Digital sikkerhed i Danmark 2014 Ă…rsrapport fra RĂĽdet for Digital Sikkerhed
INDHOLD 2
FORORD – TILLID SOM FUNDAMENT FOR DIGITAL VÆKST
4
RÅDETS ARBEJDE
7
TRUSSELSBILLEDET I 2014
8
SIKKERHEDSUDSIGTEN FOR 2015
9
BEHOV FOR NYE KRYPTERINGSSTANDARDER
10
INTERN SIKKERHED I VIRKSOMHEDER
11
TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA
12
UDFASNING AF CPR-NUMMERET
13
NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK
15
ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED
16
ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN
17
BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED
18
AKTIVITETER I TAL
19
RESUMEÉR FRA RÅDETS UDMELDINGER
22
ÅRSREGNSKAB 2012/13
23
MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED
FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST Rådet for Digital Sikkerhed (RfDS) har i 2014 vedvarende italesat, at den hastigt fremskridende digitalisering kræver et tilsvarende øget fokus på informationssikkerhed, her under privatlivsbeskyttelse. Rådet har løbende bidraget med kommentarer, analyser, vurderinger og rådgivning, og det har hen over året uden tvivl styrket sin rolle som en troværdig og seriøs aktør. Udgangspunktet for Rådets aktiviteter er en bred kreds af eksperter og praktikere. Rådets medlemmer omfatter såvel store som mellemstore og små virksomheder, universiteter og forskningsinstitutioner, branche- og interesseorganisationer samt repræsentanter fra kommuner, regioner og ministerier. Vi trækker på deres viden og indsigt i alle vores indsatser og arbejder i en konsensus-orienteret struktur med bestyrelsens 19 medlemmer og et aktivt formandskab som omdrejningspunkt. Vi står derfor på et solidt videns- erfaringsfundament, når vi indgår i dialog og samarbejde med andre aktører om tryg digitalisering i Danmark. Vores status som medlemsbaseret forening, der er uaf hængig af politiske og kommercielle interesser, giver os en unik platform for at udvikle Rådets vurderinger og aktiviteter. Vi agerer gerne vagthund, når internationale standarder for informationssikkerhed og privatlivsbeskyttelse efter Rådets vurdering ikke iagttages eller gennemføres effektivt. Vi bidrager ligeså gerne med konstruktive bud på, hvordan danske virksomheder, myndigheder og forskere kan styrke den digitale vækst på en sikker måde. Vi fokuserer på at få alle relevante aktører til at aktivere og udnytte deres kompetencer inden for informationssikkerhed og privatlivsbeskyttelse for på den måde at være med til at udvikle nye metoder, redskaber og processer, der kan sikre borgernes tillid til den digitaliserede dagligdag. Rådets indsats fra juli 2013 til december 2014 har favnet mange emner. Fra kritik af den fortsatte misforståede brug af cpr-nummeret som identitetsbevis hos både offentlige og private aktører til anbefaling af nye krav til fremtidens danske eID-løsning. Fra behovet for systema tisk implementering af ISO27000-serien af standarder i den offentlige og private sektor – herunder som specifikt krav ved outsourcing – til et bredere og mere principielt
2
DIGITAL SIKKERHED I DANMARK / 2014
krav om integrering af privacy by design og privacy impact assessment i alle nye it-løsninger. Rådet har i samarbejde med Digitaliseringsstyrelsen og Undervisningsministeriet igangsat flere specifikke målrettede projekter til forbedring af sikkerheden i Danmark: • I forlængelse af regeringens nye informations- og cybersikkerhedsstrategi har Rådet taget initiativ til et åbent samarbejde om udvikling af undervisnings materiale til folkeskolerne, hvilket vil kunne hjælpe elever, forældre og lærere til at opnå bedre forståelse for informationssikkerhed. Materialet udvikles, så det passer ind i folkeskolens læseplaner, og indsatsen sker i samarbejde med Undervisningsministeriet, Medie rådet for Børn og Unge, Forbrugerrådet, Digitaliseringsstyrelsen og IT-Branchen. • Aktualiseret af CSC-sagen og Se og Hør-sagen er der kommet øget fokus på danske virksomheders og myndigheders formåen i forhold til at beskytte danske borgers data. Rådet er i denne sammenhæng i dialog og arbejder sammen med blandt andre IT-Branchen, Digitaliseringsstyrelsen og Erhvervsstyrelsen på at øge informationssikkerheden. Målet er at udvikle redskaber til virksomheder, så de kan etablere et sikkerhedsniveau, der passer til deres behov og den kontekst, de arbejder i, samtidig med at der tages hensyn til økonomi og sikres brugervenlighed. For dansk erhvervsliv er øget informationssikkerhed specielt relevant i forhold til virksomheders anvendelse og opbevaring af personfølsomme oplysninger og sikker opbevaring af immaterielle produkter som fx ophavsrettigheder. Mangel på informationssikkerhed kan føre til tab og kan skade danske virksomheders konkurrenceevne. Der arbejdes i dette regi også på at finde muligheder for tryg indberetning af sikkerhedshændelser i virksomhederne, så viden om omfang og typer af sådanne hændelser fremadrettet kan indgå i forebyggende sikkerhedsindsatser I den forløbne periode er masseovervågning kommet højt på dagsordenen, blandt andet på grund af Edward
Snowdens afsløringer. Den danske tele- og sessionslogning, lovgrundlaget for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste samt politiets ønske om at registrere nummerplader på alle bilister gav Rådet anledning til at understrege vigtigheden af at opretholde demokratiske principper og værdier om borgernes grund rettigheder, transparens, tilsyn og kontrol. Det sker i en tid, hvor Danmarks sikkerhed og virksomhedernes forretnings hemmeligheder udfordres af terrorister, kriminelle og andre fjendtlige aktører. Netop på grund af trusselsbilledet har vi også spillet aktivt ind i dialoger om, hvordan der opbygges mere viden og uddannelse i cybersikkerhed på universiteterne, skoler, i statslige institutioner og i virksomheder. Disse emner vil fortsat være indsatsområder for Rådet.
Vi forventer, at der fremover vil komme øget fokus på adgang til og brug af sundhedhedoplysninger, herunder beskyttelse af borgernes følsomme oplysninger. Adgang til sundhedsoplysninger spiller en afgørende rolle for tilrettelæggelse af behandlingsforløb for patienter og også for forskningen og udvikling af folkesundheden. Derudover rummer danske data på sundhedsområdet et stort potentiale i forhold til udvikling og kommercialisering i medici nalindustrien. Vi vil gerne bidrage til at finde nye veje til i højere grad både at udforske og udnytte sundhedsdata. Det vil være til gavn for såvel patienter som forskningen og industrien. Vi vil blandt andet fokusere på og sikre bedre oplysning om mulighederne for benytte privacy enhancing technologies til anonymisering og pseudonymisering af sundhedsdata. Formand Birgitte Kofod Olsen
Næstformand Rasmus Theede
DIGITAL SIKKERHED I DANMARK / 2014
3
RÅDETS ARBEJDE Dette er den anden årsrapport fra Rådet fra Digital Sikkerhed (RfDS). Den omfatter perioden fra juli 2013 til december 2014. Rådet opretholder en hjemmeside, digitalsikkerhed.dk, hvor Rådets aktiviteter kan følges. Uforkortede versioner
af dokumenter m.v., som omtales her i årsrapporten, kan findes på hjemmesiden. Rådet er stadig i en etableringsfase baseret på strategi for 2013 – 2015, som er vedtaget af bestyrelsen. Den lyder således:
FORMÅL Rådet for Digital Sikkerhed har som formål at fremme tryg it-anvendelse i fremtidens digitale samfund. Det gør vi ved at: • • • • •
Fremme forståelsen for informationssikkerhed og persondatabeskyttelse. Deltage i den offentlige debat om digitalisering og it-anvendelse. Indgå i dialog med offentlige og private aktører om tillid, risici og muligheder i et digitaliseret samfund. Vurdere innovativ udnyttelse af teknologiens muligheder. Fremlægge anbefalinger.
