NemID medarbejdersignatur – Om anvendelse i private virksomheder

NemID Medarbejdersignatur. Det kan det bruges til.

Notat om NemID medarbejdersignatur udarbejdet til en større privat dansk virksomhed af Bjarke Alling, grundlægger af SmartSignatur – Afskaf Passwords


I Danmark kræver Digitaliseringsstyrelsen at alle danske CVR numre har minimum 1. stk. NemID medarbejdersignatur (teknisk kaldet MOCES). Denne medarbejdersignatur må ikke blandes med den private NemID signatur (teknisk kaldet POCES). De to signaturer hedder næsten det sammen og i tilfældet med nøglekort og central opbevaring af den private nøgle, er anvendelsesmetoden også den sammen.

Dette notat fokuserer kun på NemID medarbejdersignatur som nøglefil med lokal installation hos den enkelte medarbejder.

Formålet med en NemID medarbejdersignatur er at tillade at ejere, ledere, bestyrelsesmedlemmer og ansatte i virksomheder kan bruge NemID medarbejdersignatur, når de digitalt skal legitimere sig på virksomhedens vegne.

Essensen ved en digital signatur er at modtageren af en e-mail, en pdf fil eller en web service digitalt kan verificere at den pågældende bruger rent faktisk er den samme virkelige person.

Med en NemID medarbejdersignatur fremgår både brugerens- og virksomhedens navn samt virksomhedens CVR nummer direkte i signaturen. Indholdet i signaturen er digitalt konstrueret således, at en bruger ikke selv kan ændre på indholdet. Derved opnår modtageren af dataene 100% sikkerhed1 for at brugeren er den som signaturen siger vedkommende er.

 

Eksempelvis ser hovedoverskriften i min NemID medarbejdersignatur således ud:

Navn: Bjarke Alling
Email: ba@liga.com
Firma: LIGA ApS // CVR:31938260
Certifikat ID: CVR:31938260-RID:1299858196361

 

Det er valgfrit om e-mailadressen skal medtages. E-mail adressen er nødvendigt hvis en bruger skal kunne underskrive e-mails digitalt.

Det er væsentligt at fremhæve, at en NemID medarbejdersignatur er globalt anerkendt. Det vil sige at en medarbejder som eksempelvis underskriver en e-mail eller PDF med sin medarbejdersignatur og sender dette til en modtager hos en ekstern modtager ikke skal bekymre sig om hvorvidt signaturen er anerkendt. Dette er allerede sikret via et internationalt samarbejder alle store signaturudstedere imellem. Dette gælder Microsoft, Apple, Adobe, Oracle, Verisign men også alle de nationale udsteder såsom Nets DanID, D-Trust i Tyskland, SwissSign i Schweiz osv.

Formålet med dette notat er at belyse hvad en almindelige bruger i praksis kan bruge en NemID medarbejdersignatur til. Det vil sige, at logge på offentlige IT systemer, sende mails, underskrive dokumenter og kryptere/dekryptere data.

Læs også: Dørkort og it-sikkerhed smelter sammen i Faaborg Midtfyn Kommune.

I dag har alle medarbejdere et dørkort, som de skal bruge til at lukke sig ind i bygninger med. I fremtiden får de et medarbejderkort, der både fungerer som dørkort, men som også giver dem adgang til it-systemerne  – herunder de offentlige portaler, fordi det indeholder deres NemId medarbejdersignatur.

De generelle rammer for en NemID medarbejdersignatur

Den offentlige certifikatpolitik

Den offentlige certifikatpolitik (CP) beskriver de retningslinjer, der gælder for udstedelsen af et OCES-medarbejdercertifikat, hvor OCES er en forkortelse for Offentlige Certifikater til Elektronisk Service

Den digitale signatur kan anvendes, når en person er blevet identificeret og registreret hos et certificeringscenter (CA). CA tildeler et personligt elektronisk certifikat, indeholdende personens offentlige nøgle. CP’en stiller krav til, hvorledes og under hvilke vilkår, CA skal udføre disse opgaver

CPen – Den offentlige certifikatpolitik (OCES-medarbejder certifikater) findes beskrevet her:

https://www.nemid.nu/dk-da/digital_signatur/oces-standarden/oces-certifikatpolitikker/MOCES_Certifikatpolitik_version_5.pdf

I det efterfølgende er det væsentlig at der skelnes mellem certifikatindhaver og certifikatholder.

Den offentlige certifikatpolitik sætter altså rammerne for metoder omkring udstedelse, anvendelse og sikring af den enkelte NemID medarbejdersignatur. Overholder virksomheden ikke reglerne i denne politik kan myndigheden i yderste konsekvens spærre for alle medarbejdersignaturer i den pågældende virksomhed.

 

Password politik og håndtering

Af den offentlige certifikatpolitiks punkt 6.2 fremgår det at certifikatindehaveren skal sikre, at certifikatholderen opfylder blandt andet disse betingelser:

  • at tage rimelige forholdsregler for at beskytte de sikkerhedsmekanismer, der sikrer den private nøgle, mod kompromittering, ændring, tab og uautoriseret brug
  • at hemmeligholde adgangskoden, så andre ikke får kendskab til denne, omittering, ændring, tab og uautoriseret brug,
  • omgående at ændre sin adgangskode eller spærre certifikatet, hvis der opstår mistanke om, at adgangskoden er kompromitteret,

Af punkt 7.3.1 afsnit ” Generering og installation af certifikatholders nøgler hos certifikatholder” fremgå det yderligere:

  • den private nøgle er krypteret og beskyttet af adgangskoden,
  • adgangskoden til aktivering af den private nøgle genereres og indtastes i forbindelse med nøglegenereringen
  • den private nøgle er aktiveret, når certifikatholderen har angivet en adgangskode, der består af mindst 8 tegn og indeholder mindst et lille og et stort bogstav samt et tal.

 

Udstedelse og deaktivering

Dette punkt er vigtigt i forbindelse med integrationen mellem virksomhedens eget brugersystem og DanIDs udstedelsessystem af NemID medarbejdersignaturer

Af CPen fremgår det af punkt 6.2:

  • omgående at anmode om spærring og evt. fornyelse af OCES certifikatet, hvis indholdet heraf ikke er i overensstemmelse med de faktiske forhold,
  • Såfremt certifikatholders tilknytning til certifikatindehaver ophører, skal certifikatindehaver omgående meddele CA dette og anmode om spærring af certifikatholderens certifikat.

Netop denne spærring er meget vigtig. Når man implementere et PKI system er det helt centralt at man undervejs validerer at en brugers certifikat er gyldigt og aktivt. Et certifikat har – meget lig et betalingskort – 2 uafhængige standard værdier som individuelt afgør om en medarbejdersignatur kan anvendes:

  1. Det første er en gyldighedsperiode. For MOCES2 certifikater er denne 3 år. Et certifikat kan godt være udløbet, men stadigt gyldigt. Eksempelvis er dette tilfældet når ældre data skal dekrypteres.
  2. Det andet er selve certifikatet serienummeret – lig et betalingskorts kortnummer. Dette er en systemgenereret nummer som CA’en danner og hvis man sletter (spærre) et certifikat vil nummeret blive placeret på en spærreliste og certifikatet vil være ugyldigt i al fremtid.

Udenfor disse 2 værdier har man med den danske OCES certifikatstandard også inkluderet et RID nummer 2. Dette nummer er kan være et skyggenummer for et dansk CPR nummer. Med dette kan man sammenkæde et Medarbejdercertifikat med et CPR nummer. Et RID nummer bevares internt hos Nets hvis en medarbejdersignatur slettes og tilsvarende bevares det også når en medarbejdersignatur fornyes. Et RID går også på tværs hvis en brugere har flere signaturer. Eksempelvis både en nøglefil og en centralt opbevaret med nøglekort. Her er er RID nummeret det samme på begge certifikater.
Hvis man ikke ønsker en CPR tilknytning vil Nets fortsat skabe et tilfældigt RID nummer og nummeret vil fremgå af brugerens certifikat.

