Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2016 // Tænk it-sikkerhed ind allerede i designfasen

Tænk it-sikkerhed ind allerede i designfasen

Artikel

08-12-2016

Tænk it-sikkerhed ind allerede i designfasen

It-sikkerhed er mere aktuel end nogensinde. Både fordi det offentlige ligger inde med følsomme data, og fordi der er lovmæssige reguleringer på vej. Men der er flere tekniske løsninger, der kan gøre det nemmere og mere sikkert for det offentlige at arbejde med personfølsomme data.

En rundspørge foretaget af DR for nylig viste, at ni ud af ti danske kommuner er blevet udsat for hackerangreb i 2016. Der er typisk tale om ransomware-angreb, hvor kriminelle låser filerne på kommunernes netværk og kræver penge for at åbne dem igen.

Det er ikke kun trusselsbilledet, der ændrer sig. Lovgivningen ændrer sig også, og her er en af de vigtigste ændringer EU’s persondataforordning. Den træder i kraft i 2018 og pålægger virksomheder at passe bedre på personfølsomme data. Der er også NIS-direktivet, som fastlægger krav om it-mæssig beskyttelse af kritisk infrastruktur, som f.eks. vandværker og renseanlæg. 

Det offentlige, herunder kommuner og regioner, skal derfor være klar til begge scenarier. Sådan lyder det fra Gert Læssøe Mikkelsen, ph.d. i kryptografi, it-sikkerhedsekspert og leder af Security Lab i Alexandra Instituttet. Han kommer i det seneste nummer af Offentlig IT med et bud på teknologier, der kan gøre det sikkert at arbejde med personfølsomme data i det offentlige.

Data Protection by Design

Nogle af udfordringerne kan løses ved, at indarbejde en række tekniske løsninger, også kaldet Data Protection by Design. Det omfatter bl.a. traditionelle it-sikkerhedsløsninger som at sikre, at firewall’en er i orden. 

Men ifølge Gert Læssøe Mikkelsen er der en række nye teknologier, som ikke er så udbredte endnu: 

"Der er forventninger til, at det offentlige passer på følsomme data. Samtidig er der forventninger om, at vi skal digitalisere samfundet og udnytte de potentialer, der er i data. En del af arbejdet ligger i organisatoriske ændringer og at få dokumenteret, at man har styr på sikkerheden og få rettet op, hvis man ikke har", forklarer han.

  • To- eller fler-faktor autentifikation er en løsning, hvor adgang til et it-system kræver, at brugeren skal afgive to eller flere uafhængige faktorer for at opnå adgang. Det er en nem måde at hæve sikkerheden i forbindelse med adgang til følsomme data. Man skal dog huske at gøre det, så det ikke bliver for besværligt for brugeren.
     
  • Anonymisering af data er også interessant. Det er ikke sikkert, det er nødvendigt altid at gemme f.eks. cpr-numre sammen med andre data. Somme tider kan man bruge et datasæt uden disse følsomme attributter og dermed øge sikkerheden. Ud over cpr-numre, er der mange andre oplysninger, der også kan anonymiseres.
     
  • Pseudonymisering er en lignende løsning. Men stedet for at knytte f.eks. et cpr-nummer til et datasæt, kan man erstatte det med et tilfældigt nummer (pseudonym). Det vil sænke risikoen for misbrug, hvis data bliver lækket til tredjepart.
     
  • Kryptering af data er også et interessant værktøj. Med en teknologi der hedder Multiparty Computation kan man foretage beregninger på krypterede data uden at dekryptere dem først. Man kan med andre ord ikke se de tal, der indgår i beregningen – kun det resultat, der kommer ud. 

Faktisk er det muligt at gå endnu videre og foretage dataanalyse på tværs af sektorer og koble flere databaser sammen. Det er sikkerhedsmæssigt ikke uden problemer i dag. Derfor har Alexandra Instituttet sammen med Philips i Holland og tre universiteter, herunder Aarhus Universitet, fået en samlet bevilling på 22 millioner kroner til projektet Scalable Oblivious Data Analytics (SODA). Projektet skal gennemføre beregninger på krypteret data i kombination med avancerede værktøjer inden for anonymisering. ​

Hastighed er afgørende 

Ideen er at tage data fra flere databaser og fra forskellige organisationer og udføre en dataanalyse på tværs. Det er oplagt, hvis f.eks. en forsker vil gennemføre en undersøgelse på tværs af sociale forhold og sundhed og henter data fra kommunens afdelinger og regionen. I dag vil forskeren kunne få begge datasæt og samkøre dem, men der er rigtig mange sikkerhedsproblemer forbundet hermed. Med Multiparty Computation og anonymiseringsværktøjer kan man optimere sikkerheden, da man kun kigger på krypterede data. 

Ifølge Gert Læssøe Mikkelsen er hastigheden afgørende, hvis man vil arbejde med meget store datasæt. Derfor skal alle disse værktøjer optimeres, før det giver mening at foretage analyser på store datamængder og ikke bare små datasæt. En stor del af SODA-projektet kommer til at fokusere på netop dét.

Gode råd fra it-sikkerhedseksperten

Tænk sikkerhed ind fra starten og i designfasen. Ikke fordi sikkerhed skal være en showstopper, men fordi det er nemmere at lave en god sikkerhedsmæssig løsning, hvis man tænker det ind i designfasen. Jo mere man gør det, jo bedre sikkerhed får man. Så er der også bedre mulighed for at undgå, at sikkerhed og brugervenlighed bliver modsatrettede.

Få styr på EU’s Persondataforordning. Den er vedtaget og træder i kraft om halvandet år. Den er ikke fuldt implementeret i dansk lovgivning endnu, så der er stadig tvivlstilfælde om, hvilken effekt den får. Men det skal man ikke vente på. Man skal kortlægge, hvilke data man har, hvad de bliver brugt til, og hvor følsomme er de. Hvis man gerne vil et bestemt sted hen, er første skridt jo at vide, hvor man er i dag.

Alexandra Instituttets Security Lab kan hjælpe dig med at få styr på sikkerheden

 

 

 

Profilbillede af Gert Læssøe Mikkelsen
Head of Security Lab, PhD
+45 24 26 99 11
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 380
.