VÆRDIGRUNDLAG Rådet for Digital Sikkerhed baserer sine aktiviteter på følgende værdier og principper: UAFHÆNGIGHED Rådet for Digital Sikkerhed er en uafhængig medlemsorganisation. Vi opfylder vores formål uden instruktion fra offentlige eller private aktører, og Rådet er ikke bundet af kommercielle interesser. ROBUSTHED Rådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse. Vi bringer denne viden i spil for at skabe en kvalificeret debat og en sund digital kultur. ÅBENHED Rådet for Digital Sikkerhed deltager aktivt i dialog og samarbejde med alle relevante interessenter. Vi sikrer åbenhed i forhold til vores analyser og resultater ved at stille dem til rådighed for vores medlemmer og offentligheden.
MÅL 2013-2015 Vi søger at opfylde vores formål ved i perioden 2013-2015 at: • Sætte borgernes behov for redskaber og anbefalinger til tryg it-anvendelse i fokus. Vi bidrager især til øget viden og forståelse for informationssikkerhed og privatlivsbeskyttelse hos unge, ældre og it-svage borgere. • Bidrage med råd og anbefalinger, der er relevante for offentlig og privat sektor, i forhold til at minimere og håndtere deres risiko for angreb og tab af sikkerhed, fortrolighed, integritet autentifikation og tilgængelighed. • Opfordre til at sikre effektiv informationssikkerhed og stille risikoanalyser til rådighed, der synliggør konsekvenserne af digitalisering og it-anvendelse for borgernes tillid, frihed og sikkerhed.
4
DIGITAL SIKKERHED I DANMARK / 2014
AKTIVITETER I rapporteringsperioden har Rådet afviklet et betydeligt antal aktiviteter, som har understøttet de fastsatte mål. Der har været et jævnt stigende antal medieomtaler og medvirken i radio- og tv-udsendelser, i alt cirka 900 medieeksponeringer i 2014, når spredning via nyhedsbureauer medregnes. Medieomtalen har baggrund i pressemeddelelser og opfølgning på andre aktiviteter og i stigende omfang også opsøgende henvendelse fra medier, som ønsker RfDS’ vurdering og synspunkter på aktuelle emner. I 2014 er RfDS begyndt at offentliggøre skriftlige udmel dinger om aktuelle emner i to formater. Mere tilbundsgående udredninger med anbefalinger benævnes ”Information og Anbefalinger”, mens Rådets politik og holdning til bestemte emne benævnes ”Positioner”. Der er i perio den udsendt fire anbefalinger og to positioner. Rådet har afgivet en række høringsvar. Nogle af disse er afgivet uopfordret, men efterhånden er Rådet ved at være blevet medtaget på alle relevante høringslister. Rådet har været medarrangør på en række morgenmøder og gå-hjem-møder med emner som masseovervågning, cookie-regler, cloud og sikkerhed, cyberwar og ”Hvad laver forskerne”? Rådets formand og næstformand har efter indbydelse i perioden bidraget med indlæg på i alt 27 konferencer, herunder Databeskyttelsesdagen i Landstingssalen, Dansk ITs digitaliseringskonference, Dansk ITs sundheds-it udvalg, DTU alumni-møde om big mother og kryptologi, Forbrugerrådet TÆNKs miniseminar om identitetstyveri, konference på Københavns Universitet om digitalisering og borgerbeskyttelse, IDAs Driving IT konference, Dansk Internet Forum’s Internetdagen og FSB konference om Samfundets kritiske infrastruktur. Rådets formand har indledt en dialog med repræsentanter for Folketingets partier om, hvorledes informationssikkerhed og privatlivsbeskyttelse generelt kan forbedres. Formandsskabet har løbende modtaget og besvaret henvendelser fra politikere, folketingsudvalg og embedsfolk, som har ønsket at høre Rådets vurderinger i aktuelle spørgsmål. Formandskabet har derudover deltaget i møder i Forsvarsministeriet, Center for Cybersikkerhed og Erhvervsministeriet samt været i tæt dialog med blandt andre Digitaliseringsstyrelsen, Erhvervsstyrelsen og Undervisningsministeriet om konkrete initiativer for fremadrettet samarbejde. Endvidere har Rådet været vært for og deltaget i en række dialogmøder, herunder om medicoudstyr, privacy impact
assessment (PIA), cyberwar, sikkerhedsuddannelse på AAU og EU/FRA-ekspertmøde om informationssamfundet. Rådet har lagt ”10 tips til din digitale sikkerhed” og gode råd om, hvordan man kan undgå phishing på sin hjemmeside. Informationer af denne art vil blive udbygget i takt med behov og Rådets muligheder.
RÅDETS UDMELDINGER Periodens i alt fire anbefalinger fra Rådet har omhand let masseovervågning, unødig registrering af vælgeres politiske overbevisning, Heartbleed-sikkerhedsbristen og ”Digital vækst med tillid som fundament”, der var et indspil til regeringens plan for digital vækst. Periodens to positioner har omhandlet Rådets vurdering af de informa tionssikkerhedsmæssige konsekvenser af politiets planlagte brug af automatisk nummerpladegenkendelse og finanssektorens udvidede adgang til borgeroplysninger i SKAT. Rådet har i forbindelse med disse udmeldinger og i andre sammenhænge udsendt et antal pressemeddelelser og har også skrevet debatindlæg i dagspressen. I forbindelse med anbefaling nr. 2 om digitalt system til vælgererklæringer havde Rådet med ekspertbistand fra Alexandra Instituttet foretræde for Folketingets Kommunaludvalg. Dette blev fulgt op med en henvendelse til daværende indenrigs minister Magrethe Vestager. I forlængelse af Retsudvalget og Kulturudvalgets vedtagelse af en fælles beretning i juni 2014 og nedsættelse af en parlamentarisk arbejdsgruppe om datasikkerhed har Rådet deltaget i møder og høringer i arbejdsgruppen med bidrag om informationssikkerhed og persondatabeskyttelse. Rådets præsentationer er tilgængeligt på Folketingets hjemmeside og på digitalsikkerhed.dk
HØRINGSSVAR OG HENVENDELSER TIL MYNDIGHEDER Rådet har i perioden fremsendt følgende hørings svar til ministerier og henvendelser til Folketing og regering: 13. september. 2013: Udkast til Bekendtgørelse om medicin- og vaccinationsoplysninger. Der peges på behov for at gennemføre en privacy impact assessment (PIA). Videre fremhæves en række forhold, som peger på behov for større hensyntagen til privatlivsbeskyttelse, herunder tildeling af adgangsrettigheder.
DIGITAL SIKKERHED I DANMARK / 2014
5
10. oktober 2013: Ændring af lov om Det Centrale Personregister (tildeling af nyt personnummer i særlige tilfælde samt ophævelse af markeringer i CPR om forskerbeskyttelse). Rådet anbefaler, at muligheden for at tilvælge forskerbeskyttelse opretholdes. Mere generelt anbefaler RfDS, at det fremlagte lovforslag kombineres med en grundlæggende reform af cpr-systemet, der gør digitale ID-løsninger (eID) til omdrejningspunkt for sikker identifikation, og dermed afløser cpr-nummeret i sin nuværende form. Denne generelle anbefaling uddybes i en pressemeddelelse (8. oktober 2013), hvor det foreslås, at cpr-nummeret ændres, så det ikke indeholder personinformation om alder og køn, og at der følges op med nye generelle retningslinjer for digital identifikation og autentificering. Rådet noterer, at der i anbefalinger fra Vækstteam for IKT og digital vækst (januar 2014) er henvist til Rådets fremhævning af behovet for at se på sikkerheden ved cpr-nummeret. 4. marts 2014: I høringssvar vedrørende Lovforslag om Center for Cybersikkerhed peger Rådet på 11 konkrete problemer i lovforslaget. Et af punkterne vedrører placeringen af CFCE under Forsvarets Efterretningstjeneste og lovforslagets meget brede og udefinerede adgang til indsamling af data. RfDS finder ikke, at der med lovforslaget sikres tilstrækkelig beskyttelse af borgernes og virksomhedernes data og opfordrer derfor til, at CFCS i det hele adskilles fra Forsvarets Efterretningstjenestes funktionsområde og henlægges til en forvaltningsmyndighed, der er omfattet af persondataloven. Rådets formand har efterfølgende deltaget i møde i Forsvarsministeriet om høringssvaret. Endvidere har formanden i mange forskellige sammenhænge delta get i den debat, der har været om lovforslaget.
