Blå Blok vil bryde NETS monopol - Hvad vil de opnå?

Både Berlingeren og Børsen kommenterer i dag Nets-sagen og det giver sig som altid udslag i nogle meget hurtige politiske udmeldinger, som f.eks. Michael Aastrup Jensen, der udtaler at flere selskaber skal stå for driften af NemID, fordi den øgede konkurrence vil medføre større fokus på sikkerhed og oppetid og medvirke til at gøre driften billigere.

Før vi ser på hvad der er op og ned i de påstande, må vi træde et skridt tilbage og konstatere hvad det var, der gik galt og hvordan en kriminel person kunne få adgang til fortrolige data over en så lang periode, uden at nogen fattede mistanke. I samme runde kan vi jo så passende stille spørgsmålet om hvordan en svensk hacker i mange måneder kunne få adgang til CSC's kørekort database og mulige andre, CPR-relaterede databaser.

Sikkerhed i IT systemer

har traditionelt været fokuseret på den sidste type angreb, d.v.s udefra kommende angreb, og har derfor forsøgt med opbygningen af alle mulige firewalls, antivirussystemer - og ikke mindst med autorisationsystemer, som skal sikre, at kun de, der har en legitim adgang til systemet rent faktisk KAN komme ind. Oftest er det derefter meget avancerede adgangskontrol-mekanismer, der checker brugeren, hans rolle, hvilke applikationer/programmer han kan få adgang til - og i bedste fald også hvilke data og registre han får lov at se. De bedste installationer har desuden løbende kontroller - audits - af hvordan sikkerheden fungerer, og nøglemedarbejdere checkes løbende og i visse tilfælde udskiftes de efter en periode.

Hvor kommer truslerne fra?

Men trusselbilledet har ændret sig fra dengang alle medarbejdere sad i samme bygning eller på samme intranet, og alle data og programmer blev afviklet på een mainframe. I vore dage har medarbejdere hjemmearbejdspladser, mobile arbejdspladser eller bare mobiltelefoner, der giver adgang til virksomhedens data.

Og virksomhedens datacenter er blevet outsourcet og afvikles nu på en virtuel maskine, der fysisk kører sammen med 10-20 eller flere andre virksomheders systemer. Og nu bliver det meget mere interessant for eksterne hackere at angribe sådan en godbid, og der sættes i visse lande store ressourcer af til at prøve at penetrere den slags systemer. Og det lykkes forbavsende tit.

Det foregår som regel ved såkaldte fishing angreb, hvor (betroede) medarbejdere i de firmaer, som 'fiskerne' har fokuseret på, modtager falske e-mails, der er udformet så de tilskynder modtagerne at hente et attachment eller trykke på et link. Herefter downloades typisk en trojansk hest, der efter kortere eller længere tid giver sig til at undersøge sine omgivelser, jagte passwords eller aflure tryk på tastaturet.

Hver eneste dag bliver der sendt mere end 150 millioner fishing mails, hvoraf 16 millioner uden problemer passerer det før omtalte sikkerhedsfilter og når frem til interne medarbejdere. Omkring halvdelen af dem bliver åbnet, og ca. 800.000 klikker videre på det inficerede link.¹

Hvert halve år angribes mellem 80.000 og 115.000 domæne navne.

En af de mest skræmmende og teknisk kompetente grupper benævnes APT1 og er med meget stor sandsynlighed styret og støttet af den kinesiske regering. Formålet er spionage og industrispionage. Man formoder at der er mere end 1000 højt professionelle hackere/spioner i denne gruppe. Det amerikanske firma Mandiant følger løbende denne udvikling og udgiver (gratis) oversigt over indikatorer for gruppens tilstedeværelse på virksomhedernes servere.

Udover disse meget professionelle grupper er der et væld af spammers og andre hackere, der søger at lokke penge ud af private og virksomheder på meget fantasifulde metoder. Herhjemme har vi set falske breve fra Skat og enkelte forsikringsselskaber, der fortæller at man har penge til gode. Også betalingskortselskaberne benyttes ofte som udgangpunkt, hvor man beder folk at genåbne deres 'lukkede' kort ved at indtaste kortnummer og pinkode.

Selvom det for professionelle ser højst primitivt ud, er der konstant nogen, der falder for tricket.

BYOD - Bring You Own Device - men tag hovedet med på arbejde

Og har hackerne fået fat i en PC'er, der tilhører en betroet medarbejder i en virksomhed, er porten til data åben. Mandiant mener at kunne påvise, at APT1-netværket har stjålet flere hundrede terrabyte dat fra mindst 141 organisationer. Hvad værre er, at disse angreb iflg. Mandiant i gennemsnit har stået på mere 356 dage, og en enkelt organisation var sågar udsat i hele 4 år for angreb før de opdagede det.

Selvom det nok er vanskeligt, er der altså i højeste grad brug for en pædagogisk indsats for at få hr. og fru Jensen til at interessere sig for deres sikkerhed, og så vidt muligt anvende sig af SSL (Secure Sockets Layer) og EV = Extended validation. Det er sådan, at firmaer eller websites, der anvender EV SSL certifikater vises på en browser med et grønt felt og med navnet på den certificeringsmyndighed, der har godkendt det.

Trusler mod borgerne

Identitetstyveri er en reel og stigende trussel for private mennesker. Ifølge en undersøgelse, som Københavns Universitet har lavet for Det Kriminalpræventive Råd, sker det for mere end 46.000 danskere hvert år. Dette omfatter ikke svindel med betalingskort, men tilfælde hvor en persons identitet misbruges f.eks. til at købe varer, rejser, oprette lån etc. Tallet stiger kraftigt - en fordobling på 4 år. Det hænger sammen med vores tiltro til, at de profil oplysninger vi lægger ind på Facebook, twitter, Linkedin etc. ikke benyttes kriminelt. Men jo flere personlige data der ligger tilgængeligt på nettet, desto nemmere er det at kunne udgive sig for en anden. Og hvis man er sløset med sine CPR-numre, kan det gå rigtigt galt. (Læs hvordan Identitetstyveri virker i praksis)

Tys-Tys kilden - datatyveriet fra Nets

Lad os nu vende tilbage til vores kriminalsag fra Nets/IBM. Vi taler altså om en medarbejder, der som en hel del andre, havde adgang til 'produktionsdata' , d.v.s. data vedrørende betalingskorttransaktioner. Det var disse informationer han solgte til Se & Hør, så vidt det er oplyst for en fast månedsgage på 10.000 kr. Vi ved på nuværende tidspunkt ikke, om han havde systemadministratoradgang til mange andre systemer, noget som politiet og IBM undersøger.

Uanset hvad han i kraft af jobbet har haft adgang til, har han under alle omstændigheder gjort sig skyldig i noget strafbart i kraft af en betroet stilling, ligesom de 'hælere', der havde ham ansat, også står til straf.

'Security breaches are inevitable - being a headline is not' (Mandriants hjemmeside!)

Jeg og med mig mange sikkerhedseksperter vil påstå, at man kan lave IT systemerne så sofistikerede, at det bliver meget svært at omgå dem selv for en 'insider', men det kan aldrig blive 100% sikkert. Vi kan forlange at de organisationer, der passer på vores data, logger alle adgange og regelmæssigt kører statistik på log data, så man kan se evt. mønstre, vi kan gøre det meget besværligt at få adgang til ukrypterede data, men nogen skal på et eller andet tidspunkt kunne få denne adgang, og selv i hæderkronede firmaer med en traditionel høj arbejdsmoral kan man ikke gardere sig mod egentlig kriminel adfærd. (Når medarbejdere som tys-tys kilden bliver 'body shoppet' fra eet firma til et andet, er loyaliteten for firmaet måske heller ikke den bedste - og fyrede medarbejdere er ofte de værste skadevoldere)

Hvad skal vi så gøre ved det?

Er det logisk at sikkerhedsniveauet vil blive højere, hvis 3 uafhængige organisationer hver især skulle kunne få adgang til vores personlige data? I min optik er risikoen for en kriminel insider bare 3 gange højere. Og hvad værre er, hvis infrastrukturen varierer fra udbyder til udbyder, vil een af de 3 uvægerligt være det svageste led i et eksternt hacker-angreb.

