It-sikkerhedstekst ST5

Transkript

1 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version 1 Februar 2015

2 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Udtrykket "Login" anvendes om den proces, der giver adgang til et it-system. Når en person skal foretage et personligt login på et it-system, sker det normalt ved, at han/hun afgiver én eller flere fortrolige oplysninger, fx en adgangskode. En generel betegnelse for nogle af de fortrolige oplysninger, som kan afkræves ved et login, er "faktorer". Sigtet med et personligt login til et it-system er at give en fysisk person adgang på en sådan måde, at andre personer eller systemer er udelukket fra at benytte samme adgang. Processen med at etablere et personligt login indeholder flere led. Hvis man overser et enkelt led, kan det være tilstrækkeligt til, at man ikke har udelukket andre end den rette person fra at benytte det etablerede login. Kan mere end én person benytte et login, er der ikke tale om et personligt login. At der er etableret et personligt login for en identificeret fysisk person, bygger på nogle grundlæggende antagelser om, at der forudgående er sket følgende: En sikker identificering af personen som får adgang. En sikker registrering af personen og den/de faktorer som afkræves ved login. Den/de faktorer, som afkræves ved login, er blevet udstedt og overdraget til den identificerede person og ingen andre. Denne tekst handler om, hvad man med fordel kan overveje, når det gælder sikker identificering af en fysisk person. For bedre at forstå denne tekst er det en fordel også at læse følgende to tekster: ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person. Hvorfor identificering kan være vigtig Når et personligt login udelukkende er knyttet til én identificeret fysisk person, er det muligt at spore handlinger i it-systemet til denne person, og således kan personen gøres ansvarlig for sine handlinger. I nogle it-systemer er det afgørende, at man kan spore handlinger til en identificeret fysisk person, fx fordi der er krav om at kunne spore misbrug ved at logge, hvilken person der har anvendt hvilke oplysninger i it-systemet 1. Hvis en person ønsker få adgang til et it-system indeholdende personoplysninger, skal det sikres, at personen har et legitimt behov for denne adgang 2. Sikring af dette kan kræve, at personen først identificeres. 1 Sikkerhedsbekendtgørelsens 19. (Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning). 2 Sikkerhedsbekendtgørelsens 11, stk. 2 og persondatalovens 41, stk. 3 (Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer). 1

3 Identificering af en fysisk person Figur 1 viser et scenarie, som indbefatter tre personer. A er en person, som anmoder om at få adgang til et it-system. B er en person, som (på vegne af den dataansvarlige 3 ) udsteder faktorer til login på itsystemet. B kender ikke A personligt, men B kender og har tillid til C. C er en person, som kender A personligt. Figur 1 B har til opgave at sikre, at kun de rette personer får adgang til it-systemet. B ved, at en angiven person har et legitimt behov for at få adgang til it-systemet. Den angivne person er blevet autoriseret af den dataansvarlige til at få adgang til it-systemet, og personen er dermed den rette indehaver af det personlige login. A giver sig ud for at være den rette indehaver af det personlige login. B skal ved sikker identificering finde ud af, om A er den person, A giver sig ud for at være. Først derefter kan A få overdraget faktorer til det personlige login. Idet B ikke kender A, er B i praksis henvist til at få en anden til at foretage identificeringen. Derfor involveres C i processen. C foretager identificeringen og bekræfter over for B, at A er den person, A giver sig ud for at være. Selv om B har tillid til C, kan identificeringen stadig fejle, fx kan C snyde B, eller A kan snyde C. C kan også være sløset i sin identificering af A. Sikkerheden i identificeringsprocessen kan øges ved at gøre det tydeligt for de involverede parter, at de holdes ansvarlige for deres handlinger og, at der er sanktionsmuligheder som fx afskedigelse. Dette kan fx ske ved at dokumentere hele identificeringsprocessen, herunder at: B bevidner skriftligt, at B selv har lavet en sikker identificering af C, før C blev bedt om at identificere A, C bevidner skriftligt, at C selv har lavet en sikker identificering af A, og identiteten på A, B og C registreres som parter, der deltog i identificeringsprocessen. Lignende fremgangsmåde kendes fra brug af vitterlighedsvidner. I praksis sker identificeringer efter ovenstående princip ofte på enkel og helt uproblematisk vis. Når fx en virksomhed skal give en person adgang til et it-system via et login, er det en normal situation, at den, der udsteder faktoren, ikke personligt kender den, der skal modtage faktoren. Til gengæld er der som regel andre i virksomheden, som kender den, der skal modtage faktoren. 3 I persondataloven er "Den dataansvarlige" den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 2

