It-sikkerhedstekst ST11

Transkript

1 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016

2 Fælles login Udtrykket "Login" anvendes om den proces, der giver adgang til et it-system. Når en person skal foretage et login på et it-system, sker det normalt ved, at han/hun afgiver én eller flere fortrolige oplysninger, fx en adgangskode. En generel betegnelse for nogle af de fortrolige oplysninger, som kan afkræves ved et login, er "faktorer". Sigtet med personligt login til et it-system er at give en fysisk person adgang på en sådan måde, at andre personer eller systemer er udelukket fra at benytte samme adgang. Hvis faktorer, der afkræves ved login, deles mellem to eller flere personer, er der ikke tale om personligt login, men derimod fælles login. Denne tekst handler om de udfordringer, der kan være ved anvendelse af fælles login, herunder administration af brugere og faktorer. Teksten omhandler kun de typer af login, som er tilknyttet fysiske personer. Teksten her giver råd til, hvordan udfordringer kan håndteres, men det er naturligvis under formodning om, at det fælles login kan anvendes lovligt. Den dataansvarlige skal sikre sig, at fælles login kun anvendes, når det kan ske forsvarligt og lovligt, og en vurdering af dette kan forudsætte en grundig analyse af risici. Endvidere skal den dataansvarlige være opmærksom på, at fælles login kan blive anvendt hos databehandleren. Henset til udfordringerne ved anvendelse og administration af fælles login, kan det ikke anbefales at anvende fælles login, hvor det er muligt at anvende personligt login.! Der er situationer, hvor det ikke vil være muligt at anvende fælles login på lovlig vis. Fælles login kan fx gøre det umuligt at efterleve krav om logning af, hvem der har anvendt hvilke data 1. Anvendes fælles login, uden at man har taget hånd om de udfordringer, som nævnes i denne tekst, kan det også medføre manglede efterlevelse af persondatalovgivningen. Fælles login kan blive valgt frem for personligt login, fordi det umiddelbart virker nemmere og billigere at administrere brugernes adgang til et it-system, især hvis der er stor udskiftning i den gruppe af personer, som skal have adgang. Fælles login kan også blive valgt, fordi det kan spare tid, fx ved at mindske det antal gange brugerne skal foretage login. Har man indtryk af, at det er nemmere og billigere, men stadig forsvarligt at anvende fælles login, kan det reelt skyldes, at risici vedrørende datasikkerheden ikke er afdækket og, at man mangler implementering af relevante kompenserende foranstaltninger. Denne tekst beskriver nogle risici ved fælles login, og giver eksempler på, hvad der bør overvejes, før det besluttes, om det er forsvarligt, at tage fælles login i anvendelse. 1 Krav om logning kan fx fremgå af sikkerhedsbekendtgørelsens 19 (BEK nr. 528 af 15/06/2000, med senere ændringer), publikationen "Datasikkerhed i borgerservicecentre" eller vilkår stillet i forbindelse med udstedelse af tilladelse til databehandling. 1

3 Brugernes ansvarsfølelse Ved anvendelse af fælles login vil hver enkelt bruger ikke nødvendigvis føle det samme personlige ansvar, som hvis der var tale om personligt login. Håndtering af et fælles login er i sagens natur, noget man er fælles om. Brugerne er bevidste om, at andre personer anvender samme login, som de selv gør. Brugerne er bevidste om, at andres handlinger er medbestemmende for, om den adgangsgivende faktor håndteres forsvarlig. Hvis man er én bruger blandt ti andre, som anvender det samme login, kan det give indtryk af, at ens egne handlinger kun tæller meget lidt i den sammenhæng. Men normalt har den enkelte brugers håndtering af faktoren afgørende betydning for sikkerheden, uanset om faktoren anvendes i fælles login eller i personligt login. Hvis en faktor eksponeres for uvedkommende, er det ikke mindre problematisk, udelukkende fordi der er tale om fælles login i stedet for personligt login. Brugerne kan ydermere være vidende om, at fejl i anvendelse af det fælles login - eller decideret misbrug - ikke vil kunne spores tilbage til en bestemt person. Brugerne kan bevidst eller ubevidst agere ud fra viden om, at uagtsom håndtering af den adgangsgivende faktor eller misbrug af det fælles login ikke vil kunne spores tilbage til dem selv. Derfor kan der være en større risiko for, at den enkelte bruger håndterer faktoren uagtsomt, eller misbruger den adgang, som opnås ved det fælles login. Ovenstående udfordring omkring ansvarsfølelse bør altid indgå i overvejelserne omkring begrænsning af dataadgang, administration af brugere, samt administration af faktoren. Disse overvejelser er nærmere beskrevet i de følgende afsnit. Overvejelser angående begrænsning af dataadgang via fælles login Det kan af flere grunde være fristende at give mere adgang end nødvendigt via det fælles login. Men dette kan være problematisk. Eksempel 1: En organisation vælger at etablere et fælles login til visse arbejdsopgaver, hvor flere medarbejdere har behov for samtidigt at se på datatyperne A og B. De samme medarbejdere har andre arbejdsopgaver, hvor de skal se på andre data i samme it-system. Nogle af medarbejderne skal i andre sammenhænge arbejde med datatyperne C og D, og andre igen skal arbejde med datatyperne E og F. Organisationen kan vælge at lade det fælles login give adgang til alle de data, medarbejderne har behov for i løbet af en arbejdsdag (A-F). Derved kan organisationen begrænse det antal gange, hver medarbejder skal foretage login i løbet af en arbejdsdag. Muligvis kan der samtidigt spares på antallet af pc'er, fordi alle opgaver kan udføres på én pc med ét fælles login. Effekten af et sådant valg i eksempel 1 er som minimum følgende: Alle medarbejderne kan via det fælles login tilgå flere data, end de har behov for. Al tilgang til datatyperne C-F ændres til at ske under fælles login, og det kan gøre det umuligt at spore, hvilken medarbejder der har anvendt hvilke af disse data. 2

4 Eksempel 2: En organisation vælger at etablere et fælles login til visse arbejdsopgaver, hvor flere medarbejdere har behov for samtidigt at se på data i et it-system. Nogle af disse medarbejdere har andre arbejdsopgaver, hvor de skal kunne rette i de samme data i samme it-system. Det er ressourcekrævende for medarbejderne først se data via det fælles login og derefter anvende et personligt login, hvis der skal rettes i de samme data. Derfor kan organisationen vælge, at det fælles login også skal give mulighed for at rette i data. Effekten af et sådant valg i eksempel 2 er som minimum følgende: Nogle medarbejdere får mulighed for at rette i data, selv om det ikke er en del af deres arbejdsopgaver. Alle rettelser i data sker under fælles login, og det kan gøre det umuligt at spore, hvilken medarbejder der har rettet i hvilke data. I så fald er det heller ikke muligt at spore, om nogle medarbejdere, der ikke må rette i data, har gjort det alligevel. Eksempel 1 og 2 viser, hvordan manglende overvejelser angående sikkerhed muligvis kan medføre, at et fælles login udvides til at omfatte adgange, der burde holdes på et personligt login. Som dataansvarlig bør man derfor have fokus på, hvad anvendelse af det fælles login kan resultere i, og om det kan være i konflikt med lovgivning: Kan det give enkelte brugere adgang til flere data, end de har behov for 2? Kan det give enkelte brugere mulighed for at lave mere med data, end de har behov for? Kan det bevirke, at anvendelse af data ikke kan spores til en person (via loggen)? Kan det bevirke manglende efterlevelse af krav om personligt login Det er relevant at vurdere, om den adgang, som opnås ved fælles login, kan begrænses. En god måde at angribe opgaven på er ved følgende trin: 1. Definer formålet med det fælles login. 2. Vurder hvilke data der minimum skal være adgang til for at opfylde det definerede formål. 3. Vurder hvad man som minimum skal kunne lave med data (fx læse, søge, overføre, tilføje, ændre, slette data?) for at opfylde det definerede formål. 4. Vurder om det er muligt på forhånd at angive, hvornår adgangen med det fælles login ikke længere er nødvendig for at kunne opfylde formålet, og sørg for at det fælles login automatisk nedlægges/spærres på dette tidspunkt. 5? Persondataloven 41, stk. 3. Sikkerhedsbekendtgørelsen (BEK nr. 528 af 15/06/2000 med senere ændringer) 11, stk Sikkerhedsbekendtgørelsen Se teksten "ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data" 5 Sikkerhedsvejledningen (Vejledning til BEK nr. 528 af 15. juni 2000) til 16: "Når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password." 3

