Både Berlingeren
og Børsen kommenterer i dag Nets-sagen og det giver sig som altid
udslag i nogle meget hurtige politiske udmeldinger, som f.eks.
Michael Aastrup Jensen, der udtaler at flere selskaber skal stå for
driften af NemID, fordi den øgede konkurrence vil medføre større
fokus på sikkerhed og oppetid og medvirke til at gøre driften
billigere.
Før vi ser på hvad der er op og ned i
de påstande, må vi træde et skridt tilbage og konstatere hvad det
var, der gik galt og hvordan en kriminel person kunne få adgang til
fortrolige data over en så lang periode, uden at nogen fattede
mistanke. I samme runde kan vi jo så passende stille spørgsmålet
om hvordan en svensk hacker i mange måneder kunne få adgang til
CSC's kørekort database og mulige andre, CPR-relaterede databaser.
Sikkerhed i IT systemer
har traditionelt været fokuseret på
den sidste type angreb, d.v.s udefra kommende angreb, og har derfor
forsøgt med opbygningen af alle mulige firewalls, antivirussystemer
- og ikke mindst med autorisationsystemer, som skal sikre, at kun de,
der har en legitim adgang til systemet rent faktisk KAN komme ind.
Oftest er det derefter meget avancerede adgangskontrol-mekanismer,
der checker brugeren, hans rolle, hvilke applikationer/programmer han
kan få adgang til - og i bedste fald også hvilke data og registre
han får lov at se. De bedste installationer har desuden løbende
kontroller - audits - af hvordan sikkerheden fungerer, og
nøglemedarbejdere checkes løbende og i visse tilfælde udskiftes de
efter en periode.
Hvor kommer truslerne fra?
Men trusselbilledet har ændret sig fra
dengang alle medarbejdere sad i samme bygning eller på samme
intranet, og alle data og programmer blev afviklet på een mainframe.
I vore dage har medarbejdere hjemmearbejdspladser, mobile
arbejdspladser eller bare mobiltelefoner, der giver adgang til
virksomhedens data.
Og virksomhedens datacenter er blevet
outsourcet og afvikles nu på en virtuel maskine, der fysisk kører
sammen med 10-20 eller flere andre virksomheders systemer. Og nu
bliver det meget mere interessant for eksterne hackere at
angribe sådan en godbid, og der sættes i visse lande store
ressourcer af til at prøve at penetrere den slags systemer. Og det
lykkes forbavsende tit.
Det foregår som regel ved såkaldte
fishing angreb, hvor (betroede) medarbejdere i de firmaer, som
'fiskerne' har fokuseret på, modtager falske e-mails, der er
udformet så de tilskynder modtagerne at hente et attachment eller
trykke på et link. Herefter downloades typisk en trojansk hest, der
efter kortere eller længere tid giver sig til at undersøge sine
omgivelser, jagte passwords eller aflure tryk på tastaturet.
Hver eneste dag bliver der sendt mere
end 150 millioner fishing mails, hvoraf 16 millioner uden
problemer passerer det før omtalte sikkerhedsfilter og når frem til
interne medarbejdere. Omkring halvdelen af dem bliver åbnet, og ca.
800.000 klikker videre på det inficerede link.1
Hvert halve år angribes mellem 80.000
og 115.000 domæne navne.
En af de mest skræmmende og teknisk
kompetente grupper benævnes APT1 og er med meget stor sandsynlighed
styret og støttet af den kinesiske regering. Formålet er spionage
og industrispionage. Man formoder at der er mere end 1000 højt
professionelle hackere/spioner i denne gruppe. Det amerikanske
firma Mandiant følger løbende denne udvikling og udgiver
(gratis) oversigt over indikatorer for gruppens tilstedeværelse på
virksomhedernes servere.
Udover disse meget professionelle
grupper er der et væld af spammers og andre hackere, der søger at
lokke penge ud af private og virksomheder på meget fantasifulde
metoder. Herhjemme har vi set falske breve fra Skat og enkelte
forsikringsselskaber, der fortæller at man har penge til gode. Også
betalingskortselskaberne benyttes ofte som udgangpunkt, hvor man
beder folk at genåbne deres 'lukkede' kort ved at indtaste
kortnummer og pinkode.
Selvom det for professionelle ser højst
primitivt ud, er der konstant nogen, der falder for tricket.
BYOD - Bring You Own Device - men
tag hovedet med på arbejde
Og har hackerne fået fat i en PC'er,
der tilhører en betroet medarbejder i en virksomhed, er porten til
data åben. Mandiant mener at kunne påvise, at APT1-netværket har
stjålet flere hundrede terrabyte dat fra mindst 141 organisationer.
Hvad værre er, at disse angreb iflg. Mandiant i gennemsnit har stået
på mere 356 dage, og en enkelt organisation var sågar udsat i hele
4 år for angreb før de opdagede det.
Selvom det nok er vanskeligt, er der
altså i højeste grad brug for en pædagogisk indsats for at få hr.
og fru Jensen til at interessere sig for deres sikkerhed, og så vidt
muligt anvende sig af SSL (Secure Sockets Layer) og EV = Extended
validation. Det er sådan, at firmaer eller websites, der anvender EV
SSL certifikater vises på en browser med et grønt felt og med
navnet på den certificeringsmyndighed, der har godkendt det.
Trusler mod borgerne
Identitetstyveri
er en reel og stigende trussel for private mennesker. Ifølge en
undersøgelse, som Københavns Universitet har lavet for Det
Kriminalpræventive Råd, sker det for mere end 46.000 danskere hvert
år. Dette omfatter ikke svindel med betalingskort, men tilfælde
hvor en persons identitet misbruges f.eks. til at købe varer,
rejser, oprette lån etc. Tallet stiger kraftigt - en fordobling på
4 år. Det hænger sammen med vores tiltro til, at de profil
oplysninger vi lægger ind på Facebook, twitter, Linkedin etc. ikke
benyttes kriminelt. Men jo flere personlige data der ligger
tilgængeligt på nettet, desto nemmere er det at kunne udgive sig
for en anden. Og hvis man er sløset med sine CPR-numre, kan det gå
rigtigt galt. (Læs
hvordan Identitetstyveri virker i praksis)
Tys-Tys kilden - datatyveriet fra
Nets
Lad os nu vende tilbage til vores
kriminalsag fra Nets/IBM. Vi taler altså om en medarbejder, der som
en hel del andre, havde adgang til 'produktionsdata' , d.v.s. data
vedrørende betalingskorttransaktioner. Det var disse informationer
han solgte til Se & Hør, så vidt det er oplyst for en fast
månedsgage på 10.000 kr. Vi ved på nuværende tidspunkt ikke, om
han havde systemadministratoradgang til mange andre systemer, noget
som politiet og IBM undersøger.
Uanset hvad han i kraft af jobbet har
haft adgang til, har han under alle omstændigheder gjort sig skyldig
i noget strafbart i kraft af en betroet stilling, ligesom de
'hælere', der havde ham ansat, også står til straf.
'Security breaches are inevitable -
being a headline is not' (Mandriants hjemmeside!)
Jeg og med mig mange
sikkerhedseksperter vil påstå, at man kan lave IT systemerne så
sofistikerede, at det bliver meget svært at omgå dem selv for en
'insider', men det kan aldrig blive 100% sikkert. Vi kan forlange at
de organisationer, der passer på vores data, logger alle adgange og
regelmæssigt kører statistik på log data, så man kan se evt.
mønstre, vi kan gøre det meget besværligt at få adgang til
ukrypterede data, men nogen skal på et eller andet tidspunkt kunne
få denne adgang, og selv i hæderkronede firmaer med en traditionel
høj arbejdsmoral kan man ikke gardere sig mod egentlig kriminel
adfærd. (Når medarbejdere som tys-tys kilden bliver 'body shoppet'
fra eet firma til et andet, er loyaliteten for firmaet måske heller
ikke den bedste - og fyrede medarbejdere er ofte de værste
skadevoldere)
Hvad skal vi så gøre ved det?
Er det logisk at sikkerhedsniveauet vil
blive højere, hvis 3 uafhængige organisationer hver især skulle
kunne få adgang til vores personlige data? I min optik er risikoen
for en kriminel insider bare 3 gange højere. Og hvad værre er, hvis
infrastrukturen varierer fra udbyder til udbyder, vil een af de 3
uvægerligt være det svageste led i et eksternt hacker-angreb.
Det er forståeligt, at man ved næste
udbudsrunde i 2015 (som er lige straks!) skærper kravene til
sikkerhed, så den leverandør, der på dette tidspunkt vinder
NemID-kontrakten, allerede ved at barren er blevet løftet. Men at 3
forskellige skulle kunne se en forretningsmæssig fordel i det, og
ovenikøbet som Michael Aastrup og Mike Legarth forventer, gøre det
billigere - det kræver mere end normal nytænkning - eller en ekstra
bevilling, som jeg ikke tror at selv en borgerlig regering vil stå
på mål for.
Hvordan kan man tjene penge på
infrastruktur?
Der er nemlig ikke mange penge i
infrastruktur. Jeg var særdeles involveret i begge de 2 runder udbud
om digital signatur, der er kørt indtil nu, og kan se de problemer,
som de bydende virksomheder havde med at se forretningen i løsningen.
TDC, der vandt den første runde af de såkaldte OCES-certifikater,
forventede at business casen skulle bæres af medarbejdercertifikater
og registreringssystemer til private virksomheder, men det blev kun
meget langsomt indfaset, og TDC måtte betale bøder, fordi de ikke
levede op til de oprindelige estimater for udbredelse.
Den 2. runder udbud blev gennemført
efter forhandling. Det konsortium, jeg var med til at koordinere, fik
sammen med TDC og PBS/Bankerne udleveret det endelige
udbudsmateriale. Da vi havde vurderet det, trak vi os! Og det endte
som bekendt med at TDC gik sammen med PBS og overlod sin (skrantende)
OCES-forretning til det, der senere blev NETS.
Der var kort sagt ingen penge i
det. Og det vil der langt mindre være, hvis 3 skal deles om opgaven.
