Europa er udfordret på den digitale sikkerhed. Det er under den pandemisk accelerede transformation af vores måder at arbejde og samarbejde på blevet endnu mere tydeligt. Samtidig står EU’s cybersikkerhedsdirektiv NIS2 foran en skærpende revision, hvilket får store konsekvenser for den private sektor. GlobalID’s potentiale som del af løsningen er blevet underkastet et eksternt kritisk blik og har bestået.
Status på cybersikkerheden i EU
Både politisk og i den private sektor er der en overordnet erkendelse af, at cybersikkerheden i EU udgør et voksende problem. Det er medvirkende faktor til, at EU barsler med en markant skærpelse af både krav og sanktioner.
For at komme et spadestik dybere, konkretisere konsekvenserne og endelig få en vurdering af, om Ligas GlobalID kan være med til at løfte de voksende udfordringer på europæisk niveau, bad vi i sommeren 2021 det internationale analyseinstitut KuppingerCole om at udarbejde en analyse, der inkluderede en benchmarking af vores løsning. En benchmarking, vi bestod.
Det er en kendt sag, at Danmark på flere led er langt foran vores europæiske naboer, når det kommer til national digitalisering. Drevet af en meget progressiv offentlig strategi, men fulgt godt op af den private sektor. Imidlertid udgør det europæiske efterslæb en voksende udfordring, da dansk erhverv er afhængig af at kunne arbejde, handle og samarbejde grænseoverskridende.
Dette er en problematik, der kræver at blive adresseret. Og derfor valgte Liga at bede KuppingerCole om at anlægge et overordnet europæisk perspektiv, komme med anbefalinger og som en delmængde af dette vurdere, om GlobalID kan bidrage til løsningen.
Manglende fundament
KuppingerCole identificerede hurtigt, at en udslagsgivende faktor i negativ forstand, både for tillid, sikkerhed, tempo, effektivitet og i sidste ende udnyttelsen af mulighederne ved digitalisering, er den manglende implementering af eIDAS – den europæiske standart for brug af validerede digitale identiteter, der er knyttet til og følger individet. Alle andre initiativer til beskyttelse og værn imod trusler bygger på dette fundament, men alligevel bliver alt for sjældent anvendt.
3 alvorlige udfordringer
KuppingerCole peger i deres analyse på tre udfordringer, som følge af manglende implementeringer eIDAS. Ved at peger på disse tre udfordringer, understreger KuppingerCole, at der er mere på spil end et umiddelbart behov for sikkerhed og beskyttelse.
1. Sikkerhed
Øverst på listen over udfordringer står dog – naturligvis – sikkerhed.
KuppingerCole påpeger, at alt for mange virksomheder ikke har omstillet sig til en ny hybrid virkelighed, hvor de ydre grænser ikke længere er skarpt definerede. Konstant skiftende og nye samarbejdspartnere, leverandører og medarbejdere, der er spredt over store afstande og på tværs af nationale grænser skal løbende onboardes med forskellige grader af adgang til de digitale systemer og platforme fra skiftende devices.
KuppingerCole anbefaler kraftigt, at virksomhederne udskifter deres gamle praksis og helt forlader metoden med onboarding og efterfølgende validering, der er begrænset til brugernavn – typisk en offentligt kendt mailadresse – og blot et password, og overgår til en metode med sikker identifikation.
2. Management, compliance & governance
Den manglende implementering af eIDAS og brug af services, der giver adgang til et netværk af validerede digitale identiteter gennem en fyldestgørende identifikations- og valideringsproces og ajourføring, medfører dels en enorm sikkerhedsmæssig blottelse, men samtidig en kraftig belastning af de administrative medarbejdere, der er tvunget til at varetage onboarding, identifikation og validering som en repetitiv manuel opgave.
Efterhånden som netværket af medarbejdere, samarbejdspartnere, leverandører og kunder vokser i omfang og kompleksitet, bliver denne opgave fuldstændig overvældende med den fatale konsekvens, at en compliant access management enten bliver negligeret, bliver åben for fejl grundet krav om manuel håndtering eller blindt adopterer ikke-verificerede data fra en ekstern part. Alt sammen i direkte modsætning til det grundlæggende princip om Zero Trust: Never Trust – Always Validate.
Praksis med manuel håndtering af digitale identiteter og manglende implementering af praksis for sikker validering – både ved onboarding og som del af lifecycle management af digitale identiteter – udgør et alvorligt sikkerhedsproblem for alle virksomheder, der reelt ikke kan vide, om de digitale identiteter, der er knyttet til netværket af medarbejdere, samarbejdspartnerne og leverandører i deres AD, er valide. I henseende til compliance og governance kan de således stå med en udfordring for korrekt redegørelse for, om reglerne overholdes.
