Militærprocedurer
Vi befinder os i en kælder i Søborg - et sted som man umiddelbart ikke skulle tro er et af Europas mest sikre steder - vel at mærke set ud fra et datasikkerhedsmæssigt perspektiv. Vi er hos sikkerhedsfirmaet Eurotrust, der blandt andet ejer Virus112 og fungerer som nøglecenter.
Et nøglecenter udsteder blandt andet digitale certifikater. Nøglecentret står inde for, at underskriveren af den digitale signatur er den, som vedkommende giver sig ud for at være. Når nøglecentret har kontrolleret underskriverens identitet, udsteder nøglecentret et certifikat til underskriveren.
Kælderen hos Eurotrust indeholder blandt andet firmaets PKI-center (Public Key Infrastructure), der har kostet over 40 millioner kroner at bygge. Centret er et katastrofesikret anlæg med militærprocedurer for fysisk sikkerhed. Kælderen er udstyret med stålvægge, har overvågning med videokamera, en generator til nødforsyning af strøm samt alarmer, der går i gang, hvis der bliver for varmt eller der trænger vand ind. En alarm går også i gang, hvis en dør er åben i mere end 25 sekunder.
Krypteringsnøgler
I et af rummene er de fleste af Eurotrusts servere placeret. Men selv om man har fået adgang til serverrummet, så kan man ikke få adgang til selve maskinerne. De er nemlig låst inde i skabe, som kræver flere personer til stede for at blive åbnet.
Der skal to personer til at åbne døren til rummet, hvor der genereres krypteringsnøgler til Eurotrusts samarbejdspartnere i forbindelse med tjenesten Onsite. Onsite giver virksomheder mulighed for selv at udstede certifikater til egne medarbejdere, kunder, samarbejdspartnere og for eksempel servere. Der skal hele 11 betroede medarbejdere til at generere krypteringsnøgler og certifikater til de største samarbejdspartnere. Der skal to medarbejdere til at åbne døren, en Key Ceremony Manager, fire vidner, og så skal der bruges fire sikkerhedsmedarbejdere.
I øvrigt er det kun betroede medarbejdere, som har adgang til kælderen. I øjeblikket er der omkring 25 medarbejdere i Eurotrust, som har adgang til de allerhelligste rum. Derfor kræver det en lidt større indsats at planlægge ferier, kurser med videre. Der skal nemlig altid være mindst 11 betroede medarbejdere på arbejde, så der kan genereres krypteringsnøgler i det ekstra sikrede rum.
Nøglecenter
I Danmark findes der kun tre firmaer, som fungerer som nøglecenter, og som har anmeldt dette til Telestyrelsen. Det er Eurotrust, TDC og Kommunedata. Der findes andre nøglecentre, men de er ikke anmeldt til Telestyrelsen, da de ikke opfylder lovens krav for udstedelse af certifikater.
Eurotrust er det eneste firma i Danmark, som også er certificeret efter de internationale retningslinjer. Derfor er der på hver eneste side på Eurotrusts site et mærke, hvor der står "WebTrust provided by KPMG".
Eurotrust har valgt at fokusere på IT-sikkerhed, og er derfor ved at sælge andre aktiviteter fra. Endvidere har firmaet indledt samarbejde med det amerikanske firma Verisign, som har omkring 80 procent af markedsandelen inden for domænenavnsregistrering og sikkerhed på internettet.
Fingeraftryk
I ren Mission Impossible stil bliver vi lukket ind til de allerhelligste rum i kælderen, hvor der både skal bruges kodeord, fingeraftryk (biometrik) og identifikationskort. Lidt forvirring opstår, da Birger Hauge, Chief Alliance Officer i Eurotrust, prøver at gå med ind sammen med journalisterne. Hauge må nemlig ikke tage gæster med ind, så han skal vente og så selv gå ind bagefter.
Vi kommer ind i en lang gang, hvor der er døre ind til flere forskellige rum, hvor man igen skal bruge noget man kender (kodeord), noget man har (identifikationskort) og noget man er (fingeraftryk) for at åbne en dør. Til nogle af rummene skal der endda være to personer til stede for at kunne åbne døren.
Hvis denne åbningsprocedure bliver foretaget forkert, så låses døren, så den ikke kan åbnes via den almindelige procedure. Det vil sige, at den eller de personer, som har forsøgt at komme ind i rummet, må tilkalde hjælp fra endnu en person i firmaet. Denne person kan så nulstille låsningen, men kan ikke selv åbne døren til rummet. For at øge sikkerheden er der i øvrigt ingen personer, som har adgang til alle rummene i kælderen. Således har Tobias Wahlgren, CTO / Head of Security, ikke adgang til rummet, hvor krypteringsnøglerne genereres.
Selve gangen er overvåget med videokamera, der diskret er placeret øverst i et hjørne. Flere af de andre rum bliver også overvåget af kameraer. Der skal ikke meget mere til, før end man er hensat til en ægte filmstemning - mon kamerasignalet kan snydes, lige som man så det i "Speed", "The Score" og andre film, hvor videosignalet erstattes af et stillbillede?
