Sikker Digital Identitet

Digital iden
titet

Med digitaliseringen har vi ikke længere elementer som en genkendelig håndskrift, stemmen i telefonen og at være fysisk tilstede, når vi kommunikerer med andre mennesker.

Fravær af disse identifikationsmetoder har åbnet for nye kriminalitetsformer og medført, at vi som samfund er blevet sårbare over for nye typer af svindel og bedrageri via vores computere.

Sikker digital identitet er et nøgleelement når man som virksomhed skal beskytte sine data, og der er i hverdagen mange spørgsmål.

Er jeg den, jeg siger jeg er?
Er mine fortrolige udskrifter, fortrolige?
Overholder vi loven?

GDPR, eIDAS, NIS, PSD2 og NSIS

Med opblomstringen af et stigende antal cybertrusler er behovet for at have en sikker digital identitet blevet afgørende for at leve op til de seneste lovkrav, der stilles til både private og offentlige virksomheder og organisationer. Lovkrav, der kan findes i både de europæiske GDPR-, eIDAS-, NIS-, PSD2-love og den danske NSIS-standard.

På forskellig vis stilles krav om, hvordan både digitale identiteter skal dannes, men også hvordan de administreres og anvendes af brugerne. Typisk veksles mellem mere tekniske krav såsom fysiske ID-krav i forbindelse med brugeroprettelse og 2-faktor validering til login. Til de mere administrative krav, at der er truffet passende tekniske foranstaltninger, og at der foretages kontinuerlige risikovurderinger.

I takt med at borgere og medarbejdere skal bruge login til stadigt flere internetsider, stiger deres irritation over at skulle holde styr på den voksende mængde af passwords – en databeskyttelsesmetode, som myndigheder og sikkerhedsansvarlige ikke længere anser for at være tidssvarende eller tilstrækkelig sikker.

Lovgivning

Sikker digital identitet er særdeles vigtigt i forbindelse med de seneste lovkrav der stilles til både private og offentlige virksomheder og organisationer. Disse krav findes i de europæiske GDPR, eIDAS, NIS, PSD2 regler og den danske NSIS standard. Her stilles krav om hvorledes digitale identiteter skal dannes, men også administreres og anvendes af brugerne.

Der veksles mellem mere tekniske krav så som fysiske ID krav i forbindelse med brugeroprettelse og 2-faktor validering til login og mere administrative krav, såsom der er truffet passende tekniske foranstaltninger og om der foretages kontinuerlige risikovurderinger.

Livscyklus

Mange brugere begynder deres relation med deres organisation med en registrering i løn- og personalsystemet. Dette er et godt udgangspunkt, men ikke tilstrækkeligt til at brugeren er oprettet på niveau “betydelig” eller “høj”. Brugeren skal selv bekræfte sin identitet med 2 faktorer fra mindst 2 forskellige kategorier. I hverdagen skal de anvende 2-faktor metoder til digital adgang.

Ofte ændrer ens opgaver sig og man har behov for ændringer i måske ens overordnede roller, men også i de mere specifikke rettigheder. Sådanne ændringer skal kunne varetages direkte af brugerne med efterfølgende godkendelse af en rettighedsejer. Fratræder man sin stilling skal systemet automatisk sikre, at alle digitale og fysiske adgange lukkes eller deaktiveres.

Med nationale og internationale krav til niveauet af brugeridentiteten er det centralt, at hele livscyklus forvaltes og administreres på samme eller højere niveau.

Arkitektur

Sikker digital identitet kræver, at ens interne it-systemer er godt forbundne, og at de automatisk – og gerne i realtid – bi-direktionalt synkroniserer data om brugerne. Den primære brugerdatabase skal udover de elementære brugerdata også kunne håndtere både roller og tilhørende rettigheder og ekstra udvidede brugeroplysninger, certifikater og login-credentials.

En bruger kan have flere roller i ens organisationer og det underliggende it-system skal kunne rumme denne udfordring. Det bliver særligt vigtigt hvis fokus er at opnå niveau “betydelig” eller “høj” jf. NSIS/eIDAS.

