Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Transkript

1 Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

2 Vilka är vi på scen? Fredrik arbetar som konsult för E- legitimationsnämnden, främst med frågor som rör säkerhet och tillit. Han har även varit drivande inom arbetsgruppen som tagit fram genomförandeakten för tillitsnivåer kopplad till eidas-förordningen. Fredrik ingår E- legitimationsnämndens granskningsgrupp, som granskar och följer upp säkerheten bland samtliga utfärdare av Svensk e-legitimation. Ser sig själv som en pragmatisk säkerhetsnörd som har varit verksam i branschen i över 30 år. Grundade och driver det oberoende informations- och ITsäkerhetsföretaget Certezza som i dagarna fyller 20 år. Står likt bolaget med ett ben i informationssäkerhetsområdet och med ett ben i IT-säkerhetsområdet. Fredrik Ljunggren, Kirei Thomas Nilsson, Certezza Har arbetat med IT och säkerhetsfrågor sedan Bl. a 5 år som operativ risk manager på Värdepapperscentralen (VPC) samt på Finansinspektionen som it- och riskexpert med fokus på våra storbanker. Idag ansvarig för informationssäkerhet och kvalitetsgranskningen av nya utfärdare av e-legitimation. Anser att arbete kring operativ risk och skydd mot cyberhot i nationellt systemviktig infrastruktur är det som får pulsen att slå något extra slag, i positiv bemärkelse. ;) Mattias Dandoy, E-legitimationsnämnden

3 Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. - Varför och för vem?- Agenda: Historik: Varför behov av tillit för eid? Standarder inom området? Varför eget tillitsramverk i Sverige? Erfarenhet från verkligheten Utrymme för diskussion med publiken

4 Reglering på e-legitimationsområdet Tillitsramverket skapar förutsättningar för samarbete Överenskomna skyddsnivåer för e-legitimationer Samarbetet regleras genom ett civilrättsligt avtal där tillitsramverket ingår som en del Svenska tillitsramverket anger bestämmelser på hög nivå riskbaserat teknikneutralt inte direkta tillvägagångssätt kravställning utifrån svenska förhållanden, sedvanor och bruk Samarbetet kräver förutsebarhet, långsiktighet och flexibilitet

5 Internationell utblick 1999/93/EC De fyra tillitsnivåerna STORK QAA Kantara IAF aspekter i e-förvaltning ISO (M-04-04) allmän vägledning NIST SP Metoder för kravuppfyllnad Ackreditering & Certifiering

6 eidas och det svenska tillitsramverket Båda är ändamålsinriktade (ej tillvägagångssätt) anger bestämmelser på samma nivå eidas low, medium och high svarar 1:1 mot svensk tillitsnivå 2, 3 och 4. Båda ledsagas av vägledningsdokument som utvecklar avsikterna bakom respektive bestämmelse eidas innehåller dessutom skrivningar för att inkludera andra länders traditioner och sedvanor gör det i praktiken till det första internationella tillitsramverket

7 Grundläggande att rama in nivåerna av tillit Nivå 1 Låg tillit till identiteten Obekräftad användare (självregistrerad) Lågt entropikrav på lösenord Nivå 2 En viss tillit till identiteten Bekräftad användare Högt entropikrav på lösenord Nivå 3 Hög tillit till identiteten Kontrollerad användare 2-faktor autentisering modesta krav Nivå 4 Mycket hög tillit till identiteten Verifierad användare 2-faktor autentisering mycket höga krav Den allmänna uppfattningen är att här är vi hyggligt överens

8 Hur mäta det som ofta är grundläggande? stark autentisering Källor: ELN 0700, STORK 2.0, Kantara IAF, ISO/IEC 29115, NIST SP800-63

9 Vanliga arenor (dvs inte parrelationer) edugain Kalmar2 LoA3 isch eidas LoA0-1 (LoA2) Skolfederation LoA1-LoA2 SWAMID Sambi LoA3 Det är inget större problem att verka på flera olika arenor, men om de använder olika ramverk, såväl tillit som teknik, som inte är harmoniserade så är det både betungande och kostsamt att nå effektmål såsom ömsesidig tillit, rättssäkerhet och single-signon.

10 Frågestund om tid finnes