Når PBS var klart overlegen, var det
netop i kraft af, at de allerede havde store dele af infrstrukturen
betalt af kreditkortselskaberne og bankerne. Skulle man starte
forfra, vil det være dyrt - også selvom IT-løsninger er faldet i pris.
Har vi en plan B?
Så hvad er vejen ud af dilemmaet? Alle
politikere fokuserer på Se & Hør sagen, hvor de langt større
trusler kommer fra fremmede regimer, profesionelle fishere og fra et
voksende pres i form af identitetstyveri. Det er en typisk men
beklagelig rygmarvsreaktion. Det er gået ud over en række kendte
personers privatliv, det er stækt ulovligt, men tys-tys kilden er
tilsyneladende ikke stukket af med arvesølvet. (Med forbehold for
hvad politiets undersøgelse kan bringe, naturligvis)
Ja, Version 2 kan have en pointe i at
'289
danske registre med personfølsomme data er uden for myyndighederne
kontrol' - baseret på at man mener, at den amerikanske stat kan
tvinge CSC, IBM, Microsoft, Facebook etc. til at udlevere persondata
til USA - ovenikøbet uden at meddele det til danske virksomheder.
Så er løsningen at forbyde outsourcing ? Næppe. Så mange og så
omkostningstunge medarbejdere og systemer kan vi ikke forvente at
skatteyderne er tjent med.
Det problem, som Version2 peger på,
kan kun løses ved at EU indgår en klar aftale med USA, der bygger
på menneskerettighedserklæringer, og som gør det klart for USA at
udlevering af data om andre borgere kun kan finde sted efter gensidig
overenskomst - for eksempel i fortsættelse af interpol-samarbejdet -
ellers ikke.
Kan EU udarbejde retningslinier for
at styrke medlemsstaternes datasikkerhed?
Jeg tilbragte i sidste uge 2 dage med
Teknologirådet i en gruppe eksperter fra EU lande, der havde til
opgave at vurdere om og hvordan man kunne udstikke retningslinier til
kommissionen for brug af 'Cloud Computing'. Kommissionen ser nemlig
gerne, at europæiske virksomheder får del i den bølge af 'cloud
teknologi', der skyller ind over os, og hvor amerikanske firmaer har
et solidt forspring.
Vores konklusion er indtil videre, at
der ikke er noget, der kan kaldes 'Cloud Teknologi', og at de
sikkerhedskrav man ville stille hertil, ikke adskiller sig fra de
krav og checklister (TLA'er) man med rimelighed ville kunne forlange
overholdt af enhver outsourcing leverandør uanset nationalitet.
Så opgaven i vores optik går snarere
på at udvikle 'teknologineutrale' krav til sikkerhed, kryptering,
autorisation, kontrol med nøgleprocesser og -personer og særlige
revisionskrav, hvor data bruges på tværs af 'domæner', d.v.s. ved
anvendelse af 'big data' teknikker.
Lad os lave NemID version 3
Her kan man begynde at nytænke. Og så
kunne man passende lave hele vores personregistrering om til noget
meget mere tidssvarende. At vi danske ikke ser noget problem i at
bruge vores CPR nummer til alle mulige formål bør være slut. Der
er ingen grund til at man ved en enkelt identitet kan misbruge det
til at checke alle forekomster i alle virksomheder- fra RKI til
Forsikringsselskaber, detailhandelskæder.... Ja, vores
selvkontrollerende skattesystem bygger jo på en eentydig
identifikation af personer - men det kan man godt etablere på anden
vis. Man kunne for eksempel erstatte vores pap kort med et smart
card, der også indeholdt biometriske data (krypterede fingeraftryk,
ansigtsdata). Og så kunne man skele til den måde, tyskerne har
implementeret ID på: på kortet kan man vælge at afsløre f.eks.
alder, adresse, kørekortsinformation, sygesikringsinfo, bankinfo,
donor info etc. Man skal som borger selv kunne styre hvor meget man
vil afsløre om sig selv. Og det bør se - i modsætning til vores
nuværende NemID - være international accepteret og skal kunne
bruges på kryds og tværs af EU. (Se
beskrivelse af EU initiativ om coss border ID - Stork 2)
Så kunne vi måske åbne for
konkurrence om udstedelse og/eller drift af NemID 3.0
Ved at lægge andre data - pas,
kørekort, sygesikring etc. ind - kan man måske - MÅSKE - gøre det
forretnings,æssigt attraktivt for mere end een leverandør at byde
på løsningen, så man kunne ved denne nytænkning måske komme
Michael Aastrup og Mike Legarth imøde samtidigt med at man forhøjede
personsikkerheden og man fik forbedret den digitale ID-infrastruktur.
Prisen er at vi skal anskaffe smart card læsere, som nu er kommet så
langt ned i pris, at de er billigere end en USB-stik.
Men denne type løsning har fungeret i
snart 10 år i Estland, så hvorfor ikke?
Lad Teknologirådet fremkomme med
forslag til krav til næste udbudsrunde og NemID 3.0 jo før jo
bedre!