28.11.2007 | 23:28
Rafræn skilríki opna dyr að nýjum tímum
Þau eru loksins að verða að veruleika rafrænu skilríkin fyrir almenning. Rúm 7 ár eru síðan að vinna við þetta verkefni fór í alvöru af stað. Þá var farið af stað með hugmynd sem gekk út á samstarf hins opinbera og bankanna. Fyrirtækið Auðkenni var stofnað í október eða nóvember 2000. Haldin var ráðstefna um málið á vordögum 2001 og lög samþykkt á Alþingi. Grunnurinn var lagður að kerfi sem auðveldlega hefði verið hægt að hrinda í framkvæmd haustið 2001. Þá gerðist það, að ríkið ákvað vera ekki með. Áhuginn dvínaði og Auðkenni missti frá sér þá tvo menn sem höfðu dregið vagninn. Það var synd.
Ég og Þorsteinn Þorbergsson (sem þá var hjá Búnaðarbankanum, en er nú hjá Landsbankanum) fengum það verkefni að koma þessu verkefni á koppinn. Mitt verk var að skanna markaðinn, kynna mér regluverkið og öryggismálin og vera síðan ráðgjafi við verkið. Hlutverk Þorsteins var að vera fulltrúi bankanna í verkinu og sjá til þess að hlutirnir hreyfðust. Innan nokkurra vikna vorum við staddir í Barcelona og komnir í samband við helstu frumkvöðla Evrópu á þessu sviði. Þar var líka með okkur fyrsti framkvæmdarstjóri Auðkennis, Guðlaugur Sigurgeirsson, sem komið hafði frá Ratsjárstofnun. Það var litlu til sparað, þar sem verkið átti að ganga hratt og vel fyrir sig. Næst bættist í hópinn Birgir Már Ragnarsson, lögfræðingur, og var hópurinn orðinn virkilega flottur. Ég sá fyrir mér að þarna væri framtíðarstarfið mitt komið, þegar fyrirtækinu væri búið að vaxa fiskur um hrygg. Önnur ferð var farin og í henni fengum við að fara inn í herbergi, sem teljast verður eitt það mikilvægasta fyrir rafræn viðskipti í heiminum. Ég sagði eitt, þar sem þau eru líklega þrjú í það heila í heiminum rýmin, þar sem rótarbúnaður vegna rafrænna skírteina er geymdur.
Hugmyndin sem farið var af stað með haustið 2000, var að útvíkka finnska módelið og gefa út kort sem bæði gæti virkað sem rafrænt skilríki fyrir opinbera þjónustu og notað fyrir aðgang og auðkenningu í bankaviðskiptum. Munurinn átti þó að vera sá, að í Finnlandi sækir notandinn kortið til lögreglunnar, en hér á landi áttu bankarnir að sjá um dreifinguna.
Því miður varð ekkert úr þessu þá, þar sem ríkið ákvað að fara í samstarf við Skýrr. Í stað rafrænna skilríkja á örgjörva var farin sú leið að gefa út stafræn skilríki fyrir rafræn samskipti og til að votta vefþjóna. Umfang útgáfunnar var ekki nóg til að halda úti metnaðarfullri starfsemi og því endaði Auðkenni eiginlega ofan í skúffu hjá fyrirtækinu Fjölgreiðslumiðlun (FGM). FGM er ekki beint þekkt fyrirtæki, en það sér um svo kallaða RÁS-þjónustu fyrir greiðslukortaviðskipti.
Það var alveg ljóst, að rafræn skilríki/auðkenni þyrftu að koma á einhverjum tímapunkti og því bara tímaspursmál hvenær Auðkenni risi endurskapað upp úr öskunni, eins og fuglinn Fönix forðum. Það gerðist svo á síðasta ári með tilkomu auðkennislykla vegna vefbankaaðgangs. Staðan var ósköp einföld. Vefbönkum stóð ógn af tölvuþrjótum sem farnir voru að veiða notendakenni og aðgangsorð með hjálp trójuforrita og leynirása. Litlum forritsbútum var smyglað með tölvupósti inn á tölvur notenda og þegar notendur slógu inn notendakenni og aðgangsorð sáu forritsbútarnir um að senda upplýsingarnar til eigenda sinna. Það þurfti því bara einfalda kostnaðargreiningu til að ákvarða hvort og þá hvenær tímabært væri að taka upp auðkennislykla.
En draumurinn var að nota stafræn skilríki (digital certificate) og það var ekki gert nema að nota örgjörvakort. Núverandi auðkennislyklar gera raunar ekkert annað en að framkalla talnaröð út frá tilteknu sæði sem er hugsanlega það sama fyrir alla lykla. Þó það sé ekki hlaupið að því, þá er bara tímaspursmál hvenær einhverjum tekst að brjóta upp algrímið sem er notað. Örgjörvakortin eru því næsta skref í þróuninni. Þau byggja á tveggja laga auðkenningu/sannprófun, þ.e. með einhverju sem notandinn hefur (kortinu) og einhverju sem notandinn veit (lykiltölu/aðgangsorði). Þetta er raunar sama og auðkennislykillinn, en nú er auðkenningin ekki einstefnuauðkenning, heldur er hægt að nota tvístefnuauðkenningu þar sem innskráningartölvan og kortið geta skipst á upplýsingum og örgjörvinn á kortinu getur sannprófað tætisummu þeirra upplýsinga sem berast frá innskráningartölvunni áður en hann sendir auðkenningargögn til tölvunnar. Auk þess getur kortið sent frá sér tætisummur sem innskráningartölvan sannreynir. Það verður því mun erfiðara að brjótast inn í þetta öryggisferli og komast á óheimilan hátt inn á bankareikninga. Vissulega er notað aðgangsorð eða lykiltala, en hægt er að stilla kortin þannig, að með því að slá inn tiltekna ranga lykiltölu, þá læsist kortið og verður ónothæft. Einnig er hægt að stilla kortin þannig, að aðgangur að t.d. vefbönkum sé eingöngu heimill frá ákveðinni tölvu nema viðbótarlykilnúmer sé notað líka. Þar sem það númer er annað hvort notað sjaldan eða er síbreytilegt (t.d. sent í GSM síma eða fengið af auðkennislykli), þá er dregið verulega úr líkum á óheimilum aðgangi. Næsta skref er þriggja laga auðkenningu/sannprófun, sem byggir þá á einhverju sem notandinn hefur (kortinu), einhverju sem hann veit (aðgangsorði eða lykiltölu) og einhverju sem hann er, þ.e. lífkenni (t.d. fingrafari). Þegar er hægt að fá kort sem nema fingraför og hafa þau verið á markaðinum í a.m.k. 7 ár.
Ég spáði því í mars (sjá blogg mitt frá 1. mars Rafrænar kosningar í Eistlandi) að boðið verði upp á rafræn kosningakerfi við sveitarstjórnarkosningarnar árið 2010. Nú er bara að sjá hvort það rætist.
Meginflokkur: Upplýsingaöryggi | Aukaflokkur: Viðskipti og fjármál | Breytt 14.12.2007 kl. 12:51 | Facebook
RSSHeimsóknir
Flettingar
- Í dag (16.4.): 4
- Sl. sólarhring: 7
- Sl. viku: 50
- Frá upphafi: 1678110
Annað
- Innlit í dag: 4
- Innlit sl. viku: 44
- Gestir í dag: 4
- IP-tölur í dag: 4
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Sæll og blessaður.
Greinin þín var athyglisverð. Hefur þú heyrt um spádóm Biblíunnar um merki á hægri hönd eða enni????
Í Opinberunarbók Jóhannesar 13:16-18 er talað um þetta og mér fannst greinin þín segja mér að það sé í raun ekki langt þangað til þessi spádómur muni rætast. Langar að skrifa versið upp fyrir þig.
Og það lætur alla, smá og stóra, auðuga og fátæka og frjálsa og ófrjálsa, setja merki á hægri hönd sér eða á enni sín og kemur því til leiðar, að enginn geti keypt eða selt, nema hann hafi merkið, nafn dýrsins, eða tölu nafns þess. Hér reynir á speki. Sá sem skilning hefur reikni tölu dýrsins, því að tala manns er það, og tala hans er sex hundruð sextíu og sex.
Kær kveðja
Rósa Aðalsteinsdóttir (IP-tala skráð) 29.11.2007 kl. 00:21
Næsta skref verður síðan að útrýma seðlum og mynt. Sannaðu til að það verður að veruleika innan skamms og góðir menn eins og þú munu telja massanum trú um að það sé líka gott mál. Allt út frá eigin hagsmunum, vinna og peningar. En skyldi það vera góð lausn fyrir mig? Ég þarf að borga þóknun til kerfisins ef ég vil kaupa klósettpappír. Ég fæ hvorki vott né þurrt nema ef bankinn leyfir mér það. Öll mín útgjöld verða aðgengileg stjórnvöldum. Það tapa allir á þessu nema kerfið og þeir starfsmenn sem vinna við þetta.
Svo verður hægt með einni fingrahreyfingu að þurrka út alla "peninga" í umferð. Öryggið við svona miðlægt peningakerfi er því akkúrat ekkert fyrir einstaklinga. Fólk og fyrirtæki verða undir náð og miskun einhverra erlendra aðila þegar kemur að greiðslu fyrir kaffibolla eða þvott á skyrtu. Alveg fáránleg hugmynd nema fyrir valdamikla bankamenn/glæpamenn og alla sem fá vinnu við þetta kerfi.
Björn Heiðdal, 29.11.2007 kl. 03:27
Björn, rafræn skilríki hafa ekkert með notkun peninga að gera. Þeim er ætlað ákveðið hlutverk til að auka öryggi í rafrænum færslum fyrir þá sem vilja nota þær. Árlega er svikin vara út úr fjölmörgum fyrirtækjum með fölsuðum greiðslukortum, stolið peningum af bankareikningum, stofnað til viðskipta í nafni þriðja aðila og svona mætti lengi telja. Rafrænum skilríkjum er ætlað að draga úr slíku hvort sem það felst í örgjörva á greiðslukortum, útgáfu rafræns persónuskilríkis eða hvað það nú er. Það eru gallar á rafrænum skilríkjum eins og öllum öðrum persónugreiningaraðferðum sem eru notaðar, en þau munu auka vernd allra.
Það er firra að ætla, að rafræn skilríki auðveldi "eftirlitsiðnaðinum" að fylgjast með fólki. Að peningar hverfi úr umferð vegna rafrænna skilríkja er langsótt. Peningar eru að hverfa vegna rafrænna greiðslna. Rafrænum skilríkjum er fyrst og fremst ætlað að auka öryggi slíkra greiðslna. Við megum ekki rugla saman aðgerðinni (í þessu tilfelli rafræn tilfærsla peninga) og verklaginu (í þessu tilfelli að staðfesta þurfi greiðsluna með rafrænu skilríki). Þegar maður kemur í banka, þarf núorðið að framvísa persónuskilríkjum ef maður vill stofna viðskipti eða framkvæma tilteknar greiðslur vegna laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Í rafheimi er ekki um neitt slíkt að ræða. Þegar framkvæmd er rafræn greiðsla, þá getur fjármálafyrirtækið ekki verið 100% viss um að sá sem er að framkvæma greiðsluna sé í raun og veru sá sem hann segist vera, þó svo að í langflestum tilfellum (segjum 99,995% bara til að hafa tölu) sé viðkomandi sá sem hann segist vera. Rafrænum skilríkjum er ætlað að ná þessu hlutfalli upp í 99,9999% eða jafnvel ennþá nær 100%.
Það er vissulega rétt, að það eru margs konar not af rafrænu auðkenningarkerfi, eins og rafrænum skilríkjum, en þau breyta engu um notkun peninga eða ekki. Ef rétt er staðið að skilgreiningu öryggiskrafna og persónuverndar í kringum notkun þeirra, munu þau auka persónuverndina ekki draga úr henni. Ég sé það raunar fyrir mér að sé rétt staðið að hlutunum munu rafræn skilríki draga úr notkun kennitölu svo dæmi sé tekið.
Marinó G. Njálsson, 29.11.2007 kl. 09:20
Sæll Marinó
Þegar ég lít í baksýnisspegilinn þá held ég að það hafi í raun verið rétt að fresta útgáfu rafrænu skilríkjanna þó vissulega hafi það verið vonbrigði. Ég vill allavega trúa því að fyrirtæki, stofnanir og almenningur sé mun betur meðvitaður um upplýsingaöryggi í dag en fyrir 6 árum síðan?
Annars datt mér í hug um daginn hvort ekki væri eðlilegt að gera kröfu um að stofnanir (m.a. Jafnréttisstofa) sem geta gert kröfu um að fá afhent viðkvæm gögn þurfi ekki að vera með upplýsingaröryggisvottun ?
Grímur Kjartansson, 29.11.2007 kl. 11:19
Einnig er hægt að stilla kortin þannig, að aðgangur að t.d. vefbönkum sé eingöngu heimill frá ákveðinni tölvu nema viðbótarlykilnúmer sé notað líka.
Geturðu nokkuð fengið bankana til að samþykkja þetta fyrir þessa auðkennislykla (þ.e. að sleppa því að biðja um auðkennisnúmerið frá "viðurkenndum" tölvum). Það væri vel þegið...
Einar Jón, 29.11.2007 kl. 11:42
Grímur, ég get alveg tekið undir að almenningur sé betur undir þetta búinn í dag, en ég hef það mikla trú á fólki, að það hefði meðtekið þetta léttilega á sínum tíma líka.
Einar, ég er ekki viss um að vilji sé til að bjóða upp á tengingu án öruggrar sannvottunar (eins og það heitir), þó alltaf sé tengst frá sömu tölvunni. En ég hef svo sem engin sambönd inn í bankana til að fá þessu breytt.
Marinó G. Njálsson, 29.11.2007 kl. 12:12
Já það verður gaman að sjá hvernig þetta verkefni tekst til.
Undirrituð hefur einmitt verið fengin í hópinn sem draga á Auðkenni upp úr skúffunni og tryggja öryggiskröfurnar og persónuverndina frá lagalegu sjónarhorni. Vonandi berum við gæfu til þess að skila góðu verki þannig að persónuverndin aukist en rýrni ekki. Nóg er af aðilum sem rýra hana.
Elfur Logadóttir, 29.11.2007 kl. 15:59
Elfur, það gleður mig að heyra að sérmenntuð manneskja um upplýsingatæknilöggjöf sé fengin í verkið.
Marinó G. Njálsson, 29.11.2007 kl. 17:21
Ef, ef, ef og meira af efum. Fyrsta skref er notkun á rafrænum auðkennum/skilríkjum. Annað skref er að skylda alla til að nota þessi auðkenni í viðskiptum. Þriðja skrefið er að gera allar greiðslur rafrænar/seðla og mynt burt. Niðurstaðan verður algjört vald yfir fjármálum fólks. Ef engin misnotar svona kerfi og ef ekkert kemur fyrir/rafmagnsleysi tölvubúnaðinn þá verður allt í lagi.
Ég veit vel að rafræn skilríki og peningar eru ekki það sama en til að almenningur samþykki að taka seðla og mynt úr umferð þarf hann fullvissu um öryggi rafrænna greiðsla. Öryggi sem ekki er til staðar í dag eins og þú nefnir hér að ofan. Rafræn skilríka opna, eins og þú segir í fyrirsögn, dyr að nýjum tímum. Tímum þar sem fólk verður að sitja og standa eins og yfirvöld skipa fyrir um.
Björn Heiðdal, 2.12.2007 kl. 13:52
Björn, sá uppgangur sem hefur verið á Íslandi undanfarin ár, hefði verið ómögulegur ef seðlar hefðu verið notaðir í öllum viðskiptum. Í fyrsta lagi eru ekki til nægir seðlar og í öðru lagi hefði það hægt á öllu. Almenningur hefur þegar tekið það skref að draga úr notkun seðla og myntar með notkun greiðslukorta, vefbanka og rafrænna millifærslna. Það líða stundum mánuðir milli þess sem ég er með íslenska seðla í veskinu mínu. (Einhverra hluta vegna eru ég alltaf með evrur.)
Rafræn skilríki breyta því ekki að rafræna peningafærslur munu halda áfram að eiga sér stað. Þau munu auka öryggi þessara færslna. Að fullyrða að rafræn skilríki auðveldi yfirvöldum að skipa fyrir, er eins og að segja að notkun bílbelta geri yfirvöldum kleift að segja ökumönnum hvernig þeir eigi að haga akstri sínum. Ég trúi varla að nokkur haldi því fram, en það felst í orðum þínum með því að skipta öryggistækinu rafræn skilríki út fyrir bílbelti og athöfninni rafræn greiðsla fyrir athöfninni að aka bifreið.
Marinó G. Njálsson, 2.12.2007 kl. 14:22
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.