KIS - Ekspertseminar om BankID



Like dokumenter
Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

En praktisk anvendelse av ITIL rammeverket

ISO-standarderfor informasjonssikkerhet

Hvilken standard angår oss i arkivdanningen?

Sammendrag Evaluering

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

Skjema for spørsmål og svar angående: Skuddbeskyttende skjold Saksnr TED: 2014/S

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

DecisionMaker Frequent error codes (valid from version 7.x and up)

eidas sikker digitalisering av Europa

Standarder med relevans til skytjenester

Offshore Wind Turbine Support Structures. Erfaringer med å søke EU finansiering

Certificates of Release to Service(CRS)

EKSAMENSOPPGAVE I TTM4135 INFORMASJONSSIKKERHET

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

UNIT LOG (For local use)

NOKUTs krav til studietilbud. Tove Blytt Holmen, seniorrådgiver NOKUT

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Nasjonalt ID-kort og eid Sikker e-forvaltning

CSR Harvesting Final Meeting September, 2015 Brest, France. Anne Che-Bohnenstengel & Matthias Pramme, BSH

Common Safety Methods

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety

Welcome to RiskNet open workshop

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

TJENESTEAVTALER FOR OFFENTLIG DOKUMENTASJONSFORVALTNING

INF 5120 Obligatorisk oppgave Nr 2

Jan Krokeide Fagsjef boring - OLF. Kvalitetssikring av Brønn kontroll kompetanse

Capturing the value of new technology How technology Qualification supports innovation

Updated Articles of the EPCI NS8407

Informasjonsforvaltning - status, planer og Nordic Smart Government 3.0. David Norheim

Presentation on Technological Aspects of. National Informatics Centre

Ny personvernlovgivning er på vei

REMOVE CONTENTS FROM BOX. VERIFY ALL PARTS ARE PRESENT READ INSTRUCTIONS CAREFULLY BEFORE STARTING INSTALLATION

Veien til ISO sertifisering

Kort om IPnett. Henrik Jørgensen Solution Architect Tel Mob

Enhanced PEPPOL. Kristin Maltau, DNB Kjell Arne Rekaa, Sparebank 1 Lars Fixdal, IT Arkitekt Nordea

enorge 2009 og IKT i offentlig sektor

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Smart High-Side Power Switch BTS730

Fellestrekk og forskjeller i de ulike akkrediteringsstandardene

Company name: Åkrehamn Trålbøteri AS

Norwegian Ministry of Modernisation. Nytt fra PKI-forum. Kristian Bergem, Symposiet elandet Norge,

Opplæring i Miljøbevissthet

eidas ny lov om tillitstjenester og e-id-rammeverket revideres: Hva betyr dette for helsesektoren? Normkonferansen Jon B.

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

SEMINAR OM KLIMASPOR Standard Norge 26. mai Klimaspor til byggevarer Arne Skjelle Byggevareindustriens Forening

Høringsuttalelse Gjennomføring av EUs forordning om elektronisk identifisering (eid) og tillitstjenester

Lærerseminar. 13 august Dr. Espen Andersen Associate Professor Norwegian School of Management. Norwegian School of Management

Sertifiserting av skoler.

Hva er et styringssystem?

Workshop 2 - Endringer i regelverket for droner - Hva? Når? Hvordan?

Anbefalinger og standarder for PKI i helsesektoren

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI)

GDPR og samtykke. DSOP, 29. august 2017

Interaction between GPs and hospitals: The effect of cooperation initiatives on GPs satisfaction

eprocess Consulting AS Automatiserte dokument tjenester som forenkler hverdagen

C13 Kokstad. Svar på spørsmål til kvalifikasjonsfasen. Answers to question in the pre-qualification phase For English: See page 4 and forward

NOR/307D T OJ L 67/07, p

CYBER SECURITY AUTONOME SYSTEMER. Marie Moe, forskningsleder for Cyber Security,

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Great European Bank. Mona Skarpnord Head of Deposit and Loan Products Norway

Nasjonalt eid-program

From Policy to personal Quality

Veikart Standardiseringsrådet

Luftfartstilsynets funn under virksomhetstilsyn.

Trådløssamling NORDUnet Stockholm Tom Ivar Myren

AvtaleGiro beskrivelse av feilmeldinger for oppdrag og transaksjoner for KID bytte kvitteringsliste L02625 levert i CSV format

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Security events in Norway

1 BANESTRØMFORSYNING TOGVARMEANLEGG KONTAKTLEDNINGSANLEGG... 5

Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly

ISO 9001:2015 Endringer i ledelsesstandarder

EXAM TTM4128 SERVICE AND RESOURCE MANAGEMENT EKSAM I TTM4128 TJENESTE- OG RESSURSADMINISTRASJON

Feiltre, hendelsestre og RIF-modell

Independent audit av kvalitetssystemet, teknisk seminar november 2014

Karakteren A: Fremragende Fremragende prestasjon som klart utmerker seg. Kandidaten viser svært god vurderingsevne og stor grad av selvstendighet.

Fjerning av offshore-konstruksjoner - Hva kan vi lære (JIP)? Anette Pedersen, Ingar Scherf, Gudfinnur Sigurdsson

Nasjonale fellesløsninger i effektivt samspill med sak- og arkivsystem. Torgeir Strypet

REVISJON AV COMPLIANCE-PROGRAMMER

Erfaringsseminar Scandic Hell, Stjørdal. 18 oktober, 2017

Erfaringer fra en Prosjektleder som fikk «overflow»

Begrenset Fortrolig. T-2 Erik Hörnlund Deltakere i revisjonslaget Arne Kvitrud, Terje Andersen og Erik Hörnlund

Gibraltar Solvency II Questionnaire responses. Michael Oliver Head of Insurance Gibraltar FSC 30 th September, 2009


Neste generasjon ISO standarder ISO 9001 og ISO Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

MID-TERM EXAM TDT4258 MICROCONTROLLER SYSTEM DESIGN. Wednesday 3 th Mars Time:

Hva er en standard, hvem eier den og hvordan blir de til? Bjørnhild Sæterøy Standard Norge

Transkript:

www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009

Tema til diskusjon Agenda punkter Kritisk analyse av digitale signaturer i BankID og graden av ikke-benekting ("non-repudiation") Drøfting av behovet for en uavhengig tredjepart ("trusted third party") Drøfting av behovet for en uavhengig analyse av BankID før systemet eventuelt blir tatt i bruk som et nasjonalt ID-system 2

Bakgrunn Noen momenter / observasjoner som har fremkommet Hole et. al. a) bruk av fødselsnummer muliggjør effektive DDos angrep (velg mulige F. nr. gjett engangspassord og passord => blokkerer nesten alle IDer) b) variabel (lav) autentiseringsstyrke ~ to faktor (inkl svake passord) c) Man in the Middle (MitM) angrep er enkelt / mulig grunnet ubeskyttet adresse informasjon d) non-rep tjeneste bruker ikke en TTP e) sluttbrukere har ikke tilgang til teknisk info om nrep 3

Tolkning av observasjoner Aspekt a) F nr b) 2 fa c) MitM d) Ikke TTP e) Doc Teknologi / design x x x Sikkerhet x? Organisasjon x? Documentation x Ressurser (pers, utstyr) a) gjelder for alle som bruker F. nr som identifikator b) spesifikk for BankID (!) c) design / implementasjon (et spesielt BankID problem?) d) spesiell relasjon BankID Bank (men ikke BankID kommune) e) gjelder alle CAer under selvdeklareringsregime (intil videre) 4

Generell litteratur / bakgrunn Tema til diskusjon e-signatur lov og forskrift QC doc, oversikt følger noe offentlig fra BankID (White Paper) Utfordringer: relasjonen til andre land og nasjonale utstedere lik behandling av ID utstedere i det Norske markedet behov for analyse eller sertifisering (politisk vilje?) 5

Standards and dimensions of eid Legal aspects (responsibility, liability, ) Procedural aspects (routines, procedures, doc, ) Technical aspects (security, crypto, cert content,...) In the following the scope is issuing Certificates / e-id in general, i.e. it is not specific to BankID and it is not about digital signatures Legal Technical Procedures 6

Legal Regulation CP, CPS, Internal Doc Norske forskrifter Lov om behandling av personopplysninger Lov om elektronisk signatur EU Directive 1999/93/EC 7

Procedures: Quality and Security Assurance e-signatur Lov & Forskr CA/RA: CP, CPS, EU DIRECTIVE ETSI 101 456 ISO 27001-2 ISO CC ISO 9000 8

PKI Off sektor Technical: Interoperability and Security SEID CA/RA: CP, CPS, Lov & Forskrift EU Directive ETSI 101 862 ETSI 102 280 RFC 3039 RFC 3280 X.509 v3 LDAP X.509 X.500 9

Technical Infrastructure RA CA; example internal Structure Front End Monitoring CA Cust db R! R! R! Routines, Proc Spec, Design Routines, Proc Spec, Design R! R! R! LDAP / OCSP (CPS) Certification Practice Statement (CPS) Certification Policy (CP) External Std & Reqmts CP? 10

Requirements, review / audit INPUT: all of the above => high COMPLEXITY!! ITU, ETSI, IETF SEID, PKI i offentlig sektor; Person Std. / Høy Norsk Lov (E-signatur, Personopplysningsloven, ) Match against Analysis of CP (often only external document) Business model CPS Requirements Technical Specifications, Design documents Security Analysis Installation doc, Routines and Procedures Security Review Operational doc (log, audit, training, ) Security Audit Purpose: Consistency check of all documents and operations relative to the external and internal requirements Questions is it necessary with third part review? ( not mandatory, but very useful!) if yes; under what regime? ( similar to CC certification?) at what level of detail? ( all, but some by internal QA) by who (? ) 11

PROs & CONs Argumenter FOR ekstern revisjon / sertifisering av QC, SEID, P. Høy Grunnleggende sikkerhetstekniske mekanismer i samfunnskritisk infrastruktur er uten reelt teknisk innsyn / tilsyn med dagens ordning (selvdeklarering) kompleksiteten i systemene er MEGET STOR systematisk og detaljert gjennomgang hever sikkerheten ulike tekniske løsninger under samme regulativ skal gi (tilnærmet) samme sikkerhetsnivå mer enhetlig håndtering av alle ID / Signatur leverandører enhetlig kostnadsnivå for leverandørene Argumenter MOT kostnadsdrivende leverandørene har allerede gode (nok) QA regimer mer? Det offentliges rolle Etablere mandat til å opprette sertifiseringsordning Kompetanse for å opprette og drive (?) organisasjonen Finansiering (i begynnelsen) 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding