Medarbejdersignatur - sådan gør organisationerne i dag Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk
Min baggrund Etablerede TDC s certificeringscenter 1998-2006 Modtog Dansk IT s sikkerhedspris 2003 Medstifter af Signaturgruppen sept. 2006 Statens tekniske rådgiver på OCES II 2008/2009
Agenda Medarbejdersignatur i dag Resultater fra undersøgelsen Indsatsområder for produktiv signatur Rettighedsstyring i morgen Udenrigsministeriet OCES masterplan 2009-2014
Antallet af medarbejdersignaturer i organisationerne 1000 900 800 700 600 500 Serie1 400 300 200 100 0 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33
LER Optagelse.dk Anvendelsesområder Anvendelse af medarbejder signatur 35 30 25 20 % 15 10 5 0 Nemkonto Arbejdsmarkedsportal Skat Extranet Virk Sikker email KMD
Opbevaringsløsning Roaming af medarbejder signatur Windows roaming profile Citrix Citrix+Manuel Manuel roaming e-token/smartcard Central server
Signaturen skal være lige så produktiv som netværkslogon! - men hvordan er det i dag de fleste steder?
Afvekslende forhindringer i medarbejderens hverdag Ligger min signatur på denne computer? (ellers installér den) Hvad var det nu koden var? (ellers bestil en ny og vent tre dage) Portalen siger, at jeg ikke har rettigheder? (få fat i din administrator) Fornyelse af signaturen er godt nok forvirrende!
Afvekslende forhindringer for arbejdsgiveren Tastearbejde og fejl i LRA browsergrænsefladen Support tid med medarbejderne Ventetid på ny signatur ved glemt kode Husker vi at få spærret signaturen når medarbejderen er sagt op? Ellers har de måske stadig adgang til Sundhed.dk med en kopi af signaturen hjemmefra?
Indsatsområder
Esbjerg kommune med i evalueringsgruppe 1100 medarbejdersignaturer, 5 LRA er Dagligdagen: Pinkoder bliver væk. Glemt sikkerhedskopi Glemt adgangskode Active-X bøvl ved installation og fornyelse og gamle signaturer! Brugeroprettelser tager meget klikke-tid. Rettighedsstyring på portalerne man opgiver Revisionen: Vi har ikke så god dokumentation af forvaltningen som før digitaliseringen
SignaturCentral i Jyske Bank til elektronisk tinglysning Brugervenlighed Mobilitet Lokalt reset af password Automatisk fornyelse (Anvendelse af netværkskode) Sikkerhed Central auditlog over signaturanvendelse Central backup af nøgler (Whitelist/blacklist over hvilke tjenester medarbejderen kan anvende signaturen på)
Med OCES har vi nu en sikker standardiseret identitet. - men hvordan går det med rettighedsstyringen administrator?
Medarbejdersignatur i kommunerne i dag
LRA WS Attribut WS FOBS rights NemLog-in Hvordan skal rettighederne mon styres? Brugeradministration & attributter Brugeradministration & attributter Fællesoffentlig brugerstyring? SAML token SAML claims
Udenrigsministeriet og attributtjenesten 70 Institutioner DanID Brugeradministration & attributter LRA Administrator DanID CA Medarbejder Udenrigsministeriet X doc Brugeradministration & attributter Attributter Signatur Adgang til dokumenter Web tjeneste Bruxelles EU dokumenter
Hvad er masterplanen? Rettighedsstyring
IT-arkitekturkonferencen 2009 Bag om Digital Signatur Peter Lind Damkjær PKI Specialist 1. april 2009
Introduktion til DanID Et selskab i PBS koncernen 100% ejet af PBS Bygger på kompetencer fra både TDC og PBS > 25 medarbejdere primært i Århus Er ansvarlig for alle PKI relaterede aktiviteter Udpeget af Videnskabsministeriet til at udvikle og drive digital signatur de næste 5 år Aftale med bankerne om ny netbanksikkerhedsløsning Fokus på Brugervenlighed, Udbredelse, Mobilitet og Sikkerhed 2
Én fælles sikkerhedsløsning Sikrer kritisk masse Sikrer at brugerne får rutine Letter kommunikationen Skaber tillid hos både brugere og tjenesteudbydere 3
Løsningen set fra en helikopter Tjenester RA DanID LRA CA Off. LDAP DanID.dk DCH Brugerdatabase Signatur Server PID/RID CPR CVR Rigs- politiet DCH Den Centrale Hjemmeside 4
Nyt udsteder-hierarki DanID DanID Primary Primary CA CA DanID DanID SSL SSL Server Server CA CA DanID DanID Primary Primary OCES OCES CA CA DanID DanID OCES OCES CA CA 1 DanID DanID OCES OCES CA CA 2 DanID DanID OCES OCES CA CA n
Delaftale 1 - Borgerdelen
OTP 2 faktor Noget i hovedet Noget i hånden 7
Borgere Bruger-ID CPR og selvvalgt kaldenavn Kodeord Mindst 6 tegn Engangskode (OTP) Token PIN Mindst 4 cifre 8
Borgere - Registrering Online registrering Dansk pas og kørekort Online-migrering fra OCES I OCES I + dansk pas eller dansk kørekort Online-migrering fra netbanker Netbank-login Fysisk fremmøde i kommune eller egen bank Dokumentation iht. lov om hvidvask 9
Borgere - Browseranvendelse Browser med Java OpenOCES applet (OpenLogon/OpenSign) Sikker protokol 10
OpenSign / OpenLogon Java-applet Understøtter både OCES I og OCES II Understøtter alle OCES-medier OTP USB-token/smartcard Filbaserede signaturer (Medarbejdercertifikater og OCES I person) Etc. Mange konfigurationsmuligheder Output som XMLdsig eller DK-SAML Filtrering på signaturtype (Person eller Medarbejder) Filtrering på udsteder (OCES I eller OCES II) Flere sprog Væsentlig bedre dokumentation end nuværende løsning Open Source Dual-licens 11
Borgere - Standardapplikationer Standard appl. Standard appl. MS CAPI PKCS11- wrapper DanID CSP * PKCS#11-modul * Sikker protokol * Samme brugeroplevelse som OpenLogon 12
Delaftale 2 - Erhvervsdelen
Erhvervsløsninger (Medarbejdersignatur) Løsninger videreføres i vid udstrækning fra OCES I inkl. Certifikattyper Medarbejdercertifikater Virksomhedscertifikater Funktionscertifikater Signaturserver til medarbejdersignaturer LDAPter Medarbejdersignatur Avanceret (Split-signatur) Attributtjenesten Understøttelser af 3. parts leverandører (smartcard o.lign.) 14
Erhvervsløsninger (Medarbejdersignatur) Nye tiltag: LRA -> Selvbetjening Medarbejder-præregistrering (inkl. WS til Tjenesteudbydere) Straksbestilling og -installation Førstegangsbestilling vha. personlig OCES signatur Straksinstallation af medarbejdersignatur vha. personlig OCES signatur Administration på tværs af CVR 15
http://www.danid.dk/infosite 16