It-sikkerhedstekst ST7

Transkript

1 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar 2015

2 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person Udtrykket "Login" anvendes om den proces, som giver adgang til et it-system. Når en person skal foretage et personligt login på et it-system, sker det normalt ved, at han/hun afgiver én eller flere fortrolige oplysninger, fx en adgangskode. En generel betegnelse for nogle af de fortrolige oplysninger, som kan afkræves ved et login, er "faktorer". Sigtet med et personligt login til et it-system er at give en fysisk person adgang på en sådan måde, at andre personer eller systemer er udelukket fra at benytte samme adgang. Processen med at etablere et personligt login indeholder flere led. Hvis man overser et enkelt led, kan det være tilstrækkeligt til, at man ikke har udelukket andre end den rette person fra at benytte det etablerede login. Kan mere end én person benytte et login, er der ikke tale om et personligt login. At der er etableret et personligt login for en identificeret fysisk person, bygger på nogle grundlæggende antagelser om, at der forudgående er sket følgende: En sikker identificering af personen som får adgang. En sikker registrering af personen og den/de faktorer som afkræves ved login. Den/de faktorer, som afkræves ved login, er blevet udstedt og overdraget til den identificerede person og ingen andre. Denne tekst handler om, hvad man med fordel kan overveje, når det gælder sikker overdragelse af faktorer til en fysisk person. For bedre at forstå denne tekst er det en fordel også at læse følgende to tekster: ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. Forskellige former for overdragelse I denne tekst beskrives udfordringer og risici i forhold til tre former for overdragelse: Personlig overdragelse Elektronisk fremsendelse Fysisk fremsendelse Udfordringerne er forskellige alt efter hvilken form for overdragelse, der anvendes. En overdragelse behøver ikke kun at ske med én af de nævnte former. Et brev sendt som 'digital post' kan fx starte som elektronisk fremsendelse men ende som et fysisk brev 1. Denne tekst handler kun om overdragelse af faktorer til personligt login. Uanset hvilken form for overdragelse, der er tale om, forudsættes det, at den person, som skal have overdraget faktoren, allerede er sikkert identificeret og registreret. 1 Hos visse offentlige myndigheder bruges såkaldt "fjernprint", hvor en digital post bliver omsat til et fysisk brev, hvis ikke modtageren kan modtage digital post. 1

3 Personlig overdragelse af faktor Figur 1 viser et scenarie, hvor to personer mødes fysisk. A er en person, som er blevet autoriseret af den dataansvarlige 2 til at få adgang til et itsystem. A er dermed den rette indehaver af det personlige login til it-systemet. B er en person, som (på vegne af den dataansvarlige) overdrager faktorer til login på itsystemet. I dette tilfælde skal B overdrage adgangskoden "xyz123" personligt til A. Figur 1 En sikker personlig overdragelse af faktoren omfatter i praksis navnlig følgende: I. Det er den rette indehaver af login, som får faktoren i hånden. II. Ingen andre end den rette indehaver af login får kendskab til faktoren under overdragelsen. Ad I. Ad II. At den rette indehaver af login får faktoren i hånden, forudsætter følgende: Modtageren er forudgående blevet sikkert identificeret som værende den rette indehaver af login. Det kan betyde, at B er nødt til at udføre en identificering af A i forbindelse med A's personlige fremmøde, således at der på ét og samme møde sker en identificeringen af A og derefter en personlig overdragelse af faktoren. At ingen andre end den rette indehaver af login får kendskab til faktoren under overdragelsen, forudsætter følgende: Overdragelsen sker uden, at andre kan opfange faktoren, mens den overdrages. Ved et fysisk møde vil det normalt være rimeligt simpelt at sikre, fx ved at adgangskoden findes inde i en forseglet kuvert. B har muligvis set adgangskoden, fx hvis det er B, som har udskrevet koden og lagt den i en forseglet kuvert. Hvis andre end A kender den adgangsgivende faktor, kan et login, der alene baserer sig på denne faktor, ikke anses for et personligt login. Derfor er det nødvendigt at gøre noget særligt for at sikre, at A bliver den eneste, som kender faktoren. Dette uddybes senere. 2 I persondataloven er "Den dataansvarlige" den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 2