6
DIGITAL SIKKERHED I DANMARK / 2014
8. maj 2014: Rådet deltager i Folketingets Retsudvalgs høring om CFCS-loven. 14. maj 2014: Rådet sender sammen med IDA og Forbrugerrådet TÆNK et brev til Folketingets Europa-, Rets- og Kultur udvalg med opfordring til at støtte EU persondataforordningen. 23. maj 2014: Rådet sender sammen med 17 andre organisationer et brev til Folketingets retsudvalg med en opfordring til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering. Henvendelsen vedrører de danske logningsregler og den nylige dom fra EU-domstolen, som underkender EUs logningsdirektiv. De danske regler går på flere punkter videre, end det nu underkendte EU-direktiv. 27. juni 2014: I sit høringssvar om den næste generation af NemID, peger Rådet på seks forskellige områder, hvor en ny løsning bør opgraderes og forbedres ift. den nuværende. 26. august 2014: Rådet deltager i høring i Folketingets Retsudvalgs arbejdsgruppe med oplæg om Digital tryghed og it-sikkerhed. 22. oktober 2014: Rådet deltager i høring om myndigheders behand ling af persondata i Folketingets Retsudvalgs arbejds gruppe med oplæg om sikkerheden i outsourcet it-drift.
TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data. Det begyndte, da Edward Snowden afslørede myndighe dernes omfattende overvågning af borgernes kommunikation både i USA og internationalt. Emnet fik en dansk vinkel, da en tidligere Se og Hør-journalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it-systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør-sagen et eksempel på insider-misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte fortrolige oplysninger. Dette er naturligvis under forudsætning af, at anklagerne mod den tidligere Nets- og IBM- medarbejder holder stik. Både eksterne og interne trusler mod informationssikkerheden kræver, at virksomheder, myndigheder og organi sationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret. Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it-medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug – for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner.
UAFVIDENDE HJÆLPERE En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i fortrolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing-truslen har været voksende. Den går ud på, at angriberne sender en mail
til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster brugernavn og password, som derefter lander hos bagmændene. De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisnin ger til viden og personer, som modtageren kender. Det gør mailen mere troværdig.
MALWARE GIVER ADGANG Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en vedhæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Herfra kan angriberne snuse rundt efter data. De it-kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgangen til data på computeren. Endelig indgår malware i svindel med annonceklik på websider og andre lyssky metoder til at tjene penge.
ENKLE FORHOLDSREGLER Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kommer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører. Mange analyser viser, at ganske simple midler kan mind ske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informationssikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data.
Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS.
DIGITAL SIKKERHED I DANMARK / 2014
7
SIKKERHEDSUDSIGTEN FOR 2015 Af Shehzad Ahmad og Rasmus Theede Informationssikkerheden i Danmark står over for hidtil usete udfordringer, og den byder også på store mulig heder. Digitaliseringen udvider mængden af følsomme digitale data, som er potentielt sårbare over for angreb. Presset på sikkerheden har derfor aldrig været større. For at imødegå dette, opbygges der i Danmark nu nye styrker og alliancer, som kan være med til at skabe et sikkert digitalt Danmark. RfDS deltager aktivt i dette arbejde.
DE MENNESKELIGE FEJL FYLDER STADIG MEST I en tid med høj fokus på avancerede angreb og tekniske forsvarsmekanismer er det nemt at glemme, at langt den hyppigste årsag til brud på datasikkerheden ligger hos den enkelte medarbejder. Måske en medarbejder ved en fejl får sendt fortrolige informationer af sted eller med forsæt misbruger arbejdspladsens fortrolige data eller it-systemer. Alt for mange, der omgås personfølsomme data i deres dagligdag, har ikke kendskab til de regler, der gælder på området. Uddannelse af brugere og beskrivelse af sikkerhedsregler er billigt, nemt at gå til og kan give stor værdi, hvis udført fornuftigt vel og mærke. Hvis man ikke allerede har gjort det, er det et godt sted at starte i 2015.
FUNDAMENTET SLÅR STADIG REVNER Næst efter menneskelige fejl er mangel på basale sikkerhedsprocesser den hyppigste årsag til sikkerhedsbrud. Det gælder både i forhold til borgernes følsomme data og virksomhedernes forretningshemmeligheder. Det drejer sig om simple ting som dokumentation af, hvor data faktisk opbevares, processer for opdatering af sårbarheder og adgangsstyring. Der skal være styr på disse basale ting, for hackere springer over, hvor gærdet er lavest.
FLERE AVANCEREDE TRUSLER De avancerede angreb bliver mere sofistikerede og mere almindelige. Det tester grænserne for både effektiviteten og kapaciteten af vores eksisterende sikkerhedskontroller. Der er uden tvivl kræfter, der vil os det ondt og vil gå meget langt for at få fat i noget af det mest værdifulde, vi har i
Danmark, nemlig vores knowhow. Regeringen har igangsat en række initiativer for at afhjælpe dette, men det må kun blive et supplement. Ansvaret for sikkerheden ligger fortsat hos myndigheden, leverandøren og virksomheden. Det er meget svært at yde effektiv beskyttelse mod avancerede angreb. RfDS er i færd med udarbejde nogle bud på effektiv beskyttelse baseret på RfDS’s medlemmers egne erfaringer.
BORGERNES SIKKERHED ER UNDER PRES
De it-kriminelle er i dag så dygtige og har så stærke værktøjer, at de har let ved at narre deres ofre. For eksempel udsender de phishing-mails, der er en tro kopi af mails fra de organisationer, de efterligner. Konsekvensen er, at den almindelige borger let kan falde for svindlen og afgive fortrolige oplysninger på en forfalsket webside. Vi ser også nye og bedre gennemførte eksempler på social engineering. Svindlere ringer op til borgere og giver sig ud for at være fra Windows Support. De oplyser, at borgerens pc har sikkerhedsproblemer, og tilbyder at løse dem. Hvis borgeren tror på historien, kan de narre vedkommende til at installere skadelig software på pc’en. Identitetstyveri er ligeledes et stigende problem. Her er årsagen ofte, at borgerne nok beskytter deres data, men ikke gør det effektivt. Der bruges for simple passwords eller samme passwords til flere forskellige tjenester. Der er stadig også for mange, som undlader at aktivere to-faktor autentifikation (fx indtastning af kode fra sms før en ny enhed kan benyttes). Der er også vækst i angreb med ransomware. Det er skadelig software, der spærrer for adgangen til programmer eller data. Bagmændene prøver at presse penge ud af offeret, som mod betaling kan få sine data tilbage. Her – som i andre sammenhænge – er manglen på backup et problem: Hvis borgeren har en sikkerhedskopi, kan vedkommende ignorere kravet om løsesum og blot indlæse kopien i stedet. Vores opfordring til borgerne i 2015 lyder derfor: • Vær kritisk! • Tag sikkerhedskopi – også af din tablet og smartphone! • Aktiver to-faktor-autentifikation!
Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS.