Det er forståeligt, at man ved næste udbudsrunde i 2015 (som er lige straks!) skærper kravene til sikkerhed, så den leverandør, der på dette tidspunkt vinder NemID-kontrakten, allerede ved at barren er blevet løftet. Men at 3 forskellige skulle kunne se en forretningsmæssig fordel i det, og ovenikøbet som Michael Aastrup og Mike Legarth forventer, gøre det billigere - det kræver mere end normal nytænkning - eller en ekstra bevilling, som jeg ikke tror at selv en borgerlig regering vil stå på mål for.

Hvordan kan man tjene penge på infrastruktur?

Der er nemlig ikke mange penge i infrastruktur. Jeg var særdeles involveret i begge de 2 runder udbud om digital signatur, der er kørt indtil nu, og kan se de problemer, som de bydende virksomheder havde med at se forretningen i løsningen. TDC, der vandt den første runde af de såkaldte OCES-certifikater, forventede at business casen skulle bæres af medarbejdercertifikater og registreringssystemer til private virksomheder, men det blev kun meget langsomt indfaset, og TDC måtte betale bøder, fordi de ikke levede op til de oprindelige estimater for udbredelse.

Den 2. runder udbud blev gennemført efter forhandling. Det konsortium, jeg var med til at koordinere, fik sammen med TDC og PBS/Bankerne udleveret det endelige udbudsmateriale. Da vi havde vurderet det, trak vi os! Og det endte som bekendt med at TDC gik sammen med PBS og overlod sin (skrantende) OCES-forretning til det, der senere blev NETS.

Der var kort sagt ingen penge i det. Og det vil der langt mindre være, hvis 3 skal deles om opgaven.

Når PBS var klart overlegen, var det netop i kraft af, at de allerede havde store dele af infrstrukturen betalt af kreditkortselskaberne og bankerne. Skulle man starte forfra, vil det være dyrt - også selvom IT-løsninger er faldet i pris.

Har vi en plan B?

Så hvad er vejen ud af dilemmaet? Alle politikere fokuserer på Se & Hør sagen, hvor de langt større trusler kommer fra fremmede regimer, profesionelle fishere og fra et voksende pres i form af identitetstyveri. Det er en typisk men beklagelig rygmarvsreaktion. Det er gået ud over en række kendte personers privatliv, det er stækt ulovligt, men tys-tys kilden er tilsyneladende ikke stukket af med arvesølvet. (Med forbehold for hvad politiets undersøgelse kan bringe, naturligvis)

Ja, Version 2 kan have en pointe i at '289 danske registre med personfølsomme data er uden for myyndighederne kontrol' - baseret på at man mener, at den amerikanske stat kan tvinge CSC, IBM, Microsoft, Facebook etc. til at udlevere persondata til USA - ovenikøbet uden at meddele det til danske virksomheder. Så er løsningen at forbyde outsourcing ? Næppe. Så mange og så omkostningstunge medarbejdere og systemer kan vi ikke forvente at skatteyderne er tjent med.

Det problem, som Version2 peger på, kan kun løses ved at EU indgår en klar aftale med USA, der bygger på menneskerettighedserklæringer, og som gør det klart for USA at udlevering af data om andre borgere kun kan finde sted efter gensidig overenskomst - for eksempel i fortsættelse af interpol-samarbejdet - ellers ikke.

Kan EU udarbejde retningslinier for at styrke medlemsstaternes datasikkerhed?

Jeg tilbragte i sidste uge 2 dage med Teknologirådet i en gruppe eksperter fra EU lande, der havde til opgave at vurdere om og hvordan man kunne udstikke retningslinier til kommissionen for brug af 'Cloud Computing'. Kommissionen ser nemlig gerne, at europæiske virksomheder får del i den bølge af 'cloud teknologi', der skyller ind over os, og hvor amerikanske firmaer har et solidt forspring.

Vores konklusion er indtil videre, at der ikke er noget, der kan kaldes 'Cloud Teknologi', og at de sikkerhedskrav man ville stille hertil, ikke adskiller sig fra de krav og checklister (TLA'er) man med rimelighed ville kunne forlange overholdt af enhver outsourcing leverandør uanset nationalitet.

Så opgaven i vores optik går snarere på at udvikle 'teknologineutrale' krav til sikkerhed, kryptering, autorisation, kontrol med nøgleprocesser og -personer og særlige revisionskrav, hvor data bruges på tværs af 'domæner', d.v.s. ved anvendelse af 'big data' teknikker.

Lad os lave NemID version 3

Her kan man begynde at nytænke. Og så kunne man passende lave hele vores personregistrering om til noget meget mere tidssvarende. At vi danske ikke ser noget problem i at bruge vores CPR nummer til alle mulige formål bør være slut. Der er ingen grund til at man ved en enkelt identitet kan misbruge det til at checke alle forekomster i alle virksomheder- fra RKI til Forsikringsselskaber, detailhandelskæder.... Ja, vores selvkontrollerende skattesystem bygger jo på en eentydig identifikation af personer - men det kan man godt etablere på anden vis. Man kunne for eksempel erstatte vores pap kort med et smart card, der også indeholdt biometriske data (krypterede fingeraftryk, ansigtsdata). Og så kunne man skele til den måde, tyskerne har implementeret ID på: på kortet kan man vælge at afsløre f.eks. alder, adresse, kørekortsinformation, sygesikringsinfo, bankinfo, donor info etc. Man skal som borger selv kunne styre hvor meget man vil afsløre om sig selv. Og det bør se - i modsætning til vores nuværende NemID - være international accepteret og skal kunne bruges på kryds og tværs af EU. (Se beskrivelse af EU initiativ om coss border ID - Stork 2)

Så kunne vi måske åbne for konkurrence om udstedelse og/eller drift af NemID 3.0

Ved at lægge andre data - pas, kørekort, sygesikring etc. ind - kan man måske - MÅSKE - gøre det forretnings,æssigt attraktivt for mere end een leverandør at byde på løsningen, så man kunne ved denne nytænkning måske komme Michael Aastrup og Mike Legarth imøde samtidigt med at man forhøjede personsikkerheden og man fik forbedret den digitale ID-infrastruktur. Prisen er at vi skal anskaffe smart card læsere, som nu er kommet så langt ned i pris, at de er billigere end en USB-stik.

Men denne type løsning har fungeret i snart 10 år i Estland, så hvorfor ikke?

Lad Teknologirådet fremkomme med forslag til krav til næste udbudsrunde og NemID 3.0 jo før jo bedre!

Privacy igen-igen

(Den kinesiske mur - kan mure beskytte mod angreb på Privacy?)





















I sidste uge afholdt IT- og telestyrelsen i samarbejde med DI ITEK, den franske og den tyske ambassade og forbrugerrådet en konference under overskriften 'The Net will not forget' om Privacy. Tilstrømningen var ganske pæn, større end den vi så ved maj måneds arrangement 'Pyt med Privatlivet', som Teknologisk Institut arrangerede, og hvor jeg havde fornøjelsen at være indlægsholder. 'The Net will Not Forget' gav ikke anledning til megen presseomtale, og interesseniveauet er som sådan nok ikke blevet højere end da Teknologirådet i 2006 lavede en rapport om 'ICT and Privacy in Europe' som en del af det europæiske EPTA-samarbejde.

Når interessen for privacy og beskyttelse af private data ikke er større i Danmark, hænger det formodentlig sammen med at vi i visse sammenhænge scorer højest som værende 'Verdens mest lykkelige befolkning'. I denne sammenhæng kan man spørge sig selv, om det også berettiger til at være tossegode.

Noget kunne tyde på det – for ikke nok med at vi har en solid tillid til vores offentlige myndigheder, vi kaster os også rask væk ud i offentliggørelse af personlige detaljer på Facebook, som mere end 2 mio af os er på, og der høres ingen protester i befolkningen, når politikerne på Københavns Rådhus og i Folketinget går ind for udvidet videoovervågning på Nørrebro, selvom ikke mindre end 44 internationale, seriøse studier ikke har været i stand til at påvise, at videoovervågning har anden præventiv effekt end en marginal reduktion af cykeltyverier og indbrud i biler.

Gus Hosein, en af de internationale talere på 'The Net will not Forget', fremviste en række eksempler på nye og raffinerede overvågningsteknikker, som dog nok vil kunne få selv sløve danskere til at reagere: Fra at være et tilbud til besøgende i Disneyland, kan man nu som forældre få udstyret sine børn med et 'no break' GPS-armbånd, så man kan sidde hjemme og se, hvor ens barn befinder sig, få en alarm når foruddefinerede grænser overskrides og kunne sikre sig, at barnet har en panikknap at trykke på, 'just in case'. Hvem sagde 'Curlinggeneration'?

Gus Hosein har tidligere gjort sig bemærket ved at fremhæve, at USA, UK, Kina og Sovjet er Verdens førende når det kommer til overvågning og kontrol af egne og andre landes borgere – og vel at mærke i den rækkefølge.

Men jeg vil påstå, at hvis ikke man forstår hvilken udvikling, der er i gang, og bliver bedre til både at styre og udnytte teknologien, så vil Danmark meget snart kunne være på linie med de 4 overvågningssamfund – og ikke nødvendigvis fordi en bevidst politisk linie fører denne vej, men fordi vi ganske simpelt ukritisk accepterer tilsyneladende fornuftige metoder til at passe på vores børn, vores biler, beskytte lokalsamfund mod kriminalitet, forhindre terrorhandlingerne på den ene side og skattesnyd på den anden – samtidigt med at vi jo 'ikke har noget at skjule', så alle billeder fra forskellige festlige sammenkomster og uheldige situationer lægges på nettet, fordi det er 'sjovt' – og fordi ingen rigtigt kan overskue konsekvensen.

Vi har – så vidt vi ved – her i landet kun oplevet få tilfælde af egentligt identitetstyveri, selvom forekomsten af forfalskede og stjålne danske pas hos illegale indvandrere efterhånden må være betragteligt.

Sidste gang man undersøgte de europæiske nationers holdninger til Privacy og Data Security, var Danmark i den laveste tredjedel og altså ikke særligt motiverede til at gøre noget ved det. Så derfor finder mange mennesker det helt naturligt, når private virksomheder beder om at få CPR-nummeret for at oprette een i deres kunderegister – ja nogle virksomheder giver endda prmæier og rabatter for at få det. Det er vi tilsyneladende ligeglade med, på trods af at sofistikerede Customer Relations Management systemer er i stand til at crawle nettet, finde sociale netværker som Facebook, Linkedin, Plaxo, Twitter, YouTube – og sammenligne den enkelte kundes profiler, netværker, ja sågar mønstre i søgning på nettet, så tilbud kan skræddersys og de derved i princippet gennemføre prisdifferentieringer og målrettede kampagner.

Der er ikke megen debat længere om registersamkøringer, og i stedet arbejder man nu målbevidst mod at etablere een indgang til alle offentlige borgerdata (Se borger.dk) – hvorved borgerens arbejde (= selvbetjening) lettes, men hvor fjernelsen af tidligere barrierer altså også nu gør det muligt at få et samlet overblik over alle borgerens forhold. Er det en trussel? Det beror på hvordan den enkelte oplever det. Og hvor godt det offentlige beskytter personlige data mod utilsigtede afsløringer – for ikke at tale om videresalg af data til private virksomheder.

De helt åbenlyse trusler kommer fra et antal kilder:

1. Botnets

   Vi kan ikke forvente at alle er lige gode til at beskytte deres PC'ere mod virus og hacker angreb. Det betyder, at vi må regne med at et antal PC'ere er inficerede med trojanske heste, der kan fjernstyres og benyttes til cyber-angreb. Som Estland oplevede forrige år, Georgien og Kazakstan sidste år – massive angreb, der lammede landenes kommunikation over internettet med borgere og banker i op til en uge.

2. Hackere/Fishing

   bliver mere sofistikerede – næste trin er forsøg på at lænse bankkonti ved at franarre folk pinkoder og bankkoder. Det har vi set et kraftigt stigende antal eksempler på, og det bliver ikke bedre før den nye digitale signatur er rullet ud – nu med et års forsinkelse.

4. Regnekraft/lagerkapacitet

   Teknologien udvikler sig hastigt – beregningskapacitet og lagringskapacitet firdobles nu nærmest hvert andet år. Og det betyder at oversættelse fra et sprog til et andet, lagring af f.eks. Telefonsamtaler og skypesamtaler kan blive det næste mål for hackere, og en oversættelse til arabisk, russisk, amerikansk kan finde sted 'on the fly'.
   