4 Legitimation som grundlag for udstedelse af faktor I det følgende ses på et væsentligt anderledes scenarie, hvor der ikke medvirker en tredjepart (C), som identificerer A. I stedet vil A dokumentere sin egen identitet ved at fremvise legitimation (i det følgende scenarie i form af et id-kort). Figur 2 viser et scenarie, der indbefatter to personer og et id-kort. A er en person, som anmoder om at få adgang til et it-system. A fremviser et id-kort ved et fysisk møde med B. B er en person, som (på vegne af den dataansvarlige) udsteder faktorer til login på itsystemet. B kender ikke A personligt. Figur 2 Ligesom i det foregående scenarie har B til opgave at sikre, at kun de rette personer får adgang til it-systemet. A fremviser et id-kort, som indikerer, hvem A er. Men der er ingen andre i scenariet, som kender A, og dermed er der ingen, som personligt kan bekræfte, at A er den person, A giver sig ud for at være. Id-kortet kan på et tidligere tidspunkt være udstedt ved en proces, hvor en person er blevet identificeret efter de principper, som er beskrevet ved figur 1. Dermed er der muligvis på et tidligere tidspunkt sket en identificering af den person, som fik udstedt id-kortet. Spørgsmålet er, i hvilket omfang B kan være sikker på, at det var A, som i sin tid fik udstedt og overdraget idkortet. B's udstedelse af den adgangsgivende faktor står og falder med, at: I. A er blevet sikkert identificeret ved udstedelse af id-kortet, og det efterfølgende også var A, som fik kortet i hånden. II. A er den eneste person, som kan knyttes til id-kortet. III. Id-kortet er ægte. Det bevirker, at hvis scenariet i figur 2 skal anvendes som alternativ til brug af vitterlighedsvidne, det vil sige som alternativ til scenariet i figur 1, forudsættes navnlig følgende: Ad I. Ad II B har sikret sig, at der altid sker en sikker identificering af modtageren, når denne type id-kort udstedes og overdrages til en fysisk person. B kan knytte det fremviste id-kort eksklusivt til kortholderen (A). Hvorvidt det er muligt, afhænger blandt andet af, hvilke informationer kortet indeholder. B skal desuden have den nødvendige viden og eventuelt udstyr til at knytte idkortet til kortholderen. Hvis kortet fx indeholder den rette ejers fingeraftryk, skal B have viden og udstyr, der gør det muligt for B at lave en sammenligning med A's fingeraftryk. 3

5 Ad III B kan vurdere, om det fremviste id-kort er ægte. Hvorvidt det er muligt, afhænger blandt andet af kortets udformning. B skal desuden have den nødvendige viden og eventuelt udstyr til vurdering af, om kortet er ægte. Hvis id-kortet fx indeholder sikkerhedselementer, der kun er synlige under ultraviolet lys, skal B have ultraviolet lys til sin rådighed. Eksisterende login som grundlag for udstedelse af faktor Figur 3 viser et scenarie, der indbefatter to personer og to systemer, system X og Y. De to systemer har hvert deres login. A er en person, som anmoder om at få adgang til system Y. A kan i forvejen foretage login på system X. B er en person, som (på vegne af den dataansvarlige) udsteder faktorer til login på system Y. B har mulighed for at tjekke, om der er gennemført et succesfuldt login på system X med en specifik bruger-id. B kender ikke A personligt. Figur3 I dette scenarie sker der ikke nogen identificering af den fysiske person A. B vil tjekke for succesfuldt login med A's bruger-id på system X, og på den baggrund vil B udstede faktorer til login på system Y. Det eksisterede login på system X kan være etableret ved en proces, hvor en person er blevet identificeret efter de principper, som er beskrevet ved figur 1. Dermed er der muligvis på et tidligere tidspunkt sket en identificering af den person, som fik adgang til system X og samtidig blev registreret med den specifikke bruger-id på system X. Spørgsmålet er, om B kan være sikker på, at det var A, som i sin tid fik adgang til system X og samtidig blev registreret med den specifikke bruger-id på system X. B skal også være sikker på, at det stadig er A og kun A, der kan anvende det tidligere etablerede login på system X. Hvis scenariet i figur 3 skal anvendes som alternativ til en identificering af den fysiske person A, forudsættes navnlig følgende: 4

