21-09-2018 08:48:48

Tænk it-sikkerhed ind allerede i designfasen

It-sikkerhed er mere aktuel end nogensinde. Både fordi det offentlige ligger inde med følsomme data, og fordi der er lovmæssige reguleringer på vej. Men der er flere tekniske løsninger, der kan gøre det nemmere og mere sikkert for det offentlige at arbejde med personfølsomme data.
13. dec. 2016 Af Alexandra Instituttet

En rundspørge foretaget af DR for nylig viste, at ni ud af ti danske kommuner er blevet udsat for hackerangreb i 2016. Der er typisk tale om ransomware-angreb, hvor kriminelle låser filerne på kommunernes netværk og kræver penge for at åbne dem igen.

Det er ikke kun trusselsbilledet, der ændrer sig. Lovgivningen ændrer sig også, og her er en af de vigtigste ændringer EU’s persondataforordning. Den træder i kraft i 2018 og pålægger virksomheder at passe bedre på personfølsomme data. Der er også NIS-direktivet, som fastlægger krav om it-mæssig beskyttelse af kritisk infrastruktur, som f.eks. vandværker og renseanlæg. 

Det offentlige, herunder kommuner og regioner, skal derfor være klar til begge scenarier. Sådan lyder det fra Gert Læssøe Mikkelsen, ph.d. i kryptografi, it-sikkerhedsekspert og leder af Security Lab i Alexandra Instituttet. Han kommer i det seneste nummer af Offentlig IT med et bud på teknologier, der kan gøre det sikkert at arbejde med personfølsomme data i det offentlige.

Data Protection by Design

Nogle af udfordringerne kan løses ved, at indarbejde en række tekniske løsninger, også kaldet Data Protection by Design. Det omfatter bl.a. traditionelle it-sikkerhedsløsninger som at sikre, at firewall’en er i orden. 

Men ifølge Gert Læssøe Mikkelsen er der en række nye teknologier, som ikke er så udbredte endnu: 

"Der er forventninger til, at det offentlige passer på følsomme data. Samtidig er der forventninger om, at vi skal digitalisere samfundet og udnytte de potentialer, der er i data. En del af arbejdet ligger i organisatoriske ændringer og at få dokumenteret, at man har styr på sikkerheden og få rettet op, hvis man ikke har", forklarer han.

  • To- eller fler-faktor autentifikation er en løsning, hvor adgang til et it-system kræver, at brugeren skal afgive to eller flere uafhængige faktorer for at opnå adgang. Det er en nem måde at hæve sikkerheden i forbindelse med adgang til følsomme data. Man skal dog huske at gøre det, så det ikke bliver for besværligt for brugeren.
     
  • Anonymisering af data er også interessant. Det er ikke sikkert, det er nødvendigt altid at gemme f.eks. cpr-numre sammen med andre data. Somme tider kan man bruge et datasæt uden disse følsomme attributter og dermed øge sikkerheden. Ud over cpr-numre, er der mange andre oplysninger, der også kan anonymiseres.
     
  • Pseudonymisering er en lignende løsning. Men stedet for at knytte f.eks. et cpr-nummer til et datasæt, kan man erstatte det med et tilfældigt nummer (pseudonym). Det vil sænke risikoen for misbrug, hvis data bliver lækket til tredjepart.
     
  • Kryptering af data er også et interessant værktøj. Med en teknologi der hedder Multiparty Computation kan man foretage beregninger på krypterede data uden at dekryptere dem først. Man kan med andre ord ikke se de tal, der indgår i beregningen – kun det resultat, der kommer ud. 

Faktisk er det muligt at gå endnu videre og foretage dataanalyse på tværs af sektorer og koble flere databaser sammen. Det er sikkerhedsmæssigt ikke uden problemer i dag. Derfor har Alexandra Instituttet sammen med Philips i Holland og tre universiteter, herunder Aarhus Universitet, fået en samlet bevilling på 22 millioner kroner til projektet Scalable Oblivious Data Analytics (SODA). Projektet skal gennemføre beregninger på krypteret data i kombination med avancerede værktøjer inden for anonymisering. ​

Hastighed er afgørende 

Ideen er at tage data fra flere databaser og fra forskellige organisationer og udføre en dataanalyse på tværs. Det er oplagt, hvis f.eks. en forsker vil gennemføre en undersøgelse på tværs af sociale forhold og sundhed og henter data fra kommunens afdelinger og regionen. I dag vil forskeren kunne få begge datasæt og samkøre dem, men der er rigtig mange sikkerhedsproblemer forbundet hermed. Med Multiparty Computation og anonymiseringsværktøjer kan man optimere sikkerheden, da man kun kigger på krypterede data. 

Ifølge Gert Læssøe Mikkelsen er hastigheden afgørende, hvis man vil arbejde med meget store datasæt. Derfor skal alle disse værktøjer optimeres, før det giver mening at foretage analyser på store datamængder og ikke bare små datasæt. En stor del af SODA-projektet kommer til at fokusere på netop dét.

Artiklen er oprindelig publiceret på Alexandra Instituttet. 

Sikkerhedsekspert: Virksomheder forsømmer den basale it-sikkerhed
Sikkerhedsekspert: Virksomheder forsømmer den basale it-sikkerhed

Cybersikkerhed: Virksomheder må lave benhårde prioriteringer af, hvad sikkerhedsbudgettet skal gå til, og ikke kun holde fokus på seneste malware-dille, mener ekspert.

Læs mere
Kommunerne tænker også på it-sikkerhed

Flere og flere kommuner oplever hacker-angreb. Den stigende tendens undrer ikke sikkerhedsekspert Gert Læssøe Mikkelsen fra Alexandra Instituttet, som på trods af den stigende mængde angreb glæder ...

Læs mere
Sådan får du styr på it-sikkerheden
Sådan får du styr på it-sikkerheden

It-sikkerhed: Har du eller din virksomhed fod på cybersikkerheden, når filer bliver krypteret eller phishingmails banker på? IDA Universe har samlet en oversigt over fire grundsten, der skal til for at holde hå ...

Læs mere

Deltag i debatten

IT - artikler og arrangementer

Nyeste IT-job fra Jobfinder

luk
close