Nu lanseras en e-legitimation till mobilen ”på riktigt” . Det är Swedbank, Sparbankerna och Skandia som är först ut att erbjuda ett mobilt bankid, oberoende av vilken mobil- eller ineternetleverantör som kunden har. Legitimationen finns i app-form till både Iphones, Android och surfplattor.

Den nya Mobila BankID:t ska ge samma säkerhet som identifiering och underskrift har i befintliga internetbanktjänster. Mobilt BankId har visserligen funnit sedan 2010 men krävde både särskilt avtal med mobiloperatören och ett specifikt SIM kort för att kunna användas.

Teknik, plattformar och specifikationer är på plats och det är fritt fram för e-tjänsteleverantörer att utveckla och anpassa sina tjänster till den nya lösningen. Såväl Swedbank, Skandia som Finansiell ID-teknik BID AB, som är leverantören bakom BankID hyser stora förhoppningar att det kommer kunna utvecklas och introduceras nya avancerade tjänster som ska förenkla våra digitala och mobila liv. Förutom internetbankerna kan Mobilt BankId i nuläget också användas för ett antal kommunala tjänster, bl.a. bygglovs-sajten mittbygge.se och ett 500 tal e-handelsplatser.

Tidigare i år gav sig också BGC in på e-legitimationsmarknaden och introducerade sin nya molntjänst: eID Gateway, en e-idväxel för e-tjänsteleverantörer och e-handlare som vill, behöver eller måste erbjuda sina kunder en säkrare identifieringsmetod. BGC:s nya molntjänst omfattar både identifiering och signering.

Enligt Finansiell ID teknik var antalet användare av e-legitimation 3, 8 miljoner (2010) och där BankID hade störst andel. Den genomsnittlige användaren år 2010 var i 30-årsåldern, hade använt sitt BankId ca 10 ggr och i första hand i Internetbanken, men också hos myndigheter, t.ex. Försäkringskassan och Skatteverket. Det sistnämnda är en faktor som sannolikt bidragit betydligt till användningen genom Skatteverkets digitalisering av den årliga deklarationen. Den förhoppningsfulla prognosen år 2010 var att i sltuet av 2011 skulle ca 4.5 miljoner personer vara användare av e-legitimation.

Alltfler, inte bara privatpersoner utan också myndigheter och företag, använder sig av det allt större och ständigt växande utbudet av molntjänster. Datainspektionen, DI,  bestämde sig därför att genomföra ett granskningsprojekt i syfte att undersöka hur tjänsterna går ihop med kraven i Personuppgiftslagen, PUL. Resultatet presenterades nyligen av inspektionen, som konstaterar att användarna brister i såväl kunskap som i hur avtalen med personuppgiftsbiträden utformas.

DI har granskat två kommuner: Salem och Enköping samt företaget Brevo AB. För kommunerna gällde användningen Google Apps respektive gratisversionen av Dropbox. Brevo AB erbjuder en digital brevlåda som företag och myndigheter kan använda för att förmedla digitala brev.

De brister som Datainspektionen i olika omfattning påtalar hos alla de tre granskade handlar om personuppgiftsbiträdesavtalen, som antingen inte uppfyller PUL:s grundläggande bestämmelser eller helt eller delvis saknas. Inspektionen konstaterar också bristande kunskaper om vem/vilka företag som behandlar uppgifterna, hur behandlingen i själva verket går till och det ansvar som en personuppgiftsansvarig har för att uppgifterna behandlas säkert och inte i strid med Personuppgiftslagen.

DI konstaterar i granskningsbesluten att dagens dataskyddslagstiftning i vissa avseenden är svår att förena med molntjänsterna. PUL utgår från att det är den personuppgiftsansvarige som utövar kontrollen av det personuppgiftsbiträdet gör samt bestämmer och utformar avtalsvillkoren. Med dagens molntjänster är det leverantören, dvs. personuppgiftsbiträdet, som använder standardavtal och formulerar villkoren för den tillhandahållna tjänsten. Den personuppgiftsansvarige hamnar nu i en situation där denne måste granska och bedöma om leverantörens avtalsvillkor uppfyller bestämmelserna i PUL och att personuppgiftsbehandlingen är tillräckligt säker.

De granskade organisationerna föreläggs nu att se till att personuppgiftsbiträdesavtal tecknas och att avtalen säkerställer att PUL och svensk lagstiftning följs. Kommunerna måste se till att göra risk- och sårbarhetsanalyser för användningen av de molntjänster man använder. De måste också se över sina policies och instruktioner till de anställda så att det klart och tydligt framgår hur, när och i vilken omfattning tjänsterna ska/kan användas. Brevo AB föreläggs att se över sin tekniska lösning med Microsoft för att säkerställa att det går att utreda misstanke om obehörig åtkomst, om behovet skulle uppstå.

DI har tagit fram en särskild vägledning ”Molntjänster och personuppgiftslagen” med de krav som personuppgiftslagen ställer på det företag eller myndighet som vill använda en molntjänst.  

SMS och e-post är en service som används flitigt till nytta både för patienter och vården. Socialstyrelsen var snabba att besluta om att genomföra en översyn av regelverket för att definiera om, och i så fall hur, undantag från kraven skulle se ut.

Från den 1 september kommer det vara tillåtet för vårdgivarna att använda SMS och e-post under vissa villkor. Patienten måste ge sitt medgivande och aktivt meddela vårdgivaren epostadress eller mobilnummer och rutiner måste tas fram för att säkerställa att e-postadresser och mobilnummer är aktuella och korrekta. Meddelandet får inte heller avslöja några personliga och känsliga detaljer om exempelvis hälsotillstånd. Dessutom ska vårdgivaren i en behovs- och riskanalys väga behovet mot den osäkerheten som finns i att det verkligen är rätt person som läser meddelandet samt se till att beslutet att använda sig av undantaget dokumenteras i informationssäkerhetspolicyn.

Även hos Polisen har man noterat att antalet bedrägerifall med stulna personnummer ökar. I ett inslag från SR Ekot den 5 juli i år berättar Björn Seeth, bedrägerisamordnare hos Stockholmspolisen om att ovanligt många anmälningar av bedrägerier med SMS lån inkommit under försommaren. I det fallet används det stulna personnumret till att registrera ett kontantkort i offrets namn för att sedan styra utbetalningen till bedragarens konto.

Den som drabbats märker oftast inget förrän – i bästa fall – en kopia på kreditupplysningen dimper ner i brevlådan. I värsta fall – om bedragaren också ställt om posten, som i fallet med Andreas ovan – inte förrän en kreditgivare ringer upp och påminner om obetald skuld eller när Kronofogden hör av sig. 

Även hos Soliditet har man märkt av en markant ökning av bedrägerispärrade personnummer. I SvD:s  nätupplaga den 17 maj i år berättar företagets VD att även Soliditet drabbats då någon kapade företagets identitet och handlade elektronikvaror för åtskilliga tusenlappar företagets namn.

UC:s statistisk visar att antalet anmälningar har ökat från ca 700 år 2006 till nära 2600 under år 2010. Med tanke på de miljontals upplysningar som beställs enbart hos UC i samband med att krediter tas kan det tyckas vara en liten andel. Konsekvenserna för den enskilde blir däremot betydligt större. Förutom att anmäla bedrägeriet till polis, spärra personnumret hos alla kreditupplysningsbolagen, måste man också kontakta de företag och låneinstitut där bedragaren lyckats få kredit eller handlat varor i ens namn för att (förhoppningsvis) stoppa kraven på återbetalning.

De flesta krediter kan numer tas över nätet där kontrollen av identiteten blir svårare. Kopia på kreditupplysningen och brev till folkbokföringsadressen blir verkningslösa som kontroller om bedragaren lyckats styra om post till annan adress och kanske också lyckats få ut en falsk legitimation. I många fall är dessutom skadan redan skedd även om posten når den rätte adressaten direkt. E-legitimationer och engångslösenord, vilka skulle kunna öka säkerheten i identifieringen, har ännu inte fått någon större genomslagskraft i till exempel e-handeln. 

Skärpningen av kreditupplysningslagen med obligatorisk omfrågandekopia har haft det goda med sig att de flesta av upplysningsbolagen nu erbjuder privatpersoner alternativa distributionssätt, genom SMS eller webbinloggning, vilket ökar förutsättningarna att snabba på upptäckten av ett bedrägeriförsök. Dessutom finns det hos några av upplysningbolagen, bl.a. UC:s ”Min UC” möjlighet att kreditbevaka sig själv och på så sätt få information om något händer med kreditvärdigheten.

Tyvärr är det svårt att helt skydda sig från förslagna identitetstjuvar, även för den som har koll på sina fysiska och digitala legitimationer, lås på brevlådan och aldrig slänger brev med personlig information i soporna. Att ta reda på någons personnummer är inte så komplicerat och kräver inte särskilt mycket information om personen. Sedan gör nät-tjänster som Birthday, Eniro och vår offentlighetsprincip resten. 

Rapporten beskriver resultatet av en genomförd undersökning där personer verksamma inom IT (IT-ansvarige) och anställda (användare) tillfrågades om sin syn på bland annat företagets it-säkerhetspolicy som ett verktyg för att skydda information och system.

I undersökningen framkom att 32 % av användarna upplevde frustration över att behöva skapa komplexa lösenord och dessutom byta dem regelbundet. Ännu fler, 59 %, blev ilskna eller stressade när de glömt bort/förlorat sitt lösenord och därmed inte kom åt det system de behövde i sitt arbete.

De IT-ansvariga var kluvna mellan å ena sidan insikten att företaget borde skärpa IT-säkerheten(90 %) och förståelse för användarnas frustration. 63 % ansåg att användarna hade för många lösenord att hålla reda på och 61% insåg att skärpta säkerhetspolicies också gör det besvärligare för användarna att utföra sina arbetsuppgifter.

Bland de IT-ansvariga så ansåg 34 % att företaget inte förstod värdet av att använda IAM teknologi som ett verktyg för att upprätthålla säkerhetspolicyn och bara 3 av 10 företag hade någon form av lösning för att kunna se en användares alla behörigheter.

Skillnaden mellan teori och verklighet visade sig också bland användarna, där 52% medgav att de gett ut sitt lösenord till någon annan, vanligen en kollega, någon inom IT eller till chefen och bland de IT-ansvariga där10 % fortfarande kunde komma åt applikationer och system hos sin f.d. arbetsgivare.

Quest Software Inc är ett amerikanskt företag, med huvudkontor i Kalifornien. Undersökningen genomfördes av Harris Interactive på uppdrag av Quest. Rapporten publicerades på Quests hemsida 16 februari 2011.

Från den 1 juli 2011 införs ändringar i Lagen om elektronisk kommunikation (2003:289). och nya regler gäller för den som vill använda sig av cookies.

Det är ändringar i EU:s Dataskyddsdirektiv (95/46/EG) som nu ska införas i alla medlemsstater. Avsikten är inte att försvåra användningen av vad som i propositionen benämns ”legitima tekniker” utan är riktade mot s.k. spionprogram där användaren är ovetande om att information samlas in och vad den sedan används till.

De nya reglerna innebär att ansvaret för om det ska anses vara ok att spara en cookie flyttas från användaren till ”kak-sättaren”. Det blir nu den som vill utföra åtgärden som måste aktivera sig och få användarens samtycke, dvs. han/hon ska säga ja till att en cookie sätts. Med tidigare regler så var det istället användaren som måste aktivera sig för att förhindra åtgärden. I propositionen nämns ”användarvänlighet” och här ges också utrymme för att samtycke ska kunna ges genom webbläsarinställningar, om tekniken tillåter.

Med varje regel finns självklart ett undantag. Är cookien nödvändig för att en tjänst som användaren själv begärt, ska fungera, så behövs inget specifikt samtycke.

I den allmänna debatten om lagändringarna har det förts fram en del kritik, främst från annonsmarknadens aktörer, vilka i första hand är de som behöver se över sina rutiner och sin teknik. Men även remissinstanser som t.ex. Post- och Telestyrelsen har haft vissa invändningar. Det är bland annat begreppet ”legitima tekniker” som anses vara väl vagt beskrivet. Luddiga formuleringar kan ge oönskade och oförutsedda konsekvenser när de sedan blir dags för tolkningar, menar kritikerna.

Propositionen där ändringen finns beskriven heter 2010/11:115 ”Bättre regler för elektroniska kommunikationer”. Regeländringen för cookies hittar man i avsnitt 9.4.

Molnet

Microsoft pratade intensivt om Molnet under hela konferensen och de satsar stenhårt på sin Azure plattform. Det finns många vinster med att använda molnet;

• Snabbt och billigt kan skala upp vid ökat tryck
• Snabbt kan skala ner vid minskat tryck
• Slipper oroa sig för backuper, uppgraderingar, patchningar etc
• Slipper oroa sig för failover
• Slipper oroa sig för spegling (i fallet för databaser)
• Slipper oroa sig för att ha säkra datorhallar
• Etc
  

Att t.ex. hyra en Microsoft Azure server på molnet kostar $59,95/månad, vilket blir runt 420 kr. Då kan mant.ex. skala upp till 10 Servrar mellan 08:00 till 18:00 och sedan skala ner till 1 server mellan 18:00-08:00 och helger. Man betalar bara för den tiden man använder (1 server dygnet om, 9 servrar 10h/veckodag), så i det här fallet skulle priset bli några tusenlappar per månad, trots att man har 10 servrar under peak load!

Men användarna då?

Ett problem är att era användare inte finns på Molnet, de finns bara på insidan av ert företagsnätverk, hur löser man detta? Speciellt om man vill ha någon form av Singel Sign On?

• Man kan skapa ett trust från sitt interna företags AD till ett externt AD i Molnet, men det är det verkar vanskligt.
• Man kan skapa sina användare en gång till i molnet – för hand eller automatiserat, men detta är inte heller ett speciellt aptitlig alternativ, speciellt när man skall lösa lösenordssynkning, automatisk deprovisionering etc.

Federation

Lösningen heter Federation, där en applikation litar på identiteter som utfärdas av en extern part utan att själv ha ett register över dessa användare. Molnettjänsten litar helt enkelt på vad er organisation har att säga om era användare och användarna får därmed tillgång till tjänsten på molnet. I samma sekund som användaren försvinner från ert interna AD så kan denne inte längre komma åt molntjänsten!

Microsofts produkt för Federation heter AD FS 2.0 och ingår kostnadsfritt i Windows Server 2008 R2. ADFS 2.0 kan hämta behörighetsinformation, helt utan mjukvaruutveckling, från t.ex. ett Active Directory (eller annan LDAP katalog) eller en SQL Server. Har man lagrat sin identitets- och behörighetsinformation i en annan källa så går det att utveckla egna plugins.

Utöver Molnet

Behovet att dela identiteter mellan olika realms har funnits sedan länge, långt innan namnet Molnet myntades, och även här är Federation en bra lösning.

En organisation (A) ge en annan organisations (B) användare tillgång till dess (A:s) system. Även här kan man lösa det med ett trust eller genom att låta B mata in sina användare i någon form av lagring hos A – vilket är omständligt för både A och B.

Risken att B glömmer bort att redera användare som slutat ur A:s system är överhängande. Det leder till säkerhetsrisker för A vilket i slutänden kan leda till rättsliga problem för B eftersom B inte levt upp till det kontrakt som skrevs på med A (där man garanterade att stänga av användare som inte längre är behöriga). Varken A eller B borde acceptera den lösningen!

En bättre lösning är att använda Federation – det är mycket troligt att B kommer radera/spärra användaren ur sina egna system, varför inte använda den användarinformation som B redan har i sitt system även för As system!

Sharepoint

Under konferensen demonstrerades det att man på under en halvtimme kan släppa in en annan organisations användare på en delad Sharepoint 2010 (som är förbered för att hantera behörigheter via federation) med hjälp av AD FS 2.0. Men den killen hade övat lite och preppat miljöerna…

Cortego

Cortego har installerat AD FS 2.0 hos ett flertal kunder och använder det även internt hos oss för att federera mot molntjänster. Är ni intresserade av att installera AD FS 2.0 så hör av er så hjälper vi till! Vår erfarenhet är att det oftast går väldigt smidigt, men det gäller att tänka till i förväg så man inte målar in sig i ett hörn (tips, skapa en kluster med 1 server hellre än en stand-alone AD FS 2.0).

För klientprogramvaran krävs det i allmänhet viss utveckling för att det skall fungera med Federation, men det finns i dagsläget mycket information på nätet om hur man uppnår detta och flera  mjukvarulösningar som går att plugga in i olika plattformar (Java/php/.Net). Även här har vi på Cortego erfarenhet och hjälper gärna till.
Det bör nämnas att det börjar komma applikationer som stödjer Federation out-of-the-box, t.ex. Sharepoint 2010 och Office365.

Kontakta Henrik Jondell om ni har några frågor!

Men i dagens moderna utvecklingssamhälle där all information i alla företag samlas i dess IT-system är det långt ifrån bara militär hemlig information som dagens "spioner" vill komma åt

Idag är det produkt- och företags-information i alla branscher som är "målet" för industrispionage

Och efter hand som företag blir bättre på att skydda sina miljöer från intrångsförsök utifrån ökar istället riskerna med insiders och andra interna hot

Flera exempel på hur sådana attacker kan gå till skrevs nyligen i en artikel på E24.se "Svenska spionjägare" 2010-07-19

Särskilt intressant i den artikeln är att de "spionerande" konkurrenterna idag upplever det svårt att "hacka" sig in hos den de vill komma åt information hos och skaffar sig istället hellre "en man på insidan"

En viktig målgrupp för detta är personal på IT-avdelningen

Fortfarande har många tekniker och service-personer på IT-avdelningen mycket höga rättigheter till de flesta system och känslig företagsinformation som varken övrig personal eller höga chefer kan komma åt normalt.

Därför är det idag mycket viktigt att ta tag i detta problem med behörigheter hos er egen IT-personal

Dessa behörigheter skall följa två mycket viktiga principer:
- Segregation of Duties, SoD
- Least privileged principle (inte mer rättigheter än vad som behövs för att sköta sitt uppdrag)

Grundprincipen för en bra säkerhet är att normalt skall ytterst få personer ha permanenta priviligierade behörigheter till hela eller delar av produktionsmiljön där känslig information finns.

Naturligtvis skall personer få de behörigheter de behöver, när de behöver dem, men inte ha dem hela tiden

Hur bör man då hantera detta:

- Process och verktyg för att ta beslut om ändringar i produktionsmiljön som bygger på SoD och ser till att ingen enskild person kan ta beslut om ändringar i produktionsmiljön. Detta kan vara olika typer av system för "Change Management" eller "Ärendehantering" som bygger på ITIL-principer

- Process och verktyg för "Privileged Access Management", PAM. som baseras på beslut från Change-processen och som tilldelar IT-personal och utvecklare tillfälliga priviligierade rättigheter till de berörda systemen för att genomföra den beslutade ändringen. Dessa behörigheter stängs sedan när ändringen är genomförd eller efter en förutbestämd tid.

- Process och verktyg för säkerhets-loggning. De beslut som tas om ändringar, de rättigheter som delas ut och de ändringar som genomförs i produktionsmiljön skall alla loggas så att man får en spårbarhet på ändringar i produktionsmiljön och kan se när felaktigheter uppstår i processen och man kan spåra när något har gått fel. Detta är inte enbart för att "hänga någon" utan kanske mest för att en mycket stor del av problem på IT-sidan orsakas av fel som görs oavsiktligt vid uppdateringar och ändringar.
Genom spårbarheten kan man snabbt hitta orsaken till problemet och fixa till den och därigenom kraftigt minska påverkan på drift av systemen och verksamheten

Ett typiskt exempel på en tekniker med för höga rättigheter gör att han kan kopiera eller ändra data i en databas eller byta ut ett program/installera ett malware-program och sedan radera information om att detta gjorts i loggfiler eftersom hans "admin-rättigheter" inte är begränsade i omfattning eller tid.

Det kanske intressantaste (?) är att hela checklistan börjar med (och innehåller uteslutande) tekniken, vilket förstås är helt fel!

Första punkten måste alltid vara utred behoven och förväntningarna – att börja i den tekniska änden kommer alltid att sluta i tårar!

Det grundläggande problemet har varit att applikationerna i molnet ofta har krävt sin egen autentisering och hantering av användaridentiteter, eller möjligen olika komplexa "trust-lösningar".  Detta medför att man är tvungen att provisionera och de-provisionera användare både internt och externt. Det blir ytterligare ett ställe att komma ihåg att ta bort en användare när denne slutar. Det är ju extra känsligt också eftersom tjänsten finns tillgänglig på Internet och inte innanför brandväggen. En annan aspekt är att man flyttar ut känslig information (användaridentiteter och deras lösenord) till en extern part som man inte har samma kontroll på.

Cloud Security Alliance (CSA)  http://www.cloudsecurityalliance.org/ är en organisation som har som mål att promota användandet av "best practices" för att uppnå hör säkerhet vid användandet av tjänster i molnet. CSA har tagit fram CSA guide http://www.cloudsecurityalliance.org/guidance/csaguide.pdf  som beskriver 15 säkerhetsområden man bör ta i beaktande innan man beslutar sig för att använda moln-tjänster. Område 13 handlar om Identitetshantering.

CSA tycker att det bästa sättet att hantera identiteter för tjänster in molnet är en federationslösning. En beskrivning över hur en federationslösning fungerar finns på http://en.wikipedia.org/wiki/Federated_identity.

Ett exempel på en lyckad användning är det starter-kit för att använda SUN's OpenSSO som verktyg för att skapa en federationslösning till Sales Force.  En artikel som beskriver detta finns på
https://www.sun.com/offers/details/open_source_starter_kit.xml (kräver inloggning). Artikeln diskuterar problemen med behörighetshantering i ett  SaaS scenario och en steg för steg beskrivning hur man kan sätta upp en federationslösning mot SaleForce med hjälp av Open SSO.