Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere

Transkript

1 Side 1 af marts 2017 Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere Version 1.1. Denne vejledning er henvendt til offentlige myndigheder, som udbyder digitale tjenester med behov for brugerautentifikation. Vejledningen guider til valg mellem de sikringsniveau er, der er beskrevet i National Standard for Identiteters Sikringsniveau er (NSIS). Dette sker ved at forklare myndigheders forpligtelser samt illustrere, hvordan en vurdering kan gennemføres i praksis. NSIS standarden har fokus på krav til løsninger, der udbyder identiteter (hhv. eid ordninger og identitetsbrokere), hvorimod dette dokument har fokus på løsninger, der aftager identiteter fra disse løsninger. Den grundlæggende præmis er, at sikringsniveau et for brugerens aktuelle autentifikation med et bestemt akkreditiv mindst skal være på det krævede sikringsniveau for den tjeneste, som tilgås. Eksempelvis skal en autentifikation på niveau 2 afvises af en tjeneste, som kræver niveau 3. Målgruppen for dokumentet er IT ansvarlige, projektledere og IT arkitekter hos offentlige myndigheder, men principperne kan sagtens anvendes af private tjenesteudbydere også. Vejledningen erstatter en tidligere vejledning fra Økonomistyrelsen med titlen Autenticitetssikring - Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning (2008).

2 Dokumenthistorik Side 2 af 13 Version Dato Initialer Indhold /ændringer TG Første udkast udarbejdet TG Opdateret med kommentarer fra SPN og EBS TG Gennemskrevet og moderniseret til NSIS og ISO Afsnit om værktøjsunderstøttelse omlagt til nye DPIA værktøjer.

3 Side 3 af 13 INDHOLDSFORTEGNELSE INDLEDNING... 4 KRAV OG ANBEFALINGER... 4 MOTIVATION OG BEGREBER... 4 FØDERATIONER OUTSOURCING AF LOG-IN... 7 MYNDIGHEDERS ANSVAR... 7 SIKRINGSNIVEAU ER I NSIS BESTEMMELSE AF SIKRINGSNIVEAU Helhedsvurdering REFERENCER... 13

4 Side 4 af 13 Indledning Denne vejledning introducerer problemstillingen omkring valg af sikringsniveau for brugeridentiteter i digitale selvbetjeningsløsninger. Beskrivelsen opridser myndighedernes forpligtelser, beskriver hvordan en vurdering gennemføres i praksis, samt giver nogle praktiske eksempler. Vejledningen har til hensigt at hjælpe systemejere med at vurdere risici forbundet med brugeridentiteter. For en detaljeret behandling af sikringsniveau er for identiteter henvises til [NSIS]. For yderligere, generelle informationer om håndtering af IT sikkerhed og -risici henvises til ISO27000 familien af standarder. Krav og anbefalinger Myndigheder, der tilslutter online tjenester til den fællesoffentlige føderation (også benævnt NemLog-in føderationen), er ifølge Vilkår for anvendelse af den fællesoffentlige log-in-løsning forpligtede til at gennemføre en formel vurdering af behovet for ønsket sikringsniveau for brugeridentiteter. Dette arbejde skal ses som et led i de forretningsansvarlige systemejeres generelle ansvar for, at et tilstrækkeligt sikkerhedsniveau etableres, som er afstemt med løsningen. For løsninger, der behandler personoplysninger, vil dette også være en naturlig del i overholdelse af persondatareguleringens krav. For digitale selvbetjeningsløsninger, der ikke tilsluttes NemLog-in, er vurdering af behov for sikringsniveau ikke et formelt krav men dog en klar anbefaling, der bl.a. følger af den fællesoffentlige referencearkitektur for brugerstyring. Endelig kan det nævnes, at stillingtagen til sikringsniveau og håndhævelse af dette i tjenester er en afgørende forudsætning for at blive klar til MitID infrastrukturen, som afløser NemID. I denne infrastruktur forventes nemlig et bredere sæt udbud af akkreditiver på forskellige sikringsniveau er modsat situationen med NemID og OCES, hvor de fleste tjenester de facto har betragtet alle akkreditiver på samme sikringsniveau. Motivation og begreber I mange it-systemer er der behov for at fastslå brugernes identitet, så den rette adgang til ressourcer kan tildeles, og så brugeroplevelsen kan personaliseres. Dette behov opfyldes som regel ved at kræve, at brugerne foretager log-in til systemet, hvilket kan ske med forskellige akkreditiver som f.eks. bruger-id/password, pinkoder, NemID, digital signatur eller andet.

5 Side 5 af 13 Forskellige elektroniske identifikationsmidler giver varierende sikkerhed for, at den påståede identitet er korrekt, og accept af et sådant bør derfor ske ud fra en vurdering af systemets behov - herunder konsekvenserne ved forkert identifikation af brugere. Tilliden til, at brugerens identitet er korrekt, vil i praksis afhænge af en lang række faktorer, herunder både den tekniske sikkerhed af akkreditivet (et password har f.eks. normalt lavere teknisk sikkerhed end en digital signatur), hvor sikkert brugerens identitet blev fastslået i forbindelse med udstedelsen af dette, og sikkerheden i de tjenester, som håndterer identitet. Efter brugerens identitet er fastslået på et givent sikringsniveau, skal systemet beslutte, om adgang til forespurgte ressourcer/data kan tildeles (adgangskontrol) ud fra en adgangspolitik. I tabellen nedenfor findes en kort oversigt over de vigtigste begreber 1, som anvendes i vejledningen: Adgangskontrol Attribut Autentifikation Autentifikations-faktor Dynamisk autentifikation Proces i en tjeneste, der afgør hvilke funktioner og data en bruger får adgang til på baggrund af brugerens attributter og tjenestens sikkerhedspolitik. Karakteristika eller egenskaber ved en Entitet. Dette kan fx være et brugernavn, et pseudonym, et CPR nummer, bopæl, rolle etc. En proces som genkender og verificerer en identitet for en entitet på baggrund af tilhørende elektroniske identifikationsmidler. En del af et elektronisk identifikationsmiddel eller andet bevis anvendt i en autentifikation, som kan være i kategorierne noget kun brugeren er (fx biometri), noget kun brugeren ved eller noget kun brugeren er i besiddelse af. Sidstnævnte kategori vil typisk være et token eller en nøgle (fx nøglekort, nøglefil eller smart card). En elektronisk proces, som anvender kryptografi eller andre teknikker til på forlangende at skabe et elektronisk bevis for, at den kontrollerede har adgang til eller er i besiddelse af et elektronisk identifikationsmiddel, og som ændres ved hver autentifikation mellem den, der søger adgang til 1 Lånt fra NSIS standarden.

6 eid-tjeneste Elektronisk identifikationsmiddel (eid) Elektronisk identifikationsordning Entitet Identitet Identitetsbroker systemet, og det system, der kontrollerer dennes identitet En betroet tjeneste, som leverer en eller flere af de processer, som er underlagt krav i denne standard. Dette kan fx være identitetssikring, udstedelse af elektroniske identifikationsmidler eller drift af en broker. Bemærk, at eidas reguleringen bruger det komplementerende begreb tillidstjeneste om tjenester involveret i udstedelse af digitale signaturer/certifikater, validering af certifikaters gyldighed og tidsstempling. Et elektronisk eller fysisk objekt/genstand, der kan anvendes til at gennemføre en autentifikation af en identitet. Eksempler kan være brugernavn/kodeord, et NemID nøglekort, et certifikat med tilhørende privat nøgle, et SAML token etc. Et system til elektronisk identifikation, under hvilket der udstedes elektroniske identifikationsmidler til fysiske eller juridiske eller fysiske personer, der repræsenterer juridiske personer. Et subjekt / en bruger som skal have adgang til en tjeneste. I denne standard betragtes kun fysiske personer, som evt. kan være associeret med en juridisk person som en entitet. En digital persona repræsenteret ved et sæt af attributter, som fx kan repræsentere en fysisk eller juridisk person, eller en fysisk person, der repræsenterer en juridisk person. En identitet kan rumme Personidentifikationsdata. En eid-tjeneste som formidler en autentificeret digital identitet til tredjeparter på baggrund af en autentifikation foretaget af brokeren selv eller evt. af en anden tredjepart (brokere i flere led, men som ikke selv foretager identitetssikring eller udstedelse af akkreditiver. En Identitetsbroker er en tjeneste, som kræver tillid (en såkaldt trusted third party) fra forretningstjenester, og derfor er de underlagt krav i dette rammeværk. Side 6 af 13

7 Identitetssikring Sikringsniveau En proces hvor identiteten af en entitet fastlægges, og hvor attributter eller dele heraf (fx navn og CPR nummer eller tilknytning til juridisk person) efterprøves. Kaldes for identity proofing på engelsk. Graden af tillid til en påstået identitet (på engelsk Level of Identity Assurance ) og ofte også benævnt autenticitetsniveau. Defineres i dette dokument som fire niveauer, der stiller krav til de forskellige delprocesser i forbindelse med registrering, udstedelse og anvendelse af elektroniske identifikationsmidler. Side 7 af 13 Føderationer outsourcing af log-in Når en myndighed anvender den fællesoffentlige log-in-løsning (kendt under navnet NemLog-in) eller en anden identitetsudbyder i en føderation, flyttes håndteringen af brugerautentifikation (log-in) til en ekstern løsning. På den måde slipper hver enkelt myndighed for selv at skulle udstede akkreditiver, etablere en log-in-løsning, og brugerne kan opnå Single Sign-On (SSO) mellem forskellige myndigheders løsninger. NemLog-in understøtter, at brugerne kan logge på med forskellige typer akkreditiver, herunder NemID nøglekort og NemID medarbejdersignatur (MOCES) i varianter med nøglekort, nøglefil og hardware. I forbindelse med næste generation af NemID og NemLog-in kan det endvidere imødeses, at infrastrukturen vil blive videreudviklet til at understøtte nye typer akkreditiver med forskellige sikringsniveau er for identitet. Myndigheders ansvar Ved deltagelse i NemLog-in føderationen påhviler der myndighederne en forpligtelse til at foretage en vurdering af egne løsningers behov for sikringsniveau vedr. brugernes identitet. Dette skyldes, at ikke alle løsninger har samme behov for sikringsniveau, og at man ikke på forhånd kan vide, på hvilket sikringsniveau brugerne logger ind med. Således vil en løsning, der f.eks. viser borgernes sundhedsoplysninger, alt andet lige stille højere krav til sikkerhed for at brugerens identitet er korrekt fastslået, end en løsning, der tillader indrapportering til kommunen om manglende afhentning af skrald. For løsninger, der ikke er tilsluttet NemLog-in, er der ingen formelle krav om vurdering af sikringsniveau men det er en klar anbefaling, som også følger af den fællesoffentlige referencearkitektur for brugerstyring [REF-ARK].

