Artikel top billede

(Foto: Dan Jensen)

Det nye MitID er et tigerspring for bedre cybersikkerhed

Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

I løbet af 2021 udrulles to nye store og omfangsrige nationale it-systemer, MitID og NemLog-in3.

Disse to systemer skal danne rygraden i det danske samfunds nationale digitale løsning og forventes at være i drift i 10 år eller mere.

Kernen i begge løsninger set fra et erhvervs- og cybersynspunkt er den fulddigitaliserede kobling mellem den private identitet og den tilsvarende erhvervsmæssige.

Dette er helt unikt i verdenen og det giver disse offentlige organisationer en sjælden chance, for at udnytte det faktum, at når de alligevel skal i gang med et moderniseringsprojekt - det nuværende NemID system skal udfases - kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.

Fordelen i den nye løsning er, at kommuner og regioner let kan bygge videre internt på den nationale digitale identitets infrastruktur og så at sige “arve” en stor portion tillid og ægthed fra denne infrastruktur.

Når man arbejder med digital identitet, er netop tillid og ægthed alt afgørende for den totale tillid til ens samlede it-system.

Kan man stole fuldstændigt på hvem en bruger er, gør det en masse sikkerhedsopgaver væsentligt lettere. Alene det faktum, at man kan eliminere forholdet “antage eller tror” til “vide eller garanteret” kan radikalt ændre ens responstid på et angreb fordi en masse nuværende usikkerhedsfaktorer kan udelukkes med det samme.

ID-validering

Fidusen for kommuner og regioner er at få valideret alle deres interne brugere med brugernes private identitet - altså at en kommune eller region som del i eksempelvis ansættelsesprocessen sikre og efterfølgende dokumentere at den interne bruger er et rigtigt menneske og at dennes interne brugerkonto er direkte godkendt af den enkelte bruger.

Denne proces er i dag ikke en selvfølgelighed og når en brugerdatabase ikke er helkoblet til et nationalt ID system åbner det for at angribere kan danne falske brugerkonti.

Falske brugerkonti er en væsentlig adgangsårsag til Ransomware angreb og andre angreb med formål at stjæle data.

Mange brugere reagerer med skepsis overfor at skulle anvende rent private identitetsværktøjer arbejdsmæssigt.

Det er en skepsis, som er fuldt forståelig og som skal imødekommes med accept. Svaret ligger i at forklare behovet og dels at være tydelig og klar omkring formålet og dels efterfølgende give adgang for brugeren til de data som er registreret og vise hvordan de anvendes.

At ID-validere en brugerkonto med privat MitID er ikke anderledes for en bruger end at vedkommendes brug af - eksempelvis - et tjenestekøretøj skal fremvise sit kørekort inden man kan få nøglerne.

Flere fordele

At have en ægte bruger er blot første fordel af flere. Når den digitale ID er bekræftet, er næste skridt at gøre den daglige it-adgang mere robust.

Dagligdagen i kommuner og regioner er mange medarbejdere, hyppige skift mellem arbejdspladser og en næste uoverskuelig mængde af applikationer.

Det giver hovedbrud, grå hår men desværre også både en bekymring og modvilje for ændringer i vaner og rutiner - særligt blandt mange medarbejdere i it-afdelingerne.

Det er en afgjort en begrundet bekymring og en rimelig modvilje. Hverdagen er belastet til maksimalt og nu kommer der endnu et projekt der “lige skal” ændre lidt.

Men ... ændringsprocessen er i gang og styre vi den ikke selv vil andre blot gøre det for os. Mod vores interesser, men for vores penge. Cyberangrebene stopper ikke fordi vi har travlt internt. Tværtimod - de vil tage til i styrke.

At få omlagt vaner og få dannet et mere robust it-system er altså ikke en opgave vi kan lægge væk. Vi kan derimod møde den proaktivt og benytte os af, at alle medarbejdere gerne vil yde deres når de ved hvorfor og hvad fællesskabet opnår.

De opgaver, som ligger lige for, handler om at ændre den, hvorpå brugerne tilgår it-systemerne.

Standardmetoden i dag er ved hjælp af et brugernavn og en adgangskode.

Metoden er uændret siden stort set it-systemernes opfindelse årtier tilbage i tiden og en metode, som er langt langt den primære årsag til succesfulde cyberangreb.

Talrige internationale undersøgelser viser at, den primære angrebsvektor var phishing af adgangskoder i mellem 70-80 procent af tilfældene.

Kan vi med andre ord omlægge rutinerne med brugernavn og adgangskode til metoder som helt eliminere denne gigantiske sårbarhed og alligevel fungere i hverdagen - hvorfor så ikke gøre det?

Tigerspring og standarder

Lige netop det alternativ er en grundsten i det nye NemLog-In3 system - rent faktisk findes det allerede i det nuværende NemID system.

Heri findes de teknologiske dele som udgør det troværdige alternativ og som også kan give det tigerspring som er så påkrævet i forhold til trusselsbillede og risikovurderinger.

Men ... men ... disse dele vil kun give en langsigtet positiv indvirkning på cybersikkerheden hvis de implementeres henset til at man bygger på internationale standarder og tilsvarende best practice.

Billedet lige nu er desværre broget og meldingerne er, at overgangen til det nye MitID og NemLog-In3 skal overstås hurtigt og med så få tekniske og organisatoriske ændringer som muligt.

Endnu en kortsigtet punktløsning med primært formål at opnå en teoretisk regeloverholdelse fremfor reel virkelig styrkelse af cybersikkerheden.

Kom på forkant

I den fysiske verden tænker man typisk i behovskvalificering og efterfølgende problemløsning. Tænk på nye skoler, veje osv.

Ofte via udarbejdelse af en specifik business case som forklare udfordring og berettiger investeringen. I cyberkontekst er ISO's metode med analyse af risiko + konsekvens hyppigt anvendt til at bygge business casen.

Udfordringen med denne model i en digital cyberkontekst er at, den primært bruges til at lukke hullet mellem den nuværende tilstand og risikoanalysen.

Man vil med modellen altså meget ofte halse bagefter i forhold til det aktuelle trusselsbillede. Man er ikke foran, man er permanent - i bedste fald på par - og i praksis altid bagud.

Med det nye MitID og NemLog-In3 anvendt klogt kan man bringe sig på forkant. Man vil som kommune eller region opnå en situation at - fordi man er på forkant - man har overskud og modstandskraft til at modstå de kontinuerlige angreb og dermed beskytte sine data og brugere effektivt.

Tag springet

Tør man i kommuner og regioner gribe denne store mulighed og bruge de teknologier som er på vej, vil man kunne få reduceret den konkrete cyberrisiko betragteligt, få skabt en it-platform som i et årti fremover vil mulig- og smidiggøre nye digitaliseringsprojekter samtidig med at både brugere og omverdenen vil opleve, at man som organisation tager ansvar, sætter retning, er på forkant og endeligt er et vigtigt pejlemærke.

Det er et pejlemærke, som kan trække alle andre virksomheder med i fælles retning med øget cybersikkerhed- og robusthed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.