   

5. WI FI – forbrugeradfærd

   Samtidigt er det påfaldende så mange private WI FI anlæg, der står pivåbne og hvor også ganske almindelig trafik kan aflyttes og kopieres. Ja, vi ER lalleglade. CPR-numre flyder på nettet. Og en logningsaftale med teleselskaberne, der undtager små kollektiver er jo en klar hjælp til potentielle lovovertrædere og dermed er resten af logningsbekendtgørelsen en pestilens for flere og til ringe nytte.
   

Dilemmaet er altså klart: Vi skal beskytte os mod terrorisme og acceptere at 'nogen' med fornuftige retsmidler kan foretage overvågning, vi skal beskytte os mod at blive franarret og bestjålet, men det er ikke en statsopgave at beskytte os og certificere vores private PC'ere, men derimod nok at undervise os i HVORDAN vi kan beskytte os. Da truslerne ændrer sig, er et regulært kompetencecenter nødvendigt, som kan rådgive borgerne på den ene side og politikere og erhvervsliv på den anden. Det er ikke 'bare' en opgave for efterretningsvæsener.

I Sundhedssektoren er privacy mere end andre steder beskyttet af lovgivning, der kræver samtykke fra patienten for videregivelse af oplysninger. Her er faktisk flere dilemmaer: For det første skal vi redde patientens liv, og derudover har vi brug for patientdata til at bedrive forskning, og har derfor brug for pseudonym-tilgang til data på en kontrolleret måde.

Vi har brug for en meget finkornet styring af adgang til patientdata – men samtidigt behov for en høj effektivitet på hospitalerne - og vi har endelig brug for at have en klar lovgivning, der følger den teknologiske udvikling: Vi må forhindre at individers DNA-profil udleveres til private forsikrings- selskaber. Hvor man bør overveje lovgivning for at forhindre, at svage patienter bliver tvungent til 'frivilligt' at aflevere sådanne data.

Igen støder vi på parakdokset at lovgivningen uvægerligt altid vil halte efter den teknologiske udvikling. Lovgiver har ikke en chance for at forudse, hvad videnskaben kan frembringe næste år: Hjernescanninger som grundlag for en analyse af børns udviklingspotentiale? Gen-analyser til at forudse, hvem der bør gifte sig med hvem? Vi har allerede set tilsyneladende raske, unge kvinder der får operet bryster bort, fordi DNA-profilen siger, at sandsynligheden for at udvikle kræft er over 80% i den familie. Så næste dilemma er hvordan man beskytter borgerne mod forsikringsselskaber, arbejdsgivere – og måske sig selv!

Så vi kan konstatere, at vi har behov for følgende:

• Klare retningslinier for etablering af offentlige såvel som private IT-systemer, der indeholder kortlægning af risiko for utilsigtede afsløringer af data, en analyse af hvad konsekvensen i så fald kan være, samt tiltag – både tekniske og organisatoriske, der på en balanceret måde reducerer risikoen for 'udslip'
  

• En strategi og en klar plan for information til borgerne om hvordan de selv kan beskytte sig, hvor de kan få hjælp og rådgivning og – måske – oprettelse af testcentre, hvor de kan få adgang til at kontrollere deres udstyr
  

• Tilskyndelse af udvikling af simple metoder til kryptering og til udvikling af granuleret databeskyttelse, som for eksempel påvist i PrimeLife, hvor ideen er, at den enkelte afslører præcis så stor en delmængde af vedkommendes identitiet som står i forhold til den transaktion, han/hun ønsker at udføre: Er man borger i Birkerød? er man myndig? Har man kørekort? Har man en patientjournal? Har man en bankkonto? Eller har man brug for at afsløre sion fulde (borger)identitet over for det offentlige – men derimod ikke ens indkøbsvaner og trafikmønstre?
  

• En debat om hvordan lovgivning indrettes på en mere hensigtsmæssig måde end ved detailstyring – kort sagt, en grad af Anglisering af lovgivningen, der tillader udvikling af ny teknologi og en højere grad af fokus på formål og hensigten med lovgivningen.

I næste Blogindlæg vil jeg se på biometri og de hermed forbundne sikkerhedsfordele og risici.