I tillæg til en avanceret brugerdatabase skal der også være en “Identity Provider (IdP)” til at varetage single sign-on (SSO) forbindelser til både interne og eksterne it-systemer. Endeligt skal der være central logging kombineret med og compliance værktøjer til analyser og rapportering.

Dagligdagen

Hverdagen for den digitale bruger skal være brugervenlig og overholde de it-mæssige sikkerhedskrav. Det er to kræfter der ofte trækker hver sin vej.

En sikker digital identitet kan rumme disse krav og medfører, at brugeren i dagligdagen har en let og sikker digital adgang med fuld 2-faktor adgang, kan underskrive dokumenter og e-mails med digitalt blæk, kan kryptere og dekryptere data når det kræves og endelig oplever, at adgang til andre it-systemer sker med single sign-on.

For at hverdagen opleves let og smidig, er det bedst, når både den fysiske og digitale adgang er kombineret. Det forbygger at adgangskort deles og at print kan ses af andre brugere. Samtidig betyder det også, at ens PC låses automatisk når man forlader sin PC.

Brugerens digitale livscyklus

1. Opret

Integreret og automatiseret brugeroprettelse.

2. Udsted

Selvbetjening for brugerne alle ugens dage, døgnet rundt.

Identity lifecycle

3. Anvend

Brugervenlig og sikker digital 2-faktor adgang i hverdagen.

4. Revidér

Overholdelse af interne regler og eksterne lovkrav.

Aula og 2-faktor sikkerhed

Liga har udarbejdet et whitepaper for at beskrive, hvorledes kommuner og institutioner kan opnå sikker adgang til Aula i overensstemmelse med Digitaliseringsstyrelsens vejledning til overholdelse af kravene. Beskrivelsen er tænkt som en hjælp til IT-afdelinger og IT-ansvarlige i kommuner og institutioner. Læs mere om Aula og 2-faktor sikkerhed her eller download whitepaperet nedenfor.

Et nyt fundament for IT-Sikkerhed

Det bliver stadig mere krævende for virksomheder og myndigheder at håndtere IT-sikkerhed i takt med, at flere opgaver bliver digitaliseret. Her er derfor behov for en helt ny tilgang i den måde vi tænker på IT-sikkerhed – og for, at sikker digital identitet afløser usikker analog identitetskontrol.

Ved at kombinere effektiv brugerstyring og cybersikkerhed kan man eliminere en lang række af de sikkerhedsbrister, som hærger virksomheder og offentlige organisationer. Kombinationen af brugerstyring og cybersikkerhed kan give brugerne en sikker digital identitet, som blandt andet gør passwords helt overflødige. Dermed bliver en række IT-sikkerhedstrusler helt irrelavante eller reduceres til et minimum.

Hvidbog sikker digital identitet

Hvidbog om sikker digital identitet

Hvidbogen beskriver de komplekse udfordringer virksomheder, organisationer og kommuner stilles overfor, når de skal håndtere sikker adgang til data og it-systemer i en virkelighed, der bliver stadigt mere digitaliseret og reguleret. Download hvidbogen gratis og få 49 sider om sikkerhed, brugervenlighed og compliance.

tiltet whitepaper
Get the Whitepaper

A World with Validated Identities

Securing all user accounts is the most urgent cyber security issue for any organisation. This whitepaper from German analysts KuppingerCole discusses the approach to operationalizing validated identities, to enable more efficient work while significantly increasing security.

When you download our whitepaper, you also agree to be subscribed to our newsletter, which you can unsubscribe at any time.

NSIS & NemLog-in3

KAMPAGNEPRIS

Anskaf din NSIS eller NemLog-in3 løsning til særpris netop nu, hvis du arbejder kommunalt eller i uddannelsessektoren.

Want to see it live?

Let us show you how GlobalID actually works! Fill in your details and we’ll get back to you to find a date for an online demo that fits your calendar.