12.9.2014 | 16:23
Rafræn skilríki og öryggi snjallsíma
Einhvern veginn hefur það atvikast að ákveðið hefur verið að krefjast notkunar rafrænna skilríkja vegna leiðréttingar ríkisstjórnarinnar á verðtryggðum lánum heimilanna. Mér finnst það svo sem ekki vitlaus hugmynd, enda kom ég að stofnun Auðkennis haustið 2000 sem ráðgjafi á undirbúningstíma og eftir að fyrirtækið var stofnað.
Kostir rafrænna skilríkja við auðkenningu eru miklir, en þau eiga sér líka takmarkanir. Eins og öll önnur skilríki, þá er ekki öruggt að sá sem notar skilríkið sé sá sem hann segist vera. Það eru bara meiri líkur á að svo sé en á við varðandi ýmsar aðrar aðferðir.
Lög 28/2001 um rafrænar undirskriftir
Um rafrænar undirskriftir voru sett lög nr. 28/2001. Valgerður Sverrisdóttir, þá verandi viðskiptaráðherra, hafði forgöngu um setningu þeirra laga. Í lögunum er í 2. gr. ýmsar skilgreiningar á hugtökum. Eitt þeirra er hugtakið "fullgild rafræn undirskrift". Það er skilgreint á eftirfarandi hátt:
Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
Til að undirskrift sé fullgild, þá verður hún að uppfylla tvö skilyrði. Annað er að hún sé studd fullgildu vottorði og hitt að hún sé framkvæmd með öruggum undirskriftarbúnaði.
Í IV. kafla laganna er fjallað um öruggan undirskriftarbúnað. Kröfur til hans eru nokkuð stífar, þ.e.:
Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin.
a. geti eingöngu komið einu sinni fram,
b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.
Eru snjallsímar öruggur undirskriftarbúnaður?
Nú hefur verið lagt til að fólk noti rafræn skilríki á SIM-kortum snjallsíma til að veita rafrænt samþykki sitt á ráðstöfun hárra fjárhæða. Því er haldið fram að veflykill Ríkisskattstjóra eða svo nefndur Íslykill tryggi ekki ýmsa öryggisþætti, sem rafræn undirskrift gerð með notkun rafræns skilríkis veitir. Um þetta hef ég tvennt að segja:
1. Rafræn skilríki þar sem notaður er öruggur undirritunarbúnaður eru besta aðferðin við auðkenningu, þar sem krafist er óhrekjanleika, rekjanleika, eins mikla fullvissu og hægt er að viðkomandi sé sá sem hann er án þess að viðkomandi sé viðstaddur í eigin persónu. Notkun rafrænna skilríkja hefur því ótvíræða yfirburði fram yfir veflykil Ríkisskattstjóra og Íslykil, þegar notkunin er gerð með öruggum undirskriftarbúnaði.
2. Snjallsímar uppfylla ekki kröfur sem gerðar eru til öruggs undirskriftarbúnaðar. A.m.k. ekki eins og velflestir snjallsímar eru uppsettir. Sími er í eðli sínu galopið tæki, sem allir geta sett sig í samband við. Munurinn á snjallsíma og gamaldagssíma, jafnvel gamaldags farsíma, er að á eldri gerð síma, þá gerðist lítið sem ekkert nema handhafi símatækisins aðhafðist eitthvað líka. Svo er ekki með snjallsíma. Snjallsímar eru tölvur með mikla virkni án vitundar handhafa símtækisins. Í snjallsíma eru stöðugt í gangi smáforrit (apps) sem eru hreinlega að njósna um ferðir og gerðir þess sem ber símann, skoða innihald skráa sem geymdar eru á símanum og óteljandi aðra hluti, sem ég er ekki viss um að fólk kæri sig um að vita af. Fæstir snjallsímar eru búnir dulkóðun, vírusvörn eða eldveggjum sem gera þá galopna fyrir hnýsni hvers sem dettur í hug að tengjast símanum í gegn um hnýsniforrit. Nýlega birtist frétt um gervifarsímasenda á víð og dreif í Bandaríkjunum og er giskað á að þessir sendar séu notaðir til að fylgjast með notkun farsíma og ferðum handhafa þeirra. Fram kom í fréttinni, að þetta hafi uppgötvast eftir að á markað komu snjallsímar sem vöruðu við ef símarnir væru skannaðir.