 

Rettighedsstyring

I standard PKI systemer vil brugervalidering først tage udgangspunkt i de 2 ovennævnte punkter, dernæst selvklart se nærmere på om det konkrete certifikat har rettigheder i det hele taget. Dette er en fin løsning, dog medfører den at når en bruger fornyer sit certifikat skal man også have fornyet sine rettigheder. Lidt som vi kender det fra nyt betalingskort, Så skal det opdateres i Brobizz, iTunes osv.

I Danmark kan man, på grund af RID nummeret, vælge bruge dette som bære ID. Dvs. først ser authentifikationssystemet på serienummer ift. spærreliste, gyldighed ift. datoer og endeligt på RID nummer ift. egentlige rettigheder.

 

Rettighedsstyring på Skat.dk

 

I billedet ovenfor ses hvordan brugerrettigheder etableres på skat.dk. bemærk anvendelsen af RID værdien. Efterfølgende skal man så tildele individuelle rettigheder til undersystemerne.

Generelt er det anbefalingen fra både Erhvervs- og Digitaliseringsstyrelsen til alle myndigheder som ønsker integration med den fællesoffentlige loginportal NemLogin, at de anvender RID nummeret samt ligeledes integrerer deres fagsystem med NemLogin Brugeradministration (kaldes dagligt FBRS). Dette er blandt andet tilfældet med NemRefusion. Hos Skat anvendes også RID, men de har deres eget rettigheds- og brugeradministrative system.

NemLogin Brugeradministration er et manuelt administreret system via en browserbaseret GUI.

Erhvervsstyrelsen tilbage i marts 2015 udgivet rapporten: ”Helikopteranalyse af virksomhedsområdet i forbindelse med næste generation af NemID.”3 Denne rapport har særligt fokus på erhvervsområdet og virksomhedernes behov, herunder rettighedsstyrring.

Det er vigtigt at understrege, at uanset hvordan rettighederne er sat for en specifik bruger vil det altid være brugerens certifikat der bestemmer om en bruger kan opnå login.

 

Hvad kan du bruge en NemID medarbejdersignatur til?

En medarbejder kan bruge sin NemID medarbejdersignatur til at identificere sig som medarbejder fra en bestemt virksomhed eller organisation – det er fx, når man:

  • Henvender sig til det offentlige på virksomhedens vegne.
  • Underskriver dokumenter både lokalt og online.
  • Får adgang til information fra en offentlig myndighed.
  • Logger på private webtjenester.
  • Logger på interne it-systemer (hvis arbejdspladsen tilbyder dette).

Man kan også anvende medarbejdersignaturen, hvis man vil sende og modtage sikre e-mails, der er krypteret eller signeret (digital underskrift) med en digital signatur.

 

 

Den almindelige anvendelse i dagligdagen

Adgang til offentlige IT systemer og private extranet systemer

Det mest almindelige en bruger vil gøre er at benytte sin NemID medarbejdersignatur til at tilgå offentlige IT systemer og ligeledes extranetløsninger hos private selskaber. Disse er eksempelvis, men ikke udelukkende, E-boks Erhverv – eboks.dk og Digital Post, Skat –  skat.dk, Virk – virk.dk samt et eksempel på en privat udbyder – revisionsselskabet BDO – bdo.dk.

Jeg har ved anvendelsen af et ægte produktions certifikat udstedt til brugeren ”Liga Test Bruger” gennemført en række logins til ovenstående websites. Udfaldet på alle sites var negativt. Det var ikke muligt for mig at tilgå eller ændre på data.

I alle tilfældene går login via den fællesoffentlige loginportal på enten nemlog-in.dk eller nemadgang.dk.

Log ind med NemID.

 

E-boks Erhverv på eboks.dk:

Eboks kræver at der sættes rettigheder særskilt for brugerne.

NemID Medarbejdersignatur til E-Boks.

 

Skat på skat.dk

På Skats side kan man logge ind, men man kan ikke gøre noget aktivt. Man kan læse de oplysninger man allerede kan finde direkte på cvr.dk. Skat kræver, at der sættes rettigheder særskilt for brugerne.

Medarbejdersignatur brugt på Skat.dk

NemID Medarbejdersignatur på Skat.dk.

 

Virk på virk.dk

Som på skat.dk kræver adgang på virk.dk at den pågældende medarbejdersignatur tildeles særskilte rettigheder.

Medarbejdersignatur på Virk.dk

NemID Medarbejdersignatur brugt på Virk.dk og viser ingen virksomheder.

 

Extranetløsning hos BDO

Sammen resultat som hos alle øvrige. Ingen adgang.

NemID for medarbejderen til BDO.

 

Sammenfatning af web adgang

Som det fremgår af ovenstående har jeg ikke stort held med at få adgang til væsentlige oplysninger og slet ikke kunne ændre på disse. Bagved de forskellige systemer ligger et rettighedssystem og det er i disse den reelle adgang administreres. Nets DanID og Nemlog-in.dk kan i nogle tilfælde tilbyde snitflader som gør at rettighedsadministrationen kan integreres via Identity Management med virksomhedens eget bruger- og rollesystem.

 

Andre anvendelsesformer for en NemID medarbejdersignatur

Som nævnt i indledningen kan en NemID Medarbejdersignatur anvendes til at andre formål end authentication til offentlige web systemer.

De mest typiske er digital underskrift af forretningskommunikation såsom PDF og MS Office dokumenter samt mest udbredt e-mails til både interne og eksterne modtagere.

Det er også muligt at bruge en NemID medarbejdersignatur i kombination med medarbejderens fysiske adgangskort til at etablere en sikker 2-faktor adgang til it-systemer. Dette både internt, men også fra hjemmearbejdspladser og ud fra felten.

Endelig kan en NemID Medarbejdersignatur også anvendes til kryptering og dekryptering af data.

 

Digital underskrift i Microsoft Office

Digital underskrift af Word dokumenter.

 

Digital underskrift af PDF fil

Digital underskrift af PDF'er.

 

Signeret og/eller krypteret e-mail i Microsoft Outlook

Tre enkle måder, I kan sikre jer mod CEO-fraud Outlook signeret mail

 

Login til Windows med fysisk adgangskort

Login til Windows med SmartSignatur.

 

Sammenfatning af andre anvendelsesformer for en NemID medarbejdersignatur.
Som det fremgår af eksemplerne ovenfor er der mange andre anvendelsesformer. I alle tilfældene er disse former almindeligvis en fordel for virksomheden ift. den digital sikkerhed. Dette gælder både identifikationen af den enkelte bruger, men også hvordan virksomhedens medarbejdere identificerer sig overfor eksterne samarbejdspartnere. Jo sikrere identifikation, jo højere tillid på både kort og lang sigt.

Afslutning

I dette notat har jeg kort gennemgået almindelig anvendelse af NemID medarbejdersignaturer
i en privat virksomhed med fokus på at belyse hvad en almindelige bruger i praksis kan bruge en NemID medarbejdersignatur til.

Min konklusion er at en NemID medarbejdersignatur kun kan anvendes til det den har rettigheder til ift. offentlige it-systemer og at den internt i virksomheden kan anvendes til sikker 2-faktor adgang og globalt anerkendt digital underskrift.

 

Bjarke Alling
+45 40 13 91 05
ba@liga.com