4 Overdragelse af faktor ved elektronisk fremsendelse Figur 2 viser flere eksempler på, hvordan B kan fremsende faktoren elektronisk. Der kan benyttes forskellige systemer til afsendelse og modtagelse af faktoren. De forskellige systemer benytter forskellige transmissionsmedier eller -metoder. Disse muligheder for at sende en faktor bliver ikke gennemgået her, men er blot vist som eksempler. Figur 2 Figur 2 viser, at B elektronisk sender faktoren til et modtagelsessystem, og at A på et senere tidspunkt henter faktoren i samme modtagelsessystem. Hvis faktoren sendes i en SMS til et telefonnummer, er modtagelsessystemet et telefonsystem, hvor A har adgang til en SMS-konto (R). Hvis faktoren sendes til en adresse, er modtagelsessystemet et mailsystem, hvor A har adgang til en mailkonto (Q). Når A skal have fat i faktoren, sker der en afhentning, som typisk også er elektronisk. Hvis faktoren ligger i et mailsystem, kan den fx afhentes ved at koble mobiltelefonen på et WiFi-net og derigennem gå på internettet og downloade en. Hvis faktoren ligger i et telefonsystem, kan den fx afhentes (automatisk), så snart et SIM-kort med rette telefonnummer er aktivt. B kan i sin registrering af A have inkluderet information om fx en adresse, hvortil faktoren skal sendes. Det er altså ikke modtagelsessystemet, som registreres. Den registrerede e- mailadresse er en information, som tilsigter, at faktoren lander i den korrekte mailkonto (Q) i det korrekte modtagelsessystem. En sikker overdragelse via elektronisk fremsendelse af faktoren omfatter i praksis navnlig følgende: I. Det er den rette indehaver af login, som får faktoren tilsendt. II. Ingen andre end den rette indehaver af login får kendskab til faktoren under fremsendelsen. Ad I. At den rette indehaver af login får faktoren tilsendt, forudsætter følgende: A er forudgående blevet sikkert identificeret som den rette indehaver af login. A har adgang til mailkonto/sms-konto i modtagelsessystemet. 3

5 Ad II. At ingen andre end den rette indehaver af login får kendskab til faktoren under fremsendelsen, forudsætter følgende: Det er kun A, som har mulighed for at afhente faktoren, i mailkonto/sms-konto i modtagelsessystemet. Faktoren er beskyttet mod uvedkommendes adgang, der hvor den ligger i afsendelsessystemet, i modtagelsessystemet, under transmission til modtagelsessystemet, og under transmission i forbindelse med A's afhentning i modtagelsessystemet. At eventuelle kopier af faktoren, som ligger gemt forskellige steder undervejs (fx i servere som indgår i transmissionen), er beskyttet mod uvedkommendes adgang. Hvilke muligheder, den dataansvarlige (som B repræsenterer) har for at beskytte faktoren, afhænger af den valgte løsning. Hvis afsendelsessystemet er under den dataansvarliges kontrol, kan faktoren muligvis beskyttes ved at begrænse, hvem der har adgang til faktoren, mens den håndteres i afsendelsessystemet. Men denne beskyttelse vil kun dække den første del af overdragelsen (søjlen yderst til venstre i figur 2). A's afhentning af faktoren i modtagelsessystemet kan være udenfor B's og den dataansvarliges kontrol. Det kan være helt ukendt for B, hvordan afhentningen sker, og hvilke netværk/systemer der benyttes af A ved afhentning. Hvis modtagelsessystemet fx er en privat mailkonto i et mailsystem hos en mailudbyder 3, og A benytter sin egen internetforbindelse til at hente faktoren, så har den dataansvarlige ingen kontrol over sikkerheden, og der er uvedkommende parter involveret i håndteringen af faktoren (mailudbyder, teleselskaber, internetudbydere 4,...). I figur 2 ses eksempler på netværk, som kommer i brug ved transmission af faktoren. Det kan være netværk, der som udgangspunkt ikke sikrer mod, at uvedkommende får kendskab til faktoren. Her er kryptering ofte den eneste måde at beskytte faktoren på. Det er dog en forudsætning, at kun A (og eventuelt B) har mulighed for at foretage dekryptering af faktoren. I åbne net 5 samt i netværk, systemer og enheder udenfor den dataansvarliges kontrol, kan endto-end kryptering 6 være den eneste mulighed for effektiv beskyttelse af faktoren. Det er relevant for den dataansvarlige at overveje valget af afsendelsessystem, transmissioner, modtagelsessystem og afhentningsmetode. For hvert af disse valg kan man overveje forskellige aspekter, fx: Alle it-sikkerhedsmæssige risici. Mulighederne for at beskytte faktoren mod uvedkommendes adgang hvor den opbevares eller transmitteres. Om det er muligt for A at udføre afhentningen på forsvarlig vis? Om A skal bidrage til sikkerheden, fx ved at afhentningen sker på en bestemt måde ved brug af et bestemt netværk? Om A bør vejledes i forsvarlig afhentning? 3 fx Google, Yahoo, Microsoft, Apple, Yousee,... 4 fx Nianet, Stofa, TDC, Yousee,... 5 Se tekst "ST4 Datatransmission af personoplysninger på åbne net". 6 Se tekst "ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med datatransmission". 4

6 Endvidere kan det være relevant at vide, om en fremsendelse kan resultere i, at faktoren lander i flere systemer eller bliver tilgængelig på flere måder. Hvis faktoren fx sendes på SMS til et telefonnummer, så vil modtagelsessystemet være et telefonsystem, men faktoren kan måske samtidig blive tilgængelig på en selvbetjeningsløsning på internettet. A's telefonabonnement kan inkludere en selvbetjeningsløsning, hvori man kan se alle SMS'er, der tidligere er sendt til A's telefon. Dermed kan blandt andet adgangen (login) til denne selvbetjeningsløsning have indflydelse på sikkerheden ved overdragelse af faktoren. Overdragelse af faktor ved fysisk fremsendelse Figur 3 viser eksempler på, hvordan B kan fremsende faktoren via almindelig brevpost. Figur 3 I figur 3 er der tale om, at B sender faktoren til et modtagelsessted, og på et senere tidspunkt henter A faktoren på dette modtagelsessted. B kan registrere, hvor faktoren skal sendes hen (fx en privatadresse eller en firmaadresse). Modtagelsesstedet kan fx være en postkasse eller et bestemt rum i et "dueslag" i et firma. Det er altså ikke modtagelsesstedet, som registreres. Den registrerede adresse er en information, som tilsigter, at faktoren kommer til at ligge på det korrekte modtagelsessted. En sikker overdragelse via fysisk fremsendelse af faktoren omfatter i praksis navnlig følgende: I. Det er den rette indehaver af login, som får faktoren tilsendt. II. Ingen andre end den rette indehaver af login får kendskab til faktoren under fremsendelsen. Ad I. Ad II. At den rette indehaver af login får faktoren tilsendt forudsætter følgende: A er forudgående blevet sikkert identificeret som den rette indehaver af login. A har adgang til modtagelsesstedet. At ingen andre end den rette indehaver af login får kendskab til faktoren under fremsendelsen, forudsætter følgende: Det er kun A, som har mulighed for at afhente faktoren på modtagelsesstedet. Faktoren er beskyttet mod uvedkommendes adgang på afsendelsesstedet, på modtagelsesstedet, under fremsendelse til modtagelsesstedet, og i forbindelse med A's afhentning på modtagelsesstedet. 5

7 I forhold til modtagelsesstedet er det relevant, at en fysisk kuvert er personligt adresseret, så andre personer (beboere/medarbejdere) på samme adresse ikke kan tillade sig at åbne kuverten. Adressen skal desuden være præcis nok til, at kuverten ikke kan havne i den forkerte postkasse (land, stat, by, postnummer, vejnavn, vejnummer, dørnummer, etage, side,...). Ved normal brevpost er der flere parter involveret, som får adgang til brevet med faktoren. Det er derfor relevant at vurdere, hvordan der sikres mod, at uvedkommende kan se faktoren. Der kan fx benyttes en ikke-gennemsigtig kuvert, som er forseglet, så det kan ses, om kuverten har været brudt. Men stadig vil der være uvedkommende, som kan få fat på faktoren, og det skal medtages i overvejelserne. Når B kender den overdragede faktor (I dette afsnit henvises til personerne A og B fra de foregående figurer) Som tidligere beskrevet kan det være svært at undgå, at B får kendskab til faktoren, når det er B, som overdrager faktoren til A. Det gælder både ved personlig overdragelse og ved elektronisk/fysisk fremsendelse af faktoren. Når det er givet, at A og B begge kan benytte faktoren, vil en registrering (logning) af handlinger foretaget under login med denne faktor kunne spores til A og B. Men det vil ikke umiddelbart være muligt at se hvem af de to, der har foretaget handlingerne. Selv om B kender den overdragede faktor, kan det i visse situationer sikres, at fra det tidspunkt, hvor A begynder at anvende sit login, vil kun A kende faktoren. Eksempel 1: B opretter A som bruger af et it-system. Ved denne handling genererer it-systemet automatisk en ny faktor (adgangskoden 'xyz123'). B overdrager faktoren til A. It-systemet er udviklet således, at: Ved første login med en overdraget adgangskode (altså login med koder genereret af itsystemet selv) gennemtvinges et skift af adgangskoden. Brugere kan ikke vælge adgangskoder, som er identiske med de overdragede koder. Ved tvungne og frivillige skift af adgangskoden er det kun muligt for brugeren at vælge en kode på mindst otte tegn og indeholdende både store og små bogstaver og tal. De overdragede koder er på seks tegn og kun med små bogstaver og tal. It-systemet beskrevet i eksempel 1 sikrer følgende: Den overdragede adgangskode ('xyz123') kan ikke benyttes af B parallelt med, at A benytter den, fordi den overdragede kode kun kan benyttes én gang (ved første login). Herefter benytter A den adgangskode, han/hun selv har valgt i forbindelse med det tvungne skift. Hvis B, som kender den overdragede kode, ønsker at (mis)bruge den selv, er B nød til at skifte koden (ved første login). Herefter kan koden ikke skiftes tilbage, så den bliver identisk med den overdragede kode ('xyz123'). Det øger sandsynligheden for, at misbruget opdages, fx fordi A ikke kan foretage login med den overdragede kode. Denne fremgangsmåde vil også kunne beskytte B mod unødig mistanke i tilfælde af, at A senere misbruger sit personlige login. 6

8 For at kunne opdage misbrug af den type, hvor B opretter adgangskoder til sig selv med henblik på at misbruge disse koder, kan det være nødvendigt, at B's handlinger logges og kontrolleres. Ved andre typer af faktorer, fx nøglekort med engangskoder, kan man ikke nødvendigvis sikre mod, at B eller andre kan have kendskab til de faktorer, som benyttes ved A's fremtidige logins. Hvis det er tilfældet, kan den slags faktorer kun indgå som en sekundær (supplerende) faktor i et personligt login, mens den primære faktor sikrer, at der reelt bliver etableret et personligt login 7. Hvis ukendte personer kan få kendskab til den overdragede faktor Hvis andre end den rette indehaver af login kan få kendskab til den overdragede faktor, og man ikke ved, hvem disse personer er, har man en meget problematisk situation. Eventuelt misbrug forårsaget af, at faktoren er opsnappet på fx internettet, kan være umuligt at opdage og/eller spore. Samtidig kan antallet af potentielle misbrugere være stort/ukendt. Om man kan håndtere risikoen for, at ukendte personer kan få kendskab til den overdragede faktor, kræver en grundig it-sikkerhedsmæssig risikovurdering. En sådan risikovurdering bør udføres af nogen med den fornødne viden om it-sikkerhed i almindelighed, samt viden om misbrugsmuligheder med relation til alle systemer, netværk, processer og mennesker, der indgår i overdragelsen af faktoren. Resultatet af en sådan risikovurdering kan pege på, hvordan man kan håndtere risikoen. En løsning vil måske skulle bestå af flere tiltag i kombination. Følgende punkter er et eksempel på, hvad en risikovurdering kunne lede frem til som relevante sikkerhedsforanstaltninger: Der gennemtvinges et skift af faktoren ved første login. Brugere kan ikke anvende adgangskoder, som er identiske med de overdragede koder. Den overdragede faktor skal benyttes indenfor meget kort tid efter afsendelse, fx indenfor 60 sekunder efter afsendelse pr. SMS. Der skal anvendes to eller flere faktorer til login, og disse overdrages ad forskellige uafhængige kanaler. For at kunne vurdere om denne foranstaltning øger it-sikkerheden, er det afgørende, at man har indblik nok til at vide, fx om en uvedkommende part har adgang til alle de anvendte kanaler. Hvis én og samme part står for at udbyde internet, tele, , med videre, kan disse kanaler ikke anses for at være uafhængige. Glemt faktor I mange it-systemer etableres der mulighed for, at en bruger, som har glemt sin adgangsgivende faktor, kan få udleveret en ny faktor. Som udgangspunkt skal en ny faktor overdrages på samme måde som ved etablering af login (første overdragelse af en faktor). 7 Se tekst "ST1 Flere faktorer i login". 7