5 Overvejelser angående fysisk og tidsmæssig begrænsning af fælles login Det kan være relevant at begrænse et fælles login i forhold til, hvorfra og i hvilket tidsrum der kan foretages login. En sådan begrænsning kan være afgørende for, om et fælles login kan misbruges eller ej. Et login er normalt ikke begrænset til en fysisk lokalitet eller et tidsrum, forstået på den måde, at dette login kan anvendes på alle tider af døgnet og fra forskellige computere, så længe computeren er koblet på et bestemt netværk (fx på et internt netværk i et firma, eller på internettet). Dette kan være uproblematisk, når der er tale om personligt login, mens det ved fælles login kan åbne muligheder for misbrug. Anvendes et fælles login i et specifikt lokale og et specifikt tidsrum, hvor andre brugere af samme fælles login er til stede, vil misbrug være sværere at skjule, og hvis der udøves social kontrol, er det mindre sandsynligt, at et misbrug vil finde sted. Hvis der ikke er behov for at kunne anvende det fælles login udenfor det specifikke lokale eller udenfor det specifikke tidsrum, kan man overveje at spærre for denne mulighed. Overvejelser angående afledt effekt af restriktioner Jo flere restriktioner der indføres, desto støre er sandsynligheden for, at der opstår uforudsete situationer, hvor medarbejderne føler sig tvunget til at opfinde "nødløsninger". Løsninger, som opfindes i "panik" over en uforudset situation, kan være problematiske for datasikkerheden. Hvis der opstår en uforudset situation, bør der ikke ændres på principperne for anvendelsen af fælles login, uden en grundig overvejelse af konsekvenserne. Men brugere af et konkret fælles login kan ikke forventes at have den nødvendige indsigt i datasikkerhed til at kunne gennemskue alle konsekvenserne ved at ændre på principperne. Hvis et fælles login, fx begrænses til kun at kunne anvendes i et specifikt lokale og i et specifikt tidsrum, så kan det skabe problemer, hvis der opstår et uventet behov for at anvende det fælles login andre steder eller uden for dette tidsrum. Her bør man overveje, om login uden for det specifikke lokale/tidsrum kan ske med et personligt login, der giver samme adgang, som det fælles login. Det personlige login vil ikke kunne misbruges på samme måde som det fælles login, og man kan derfor undlade begrænsningerne (lokale/tidsrum) på det personlige login. Man bør således forsøge at forudse scenarier, der gør restriktionerne problematiske, og søge en løsning der bibeholder eller hæver sikkerhedsniveauet. Det vil ofte være brugerne selv, der er de bedste til at forudse specielle arbejdssituationer, hvor restriktionerne kan blive en udfordring, og derfor bør man involvere brugerne i processen med at finde en optimal løsning. 4

6 Overvejelser angående periodisk kontrol af adgang til it-systemer Det er god praksis med jævne mellemrum at kontrollere, om alle brugerne har et aktuelt behov for deres adgange til it-systemer. Dette kan også være et lovkrav. 6 Ved fælles login kræver det noget særligt at lave en fyldestgørende kontrol af, om brugernes adgange er aktuelle. Fx er det en forudsætning, at følgende kontrolleres: Hvad giver fælles login adgang til? Har hver enkelt af brugerne af det fælles login et aktuelt behov for den adgang, som opnås gennem fælles login? Blev faktoren ændret/inddraget sidste gang, en bruger ophørte med at have behov for den adgang, som opnås gennem fælles login? Hvis faktoren blev ændret, blev den så ændret til noget, der ikke tidligere har været anvendt som faktor i det fælles login? Hvordan kan man få fat på faktoren, og er det sikret, at ingen uvedkommende kan få fat på den? De tre sidste punkter handler om at kontrollere, hvorvidt uvedkommende personer kan have/få adgang til den aktuelle adgangsgivende faktor, fx fordi de tidligere har anvendt det fælles login. Overvejelser angående styrken i faktoren Styrken i den adgangsgivende faktor kan blive sænket, hvis den anvendes i et fælles login. Hvis faktoren er en adgangskode, er det normalt bedst, hvis den enkelte bruger selv kan vælge en kode. Det giver mulighed for at vælge en kode, som er kompleks, men som alligevel kan huskes i hovedet, fordi man fx anvender en personlig huskeregel. Når flere personer er tvunget til at anvende samme kode, bliver det en udfordring at finde en kompleks kode, som alle brugere kan huske. Konsekvensen kan blive, at sikkerhedsniveauet i login sænkes, fordi: Der vælges en kode, som er simplere, så alle brugerne kan huske den. Til gengæld er koden nemmere at gætte. Hvis der alternativt vælges en kompleks kode, kan det være umuligt for den enkelte bruger at huske koden. I denne situation kan brugerne finde det nødvendigt at nedskrive koden. Problemet kan måske løses ved at anvende en anden type faktor end noget man skal huske ("noget man ved"), fx engangskoder fra en token 7 ("noget man har"). Man kan også vælge at supplere med en ekstra faktor 8. Uanset hvilken løsning der vælges, er det relevant at vurdere sikkerhedsniveauet på ny, fordi der er tale om en ny form for login. 6 Sikkerhedsbekendtgørelsens 17 og persondatalovens 41, stk Typisk en fysisk enhed, der genererer en engangskode ved tryk på en knap eller efter indtastning af en kode. 8 Se teksten "ST1 Flere faktorer i login". 5

7 Overvejelser angående skift/inddragelse af faktor Administration af fælles login kan give nogle udfordringer, som er anderledes end udfordringerne ved administration af personligt login. Det er derfor relevant at afdække udfordringerne og etablere procedurer specifikt tilpasset til anvendelsen af fælles login. Først og fremmest bør den adgangsgivende faktor være omfattet af samme tiltag, som tilsvarende faktorer til personligt login. Hvis faktoren fx er en adgangskode, kan der være tvungent periodisk skift af koden. Hvis tiltag som "tvungent periodisk skift" har en sikkerhedsmæssig værdi, når faktoren anvendes til personligt login, er det typisk lige så relevant for en tilsvarende faktor anvendt i fælles login. Der er imidlertid flere andre grunde til at gennemtvinge et skift af faktoren. Når en brugers behov for adgang gennem fælles login ophører, kan man ikke lukke adgangen, fordi andre stadig har brug for den. Udelukkelse af brugeren sker i stedet ved at skifte faktoren, eller ved at forhindre brugeren i at anvende faktoren. En sådan ændring kan være påkrævet, fx hvis en person ændrer arbejdsopgaver, flytter til anden afdeling, tager orlov, fratræder, bliver langtidssyg, med videre. Om brugeren kan forhindres i at anvende faktoren, eller om man er nødt til at skifte faktoren, afhænger af typen af faktor. En adgangskode er man nødt til at skifte. Faktorer af typen "noget du har" kan eventuelt inddrages, men i så fald skal man være sikker på, at det ikke har været muligt at tage en kopi af faktoren, mens den var i brugerens besiddelse. Når en ny bruger skal til at have adgang via det fælles login (indtræder i brugergruppen), er der ikke umiddelbart grund til at skifte faktoren, med mindre faktoren også anvendes i anden sammenhæng, som er uvedkommende for den nye bruger. Ændring af faktoren kan være et irritationsmoment. Er faktoren en adgangskode, har man tilmed udfordringen med altid at sikre en kompleks kode, som alle kan huske. Disse udfordringer kan gøre det fristende at undlade skift af faktoren. Hvis en bruger kommer til at eksponere faktoren til et fælles login, kan brugeren være tilbageholdende med at orientere om dette, fordi det vil bevirke, at koden skal skiftes, og det kan være til gene for alle andre brugere af det fælles login eventuelt nære kollegaer. Det er derfor altid relevant at vurdere, hvilken type faktor der kan skiftes/inddrages med mindst mulig gene af brugerne. Hvis ikke det sikres, at faktoren skiftes/inddrages, når det er relevant, kan det bevirke at uvedkommende har adgang via det fælles login, og dermed kan det være uacceptabelt at anvende fælles login. 6