Snjallsímar vs tölvur
Mikill munur er á notkun rafrænna skilríkja á einmenningstölvu og snjallsíma. Tölvan myndi í flestum tilfellum teljast öruggur undirskriftarbúnaður, meðan snjallsíminn uppfyllir þau skilyrði sjaldnast. Vissulega eru til tölvur sem ekki eru öruggur undirskriftarbúnaður og á sama hátt eru til snjallsímar sem eru öruggur undirskriftarbúnaður. Einn megin munurinn á tölvu, þó hún væri ekki öruggur undirskriftarbúnaður og snjallsíma sem slíkt á við, er að snjallsímann er stöðugt verið að skanna meðan það á ekki við um tölvuna. Hver einasti farsímasendir á svæði, þar sem snjallsíminn fer um, hann skannar símann. Hann skannar ekki innihald hans, en á í samskiptum við símann. Þessu til viðbótar, þá eru margir símar með opið þráðlaust nettengi (wi-fi) eða Blue-tooth tengi. Ekki þarf því mikið að gerast til þess, að óprúttnir aðilar geti dreift óværum til stórs hóps snjallsímanotenda.
Þá kemur að öðrum mun á notkun rafrænna skilríkja í snjallsímum og tölvum. Rafræna skilríkið er geymt á SIM-korti snjallsímans, en á kort sem sérstaklega er tengt við tölvuna fyrir notkun. Óværa á snjallsíma hefði því aðgang að skilríkinu (væri það tilgangur hennar) á meðan síminn er í notkun. Hún gæti fylgst með notkun skilríkisins og þess vegna hermt eftir henni. Rafræna skilríkið á tölvunni er hins vegar bara tengt í stutta stund í einu (miðað við að það sé á örgjörva greiðslukorts). Eftir það er það tekið úr sambandi og því getur óværa á tölvunni ekki notað sér það.
Aðrar aðferðir við undirritun
Ég get alveg tekið undir það að veflykill Ríkisskattstjóri eða Íslykillinn eru ekki öruggustu aðferðirnar við að auðkenna rafrænt einstakling. Ég sé hins vegar ekki að þessar aðferðir séu neitt veikari, en að nota rafræn skilríki á snjallsíma. Auðvelt væri að bæta inn viðbótar staðfestingarlið, svo sem að senda kóta í sms-skeyti, í tölvupósti eða í vefbanka viðkomandi. Vissulega mætti líka gera það til að auka á öryggi rafrænna skilríkja í snjallsímum. Með slíkri viðbót myndi ég leggja að jöfnu að nota rafræn skilríki í gegn um snjallsíma og að nota veflykil skattastjóra eða Íslykilinn.Rafræn skilríki framtíðin
Svo ekkert fari á milli mála, þá tel ég rafræn skilríki framtíðaraðferð til þess að efla rafræna stjórnsýslu. Kostir þeirra eru ótvíræðir fyrir þá sem vilja einfalda og auðvelda samskipti. Ég er líka sannfærður um, að í framtíðinni munu snjallsímar upp til hópa uppfylla kröfur til öruggs undirskriftarbúnaðar. Sá tími er ekki kominn nema fyrir brotabrot af snjallsímum sem eru í notkun. Eða ætti ég að segja fyrir nema brotabrot af snjallsímaeigendum. Ég held nefnilega að mun fleiri snjallsímar hafa möguleika á stillingum og uppsetningu búnaðar, sem gerðu þá að öruggum undirskriftarbúnaði, en þeir sem nýta þessa eiginleika.
Já, ég er paranoid þegar kemur að öryggismálum
Bara svona í lokinn. Mér myndi ALDREI detta í hug að nota snjallsíma til að framkvæma millifærslur á bankareikningi. Ég nota snjallsímann minn yfirhöfuð ALDREI til að opna vefbankaaðgang. Ég efast ekki um að þetta er ofsalega handhægt, en líka stórvarasamt. Ég er öryggissérfræðingur og mér er borgað fyrir að vera paranoid þegar kemur að öryggismálum, svo þið hin getið verið aðeins öruggari í því sem þið gerið í hinum nettengda heimi fjarskiptanna.
Viðbót:
Mér finnst það umhugsunarvert og mögulega varhugavert, að stefna eigi 69.000 einstaklingum út í það að nota rafrænar undirskriftir vegna leiðréttingu lánanna. Ástæðan er einföld:
Er komið tryggt dómafordæmi fyrir því að slík undirskrift sé tekin gild? Nú verð ég að lýsa yfir vanþekkingu minni hvað þetta varðar. Ég tel því nauðsynlegt að fá úr því skorið að slíkt dómafórdæmi sé fyrir hendi. Sé það ekki til staðar, þá getur það haf alvarlegar afleiðingar, ef Hæstiréttur kæmist að því að einhverjir annmarkar séu á framkvæmdinni.
Bloggar | Breytt s.d. kl. 16:46 | Slóð | Facebook | Athugasemdir (3)
Bloggfærslur 12. september 2014
Heimsóknir
Flettingar
- Í dag (25.4.): 3
- Sl. sólarhring: 4
- Sl. viku: 44
- Frá upphafi: 1678166
Annað
- Innlit í dag: 3
- Innlit sl. viku: 43
- Gestir í dag: 3
- IP-tölur í dag: 3
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði