Elektronisk ID – et sjansespill
Neste år kan du få en splitter ny identitet – en elektronisk sådan. Den er det mange som gjerne vil stjele.
I løpet av 2009 skal alle nordmenn som ønsker det, få elektronisk identitet. Med e-ID skal du slippe lange køer og tapte arbeidsdager for å samtale med det offentlige.
Alt skal skje via nettet – fra resepten du får hos legen, til kontakten med Nav, ligningskontoret og nettbanken.
Men hva gjør du når alle datasikkerhetens regler er fulgt, og du oppdager at de slett ikke er gode nok?
Forskere ved NTNU har nemlig avdekket store sikkerhetshull i det som skal være et finmasket nett. Og det største hullet befinner seg på det dypeste av sikkerhetsnivåene.
Noen av gullstandardene for grunnleggende kryptering må rett og slett skrives om.
Sikkert som et korthus
I USA utsettes om lag ti millioner mennesker årlig for identitetstyveri. Offisielle tall for Norge finnes ikke, men ID-tyveri regnes nå for å være den mest lønnsomme av alle typer kriminalitet, mer enn narkotika.
ID-tyveri skjer noen ganger fordi noen ønsker å plage deg, men oftest fordi noen ønsker å rane deg – som å tømme dine bankkonti på ulike vis.
Svein Knapskog er professor i telematikk ved NTNUs Centre for Quantifiable Quality of Service in Communication Systems (Q2S), og advarer:
– Internett er et digitalt korthus med tanke på sikkerhet. Det er mange hull i de tekniske løsningene som brukes i dag, og rike muligheter for snyltere og kjeltringer til å utnytte disse.
– Vi bør absolutt tenke oss grundig om før vi gjennomfører storskala bruk av nasjonal elektronisk ID. Vi har et arbeid å gjøre på sikkerhetsfronten først.
– Vi må faktisk skrive om noen av de grunnleggende internasjonale standardene for hvordan man lager sikker kryptering av data som sendes over internett. Når det er gjort, da kan vi senke skuldrene litt, sier Knapskog.
Nøkkelen til sikkerhet
Det er nøkler det handler om: de nøklene som lukker og åpner informasjonspakkene vi sender via nettet. Nøklene som sørger for at de som snoker inne blant de uforståelige rekkene av ett-tall og nuller, ikke skal kunne lese dem slik du og jeg som sitter med nøklene kan.
Men NTNU-forskerne har oppdaget en særegenhet ved disse nøklene: Bruker man den samme nøkkelen til to ulike formål, er sikkerheten borte.
Knapskog sammenlikner det med tidligere tiders brevkoder, der bare de som kjente kodenøkkelen, kunne lese brevet.
– I vår tid er det et eget program som bruker digitale nøkler når våre digitale sendinger skal sikres og kodes. Det kalles krypteringsbibliotek.
– Det vi har funnet ut, er at når vi bruker slike krypteringsbibliotek der personene i hver ende av sendingen har samme kodenøkkel og bruker den mer enn en enkelt gang, så kan utenforstående lese av informasjonen uten å ha tilgang til nøklene.
– Det er som om vi ikke skulle brukt krypteringsnøkler i det hele tatt, sier Knapskog.
– Så vi trenger å få inn i standarden for hvordan slike krypteringsbibliotek lages, at samme kodenøkkel aldri skal brukes mer enn en enkelt gang. Det står ikke i standarden i dag. Formuleringen er slik at man kan tro at det er helt greit å bruke samme nøkler hele tiden.
Sikkerhet på papiret
Så tror du kanskje at vi har offentlige tilsyn som sjekker og godkjenner hvordan sikkerheten håndteres i de selskapene som skal håndtere din private informasjon?
Som forbruker forventer du at det finnes et regelverk som skal sikre deg, i hvert fall når du skal dele personlig informasjon.
Jo da. Det finnes regler. Personvernlov og datatilsyn. Men det finnes ikke noen regel som sier at datasikkerheten skal sjekkes. Det holder at firmaet, banken eller etaten har dokumenter som sier at de har gode rutiner.
Det er først når rikets sikkerhet trues, at sikkerheten virkelig må sjekkes og Nasjonal sikkerhetsmyndighet (NSM) kobles inn. Personopplysinger som du taster inn på nav.no og skatteetaten.no, er ikke viktige nok.
– Tør vi dette?
Det er altså bedriftene selv som definerer hvilken risiko som foreligger, og sørger for at de har den sikkerheten som matcher.
Når så sikkerhetsnivå er valgt, kommer Datatilsynet inn med sine kommentarer til sikkerhetsrutinene, og deler ut konsesjon. De går ikke inn i bedriften og faktisk sjekker de tekniske løsningene.
Så har vi Post- og teletilsynet som regulerer og overvåker telekommunikasjon i Norge. De driver såkalt tilsyn på selvdeklarasjon. Det betyr at de ber om å få dokumentert hvordan nettstedet vil sørge for at informasjonen er sikker.
Heller ikke dette tilsynet går inn og vurderer de tekniske løsningene, uten at de har god grunn for det. De kan gjøre IT-revisjon hvis de vil, men det er ikke noe som skjer uten videre.
– Og det betyr jo at de går igjennom det meste på papiret, men de har ikke noen godkjenningsordning for IT-løsninger. Noe slikt finnes ikke i Norge. Det ville kanskje vært en idé å ha en revisjon av IT-sikkerheten iblant, sier Knapskog, og spør:
– Tør vi virkelig å ta det digitale spranget når sikkerhetslinen ikke er der?
Lenke:
