Med lakk og signatur

Med lakk og signatur

KOMMENTAR: Autentisering blir viktigere, de mobile enhetene skaper bryderi.

I gamle dager lakket man dokumenter og satte et lakkstempel på for autentisering. I enkelte tilfelle signerte man i tillegg. Grunnloven er lakket, stemplet og signert. Det gjelder å finne en moderne løsning som minst er like god, for det er mobile hjelpemidler som er utfordringen.

Spørsmålet er om Bankid på mobil er en god idé. Mobilen skal være et arbeidsredskap, ikke en autentiseringsmekanisme. Vi blir mer og mer forsøkt på å bli lurt. Det er en rekke utfordringer, spesielt på Android, både virus og falske beskyttelsesmekanismer. Selv Microsoft har tilbudt en falsk app for virusbeskyttelse til Phone 8.

App-er er usikkert. Nettstedene som formidler dem mangler mekanismer for å kvalitetssikre. Falske sikkerhetsapp-er vil derfor kunne bli solgt. 10.000 lastet ned den falske Kaspersky Mobile til fire dollar.

For det vi skal leve av blir mer og mer sensitivt. Våre immaterielle verdier må vi passe på, på alle mulige måter. Derfor har Patentstyret blitt mye mer aktiv. Virksomheter må tenke på at et nytt produkt bør patentsøkes, at mye mer av det som jobbes med bør varemerkebeskyttes.

For blant tilnærmet like produkter spiller design en vesentlig rolle. Tandberg som Cisco kjøpte for sin videokompetanse, har år etter år oppnådd Merket for god design.

Vi trenger kontinuerlig å forbedre sikkerheten. Virksomheter som driver utvikling vil få oppmerksomhet. Derfor må tilgang stadig vurderes. Hva som var ansett som sikkert i fjor, er ikke nødvendigvis sikkert i år. For de færreste har kontinuerlig tilgang til sikkerhetsfagfolk.

Virksomhetene trenger en risikovurdering. De trenger automatiserte sikkerhetsrutiner. De trenger overvåkning. Den bør kanskje settes ut for innbruddsavsløring må skje kontinuerlig. For de som vil noe sover ikke. De må avsløres og stoppes der og da.

Det blir en utfordring både å stenge ute og slippe inn. For vi trenger en universalnøkkel basert på streng autentisering. Vi trenger en felles adgangskontroll. Det har Staten forstått. ID-porten sørger for autentisering på sikkerhetsnivå tre og fire basert på noe du har og noe du kan.

ID-porten må derfor håndteres på en spesiell måte. Alle offentlige applikasjoner skal bruke den. Derfor må ID-porten være robust med mulighet til å skalere for å ta tung last. For nå er det en ny brukergruppe, forskere på sensitive helsedata. Forskerne bruker ID-porten med autentisering på nivå fire. Sammen med et adgangssystem får personer tilgang til helseprosjekter og sensitive helsedata.

For forskning på sensitive helsedata er unikt. Universitetet i Oslo har gjort en kjempejobb med autentisering og prosjektoppfølging i kombinasjon med tungregning og de lagringsressursene forskerne trenger.

Ulempen er at forskningen ikke blir bedre enn datagrunnlaget. Dataene må derfor ha pasientenes samtykke. De må arkiveres behørlig. Det krever betaling som prosjektene må sikre.

Spørsmålet er om noe du har og noe du kan er godt nok. Forskerne på Høgskolen på Gjøvik jobber med biometri i alle former, eksempelvis fingeravtrykkslesing, for leseren ser fingeravtrykket forskjellig fra gang til gang. Spørsmålet er hvordan det er mulig å være sikker på at det er riktig person og ikke noe lureri.

All forskning på noe du er vil hjelpe i fremtidig autentisering. Selv ganglaget er unikt og gjør deg til noe du er.

Noe du er. Noe du har og noe du kan er den beste mekanismen for tildeling av en universalnøkkel. For noe du er bør med ujevne mellomrom benyttes for bevise at det ikke er en annen som prøver å utnytte dine rettigheter.

For fisking blir det bare mer av. Selv med mye data om brukeren bør angripere komme til kort. De må bevise noe du er. Det bør de ikke klare, men derfor er biometrisk forskning viktig. Kanskje bør vi skifte biometrisk kjenne tegn en gang i blant.

Men også overvåkning er vesentlig. Skurker kan være innenfor. Hva som forlater virksomheten må vurderes mer og mer. I den forbindelse vil også Web-brannmurer bli et krav. For noe på weben er allment tilgjengelig, noe er internt, noe er for partnere og noe er bare for de med behov for å vite. Data fra lukkede grupper bør ikke slippe ut.

På sosiale nett jobbes det med forbedringer. Det er et nytt initiativ som betegnes Fido.

Våre immaterielle verdier må vi passe på.

Les om: