It-sikkerhedstekst ST6

Transkript

1 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version 1 Februar 2015

2 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Udtrykket "Login" anvendes om den proces, der giver adgang til et it-system. Når en person skal foretage et personligt login på et it-system, sker det normalt ved, at han/hun afgiver én eller flere fortrolige oplysninger, fx en adgangskode. En generel betegnelse for nogle af de fortrolige oplysninger, som kan afkræves ved et login, er "faktorer". Sigtet med et personligt login til et it-system er at give en fysisk person adgang på en sådan måde, at andre personer eller systemer er udelukket fra at benytte samme adgang. Processen med at etablere et personligt login indeholder flere led. Hvis man overser et enkelt led, kan det være tilstrækkeligt til, at man ikke har udelukket andre end den rette person fra at benytte det etablerede login. Kan mere end én person benytte et login, er der ikke tale om et personligt login. At der er etableret et personligt login for en identificeret fysisk person, bygger på nogle grundlæggende antagelser om, at der forudgående er sket følgende: En sikker identificering af personen som får adgang. En sikker registrering af personen og den/de faktorer som afkræves ved login. Den/de faktorer, som afkræves ved login, er blevet udstedt og overdraget til den identificerede person og ingen andre. Denne tekst handler om, hvad man med fordel kan overveje, når det gælder sikker registrering af en fysisk person og den/de faktorer, som afkræves ved login. For bedre at forstå denne tekst er det en fordel også at læse følgende to tekster: ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person. Registreringen og den fysiske person For i praksis at give fysiske personer et personligt login til et it-system, er det normalt nødvendigt at registrere disse personer. Når en person registreres som bruger af et it-system, tildeles personen typisk en bruger-id (også kaldet et brugernavn). Når en bruger-id er unik i itsystemet, kan brugeren skelnes fra andre brugere af samme it-system. Hver bruger-id kan registreres i sammenhæng med tilhørende adgangsgivende faktor (eller faktorer), således at et login foretaget med denne faktor (eller disse faktorer) altid kan henføres til den registrerede bruger-id. Med henblik på efterfølgende at kunne fastslå hvilken fysisk person, der er registreret, skal registreringen til en hver tid kunne henføres til én, og kun én, fysisk person. Det kan fx opnås ved, at hver bruger-id registreres i sammenhæng med en oplysning, der kun kan henføres til én fysisk person, eksempelvis personnummeret. 1

3 Eksempel 1: Figur 1 illustrerer et eksempel på en registrering, som indeholder en adgangskode 1. Adgangskoden er i registreringen knyttet til en bruger-id, som er unik indenfor det aktuelle itsystem. Bruger-id'en er i registreringen knyttet til et unikt personnummer 2. Personnummeret kan henføres til en fysisk person. Figur 1 Sikring af at det er den fysiske person Anna Andersen, som får adgang til it-systemet, forudsætter, at den fysiske person Anna bliver identificeret, før hun får overdraget faktoren 3. Personnummeret kan fortælle, hvilken fysisk person der er registreret, og dermed hvem der er den rette indehaver af det personlige login. Beviset på hvem der er den rette indehaver af et personligt login, må ikke afhænge af, hvem der er i besiddelse af faktoren, fordi faktoren kan være tabt, stjålet eller på anden vis kommet til uvedkommendes kendskab. En analogi til den fysiske verden: At du har en nøgle til et hus, må ikke være beviset for, om du er rette indehaver af huset. Den rette indehaver af huset er registreret i tingbogen. Hvis huset fx indehaves af en enkelt person, skal registreringen i tingbogen indeholde oplysninger, der kan henføre registreringen til den fysiske person, som er indehaver af huset, uafhængigt af hvem der er i besiddelse af nøglen til huset. I eksempel 1 bevirker personnummeret, at registreringen af bruger-id "AA27" kan henføres til den fysiske person Anna Andersen, uafhængigt af hvem der er i besiddelse af adgangskoden "xyz123" forudsat, at man har registreret det korrekte personnummer, og der ikke er fejl i det centrale personregister (CPR).! Formålet med at knytte registreringen til én fysisk person er at sikre en registrering, der kan henføres til den rette indehaver af det personlige login, og ingen andre, uafhængigt af hvem der er i besiddelse af faktoren. Selve overdragelsen af faktoren kræver ikke nødvendigvis personnummeret eller anden personoplysning (se dog eksempel 2 senere i teksten). 1 For eksemplets skyld vises adgangskoden i figur 1, som om koden er registreret i klar tekst, men som det fremgår andet sted i teksten, er dette ikke god praksis. 2 For eksemplets skyld vises et formmæssigt validt personnummer i figur 1, som om nummeret tilhører Anna Andersen. I virkeligheden tilhører dette nummer ingen fysisk person, men nummeret anvendes til test i sundhedssektoren, hvor det er knyttet til en fiktiv person, Nancy Ann Berggren. 3 Se tekst "ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login". 2

4 Personhenførbar registrering nu og i fremtiden Hvad man registrer, er afgørende for, om registreringen kan henføres til den rette indehaver af det personlige login, og at det er muligt i en tilpas tidsperiode. Hvorvidt registrerede oplysninger kan henføres til én, og kun én, identificeret fysisk person, afhænger ofte af den aktuelle kontekst. Som nævnt tidligere kan en bruger-id anvendes til at skelne brugeren fra andre brugere af samme it-system. Men bruger-id'en er ikke nødvendigvis unik uden for kontekst af det aktuelle it-system. Således kan mange forskellige fysiske personer have samme bruger-id i forskellige it-systemer. Ligeledes er personnummeret unikt i Danmark, men ikke nødvendigvis i hele verden. Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person 4. Når den dataansvarlige 5 vil sikre, at registreringen kan henføres til en bestemt fysisk person og ingen andre, kan det ske ved at inkludere personoplysninger i registreringen, fx navn, personnummer og privatadresse. Personnummeret er unikt blandt danskere, men flere danskere kan have samme navn og privatadresse. Selv om personoplysninger som fx navn og adresse kan være delt af flere personer, kan en registrering bestående af flere sådanne oplysninger samlet set udgøre en registrering, der (i den aktuelle kontekst) kan henføres til én, og kun én, fysisk person. Men dette forhold kan ændres over tid. Oplysninger som fx navn privatadresse, adresse, telefonnummer og personnummer kan ændres flere gange gennem et liv. Derved kan en oplysning eller kombinationen af oplysninger med tiden ophøre med at henføre til den rette fysiske personen, eller måske kan oplysningerne med tiden henføres til mere end én fysisk person. Det kan indebære, at den dataansvarlige med jævne mellemrum skal gennemgå og eventuel opdatere registreringen. Registreringen skal kunne henføres til den rette fysiske person, ikke kun på tidspunktet for registrering, men så langt frem i tiden det anses for nødvendigt. Dette vil normalt betyde, at henføringen skal være muligt et stykke tid efter, personen er ophørt med at have adgang til itsystemet. Hvis man fx opdager et misbrug af det personlige login, kan det være relevant at spore, hvilken fysisk person der var rette indehaver af det personlige login, selv om misbruget opdages nogen tid efter, personen er ophørt med at have adgang til it-systemet.! For at registreringen kan fungere efter hensigten, forudsættes at man har vurderet, hvilke oplysninger der kan anvendes til formålet, både på oprettelsestidspunktet og et afmålt stykke tid fremover. Desuden kan det kræve en periodisk gennemgang af, om registreringen (i den aktuelle kontekst) fortsat kan henføres til én, og kun én, fysisk person. 4 Se detaljeret beskrivelse af begrebet "personoplysninger" på 5 I persondataloven er "Den dataansvarlige" den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 3

