NemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig

Transkript

1 NemLog-in Kenneth Kruuse, projektleder og serviceansvarlig

2 Hvad er NemLog-in? SSO - med mere

3 Formålet med NemLog-in Fællesoffentlig infrastruktur bygger ét sted og stiller komponenter gratis til rådighed for myndigheder En sammenhængende og mere omkostningseffektiv sikkerhedsinfrastruktur Ét log-in for borgere og virksomheder til samtlige offentlige selvbetjeningsløsninger Ensartet og kendt sikkerhedsniveau

4 NemLog-in i tal Årligt ca. 40 mio. log-in Ca. 300 services, bl.a. Borger.dk, Virk.dk, SKAT.dk og Sundhed.dk Ca virksomheder er tilsluttet brugeradministration Foretages op til signeringer dagligt

5 Komponenter i NemLog-in NemLog-in består af: NemLog-in (single sign-on) blev i ny version ibrugtaget ved årsskiftet til 2013 og løbende udvidet med: Brugerrettighedsstyring bl.a. til virksomheder Signering via browser eller webservice Fuldmagt delegering fra borger til borger og borger til virksomhed STS billetveksler Tilslutning administrativt system til tilmelding af nye løsninger og organisationer

6 Brugerrettighedsstyring (FBRS) Brugerrettighedsstyringen benyttes af ca. 10 myndighedsløsninger i dag, migreret fra Virk.dk s BRS De fleste IT løsninger har brug for en brugeradministration Med den ny fællesoffentlige brugeradministration har myndighederne en komponent der allerede giver dem mulighed for at benytte brugeradministration Sikkerheden er på niveau med øvrig NemLog-in

7 Signering Logning af stærke signaturbeviser, som kan fremlægges ved en tvist Tjenesten gemmer ikke tekst

8 Fuldmagt Løsningen gør det muligt, at en borger kan autorisere en repræsentant til at tilgå offentlige selvbetjeningsløsninger og agere på borgerens vegne. Delegeringen kan afgrænses i tid. Der er tale om en basal fuldmagtsløsning, der vil kunne afgrænse på handlingen, objektet og parametre Ved at en borger giver sin repræsentant en digital fuldmagt, kan forvaltningslovens krav om partsrepræsentation realiseres

9 Sikkerhed i NemLog-in NemLog-in er en sikkerhedsløsning Derfor har der været fokus på sikkerhed fra start, dvs. inden udbud er der foretaget en risikovurdering for at identificere behov for kontroller i løsningen Der er stillet en række krav til sikkerhed i udviklingsforløbet Der er stillet krav om ekstern revision ved idriftssættelse Erfaringspunkter om bl.a. leverandørens modenhed og opfyldelse af krav til logning, fordi logning udgør et væsentligt sikkerhedskrav i NemLog-in

10 Krav til sikkerhed i udviklingsforløbet Krav i kontrakt om sikker udviklingsmetode - (NIST s "Security Considerations In The Information System Development Life Cycle") Et hovedelement er threath modelling af koden, består af risikovurdering af koden som udvikles. Førte bl.a. til at de mest sikkerhedskritiske komponenter er udviklet i DK, mens andre komponenter er bygget i PH. Andet hovedelement udpege såkaldt særlig sårbare krav. I udviklingsprocessen stilles der krav om sporbarhed fra krav til produktbeskrivelse til test.

11 Krav til sikkerhed i udviklingsforløbet - 2 I praksis skete der pga. tidspres et skift i fokus fra proces til produkt. Digitaliseringsstyrelsen foretog stikprøvekontrol. Krav om et sikkert udviklingsmiljø, der næsten stillede samme krav som til produktionsmiljøet. Dermed var NemLog-in udviklingsmiljø afkoblet fra øvrige miljøer i NNIT. Krav til ekstern revision i udviklingsforløbet. Koden blev sendt til gennemsyn hos tredje part. En (mindre) del af revisionen foregik i DK og en del i et sydamerikansk land, baseret på en risikovurdering. Krav til penetrationstest ved tredjepart kommer først i slutfasen.

12 Erfaringer og læringspunkter I forhold til at anvende tredjepart til sikkerhedsreview: Et spørgsmål om balance og tillid. Leverandørens modenhed spiller en væsentlig rolle. Konkret var der en række findings i koden og den efterfølgende penetrationstest. Dog intet graverende. Størst værdi i review forløbet gav målrettede angreb af højt kvalificerede folk (hackere). Leverandøren skulle modens på sikkerhedsområdet kendskab til HSM, håndtering af privilegerede brugere (Cyberark), krav til logløsning gav performanceudfordringer, nu faste interne sårbarhedstest (Acunetix) Hellere få meget kompetente folk og ekstern part kan vise modenhed

13 MERE INFORMATION Chefkonsulent Kenneth Kruuse Tlf Læs mere eller tilmeld dig vores nyhedsbrev på

14 Spørgsmål?