6 B har sikret sig, at der altid sker en sikker identificering af modtageren forud for udstedelse af faktorer til system X, samt når faktorerne overdrages til fysiske personer. B har sikret sig, at den specifikke bruger-id, der er registreret i system X, kan kobles eksklusivt til den samme fysiske person, som skal have adgang til system Y. B har sikret sig, at faktoren til system X ikke på noget tidspunkt har været kompromitteret eller tilgængelig for andre end A. Dette afhænger af blandt andet sikkerheden i loginsystemet, A s håndtering af faktoren og, om eventuel transmission af faktoren over åbne net krypteres tilstrækkeligt 4. B har sikret sig, at adgang til system X kun kan opnås med kendskab til den korrekte faktor. En situation, hvor adgang er mulig uden kendskab til den korrekte faktor, kan opstå af flere grunde, eksempelvis: It-sikkerhedsmæssige problemer ved fx en hjemmeside gør det muligt at omgå loginfunktionen på system X eller at overtage andres sessioner, hvorved uvedkommende kan opnå adgang uden kendskab til den korrekte faktor. Der etableres en selvbetjeningsløsning, hvor brugere, som har glemt deres adgangskode til system X, kan få udleveret en ny adgangskode ved at besvare en række spørgsmål i stil med "Hvad hedder din hund?" og "Hvad mærke var din første bil?". Eksempel på manglende identificering En dataansvarlig privat virksomhed skal give en borger adgang til fortrolige og følsomme personoplysninger. Denne adgang etableres, når borgeren møder fysisk op og fremviser et sundhedskort (tidligere kaldet "sygesikringsbevis"). Det kontrolleres ved opslag, at det navn og personnummer, som står på kortet, er registreret på samme person i det centrale personregister (CPR). Denne proces indeholder ikke nogen identificering af den fysiske person, som er fremmødt, fordi flere personer med samme køn og omtrent samme alder vil kunne fremstå som den rette indehaver af kortet. Kontrollen af navn og personnummer fortæller kun, at den fremmødte person har haft adgang til disse oplysninger, og har kunnet fremvise et stykke plastik med disse oplysninger påtrykt. Adgang til navne og personnumre er ikke begrænset til den rette indehaver af oplysningerne. Den dataansvarlige har ikke sikret sig, at der sker en identificering af den fremmødte person, fordi: Den dataansvarlige har ikke kontrollen over den identificeringsproces, som benyttes ved udstedelsen af sundhedskortet. Sundhedskortet indeholder ikke elementer, der gør det muligt for den dataansvarlige at konstatere, om det tilhører den person, som fremviser kortet. 4 Se tekst "ST4 Datatransmission af personoplysninger på åbne net" og "ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med datatransmission". 5

7 I realiteten kan fremvisning af et sundhedskort ikke anses for et bevis på kortholderens identitet. Flere led i kæden betyder flere risici Som de beskrevne scenarier viser, er sikkerheden i en identificering afhængig af, hvad der er gået forud. I forskellige scenarier er der stor forskel på, hvor mange led man skal gå tilbage for at finde det punkt, hvor der reelt er sket en identificering af en fysisk person. Hvert led i denne "kæde" kan indeholde risici, som kan have afgørende betydning for, om den samlede kæde kan anvendes til identificering. Flere led i kæden kan betyde, at der indgår flere personer, som man skal kunne stole på. Flere personer i kæden indebærer flere personer, som kan fejle i udførslen af en opgave, og det indebærer flere personer, som kan snyde. I en lang kæde kan det være svært at finde "begyndelsen", og dermed kan det være svært at bekræfte, om kæden er startet med en reel identificering af en fysisk person. Samtidig kan ét eller flere led i kæden bevirke, at en eventuel tidligere identificering mister sin værdi undervejs i kæden. dt@datatilsynet.dk (+45)