NemLog-in Kenneth Kruuse, projektleder og serviceansvarlig
Hvad er NemLog-in? SSO - med mere
Formålet med NemLog-in Fællesoffentlig infrastruktur bygger ét sted og stiller komponenter gratis til rådighed for myndigheder En sammenhængende og mere omkostningseffektiv sikkerhedsinfrastruktur Ét log-in for borgere og virksomheder til samtlige offentlige selvbetjeningsløsninger Ensartet og kendt sikkerhedsniveau
NemLog-in i tal Årligt ca. 40 mio. log-in Ca. 300 services, bl.a. Borger.dk, Virk.dk, SKAT.dk og Sundhed.dk Ca. 250.000 virksomheder er tilsluttet brugeradministration Foretages op til 10.000 signeringer dagligt
Komponenter i NemLog-in NemLog-in består af: NemLog-in (single sign-on) blev i ny version ibrugtaget ved årsskiftet til 2013 og løbende udvidet med: Brugerrettighedsstyring bl.a. til virksomheder Signering via browser eller webservice Fuldmagt delegering fra borger til borger og borger til virksomhed STS billetveksler Tilslutning administrativt system til tilmelding af nye løsninger og organisationer
Brugerrettighedsstyring (FBRS) Brugerrettighedsstyringen benyttes af ca. 10 myndighedsløsninger i dag, migreret fra Virk.dk s BRS De fleste IT løsninger har brug for en brugeradministration Med den ny fællesoffentlige brugeradministration har myndighederne en komponent der allerede giver dem mulighed for at benytte brugeradministration Sikkerheden er på niveau med øvrig NemLog-in
Signering Logning af stærke signaturbeviser, som kan fremlægges ved en tvist Tjenesten gemmer ikke tekst
Fuldmagt Løsningen gør det muligt, at en borger kan autorisere en repræsentant til at tilgå offentlige selvbetjeningsløsninger og agere på borgerens vegne. Delegeringen kan afgrænses i tid. Der er tale om en basal fuldmagtsløsning, der vil kunne afgrænse på handlingen, objektet og parametre Ved at en borger giver sin repræsentant en digital fuldmagt, kan forvaltningslovens krav om partsrepræsentation realiseres
Sikkerhed i NemLog-in NemLog-in er en sikkerhedsløsning Derfor har der været fokus på sikkerhed fra start, dvs. inden udbud er der foretaget en risikovurdering for at identificere behov for kontroller i løsningen Der er stillet en række krav til sikkerhed i udviklingsforløbet Der er stillet krav om ekstern revision ved idriftssættelse Erfaringspunkter om bl.a. leverandørens modenhed og opfyldelse af krav til logning, fordi logning udgør et væsentligt sikkerhedskrav i NemLog-in
Krav til sikkerhed i udviklingsforløbet Krav i kontrakt om sikker udviklingsmetode - (NIST s "Security Considerations In The Information System Development Life Cycle") Et hovedelement er threath modelling af koden, består af risikovurdering af koden som udvikles. Førte bl.a. til at de mest sikkerhedskritiske komponenter er udviklet i DK, mens andre komponenter er bygget i PH. Andet hovedelement udpege 50-100 såkaldt særlig sårbare krav. I udviklingsprocessen stilles der krav om sporbarhed fra krav til produktbeskrivelse til test.
Krav til sikkerhed i udviklingsforløbet - 2 I praksis skete der pga. tidspres et skift i fokus fra proces til produkt. Digitaliseringsstyrelsen foretog stikprøvekontrol. Krav om et sikkert udviklingsmiljø, der næsten stillede samme krav som til produktionsmiljøet. Dermed var NemLog-in udviklingsmiljø afkoblet fra øvrige miljøer i NNIT. Krav til ekstern revision i udviklingsforløbet. Koden blev sendt til gennemsyn hos tredje part. En (mindre) del af revisionen foregik i DK og en del i et sydamerikansk land, baseret på en risikovurdering. Krav til penetrationstest ved tredjepart kommer først i slutfasen.
Erfaringer og læringspunkter I forhold til at anvende tredjepart til sikkerhedsreview: Et spørgsmål om balance og tillid. Leverandørens modenhed spiller en væsentlig rolle. Konkret var der en række findings i koden og den efterfølgende penetrationstest. Dog intet graverende. Størst værdi i review forløbet gav målrettede angreb af højt kvalificerede folk (hackere). Leverandøren skulle modens på sikkerhedsområdet kendskab til HSM, håndtering af privilegerede brugere (Cyberark), krav til logløsning gav performanceudfordringer, nu faste interne sårbarhedstest (Acunetix) Hellere få meget kompetente folk og ekstern part kan vise modenhed
MERE INFORMATION Chefkonsulent Kenneth Kruuse Tlf. +45 407 333 54 kekru@digst.dk Læs mere eller tilmeld dig vores nyhedsbrev på www.digst.dk/nemlogin
Spørgsmål?