur?
Der er nemlig ikke mange penge i infrastruktur. Jeg var særdeles involveret i begge de 2 runder udbud om digital signatur, der er kørt indtil nu, og kan se de problemer, som de bydende virksomheder havde med at se forretningen i løsningen. TDC, der vandt den første runde af de såkaldte OCES-certifikater, forventede at business casen skulle bæres af medarbejdercertifikater og registreringssystemer til private virksomheder, men det blev kun meget langsomt indfaset, og TDC måtte betale bøder, fordi de ikke levede op til de oprindelige estimater for udbredelse.
Den 2. runder udbud blev gennemført efter forhandling. Det konsortium, jeg var med til at koordinere, fik sammen med TDC og PBS/Bankerne udleveret det endelige udbudsmateriale. Da vi havde vurderet det, trak vi os! Og det endte som bekendt med at TDC gik sammen med PBS og overlod sin (skrantende) OCES-forretning til det, der senere blev NETS.

Der var kort sagt ingen penge i det. Og det vil der langt mindre være, hvis 3 skal deles om opgaven.
Når PBS var klart overlegen, var det netop i kraft af, at de allerede havde store dele af infrstrukturen betalt af kreditkortselskaberne og bankerne. Skulle man starte forfra, vil det være dyrt - også selvom IT-løsninger er faldet i pris.

Har vi en plan B?
Så hvad er vejen ud af dilemmaet? Alle politikere fokuserer på Se & Hør sagen, hvor de langt større trusler kommer fra fremmede regimer, profesionelle fishere og fra et voksende pres i form af identitetstyveri. Det er en typisk men beklagelig rygmarvsreaktion. Det er gået ud over en række kendte personers privatliv, det er stækt ulovligt, men tys-tys kilden er tilsyneladende ikke stukket af med arvesølvet. (Med forbehold for hvad politiets undersøgelse kan bringe, naturligvis)

Ja, Version 2 kan have en pointe i at '289 danske registre med personfølsomme data er uden for myyndighederne kontrol' - baseret på at man mener, at den amerikanske stat kan tvinge CSC, IBM, Microsoft, Facebook etc. til at udlevere persondata til USA - ovenikøbet uden at meddele det til danske virksomheder. Så er løsningen at forbyde outsourcing ? Næppe. Så mange og så omkostningstunge medarbejdere og systemer kan vi ikke forvente at skatteyderne er tjent med.
Det problem, som Version2 peger på, kan kun løses ved at EU indgår en klar aftale med USA, der bygger på menneskerettighedserklæringer, og som gør det klart for USA at udlevering af data om andre borgere kun kan finde sted efter gensidig overenskomst - for eksempel i fortsættelse af interpol-samarbejdet - ellers ikke.

Kan EU udarbejde retningslinier for at styrke medlemsstaternes datasikkerhed?
Jeg tilbragte i sidste uge 2 dage med Teknologirådet i en gruppe eksperter fra EU lande, der havde til opgave at vurdere om og hvordan man kunne udstikke retningslinier til kommissionen for brug af 'Cloud Computing'. Kommissionen ser nemlig gerne, at europæiske virksomheder får del i den bølge af 'cloud teknologi', der skyller ind over os, og hvor amerikanske firmaer har et solidt forspring.
Vores konklusion er indtil videre, at der ikke er noget, der kan kaldes 'Cloud Teknologi', og at de sikkerhedskrav man ville stille hertil, ikke adskiller sig fra de krav og checklister (TLA'er) man med rimelighed ville kunne forlange overholdt af enhver outsourcing leverandør uanset nationalitet.
Så opgaven i vores optik går snarere på at udvikle 'teknologineutrale' krav til sikkerhed, kryptering, autorisation, kontrol med nøgleprocesser og -personer og særlige revisionskrav, hvor data bruges på tværs af 'domæner', d.v.s. ved anvendelse af 'big data' teknikker.

Lad os lave NemID version 3
Her kan man begynde at nytænke. Og så kunne man passende lave hele vores personregistrering om til noget meget mere tidssvarende. At vi danske ikke ser noget problem i at bruge vores CPR nummer til alle mulige formål bør være slut. Der er ingen grund til at man ved en enkelt identitet kan misbruge det til at checke alle forekomster i alle virksomheder- fra RKI til Forsikringsselskaber, detailhandelskæder.... Ja, vores selvkontrollerende skattesystem bygger jo på en eentydig identifikation af personer - men det kan man godt etablere på anden vis. Man kunne for eksempel erstatte vores pap kort med et smart card, der også indeholdt biometriske data (krypterede fingeraftryk, ansigtsdata). Og så kunne man skele til den måde, tyskerne har implementeret ID på: på kortet kan man vælge at afsløre f.eks. alder, adresse, kørekortsinformation, sygesikringsinfo, bankinfo, donor info etc. Man skal som borger selv kunne styre hvor meget man vil afsløre om sig selv. Og det bør se - i modsætning til vores nuværende NemID - være international accepteret og skal kunne bruges på kryds og tværs af EU. (Se beskrivelse af EU initiativ om coss border ID - Stork 2)

Så kunne vi måske åbne for konkurrence om udstedelse og/eller drift af NemID 3.0
Ved at lægge andre data - pas, kørekort, sygesikring etc. ind - kan man måske - MÅSKE - gøre det forretnings,æssigt attraktivt for mere end een leverandør at byde på løsningen, så man kunne ved denne nytænkning måske komme Michael Aastrup og Mike Legarth imøde samtidigt med at man forhøjede personsikkerheden og man fik forbedret den digitale ID-infrastruktur. Prisen er at vi skal anskaffe smart card læsere, som nu er kommet så langt ned i pris, at de er billigere end en USB-stik.
Men denne type løsning har fungeret i snart 10 år i Estland, så hvorfor ikke?

Lad Teknologirådet fremkomme med forslag til krav til næste udbudsrunde og NemID 3.0 jo før jo bedre!