Sikkerhed på nettet for applikationer og identiteter

Transkript

1 Sikkerhed på nettet for applikationer og identiteter Jakob I. Pagter, Security Lab

2 Alexandra Instituttet A/S Privatejet almennyttig firma med fokus på forskning og innovation indenfor IT GTS Godkendt Teknologisk Service (1 af 9 i DK) 100+ ansatte generating R&D Researchers Providers Users Commercial Development Consultancy Ideation Networks Dissemination inspiration

3 Security Lab 10 sikkerhedsnørder Identitet på nettet Identitet på nettet i et globalt perspektiv

4 Click to edit Master Buzzword bingo! title style Cloud Computing BIG data Open API Economy SmartGrid Open Data Digital Natives & BYOD Identity & Privacy Internet of Things

5 3 cases Håndtering af identitetsoplysninger Kryptering af data hos cloud leverandører Applikationssikkerhed

6 Ny EU-forordning for persondata Forslag vedtaget i parlamentet (så venter kommission/ ministerråd vist ) Endeligt vedtaget 15? Træde ikraft 17(?) DPO Data Protection Officer Ved 5000 transaktioner med persondata Bøderammer: 5% af global omsætning eller 100 mil for offentlige

7 Cloud og Open API Economy Specialisering, Fit to purpose API economy + private data => IdM without borders. Danske virksomheder kan være underleverandører til udenlandske og omvendt Delegering af dataadgang Milliarder i besparelser bl.a. i finanssektoren. Eksempler: Banker får adgang til oplysninger hos Skat. 3. parts adgang til el-data. (Alexandra) Udstilling af bankdata? Til services som Spiir Til andre banker? 01/12/14 Side 7

8 Brugsmæssige krav Identitetssiloer L Jeg gider/kan ikke huske alle mine login oplysninger OpenID Connect 2014 Jeg gider ikke indtaste oplysninger hvert sted Identitets tyveri - passer I ordentligt på mine oplysninger? Sony Prosa LinkedIn Apple/Amazon Evernote OAuth

9 Click LinkedIn, to edit Master password title style

10 Identitet på nettet (resultatkontrakt) Hvordan forholder man sig til forordning og teknologisk udvikling Fokus på ting som: OAuth, OpenID Connect, UMA To-faktor autentifikation Privacy-venlig signatur teknologi U-Prove (Microsoft) IdentityMixer (IBM) Netværk for interessede virksomheder (send en mail) Konference 2/12 (på tirsdag!) 01/12/14 Side 10

11 Forordning og crypto (teknik) Brud på persondatasikkerhed: under hensyntagen til navnlig karakteren og alvoren af bruddet på persondatasikkerheden og dets konsekvenser og skadevirkninger for den registrerede. (68) bør der tages hensyn til omstændighederne ved sikkerhedsbruddet, herunder til om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger (69) kryptering slækker kravene til dataansvarlig -> incitament til brug af kryptering 01/12/14 Side 11

12 Click Kryptering to edit Master af data title hos style cloud-leverandører Today: server-side encryption Wish: client-side encryption

13 Click to Network edit Master title style Broad Access Inside perimeter Human memorable passwords Cryptographica lly strong keys Business choice Cloudbased Bad idea Popular choice Some enterprise solutions Trust in CSP required X Security choice X How to get there without trust in CSP?

14 Click Exploding to edit Master market title for style storage

15 Click to edit Master title style sepior.com manage Cleartext files Access control ACL Key Management System Cryptographically strong keys Cloud-based solution Central management Encrypted files Building PoC for Dropbox Main properties Server-side re-encryption for revocation Performance Scalability

16 Click Stole to på edit implementation Master title style også på jeres!! OWASP Top Ten Pentest Design review Identify new challenges Code review Risk analysis PIA Privacy Impact Assessment 01/12/14 Side 16

17 Samarbejde med virksomheder Infinit-projekter InnoBooster Større forskningsprojekter Konsulentopgaver 01/12/14 Side 17

18 Tak for opmærksomheden! twitter.com/pagter