8
DIGITAL SIKKERHED I DANMARK / 2014
BEHOV FOR NYE KRYPTERINGSSTANDARDER Af Ivan Damgaard Fra juni 2013 og helt frem til i dag har Edwards Snowdens afsløringer af NSA’s aktiviteter skabt ballade, debat og bekymring over hele verden. Vi fået tegnet et billede af en amerikansk efterretningstjeneste, der foretager masseovervågning af en væsentlig del af trafikken på internettet, vel at mærke uanset om de involverede brugere er under mistanke eller ej. Vi har hørt om hemmelige aftaler om udlevering af data, som firmaer tvinges til at indgå, og om aktiviteter, der har til formål at indbygge bagdøre i internet-standarder, så NSA er i stand til nemt at få fat i data, selv om der anvendes kryptering. Ikke overraskende har NSA og den amerikanske regering enten benægtet oplysningerne eller afvist at kommentere dem. Så der er masser af plads til spekulationer: Hvad er op og ned på alt det her? Er det efterhånden umuligt at skabe sikker kommunikation på nettet? Kan NSA bryde enhver kryptering? For det første skal man huske, at Snowden ikke er den eneste kilde til oplysninger om NSA, selv om materialet, han har lækket, er langt det mest omfattende. Selv taget med et gran salt er der næppe tvivl om, at både den amerikanske og engelske efterretningstjeneste har gang i meget omfattende overvågning af borgere over hele verden, og at man har forsøgt at svække de internationale standarder for sikker kommunikation på nettet. Dette sidste punkt er måske den bedst dokumenterede del af NSA’s aktiviteter og faktisk også den mest alvorlige: Hvis standarderne for sikker kommunikation på nettet har fået indbygget svagheder, der gør det muligt at komme uden om den kryptering, der benyttes, så skal man være ualmindelig naiv for at tro, at der ikke er andre, der finder disse svagheder og begynder at udnytte dem. Mindst én af disse svagheder er allerede fundet i offentlig forskning. Så i et forsøg på at gøre livet nemmere for sig selv, har NSA gjort internettet mindre sikkert for os alle. Det må være indlysende for enhver, at det er en uholdbar situation, uanset hvilken politisk holdning man måtte have til overvågning, og til hvor meget af det, vi skal acceptere.
“
Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den.
Men kan problemet løses? Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Omgåelsen sker enten ved at få de involverede parter til at udlevere data, eller ved at udnytte bagdøre i protokoller og andre svagheder i systemerne. I forhold til hvad vi ved fra forskningen, ville det ikke give mening, hvis NSA uden videre kunne bryde hvad som helst. Derfor må konklusionen være, at opdaterede standarder for kryptering med tilstrækkeligt store nøgler faktisk er et effektivt værn mod masseaflytning, hvis de bruges rigtigt. Det er her hunden ligger begravet: Måden vi bruger kryptering på, er bundet op på de protokoller, der i øjeblikket er standard på nettet. De trænger alvorligt til et eftersyn og sandsynligvis endda til at blive re-designet fra bunden, ikke kun fordi de har været under indflydelse af NSA, men også fordi flere af dem er resultatet af lappeløsninger lagt oven på hinanden. Det problem bør kunne løses, og det kan kun gå for langsomt!
Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS.
DIGITAL SIKKERHED I DANMARK / 2014
9
INTERN SIKKERHED I VIRKSOMHEDER Af Rasmus Theede og Tom Engly Over det sidste år har der i pressen været omtale af mange sager om databrud. Se og Hør kom i vælten, da det blev afdækket, at de havde betalt en kilde med tilknytning til Nets for at lække oplysninger om kendte danskeres anvendelse af kreditkort. Flere politikere var i medierne og kritiserede it-sikkerhe den, og mange andre meningsdannere fulgte trop. Anskuer man Se og Hør-sagen fra et it-sikkerhedsfagligt perspektiv, var problemet imidlertid ikke, hvad man rent fagligt forstår ved manglende it-sikkerhed. En række af de gængse og krævede sikkerhedsforanstaltninger var således på plads hos Nets. For eksempel var medarbejderen, der skaffede sig adgang til kreditkortoplysningerne, sikkerhedsgodkendt af PET og havde lovlige administrative rettigheder. Han udnyttede ikke tekniske sårbarheder, han misbrugte ikke andres rettigheder – og han udførte heller ikke aktiviteter, som man med gængse it-sikkerhedsværktøjer ville kunne logge, spore og reagere på. Der var i stedet tale om en betroet medarbejders ulovlige udnyttelse af en i øvrigt lovlig adgang. Kunne Nets så have forhindret det? Medarbejderen benyttede et såkaldt batch job, som er en rutine, der opsættes og afvikles af systemadministratorer. Sådanne batch jobs skal efter persondataloven og sikkerhedsbekendtgørelsen ikke logges. Hverken interne ISO 27001 krav og procedurer hos Nets, kontrol ved Datatilsynet eller ekstern revision ville dermed have haft mulighed for at spore hændelsen. Hændelser, som det der foregik hos Nets, vil være yderst vanskelige for alle typer virksomheder at spore – og så vidt vi kan vurdere, er misbrug af denne type noget, som forekommer yderst sjældent i it-branchen. Se og Hør-sagen må derfor ikke betragtes som en aktualisering af en generel problemstilling angående datasikkerhed. I stedet bør sagen give stof til eftertanke om, hvordan virksomheder bedst beskytter sig mod og forebygger det,
“
Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor.
man kan kalde for ondsindede medarbejdere. Det er nødvendigt at kunne stole på de medarbejdere, man sætter til at arbejde med virksomhedens data. Det vi kan lære af Se og Hør-sagen er, at det er i alles interesse fortsat at arbejde med sikkerhedsbehovet og at finde løsninger, som gør det muligt at kontrollere og begrænse adgange til data på måder, der er meningsfulde og transparente for medarbejderne. Vi kan aldrig opnå 100% sikkerhed for, at en medarbejder holder sig fra at begå kriminalitet, men vi kan gøre det nemmere at opdage det i tide. Sagen viser også tydeligt, at det er nødvendigt at skelne mellem den risiko, interne medarbejdere og samarbejdspartnere kan udgøre og den, der udspringer fra eksterne hackere. Derfor er det Rådets opfattelse, at det øgede fokus på sikkerhed skal omfatte en konkret risikovurdering af medarbejderes og samarbejdspartneres adgang til virksomhedernes – og dermed også kundernes – data. Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor.
Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. Tom Engly er koncernsikkerhedschef i Tryg og medlem af bestyrelsen for RfDS.
10
DIGITAL SIKKERHED I DANMARK / 2014
TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA Af Henning Mortensen Virksomhederne har i disse år stor opmærksomhed på, hvordan nye typer af it-løsninger kan være med til at ef fektivisere, skabe nye forretningsområder og dermed også sikre vækst og nye arbejdspladser. Det vil skabe værdi både for virksomhederne, borgerne og samfundet som helhed. Blandt nogle af de buzzwords vi hører igen og igen er big data, cloud computing, sociale netværk, mobility og Internet of Everything. En god del af de mennesker, hvis personlige data er in volveret, vil imidlertid have en sund skepsis. For at flest muligt skal kunne se værdien af den teknologiske udvikling, er det derfor vigtigt at arbejde med at understøtte tilliden til digitaliseringen. Sagt på en anden måde: I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Opskriften på, hvordan det skal ske, findes allerede. Rådet for Digital Sikkerhed, Dansk Industri, Forbrugerrådet og flere andre aktører har gennem de senere år arbejdet med en tretrinsraket bestående af Privacy Impact Assessment, Privacy by Design og Privacy Enhancing Technologies. Disse tiltag er det frivilligt at bruge nu, men i udkastet til den kommende EU persondataforordning lægges der op til, at dele af disse tiltag bliver obligatoriske. Ved at bruge disse metoder, kan man øge tilliden til, at data behandles på en sikker måde.
“
I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data.