8 Overvejelser angående genudstedelse af faktor Hvad det kræver at foretage en genudstedelse af faktoren på forsvarlig vis, afhænger af flere elementer, fx om overdragelsen af faktoren til alle brugerne foregår fysisk eller elektronisk. En vurdering af risici forbundet med genudstedelse af faktor til fælles login kan ske ved, at fremgangsmåden bliver omfattet af it-sikkerhedsmæssige overvejelser om de problemstillinger, som er omtalt i de tre tekster listet herunder. Teksterne tager udgangspunkt i personligt login, men problemstillingerne er for en stor dels vedkommende også gældende ved fælles login. ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login. ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk person. Overvejelser angående administration af brugere og faktor Sikring af kontrol med adgangen til data kan kræve særlige procedurer med fokus på de specielle omstændigheder omkring anvendelse af fælles login. De førnævnte udfordringer omkring ansvarsfølelse kan i sig selv fordre en særlig håndtering af brugerne. Her følger eksempler på relevante tiltag, som bør overvejes. En del af tiltagene handler om funktionsadskillelse, som altid er relevant ved brugeradministration: Der udnævnes én person i brugergruppen (dem som har adgang via fælles login) til at være "lokal brugeradministrator". Denne person er altså selv blandt dem, der har adgang via det fælles login. Denne person gøres ansvarlig for registrering af alle brugerne samt for udskiftning af faktor. Derved beskyttes mod nogle af problemerne omkring manglende ansvarsfølelse. "Den lokale brugeradministrator" sikrer en opdateret registrering af, hvem der på et ethvert givent tidspunkt har haft mulighed for at anvende det fælles login. Altså en registrering af, hvem der på ethvert givent tidspunkt har haft adgang til den adgangsgivende faktor. Registreringen, som foretages af "den lokale brugeradministrator", kan kun ændres af samme. Derved sikres følgende: o "Den lokale brugeradministrator" er bevist om, at ingen andre kan bebrejdes, hvis registreringen er utilstrækkelig eller fejlbehæftet. o Hvis én person i brugergruppen vælger at misbruge det fælles login, kan vedkommende ikke besværliggøre en efterforskning ved at ændre i registreringen af, hvem der havde adgang til faktoren på det tidspunkt, hvor misbruget fandt sted. "Den lokale brugeradministrator" kan naturligvis ændre i registreringen, men han/hun kan ikke derved skjule, at han/hun har haft adgang, idet "den lokale brugeradministrator" per definition har adgang via det fælles login. 7

9 Den dataansvarliges ansvar ved etablering fælles login Behandling af persondata via fælles login kan ske hos den dataansvarlige eller hos en databehandler. Før etablering af fælles login skal den dataansvarlige under alle omstændigheder vurdere, om det i en konkret kontekst er forsvarligt at anvende fælles login til behandling af persondata. Selv om anvendelsen af fælles login i en konkret kontekst ikke direkte er angivet som ulovligt i persondatalovgivningen, skal den dataansvarlige stadig sikre, at der er etableret de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, blandt andet til håndtering af de problemstillinger, som er nævnt i denne tekst. Hvis ikke et fælles login kan anvendes og administreres på forsvarlig vis, kan det blandt andet indebære, at der ikke er tilstrækkeligt styr på, hvem der har adgang til data, og hvornår. Dermed kan anvendelse af fælles login resultere i en databehandling, som er i strid med persondatalovgivningen. 9 Behov og udfordringer omkring fælles login ligger forskellige steder i organisationen. Inden den dataansvarlige træffer beslutningen om, hvordan fælles login skal anvendes og administreres, bør flere parter høres, herunder brugerne, brugeradministrationsfunktionen, itsikkerhedsfunktion og den juridiske funktion. [email protected] (+45) Persondatalovens 41, stk. 3. 8