For virksomhedens dataansvarlige beslaglægger opgaven stadig flere ressourcer, hvilket forsinker, fordyrer og ultimativt blokerer for udvikling og vækst. Men fremfor alt øger det risikoen for it-sikkerhedsbrud.
For deres samarbejdspartnere – det kunne være danske virksomheder – medfører dette en potentiel åbning for sikkerhedsbrist, da den manglende validering af digitale identiteter betyder, at man ikke nødvendigvis kan fæstne tillid til de identitetsdata, partneren har knyttet til sine medarbejdere.
3. Tillid, samarbejde og vækst
Hvor de to første udfordringer er umiddelbart åbenlyse, adresserer KuppingerCole også den udfordring, der ligger som en afledt effekt, men som er mindst lige så alvorlig, og som peger tilbage til motivationen for formuleringen af eIDAS helt tilbage i 2014.
Samarbejde på tværs af grænser, handel og udveksling af services såvel som offentlige institutioners interaktion er fuldstændig afhængig af tillid. Tilsvarende er fremtidigt samarbejde mellem både offentlige og private aktører og deraf mulighed for vækst afhængig af, at den digitale transformation accelereres for at kunne bevare konkurrenceevne. Forudsætning for begge er sikkerhed og transparens.
Fundamentet for dette, fastslår KuppingerCole, er validerede digitale identiteter.
GlobalID i europæiske perspektiv
Ligas GlobalID er specifikt designet til at give aktører adgang til implementering af standarderne formuleret med eIDAS og etablering af et netværk af validerede digitale identiteter. I analysen vurderer KuppingerCole, om GlobalID som service kan bidrage til at løse den voksende cybersikkerhedsudfordring.
Om behovet for en service, der sikrer en automatiseret etablering af validerede digitale identiteter skriver KuppingerCole bla.:
”By harnessing a network of verified identities, verification can be delegated to the individual, and reused many times in different contexts: firstly for their personal banking, financial relationships, or citizen ID, then reused during onboarding as an employee, supplier, or contractor. Once verification has been established, the organization must only validate the identity data, with other processes building off that, such as CIAM. But the beginning part of the trust relationship must begin well, with verification of the identity and validation of the identity data”.
I lyset af dette konkluderer KuppingerCole, at GlobalID vil være en væsentlig ressource til at løfte opgaven:
”GlobalID from Liga enables the use of trusted identities for enterprise workforce use, beginning with identity data validation at the time of onboarding (…) GlobalID enhances the digital lifecycle by using validated identity data for onboarding on through use and review of the identity at the organization”.
Det skyldes ikke mindst den omfattende identifikations- og valideringsproces:
”GlobalID (…) is a cybersecurity platform to harness trusted identities for enterprise workforce use. It is designed to connect to identity sources – Microsoft Active Directory, Micro Focus eDirectory, SAP, systems used by Human Resources departments, and more – with validation systems – like eID, passport and video identification, and others – with authentication factors – including certificate authorities (CA), tokens, and apps – and identity providers (IdPs). With GlobalID, organizations validate the identity of their workforce against data that suits the LoA required, including passports, eID, and video identification. Authentication tokens are then issued by external or internal CAs or can get verified against existing systems like Azure MFA”.
Anbefalinger
Analysen fra KuppingerCole er omfattende og giver et godt indblik i de udfordringer, vi står overfor.
På opfordring fra Liga indeholder den imidlertid også en liste med leverandør-agnostiske anbefalinger, der umiddelbart kan bruges til at sætte retningen for en implementering af sikker og effektiv praksis for afgang til og udnyttelse af validerede digitale identiteter.
Analysen og anbefalingerne fra KuppingerCole ligger tilgængelig som whitepaper og kan downloades nedenfor. Du kan se mere om Liga GlobalID her.
Om KuppingerCole
KuppingerCole, grundlagt i 2004, er et internationalt, uafhængigt analyseinstitut med hovedkontor i Europa. De er specialiserede i udarbejdelse af neutrale analyser og ekspertrådgivning inden for Informationssikkerhed, Identity & Access Management (IAM), Governance (IAG), Risk Management & Compliance (GRC) samt alle områder vedrørende digital transformation. https://www.kuppingercole.com/
Download whitepaper
Klik på knappen nedenfor for at åbne whitepaperet i din browser. God fornøjelse med læsningen.