Alla säkerhetschefer minns stressen som GDPR-anpassningen innebar. Att hantera data kopplad till passerkontrollsystem och ID Management-lösningar så att de svarade upp till GDPR-kraven innan de blev svensk lag den 25 Maj 2018 var en utmaning. Nu stundar nästa prövning då NIS-direktivets krav ska implementeras för att förbättra systemens resistens mot identitetsstöld. 2025.
NIS-direktivet har formulerats av EU-ländernas gemensamma cybersäkerhetsorgan Enisa. Det kommer att gälla som lag från och med 2025.
Bristande kunskap
Det finns många minor i GDPR-fältet och konsulterna – som vanligen är de som ritar upp hur man ska manövrera sig fram – har ofta väldigt dåligt uppdaterade kartor över GDPR-terrängen. Specificeringar enligt gamla strukturer kan helt enkelt inte användas då de inte de inte har tagit höjd för dagens skriande behov för skydd den personliga identieten.
Slutkunder har sålunda kunnat köpa det som närmsta säljare av passersystem eller konsult har presenterat och i de flesta fall har det som installerats inte varit kompatibelt med lagstiftningen. Vid revision löper innehavarna av dessa system stor risk för dryga sanktoner från lagstiftarna.
Bakgrunden till NIS
Långt innan GDPR blev en generell lagstiftning som berör alla som verkar i EU, drevs arbetet med att skydda personlig identitet av länder som Frankrike, där man redan många år innan GDPR kom i bruk, hade en lagstiftning rörande identitetsskydd. De franska myndigheterna var också de som reagerade på den nya EU-lagstiftningen och efterfrågade en tydligare bild till hur man i olika system skulle bli GDPR kompatibla. Detta ledde till att den franska cybersäkerhetsmyndigheten Agence Nationale de la Sécurité des Systèmes d'information (ANSSI) i uppdrag att skapa en norm i tydliga steg beskrev hur man ska bygga system som säkrar skydd av den personliga identiteten. Det arbetet ligger nu som grund för NIS-direktivet.
Risk för identitetsstöld
I NIS-direktivet handlar det inte bara om hur man förvarar, skyddar och använder direkt identitetsinformation som exempelvis biometriska signaturer, utan även de algoritmer som sänds i ett passersystem för att länka personen med systemet som då blir identitetsrelaterad information.
Exemplet kan tydliggöras ännu mer om vi tar det i dagligt bruk:
En firma gör en biometrisk lösning där den biometriska signaturen lagras i en hårdvara, system eller i molnet. Man hävdar då att lösningen är säker och godkänd då den är krypterad och ingen kan läsa informationen som lagras i ett EU-land. Kanske betonas också att tillverkaren eller lösningens leverantör är ett känt företag med hemhörighet i ett EU-land. Men fortfarande finns en problematik i frågan om vem har tillgång till nyckeln. För om lösningen säljs till ett land som är tämligen ointresserad av den europeiska GDPR-lagstiftningen så har de tillgång till användarnas biometriska värden , det vill säga identiteten.
I värsta scenariot lagras personers biometriska signatur li en molnbaserad lösning som kan komma att köpas av högstbjudande.
NIS kompletterar GDPR
GDPR kommer nu att få en hjälpande hand i NIS direktivet som de europeiska ländernas gemensamma cybersäkerhetsorgan, ENISA, tar fram just nu. Direktiver kommer att introduceras i Januari 2023 och alla länder har sedan två år på sig att implementera det som direktivet kräver och som blir lag 2025.
NIS tydliggör identiteter i ett passersystem kan och ska skyddas. Exemplet med den biometriska signaturen, är bara en variant på på hur identiteter i ett passewrsystem kan komma på drift.
Säkerhet mot kloning
I ett passersystem lagras ofta en kort bit sträng av data mellan 26 till uppåt 200 bitar som passerar från kortet , genom läsaren till de inom säker zon installerade undercentralerna. Detta flöde av identitetsrelaterad information ska enligt NIS vara skyddad där det förvaras, det vill säga i kortet eller kanske i mobiltelefonen. Den ska vidare skyddas in till läsaren och därefter upp till undercentralen utan möjlighet till att kunna stjälas och missbrukas.
Här gäller det att man har ett kodmedia som är säkert och inte medger till exempel kloning av kortet. Vidare ska det finnas en kryptering som säkerställer att man inte kan stjäla informationen på väg mot läsaren, i läsaren eller på väg till undercentralen.
NIS – tre säkerhetsnivåer
Här kommer i NIS finnas tre säkerhetnivåer.
1. Den önskvärda nivån som kommer att vara så kallat ”transparent mode” där inga nycklar finns i perifera enheter, såsom kort läsare. Kryptokortet lagrar informationen säkert och talar direkt , transparent genom läsaren direkt med undercentralen med högsta möjliga säkerhet.
2. Den acceptable nivån där man lagrar och till läsaren överför informationen säkert på kortet men kommunicerar med kortläsaren där nycklar förvaras i läsaren på ett säkert sätt och raderas vid tamper larm. Därefter tas den identietsrelaterade informationen mellan läsare och undercentral på ett säkert sätt.
3. Den icke-godkända nivån där någon del av kedjan är osäker såsom osäkra kortmedier och överföringar.
Ansvaret ligger hos säkerhetscheferna
Det är av högsta vikt för säkerhetschefer att se om och säkerställa att deras verksamheters säkerhetssystem är kompatibelt med dessa nya lagsstiftningar och att påbörja arbetet redan nu för att slippa hamna i ett läge så som många gjorde inför GDPR-lagens införande 2018. Säkerheten måste man ligga på minst EAL5+ säkerhetsnivå. i alla lägen vad gäller kortmedia, nycklar i läsare och överföringar på minst EAL5+ säkerhetsnivå.. Ett bra sätt att orientera sig om lagstiftningen är att logga in på enisa.europa.eu som tillhandahåller den information som behövs.
Robert Jansson
Director of sales at Stid Security,
Nordics, Eastern Europe and South Africa.
Global