Privacy Impact Assessment (PIA) er en analyse af den risiko, der er forbundet med, at personoplysninger be handles – set fra den registreredes perspektiv. Virksom heden laver dermed en risikovurdering og kortlægger blandt andet, om det faktisk er nødvendigt præcist at identificere den registrerede, i hvilke behandlingsprocesser det evt. er nødvendigt, om der er tilvejebragt et tilstrækkeligt sikkerhedsniveau, om data videregives og om gældende love efterleves. Når man har gennemført en PIA, er resultatet en liste med punkter, som viser, hvor det er muligt at forbedre beskyttelsen af de registreredes data. Nogle af disse kan man vælge at implementere, mens andre vil være uhensigtsmæssige. De tiltag, som implementeres, ændrer designet af it-løsningen eller de processer, hvorefter data behandles. Når løsningen er udformet på denne måde, kaldes det for Privacy by Design (PbD). Det indikerer, at privatlivs beskyttelse er tænkt med ind i løsningen helt fra start. Nogle af de elementer, man kan designe ind i en it-løsning, har særligt fokus på beskytte behandlingen af personoplysninger, og de kaldes derfor Privacy Enhancing Technologies (PET). PET findes i mange former. Et eksempel er rollebaseret adgangskontrol, hvor en medarbejder kun kan få adgang til de personoplysninger, som vedkommende har brug for, for at kunne udføre sit daglige arbejde. Mere vidtgående eksempler er at opdele data således, at identitetsdata adskilles fra de øvrige data, der efterfølgende ikke eller kun vanskeligt kan identificere den registrerede. Det kendes for eksempel fra analyse af trafikmønstre, hvor det ikke er muligt at identificere den enkelte trafikant. Dette kaldes pseudonymisering eller anonymisering. Ved at gennemgå denne tretrinsraket med PIA, PbD og PET kan virksomhederne forbedre beskyttelsen af de personoplysninger, de indsamler og håndterer. Alt i alt vil der være tale om en bedre beskyttelse, som, hvis gøres rigtigt, vil reducere risikoen for tab af data. Dette kan kommunikeres til de registrerede og indgå i virksomhedens samlede profilering, og det vil dermed være med til at øge tilliden til virksomhedens behandling af personoplysninger og også den generelle tillid til den teknologiske udvikling.
Henning Mortensen er chefkonsulent i DI ITEK om og medlem af bestyrelsen for RfDS.
DIGITAL SIKKERHED I DANMARK / 2014
11
UDFASNING AF CPR-NUMMERET Af Ivan Damgaard og Anette Høyrup I slutningen af 2013 kom Rådet for Digital Sikkerhed med en anbefaling om at udfase cpr-nummeret i sin nuværende form, således at det fremover ikke indeholder informatio ner om borgernes alder og køn. Formålet er at tilpasse cpr-systemet i forhold til den digitale udvikling og derved mindske risikoen for identitetstyveri. Det fremgår også af anbefalingen, at man aldrig bør autentificere en persons identitet alene på baggrund af cpr-nummeret. Selv om en persons cpr-nummer ikke er blevet direkte kompromitteret, er der stadig en betydelig risiko for, at nummeret kan gættes, hvis angriberen kender offerets fødselsdato og køn. Rådets melding kommer på baggrund af en markant stigning af danskere, som udsættes for identitetstyverier og et stigende antal sager, hvor myndigheder og virksomheder uforvarende kommer til at offentliggøre eller får hacket borgernes personnumre. For eksempel lykkedes det i 2012 for hackere at skaffe sig adgang til alle personnumre i politiets kørekortregister. Rådet for Digital Sikkerhed foreslår ændringerne af cpr- systemet indført i følgende trin over nogle år – og at ændringerne ses som et første skridt i retning af et fremtidigt nyt dansk system for digital identifikation, som i højere grad sikrer borgerne en rimelig og tidssvarende privatlivsbeskyttelse: • Trin 1: Tilbud om nyt personnummer til personer, der har været udsat for identitetstyveri, og hvor personnummeret er blevet kompromitteret på uoprettelig vis. • Trin 2. Borgere, som ønsker det, skal for et rimeligt gebyr selv kunne anmode om at få et nyt personnummer, der ikke indeholder oplysning om alder og køn.
• Trin 4: På længere sigt skal cpr-systemet afløses af et nyt digitalt identifikationssystem (eID), hvor både it-sikkerhed og privatlivsbeskyttelse skal indbygges fra start. Rådet mener desuden, at en revision af cpr-systemet skal følges op med nye generelle retningslinjer for digitale identifikation og autentificering, og at disse retningslinjer skal være på plads, inden der igangsættes udbud af en afløser for den nuværende NemID-løsning. Anbefalingen blev fremlagt på Forbrugerrådet TÆNKs Miniseminar om identitetstyveri i januar 2014, og løsningsforslaget indgik i Forbrugerrådet katalog over forslag til løsningsmodeller på identitetstyveri, som er blevet præsenteret for Digitaliseringsstyrelsens interessentforum for identitetstyveri. Interessentforum for identitetstyveri har primært været et vidensudvekslingsmøde, hvor Rådets konkrete forslag om udfasning af cpr-nummeret ikke har været genstand for diskussion, men blot fremlæggelse. På Digitaliseringsstyrelsens 6. møde om identitetstyveri i december 2014 oplyste Digitaliseringsstyrelsen, at de er ved at forbedre informationen om it-sikkerhed – herunder om identitetstyveri – på websitet borger.dk, og også at Digitaliseringsstyrelsen ønsker at deltage i kampagnearbejde om it-sikkerhed sammen med Rådet for Digital Sikkerhed. Der er imidlertid ingen der for nuværende arbejder aktivt videre med at styrke cpr-systemet gennem udfasning af informationen om alder og køn i personnummeret, som foreslået af Rådet for Digital Sikkerhed.
• Trin 3: Øvrige borgere tildeles nye personnumre uden oplysninger om alder og køn i takt med, at der udstedes nye sygesikringsbeviser, kørekort og pas.
Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. Anette Høyrup er jurist ved Forbrugerrådet Tænk og medlem af bestyrelsen for RfDS.
12
DIGITAL SIKKERHED I DANMARK / 2014
NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK Af Jørn Guldberg og Birgitte Kofod Olsen Det er en vigtig del af den offentlige infrastruktur, at vi har en troværdig digital identitet. Det gør, at borgere og virksomheder kan være trygge ved anvendelsen af digitale løsninger i det offentlige. Samtidig sikrer det, at vi har en sikkerhedsmæssig robust løsning for digital kommunikation af fortrolig information. RfDS har ved flere lejligheder påpeget behovet for en opgradering af den eksisterende nationale eID-løsning (NemID), og Rådet afgav i juni 2014 – på linje med en lang række øvrige aktører – høringssvar til Digitaliseringsstyrelsen om, hvorledes afløseren for NemID bør udformes.
et marked for identitetsudstedelser baseret på borgerens enkelte attributter, og det vil desuden medvirke til at reducere risikoen for utilgængelighed ved nedbrud i et enkelt centralt system. I sit høringssvar pegede RfDS videre på blandt andet følgende mere specifikke forhold:
IDENTIFIKATION PÅ FLERE NIVEAUER
• Integritet: Borgerens digitale identitet bør tilhøre borgeren på samme måde som et pas til traditionel identifikation. Brugeren bør kunne autentificere sig over for tredjepart og etablere afledte identiteter, uden at dette registreres hos eID-udstederen.
Kommunikationen mellem borger og det offentlige består af både stærkt fortrolige og mindre følsomme oplysninger. Den offentlige digitale identitet skal derfor både bestå af en identitet på almindeligt sikkerhedsniveau og en identi tet, der har tilstrækkelig styrke til, at borger og virksomheder trygt kan kommunikere med det offentlige om selv de mest følsomme informationer. Den stærke identitet skal være forbeholdt den bindende og stærkt fortrolige kommunikation og til brugerens generering af nye afledte identiteter.
• Fortrolighed: Der skal være fokus på, at borgere reelt kan sikre den fortrolige del af den digitale identitet, og infrastrukturen skal hindre identitetstyveri og misbrug.
Den offentlige digitale identitet bør sammen med andre digitale identiteter kunne benyttes valgfrit af brugeren i kontakten til virksomheder og handlende.
Rådet mener, at den kommende løsning bør tage udgangspunkt i blandt andet følgende principper:
• Privatlivsbeskyttelse: Identiteten i den nye eID bør generelt afløse brug af cpr-nummer i den offentlige sektor og private sektor. Målet skal være, at der i en given transaktion kun udveksles de faktisk nødvendige oplysninger (med cpr-nummeret udveksles altid køn, alder og sandsynlighedsindikator vedr. indvandringsstatus samt nøgle, der kan benyttes til samkøring med andre oplysninger). • Åbenhed og kompatibilitet: Det må være et naturligt krav, at en borger kan få udstedt en digital identitet fra det offentlige på samme måde, som man kan få udstedt et pas. Denne identitet er naturligvis en unik identitet til at identificere borgeren ultimativt. Men den kan ikke stå alene, som det nuværende NemID gør. Der skal etableres alternative muligheder for afledte identiteter til anvendelse ved mindre kritiske behov, herunder identiteter som formidler en delmængde af attributter vedrørende en given borger. Dette vil åbne
SINGLE SIGN-ON Selv om der opereres med identifikation på flere forskellige niveauer og via forskellige udbydere, skal de forskellige løsninger kunne bindes sammen. Der skal derfor være mulighed for step-up autentifikation (med samme løsning) eller om nødvendigt henvisning til anden autentifikationsløsning. For eksempel vil bestilling af en lægetid ikke skulle kræve den højeste troværdighed af identiteten, men ved viderestilling til egen patientjournal skal brugeren autentificeres til det højere sikkerhedsniveau.
FULDMAGTER Den nye løsning skal gøre det nemmere og mere gennemskueligt at benytte fuldmagter. Som borger skal man for eksempel kunne give fuldmagter på både læger, revisorer
DIGITAL SIKKERHED I DANMARK / 2014
13
og advokater med specifikke rettigheder, som svarer til, hvad disse fagpersoner har brug for at vide. En tilsvarende løsning skal kunne bruges borgere imellem i forhold til specifikke rettigheder, således at for eksempel it-svage personer ikke føler sig nødsaget til at give deres personlige nøgler til familiemedlemmer eller andre.
BRUGERVENLIGHED OG TILGÆNGELIGHED Rådet peger på, at der skal sikres en god kombination af brugervenlighed, sikkerhed og tilgængelighed. Blandt andet følgende kan i den sammenhæng benyttes: • Forskellige unikke tekniske identifikatorer til forskellige tjenester (i modsætning til nu, hvor der anvendes samme brugernavn eller cpr-nummer alle steder). • Nøgler skal kunne håndteres på tværs af teknologiske platforme, styresystemer og hardwaretyper (PC, tablets, smartphones og andre gadgets).
• Den nye eID-løsning skal kunne bruges til kryptering af mails på en nem og ligetil måde, der kan være med til at fremme sikker mail-kommunikation.
AFVIKLING AF CPR-NUMMER TIL IDENTIFIKATION OG ØGET BRUG AF PSEUDONYMISERING Brugen af cpr-nummer som gennemgående identifikation bør i en ny eID-løsning afvikles. En lang række sager har vist, at det er problematisk, at samme nøgle, der oven i købet indeholder personoplysninger (alder og køn og sandsynlighedsindikator vedrørende indvandring), bruges som nøgle på tværs af offentlige og private it-systemer. I stedet bør der bruges forskellige identitetsnøgler, og der skal også være muligheder for, at identiteten kun verifice res, men ikke meddeles andre parter, med mindre der faktisk er brug for det. Dette kan opnås ved øget brug af pseudonymisering.
• Brug af en tredje faktor til autentifikation, når der er tale om personfølsomme oplysninger, fx biometri. • Kompatibilitet med andre tilgængelige ID-systemer, fx Facebook, hvor dette sikkerhedsniveau er tilstrækkeligt, og adgang til, at brugere kan benytte andre to-faktor ID-systemer, som benytter åbne standarder (fx Google og Microsoft).
Jørn Guldberg er talsmand for it-sikkerhed i IDA Ingeniørforeningen i Danmark. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.
14
DIGITAL SIKKERHED I DANMARK / 2014
ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED Af Rasmus Theede Vi har allerede set mange eksempler på, hvor galt det kan gå, hvis vores evne til at beskytte informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. ISO27001-standarden er et stærkt fundament, på hvilket det er muligt bygge en tidssvarende beskyttelse, hvis den vel at mærke implementeres og benyttes med omhu. Derfor er det en god nyhed, at statslige myndigheder i 2013 overgik til den internationale ISO-standard, som nu forefindes i en opdateret 2013-version. Det kan være vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, og hvordan det skal gøres. Blandt truslerne er for eksempel servernedbrud, hacker angreb, outsourcing, industrispionage og denial of service (DoS) angreb. Der er så mange trusler, at det kan blive svært at overskue, og konsekvensen er ofte, at myndig heder og virksomheder enten undervurderer de reelle trusler eller helt giver op. ISO27001 udmærker sig ved, at den med en struktureret og pragmatisk tilgang tager udgangspunkt i den enkelte myndighed og virksomheds behov for at beskytte sine vigtige informationer. Standarden hjælper med at få overblik. Når ISO27001 er implementeret succesfuldt, vil man være klar over, hvor de største risici er, og hvor man kan sætte mest effektivt ind. Når man implementerer ISO27001, er der – i forenklede træk – nogle krav, der skal opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (scope). Vi skal
have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte, og hvordan vi har tænkt os at gøre det. Alt dette baseret på en grundig risikovurdering. Derudover skal vi kunne dokumentere, at vi har implementeret de nødvendige kontroller, og så skal vi løbende måle på, at kontrollerne fungerer, som de skal. Alt dette kræver grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/ myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers arbejde. Vælger vi at investere den nødvendige tid, og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament og ikke mindst et stærkt værktøj, som gør det muligt for ledelsen at træffe de rigtige sikkerhedsmæssige beslutninger. Man hører ofte både virksomheder og myndigheder ud tale, at ”vi læner os op ad ISO27001”. Udfordringen er her, at læner vi os for meget, så risikerer vi at vælte. Følges principperne i standarden ikke i sin helhed, vil der opstå huller. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it-trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet. ISO27001 kan være en stor bid at sluge. Rådet for Digital Sikkerhed vil sammen med en række samarbejdspartnere i 2015 arbejde på at udgive en række værktøjer, skabeloner og hjælpepolitikker, der kan hjælpe en organisation med at blive klar til ISO27001. Dette sker under Rådets arbejdsgruppe for cybersikkerhed.
Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS
DIGITAL SIKKERHED I DANMARK / 2014
15
ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN Af Ole Kjeldsen og Birgitte Kofod Olsen Stadig flere it-løsninger afvikles i hostede applikationer, der tilgås via det åbne internet – det som i branchen be tegnes som public cloud. Denne udvikling betyder, at vi har brug for nye redskaber til at håndtere it-sikkerhed og privatlivsbeskyttelse. Det er derfor en rigtig god nyhed, at vi i 2014 fik den nye ISO27018-standard, som gør det nemmere at overskue og strukturere it-sikkerhed og privatliv omkring personfølsomme data ”i skyen”.
“
Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder.
Det seneste års meget omtalte danske sager om læk, hac king og uberettiget adgang til personoplysninger har givet anledning til bekymringer i forhold til brug af public cloud løsninger. Sagerne omkring Se og Hør/Nets og CSC har eksponeret offentligt, at også andre typer løsninger er sårbare. Ofte har bekymringerne være fokuseret omkring lokatio nen, hvor databehandlingen finder sted, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer. Brugen af public cloud vinder frem, fordi der er produktivitetsgevinster at hente. Potentialet for besparelser og
fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Den nye ISO27018 kan hjælpe dem, som efterspørger ydelser, med at stille strukturerede krav til leverandører, og den giver en fælles målestok for sammenligning af produkter og ydelser. Desuden tager den nye standard højde for de krav, som stilles til databehandlere i EU’s gældende databeskyttelsesdirektiv. Ved at bruge ISO27018 kan man som dataansvarlig sikre, at: • Man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem. • Data ikke bruges til aktiviteter ud over det, som er tiltænkt (fx marketing, forskning etc.) • Man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision. • EU’s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data. • Man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse, som involverer cloud-løsningen eller egne data. ISO 27018 er et vigtigt tillæg til den overordnede standard ISO27001, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myndigheder og private virksomheder står overfor. Det er oplagt fremover at indføje ISO 27018 som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud-leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt.
Ole Kjeldsen er teknologidirektør i Microsoft Denmark og medlem af bestyrelsen for RfDS. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.
16
DIGITAL SIKKERHED I DANMARK / 2014
BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED Af Birgitte Kofod Olsen For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust data beskyttelsesmyndighed. I takt med at de digitale teknologier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn. Danmark bør efter Rådet for Digital Sikkerheds opfattelse i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databe skyttelse. På nogle punkter lever den nuværende danske data beskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt – kravet om at databeskyttelsesmyndigheden skal være uafhængig – lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU’s charter om grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsmini sterium.
Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn, men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og udvikling i Danmark inden for både den offentlige og private sektor. Gældende bedste praksis for nationale databeskyttel sesmyndigheder findes allerede kortlagt inden for EU og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet og fra Canadas Office of the Privacy Commissioner – to myndigheder som internationalt set er blandt de førende på området.
Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttel sesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU’s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU’s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst.
Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.
DIGITAL SIKKERHED I DANMARK / 2014
17
AKTIVITETER I TAL JULI 2013 – DECEMBER 2014
Høringssvar
5
Høringer i Folketinget
4
Information og anbefalinger
4
Positioner
2
Dialogmøder
28
Oplæg på konferencer
27
2927363682921928364536737292 83635352728191 18292736368292 2836453673729292836353527281 1829273636829219283645367372 9283635352728191182927363682 1928364536737292 182927363682 18
DIGITAL SIKKERHED I DANMARK / 2014
RESUMEÉR FRA RÅDETS UDMELDINGER Information og anbefalinger nr. 1-5. februar 2014 Efterretningstjenesternes indsamling af data om borgerne (masseovervågning) Resumé Oplysninger fra den amerikanske whistleblower Edward Snowden har skabt stor opmærksomhed om, hvilke op lysninger efterretningstjenester og særligt NSA indsamler om borgerne. Rådet for Digital Sikkerhed anser de offentliggjorte oplysninger for meget bekymrende. Der tegner sig et billede, hvor der er opbygget en meget avanceret teknologi til indsamling og behandling af data. Det har dannet grundlag for en praksis, hvor der indsamles metadata om alle borgere. Disse data samles i meget omfattende databaser og har potentiale til sammenstykning af dataprofiler på personniveau. Endvidere er der fremkommet oplysninger om, at NSA har søgt at påvirke internettets protokoller og standarder og at svække en række almindeligt udbredte krypteringsløsninger. Rådet for Digital Sikkerhed ønsker at bidrage til en afkla ring og vurdering af masseovervågningens omfang og dens proportionalitet i forhold til det mål, den skal opfylde. Rådet for Digital Sikkerhed peger også på nødvendigheden af, at staten sikrer, at der ikke indsamles data om borgerne i strid med grundlæggende rettigheder om privatlivs‐ og persondatabeskyttelse.
Anbefalinger Rådet for Digital sikkerhed anbefaler, at: • De politiske partier klart tilkendegiver, at generel indsamling af data fra internettet og andre datakilder om borgere og virksomheder til brug for masseovervåg ning udført af efterretningstjenester eller andre myn digheder ikke kan accepteres i åbne, demokratiske samfund.
• Regeringen tager initiativ til at afklare, om Forsvarets eller Politiets Efterretningstjenester – som led i en generel masseovervågning – har medvirket til indsamling, modtagelse, videregivelse eller lagring af oplysninger om borgerne. • Regeringen på internationalt plan arbejder for, at det bliver tilbundsgående undersøgt i hvilket omfang standarder, produkter og krypteringsløsninger er blevet svækket, således at problemerne kan identificeres og afhjælpes. • Regeringen tager initiativ til en handlingsplan, som sikrer, at danske borgere kan kommunikere fuldt fortroligt via internettet.
Information og anbefalinger nr. 2-17. marts 2014 Unødig personregistrering i nyt digitalt system til indsamling af vælgererklæringer Resumé Med et aktuelt lovforslag fra Økonomi‐ og Indenrigs ministeriet (L124) planlægger regeringen at etablere et elektronisk system til registrering af vælgererklæringer i forbindelse med opstilling af politiske partier til folke tinget. Som lovforslaget er udformet, vil der fremover elektronisk blive registreret oplysninger vedrørende borgeres politiske forhold. Der er i lovforslaget lagt op til dispensation fra persondataloven vedrørende registrering af personhenførbare oplysninger, selv om dette kan undgås ved anvendelse af eksisterende privatlivs‐sikrende teknologi. Rådet for Digital Sikkerhed vurderer, at valget af teknologi vil have betydning for vælgernes tryghed i forhold til, hvordan registrering af oplysninger om deres politiske forhold kan anvendes.
DIGITAL SIKKERHED I DANMARK / 2014
19
Anbefaling Rådet for Digital sikkerhed anbefaler, at: • Det digitale system til registrering af vælgererklæringer opbygges, så der ikke sker registrering af personhenførbare oplysninger om politiske forhold.
Information og anbefalinger nr. 3-22. maj 2014 Behov for øget fokus på sikkerheden i open source software Resumé Der er behov for øget fokus på sikkerheden i både ud vikling og implementering af open source software, på samme måde som det er tilfældet i forhold til kommerciel software, hvor koden ikke er åbent tilgængelig. Heartbleed‐sårbarheden i OpenSSL‐softwaren har vist, hvorledes der kan opstå en meget vidtrækkende sikkerhedsbrist, når mange aktører benytter en almindeligt brugt open source‐løsning i tillid til, at open source generelt er af høj kvalitet. Forløbet viser, at der på globalt niveau er behov for systematisk kvalitetssikring af open source software, som er del af digitale infrastrukturer. Der er også behov for øget fokus på indberetninger om sårbarheder, og på hvorledes danske borgere bliver vars let, når der opstår omfattende generelle sikkerhedspro blemer ved brug af internettet. I kølvandet på Heartbleed‐forløbet har en række aktører efterlyst rettidige og klare udmeldinger fra de danske myndigheder, herunder distribution af pålidelig opdateret information og anbefalinger til borgerne.
Anbefalinger Rådet for Digital Sikkerhed anbefaler, at: • Aktører som implementerer open source software generelt sikrer sig, at de anvender løsninger, hvor sikkerhed og privatlivsbeskyttelse er tænkt ind og aktiveret fra start. • Aktører som anvender open source‐løsninger i kom mercielle produkter aktivt bidrager til at højne sikkerheden, enten i form af arbejdsmæssig indsats eller økonomiske bidrag til andre, som udfører sådant arbejde.
20
DIGITAL SIKKERHED I DANMARK / 2014
• Alle systemansvarlige som benytter OpenSSL aktiverer og fremover som standard anvender den kryptogra fiske teknik Perfect Forward Secrecy (PFS). • Den danske regering som led i sin digitaliseringsstrategi tager skridt til at indføre en indberetningspligt vedrø rende sårbarheder og markant opprioriterer indsatsen i forhold til at informere og vejlede om it‐sikkerhed og privatlivsbeskyttelse til danske borgere.