8 Det nødvendige sikringsniveau vurderes for den enkelte løsning, og der skal efterfølgende etableres en adgangspolitik, der sørger for, at brugere kun får adgang til løsningen, hvis det aktuelle sikringsniveau for log-in sessionen opfylder løsningens krav. Alternativt kan en løsning tilgås på flere sikringsniveau er, hvis løsningen automatisk tilpasser sit indhold efter brugerens sikringsniveau. Side 8 af 13 Det skal understreges, at myndighedsløsninger IKKE bør antage, at brugere autentificeret via NemLog-in automatisk er logget på med NemID eller digital signatur (eller har niveau 3= Betydelig i NSIS), idet næste generation af NemLog-in og NemID som nævnt forventes udvidet til at omfatte flere akkreditiver og sikringsniveau er. Myndighedens systemer SKAL således aktivt kontrollere brugerens aktuelle sikringsniveau mod løsningens krav 2. Konkret vil samspillet mellem den eksterne log-in-løsning og myndighedens løsning være som følger: 1. Brugeren tilgår en beskyttet ressource hos myndigheden. 2. Myndigheden sender brugeren over til den eksterne løsning for log-in. 3. Brugeren logger på den eksterne log-in-løsning med akkreditiver efter eget valg. Log-in-løsningen validerer brugerens autentifikation og fastlægger et mål for det opnåede sikringsniveau i henhold til NSIS (på skalaen 1-4). 4. Brugeren sendes tilbage til myndighedens løsning med et såkaldt SAML token (udstedt af log-in-løsningen), der beskriver brugerens identitet (f.eks. CPR nummer) såvel som det aktuelle sikringsniveau. 5. Myndigheden validerer SAML tokenet og giver efterfølgende brugeren adgang til forespurgte ressourcer såfremt: a. Brugeren er autoriseret til ressourcen i henhold til den lokale politik, OG b. Brugerens autentifikation har et sikringsniveau, der modsvarer det fastlagte niveau for løsningen. 2 Denne kontrol bør efterprøves i praksis inden systemet sættes i drift.

9 Side 9 af 13 Figur 1: Forløb ved fødereret log-in Bemærk at trinene ovenfor kun udføres første gang, brugeren tilgår myndigheden indenfor en session, og at trin 3 evt. overspringes, hvis brugeren allerede er logget på NemLog-in (dvs. Single Sign-On). Bemærk også, at den samme bruger kan have flere sæt af akkreditiver, som kan være klassificeret på forskellige sikringsniveauer i henhold til NSIS. Resten af denne vejledning har til formål at beskrive, hvorledes en myndighed kan fastlægge kravet til sikringsniveau for deres konkrete løsninger (som angivet i punkt 6.b ovenfor). Det beskrives ikke, hvorledes myndigheden teknisk bygger kontrollen af brugersessionens aktuelle niveau mod det krævede niveau ind i adgangskontrollen i deres løsninger, da dette vil variere betydeligt fra system til system. De fleste systemer til adgangskontrol er dog temmelig fleksible, og kan relativt let konfigureres til at tage højde for dette i adgangsbeslutninger.

10 Bemærk endvidere, at denne vejledning ikke beskæftiger sig med autorisation på anden måde end håndtering af sikringsniveau for identitet. Det er således de lokale systemejeres eget ansvar at definere en lokal politik for, hvem der skal have adgang til hvilke ressourcer. Side 10 af 13 Sikringsniveau er i NSIS Der opereres i NSIS med flg. sikringsniveau er: Niveau 1 Begrænset tillid til påstået identitet Niveau 2 Lav tillid til påstået identitet Niveau 3 Betydelig tillid til påstået identitet Niveau 4 Høj tillid til påstået identitet De nuværende NemID og OCES signaturer blev designet før NSIS, og derfor er NSIS-kravene ikke automatisk indarbejdet i disse løsninger. Som tommelfingerregel vil de fleste varianter kunne klassificeres på NSIS niveau 3, men der er dog forskelle mellem varianterne. Særligt kan sikringsniveau et for nøglefilsløsninger variere med den konkrete implementering. Som tidligere beskrevet forventes identitetsinfrastrukturen udvidet med understøttelse af andre akkreditiver, som potentielt kan være klassificeret på andre niveau er. Dette kan i en løst-koblet føderation ske helt uden at påvirke myndighedernes løsninger, såfremt disse løsninger (som beskrevet ovenfor) tager højde for brugerens aktuelle niveau i deres adgangskontrol. NemLog-in løsningen vil fremover benytte NSIS standarden til vurdering af anvendte akkreditiver, og dette indebærer, at myndighederne ikke selv behøver at tage stilling til log-in-mekanismers sikkerhed. De skal således blot koncentrere sig om egne løsningers behov for sikringsniveau er i form af en indplacering i forhold til ovennævnte niveau er.