5 Brugeren kan registreres uden at være blevet identificeret. I en del tilfælde bliver den fremtidige bruger af et it-system først registreret, efter der er sket en identificering af vedkommende. Registreringen kan ske næsten samtidigt med identificeringen. Men sådan behøver det ikke at være. Som et eksempel på at registrering kan ske uden identificering, beskrives her én af de fremgangsmåder, som pt. anvendes til udstedelse af NemID: Eksempel 2: Den fysiske person Anna Andersen bestiller en NemID ved online-bestilling. Det sker ved, at Anna afgiver sit personnummer og kørekortnummer på hjemmesiden. Andre har adgang til én eller begge disse oplysninger (Annas person- og kørekortnummer), blandt andet visse ansatte i offentlige myndigheder, herunder politiet og ansatte ved politiets databehandler, men også fx ansatte i posthuse. Dermed er der flere personer, som kan udføre nøjagtig samme online-bestilling. Anna er altså på ingen måde blevet identificeret ved onlinebestillingen. Da den fysiske person Anna Andersen har beskyttet adresse, kan NemID-nøglekortet med engangskoder ikke sendes til adressen, og Anna skal derfor hen på kommunens borgerservice for at få udleveret nøglekortet. Når Anna møder op på borgerservice, er Anna allerede registreret og nøglekortet er printet og ligger parat. Registreringen af Anna er udført, fordi personen med det personnummer, som blev indtastet online, har ret til at få en NemID. Men registreringen er sket uden, at den fysiske person Anna Andersen er blevet identificeret. Registreringen angiver den rette indehaver af det personlige login (den personlige NemID) fordi registreringen kan henføres til en fysisk person med det personnummer, som blev indtastet online. Registreringen kan ikke nødvendigvis henføres til den person, som møder op på borgerservice og udgiver sig for at være den fysiske person Anna Andersen med det registrerede personnummer. Nu skal borgerservice foretage en identificering af den person, som møder op. På den måde kan borgerservice søge at fastslå, om den fremmødte person er den samme (og dermed har samme personnummer) som den person, der allerede er blevet registreret. Først derefter kan borgerservice vurdere, om nøglekortet må udleveres til den fremmødte person. Eksempel 2 viser, at en bruger kan blive registreret uden at være blevet identificeret. Den adgangsgivende faktor overdrages først til brugeren efter identificeringen, og dermed efter man har sikret sig, at registreringen kan henføres til den fysiske person, som får udleveret faktoren.! Rækkefølgen af identificering, registrering og overdragelse af faktor kan altså variere. Det afgørende er, at identificering, registrering og overdragelse af faktor hver især gennemføres korrekt og under hensyntagen til, om resten er gennemført eller ej. 4

6 Kvaliteten af de registrerede oplysninger De oplysninger, som registreres, kan komme fra forskellige kilder, fx andre registre eller den registrerede selv. Når de registrerede oplysninger har betydning for det personlige login, skal den dataansvarlige eller dennes repræsentant sikre sig, at kilden til oplysningerne er troværdig og, at de registrerede oplysninger er korrekte. Som det ses af denne tekst, kan det være af afgørende betydning for korrekt udstedelse af det personlige login, om de registrerede oplysninger er korrekte og aktuelle. Det er et ofte benyttet princip at genanvende oplysninger fra andre registre. Imidlertid har den dataansvarlige et selvstændigt ansvar for at sikre en tilstrækkelig troværdighed i de registrerede oplysninger i henhold til deres indflydelse på it-sikkerheden i det personlige login. Det indebærer, at den dataansvarlige ikke uden nærmere overvejelser kan sætte lid til, at oplysninger hentet i andre registre har en tilstrækkelig troværdighed, når oplysninger skal anvendes til at oprette et nyt personligt login. Beskyttelse af registrering Når de registrerede oplysninger har betydning for it-sikkerheden i det personlige login, skal oplysninger også være sikret mod uautoriseret ændring. Når registreringen inkluderer personoplysninger, eller registreringen er med til at give adgang til personoplysninger, så skal registreringen beskyttes i henhold til persondataloven og eventuelt sikkerhedsbekendtgørelsen. Beskyttelse af registreringen er også vigtig, fordi den adgangsgivende faktor registreres og derved kan være tilgængelig for fx systemadministratorer. Ved et personligt login må faktoren kun kendes af den registrerede bruger. Der findes tiltag, som gør det muligt at opbevare faktoren på en sådan måde, at den kan benyttes af login-systemet, men uden at man kan udtrække faktoren fra systemet i læseligt format (indenfor en overskuelig tid). Det indebærer, at man benytter sig af teknikker, som dels beskytter faktoren mod at kunne læses, og dels beskytter faktoren mod at blive gættet ved udtømmende forsøg (på engelsk betegnes disse teknikker som "cryptographic hashing" og "salt") 6. dt@datatilsynet.dk (+45) Det europæiske agentur for net- og informationssikkerhed, ENISA, har skrevet om dette i dokumentet "Password security: a joint effort between end-users and service providers" 5