Information og anbefalinger nr. 4-12. november 2014 Digital vækst med tillid som fundament Resumé Danmark har aktuelt meget store uudnyttede muligheder for at drage fordel af og være med til at forme den globale digitale vækst. I det globale perspektiv er Danmark med helt i front, når det gælder digitalisering, både i den private og i den offentlige sektor. Derfor er det vigtigt, at vi udvikler eksempler til efterfølgelse, hvor digitale løsninger etableres med tillid som en afgørende del af fundamentet. Det er ifølge Rådets vurdering en forudsætning for sund, stabil og langsigtet digital vækst. Der bør arbejdes for at etablere et dansk cluster med fokus på sund digital vækst, hvor globalt førende forskere bringes sammen med de virksomheder, der er aktive inden for området. Det vil være afgørende at sikre sammenhængen med offentligt igangsat digital infrastruktur, at sørge for gode rammebetingelser og at udforme offentlige udbudskrav, så de understøtter satsningen. Inden for sundhedsforskningen og generelt i den offentlige sektor er der behov for konsekvent implementering af privacy by design. Sund digital vækst er afhængig af, at danske borgere bevarer tilliden til de digitale løsninger. Det centrale princip bør være, at offentligt ansatte og andre databehandlere kun har adgang til det minimum af persondata, som faktisk er nødvendige for at løse en konkret opgave. Danmark bør have en national databeskyttelsesmyndig hed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databe skyttelse. Placeret under Folketinget skal denne myndig hed kunne vejlede, stille krav og udføre kontroller i et helt andet omfang end hidtil både i forhold til offentlige og private aktører.
Anbefalinger Rådet for Digital Sikkerhed anbefaler følgende som led i en samlet indsats: • At regeringen fortsætter og intensiverer sit arbejde for at udnytte de muligheder, som ligger i brug af big data (data mining) i forhold til eksisterende og fremtidige data om den danske befolkning. • At regeringen etablerer de nødvendige rammer for at skabe et stærkt og globalt førende erhvervsorienteret forskningsmiljø inden for big data og privatlivsbeskyttelse. • At regeringen og myndigheder generelt stiller offentligt generede data frit og gratis til rådighed for virksomhe der og forskere, som vil være i front ift. udvikling af ny smart teknologi og smarte tjenester. • At regeringen fastlægger et grundlæggende princip om, at borgerne fremadrettet skal have kontrol med, hvilke identificerbare persondata, der deles med hvem. I offentligt regi vil det betyde, at en borgers data kun kan tilgås i forbindelse med et konkret arbejdsmæssigt behov. I forskningssammenhæng vil det betyde, at borgere selv har mulighed for at bestemme, hvorvidt de ønsker at indgå i forskning, og om de ønsker at blive adviseret om evt. viden om deres personlige sundheds risici, som afdækkes via forskning.
• At regeringen stiller krav og etablerer rammebetin gelser, som sikrer etablering af danske digitale systemer, der skaber maksimal tillid og tryghed for borgere, virksomheder og myndigheder, herunder en gennemgribende og sammenhængende revision af cpr-systemet og det danske eID-system (aktuelt NemID). • At regeringen sikrer, at Danmark får en stærk, robust og uafhængig databeskyttelsesmyndighed placeret under Folketinget og med et stærkere fokus på at være teknisk vejledende og kommunikere anbefalinger til offentligheden. Databeskyttelsesmyndigheden skal sikre, at systemer, som det offentlige har ansvaret for, løbende vedligeholdes og sikres i forhold til kendte og forudsigelige sikkerhedsrisici. • At den nationale databeskyttelsesmyndighed eller en anden myndighed får de fornødne beføjelser til at stille konkrete krav til leverandører af offentlige it-systemer om robust it-sikkerhed, privacy by design og gennemførelse af privacy impact assessments, til at implementere kontroller hos leverandøren og føre kontrol med, at krav og kontroller fungerer i praksis. • At regeringen bakker op om EU-kommissionens udkast til persondataforordning, således at der skabes ensar tede regler for databeskyttelse i hele Europa.
• At regeringen fastlægger retningslinjer for, hvorledes privatlivsbeskyttelse opretholdes i forbindelse med udvidet brug af big data, data mining osv., herunder at der skabes nem adgang til viden om, hvordan data kan pseudonymiseres og anonymiseres, i praksis for eksem pel via vejledning udarbejdet af Erhvervsstyrelsen og den nationale databeskyttelsesmyndighed.
DIGITAL SIKKERHED I DANMARK / 2014
21
ÅRSREGNSKAB 2012/13 23. NOV. 2012 – 31. DEC. 2013
Kr.
Kontingenter
327.375
Andre indtægter
Indtægter
376.520
Konsulentydelser
271.713
Publikationer og hjemmeside
Rejseudgifter
Husleje
12.600
Administrationsomkostninger
17.331
Møder mv.
Omkostninger
49.145
18.562 1.256
3.329 324.791
Resultat før finansielle poster
51.729
Finansielle poster
Årets resultat
Egenkapital primo
Egenkapital 31. dec. 2013
22
DIGITAL SIKKERHED I DANMARK / 2014
310 52.039
0 52.039
MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED PR. 16. FEB. 2015
Advokat Per Mejer
Københavns Universitet, Koncern-it (Henrik Larsen)
Alexandra Instituttet A/S (Jakob Illeborg Pagter)
Medierådet for Børn og Unge (Claus Noer Hjorth)
Alm. Brand A/S (Preben Jørgensen)
Microsoft (Ole Kjeldsen)
ATP (Søren Olsen)
Multihouse (Kenneth B. Jørgensen)
BVHD (Martin von Haller Grønbæk)
NC3 – Rigspolitiet (Kim Aarenstrup)
Comendo Security A/S (Troels Lind)
NetIQ (Ken Willén)
Dansk Metal (Torben Andresen Lindhardt)
Nets Danmark A/S (Charlotte Vikkelsø Miolane & Shehzad Ahmad)
Danske Bank (Poul Otto Schousboe) DI ITEK (Henning Mortensen) DIT – Dansk IT (Tom Engly) DKCERT Dubex A/S (Klaus Kongsted) DTU Matematik og Computer Science (Lars Ramkilde Knudsen)
Neupart (Lars Neupart) Odense Kommune (John Bonnerup) Outpost24 (Micha Cohen Bangsgaard) PROSA (Niels Berthelsen) Region Hovedstaden (Dorrit Rasmussen) Region Sjælland (Lars Stig Jørgensen)
DKUUG (Michael Lind Mortensen)
Roskilde Universitet, administrationen (Henrik Jensen)
EnergiMidt (Jakob Aksglæde Hokland)
SAMDATA\HK (Thomas Bisballe)
Energinet (Jens Heyn Roed Andersen)
Signaturgruppen A/S (Morten Storm Petersen)
ESL-foreningen (Jesper B. Hansen)
Sund & Bælt Holding A/S (Peter Hedevang Christensen)
Forbrugerrådet (Anette Høyrup)
TDC (Lars Højberg)
FSR-danske revisorer
Tryg
FTF (Ole Stillund)
Udenrigsministeriet – IT (Jesper Ullerup)
HUAWEI (Signe Brink Wagner)
Ældresagen (Ingrid Lauridsen)
IDA-IT (Jørn Guldberg) inHouse Security (Michael Christensen)
FORSKERMEDLEMMER
Immune Security (Christian Have)
Anja Bechmann, Aarhus Universitet
IT-Branchen (Christian Wernberg-Tougaard)
Ivan Damgård, Aarhus Universitet
KITA – Kommunale IT-chefer (Henrik Brix)
Niels Christian Juul, Roskilde Universitet
KLID – forening for professionelle Linux-interessenter (Keld Simonsen)
Rikke Frank Jørgensen, Inst. for Menneskerettigheder
KMD (Rasmus Theede)
DIGITAL SIKKERHED I DANMARK / 2014
23
DIGITAL SIKKERHED I DANMARK / 2014 Udgivet marts 2015 af Rådet for Digital Sikkerhed Redaktion: Birgitte Kofod Olsen (ansvarshavende) Rasmus Theede Steffen Stripp Bjørn Kassøe Andersen Kontakt: Toldbodgade 12, 1253 København K www.digitalsikkerhed.dk info@digitalsikkerhed.dk Fotos: Saad Faruque (Flickr), Victor Gregorio (Flickr), Scott Maxwell (Flickr), Ole Schwander, Shutterstock
Digital sikkerhed i Danmark 2014 Ă…rsrapport fra RĂĽdet for Digital Sikkerhed