11 Side 11 af 13 Bestemmelse af sikringsniveau Det er alene de dataansvarlige myndigheders ansvar at fastlægge krav til sikringsniveau er for deres tjenester. Digitaliseringsstyrelsen anbefaler dog en tilgang baseret på en risikovurdering, der bl.a. kortlægger datas følsomhed, konsekvenser, trusler og kontroller som beskrevet nedenfor. For at kunne fastlægge det rette sikringsniveau for identitet er det gavnligt at identificere mulige konsekvenser af, at brugerens identitet ikke er fastslået tilstrækkeligt med andre ord at en bruger kan udgive sig for at have en anden identitet end den faktiske. Konsekvenserne vil variere vidt fra system til system. For systemer, der behandler personoplysninger, kan man med fordel gennemføre en konsekvensvurdering for privatlivet (DPIA 3 ) som beskrevet i detaljer på flg. side: Ved brug af værktøjerne på denne side (regneark), vil man opnå en struktureret vurdering, som resulterer i to risikoscores udtrykt i intervallet 0-25: a) Samlet vurdering for datasubjekt b) Samlet vurdering for dataansvarlig De to risikoscores giver et første udgangspunkt for at vælge NSIS sikringsniveau for en løsning. Dette kan ske med udgangspunkt i en tabel som illustreret nedenfor: Samlet konsekvens datasubjekt Samlet konsekvens dataansvarlig NSIS NSIS NSIS NSIS Hvis scoren i de to konsekvenskategorier er forskellige, bør man overveje at vælge det højeste NSIS niveau af de to. Det skal yderligere bemærkes, at det er helt bevidst, at intervallerne overlapper i tabellen. Dette skyldes, at man ikke mekanisk kan oversætte scoren til et NSIS niveau, men må overveje den konkrete kontekst nøje. Hvis risikoscoren rammer et overlap mellem to NSIS sikringsniveau er i tabellen, anbefales det at dokumentere klart, hvilke overvejelser, der resulterede i det konkrete valg af NSIS niveau. 3 Data Protection Impact Assessment.

12 Som en supplerende vejledning kan nævnes, at systemer udstillet på internettet, som giver adgang til følsomme personoplysninger 4, som udgangspunkt bør kræve NSIS niveau 3 ved brugerautentifikation. Det skal i den forbindelse nævnes, at Datatilsynet til lignende situationer har anbefalet brug af digital signatur eller tofaktor autentifikation 5. Side 12 af 13 Ovenstående fremgangsmåde lægger hovedfokus på risici forbundet med kompromittering af personoplysninger. Det er dog vigtigt at understrege, at der kan være andre risici, som er nødvendige at overveje for at få et komplet billede. Disse kan afdækkes ved gennemførelse af en traditionel risikovurdering. Det skal igen understreges, at valget af sikringsniveau suverænt er den dataansvarlige myndigheds, og at ovenstående blot kan betragtes som en tommelfingerregel, der kan danne udgangspunkt for en nærmere vurdering, der tager de konkrete forhold i betragtning. Helhedsvurdering Det er væsentligt at understrege, at risici og kontroller for systemer bør vurderes som en helhed. Eksempelvis kan brug af afbødende foranstaltninger som overvågning, logning og begrænsning af adgang i forhold til tidsrum eller netværksadresser gøre det muligt at tillade adgang med akkreditiver på ét niveau, selv om vurderingen af behov for sikringsniveau for identitet isoleret set tilsiger et højere niveau. Som et eksempel kan nævnes, at mange virksomheder tillader log-in med bruger-id + password, når brugeren fysisk sidder på virksomhedens eget, interne netværk, mens fjernadgang f.eks. fra hjemmearbejdspladser kræver log-in via et token med engangskodeord (altså en stærkere autentifikation). En sådan vurdering bør dog foretages af professionelle med kompetencer indenfor risikovurderinger. 4 Se Persondatalovens 7 eller GDPR artikel 9. 5 Se fx eller

13 Side 13 af 13 Referencer [NSIS] National Standard for Identiteters Sikringsniveau (NSIS), [REF-ARK] [VILKÅR] Referencearkitektur for identitets- og rettighedsstyring. Vilkår for anvendelse af den fællesoffentlige log-in-løsning