9 Man kan vælge at foretage overdragelse af en ny faktor på helt nye præmisser. Man kan fx vælge at fremsende en ny faktor pr. eller SMS, hvorimod den første fremsendelse skete med fysisk brev. Et sådan skift kan blive valgt, fordi fremsendelsen er billigere, men skiftet indebærer, at man udskifter et fysisk modtagelsessted med et elektronisk modtagelsessystem, og dermed sker transmission og afhentning også på en ny måde. Det er vigtigt, at en sådan overdragelsesform ikke indføres, uden at man forudgående har afdækket og vurderet risici, der følger med den nye overdragelsesform. Der kan også ske andre ændringer i forhold til, da brugerens login oprindeligt blev etableret. En mulig fremgangsmåde er, at når brugeren henvender sig og siger, at faktoren er glemt, undlader man at foretage en ny identificering. I stedet forlader man sig på, at brugeren fx kan oplyse navn, adresse og kundenummer, og det oplyste sammenlignes med de tidligere registrerede oplysninger. En anden benyttet fremgangsmåde er, hvor brugeren skal besvare spørgsmål i stil med "Hvilket mærke var din første bil?" og "Hvad hedder dit kæledyr?". Fremgangsmåden for hvordan brugeren kan få udstedt en ny faktor, kan reelt introducere nye metoder til identificering af bruger, registrering af bruger og overdragelse af faktor. En vurdering af risici forbundet hermed kan ske ved, at hver fremgangsmåde bliver omfattet af itsikkerhedsmæssige overvejelser om de problemstillinger, som er omtalt i alle tre tekster: ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person. Afhængigt af omstændighederne kan man stå i en situation, hvor det er nødvendigt at gentænke og revidere hele fremgangsmåden for udstedelse af faktorer. Løbende kontrol af overdragelsesprocessen Informationsteknologi ændrer sig løbende og tilsvarende gælder risikobilledet. Systemer og processer forældes, hvis de ikke vedligeholdes og tilpasses det aktuelle risikobillede. Eksempelvis: En krypteringsmetode/algoritme brugt ved elektronisk fremsendelse af faktoren kan måske med rimelig sikkerhed anses for at være sikker i starten, men senere viser den sig at være sårbar. En bruger (modtageren af en faktor) kan opdage risici ved et modtagelsessted/modtagelsessystem, som ikke blev forudset ved den dataansvarliges risikovurdering. Et system, som anvendes til overdragelsen af faktorer, kan ændres eller outsources, hvorved der kommer andre parter ind over håndteringen af faktorer, og der introduceres nye risici. Ovenstående er blot eksempler på, hvorfor fastholdelse af et tilstrækkeligt sikkerhedsniveau ved overdragelse af faktor kan kræve, at den dataansvarlige jævnligt tjekker for nye risici og vurderer deres effekt på sikkerheden i det personlige login. Det er også relevant at registrere og reagere på input og advarsler fra brugerne. Som modtagere af faktorer, ser brugerne tingene "fra den anden side", og dermed kan de opdage problemer, som den dataansvarlige ikke har forudset. 8

10 At gennemskue hvordan overdragelsen foregår En overdragelse af faktorer kan anskues som en række delprocesser. Dette er nyttigt som en hjælp til at forstå, hvordan overdragelsesprocessen reelt foregår, og til at opdage relevante risici. At sige at "overdragelsen sker pr. SMS", er ikke det samme som at give en forklaring af, hvad der reelt sker med faktoren. Når det er erkendt, hvilke delprocesser der indgår i overdragelsen, er det nærliggende at undersøge, hvordan og med hvilke midler overdragelsen foregår i hver delproces. Før man ved, hvordan og med hvilke midler overdragelsen foregår, er det ikke muligt at afklare følgende for hver delproces i overdragelsen: Kan denne del af overdragelsen ske på mere end én måde? Hvem er potentielt involveret i håndteringen af faktoren? Hvem har mulighed for at se faktoren? Hvilke risici eksisterer? Hvordan beskyttes mod risici? Kort om hvordan et personligt login kan forblive personligt Så snart brugeren har fået faktoren overdraget, bliver brugerens og it-systemernes håndtering af faktoren vigtige elementer i sikring af, at det personlige login vedbliver at være personligt. Det indebærer, at den dataansvarlige bør have fokus på blandt andet: Vejledning af brugeren i forsvarlig håndtering, brug og opbevaring af faktorer. Sikring af de systemer hvor faktorer benyttes (system, app, web-side,...). Således skal faktorer og adgange sikres mod at blive eksponeret, fx på grund af sårbarheder i standardsoftware eller dårlig kodning af en web-side. Logning som gør det muligt at spore og reagere på misbrug eller forsøg på misbrug af det personlige login. Når relevant: Sikring mod, at faktorer kan ses på skærmen eller på print. Beskyttelse mod eksponering af faktorer under transmission mens de afgives i forbindelse med login 8. Sikring af, at brugeren bliver logget ud af systemer ved endt brug. Korrekt og rettidig spærring/nedlæggelse af brugeradgange. dt@datatilsynet.dk (+45) Se tekst "ST4 Datatransmission af personoplysninger på åbne net" og "ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med datatransmission". 9