Et spørsmål om identitet

For informasjonssikkerheten er spørsmål om identitet og verifiseringen av ID meget viktig når vi skal avgjøre hvem som har rettmessig tilgang til informasjon eller adgang til å foreta f.eks. transaksjoner. Når spørsmålet så dukker opp om hvorvidt vi i det hele tatt kan stole på identifiseringen har vi utfordringer for informasjonssikkerheten.

I lommeboken vår har de aller fleste av oss et eller flere hjelpemidler til å identifisere oss ovenfor andre når det skulle være behov for å gjøre dette.
Hjemme har vi sannsynligvis også et eller annet som skal kunne hjelpe oss til å sikkert kunne betale, kommunisere eller produsere på nettet.

Diskusjonene har pågått i lang tid over hva som er sikre måter å gjøre dette på og utviklingen av nye hjelpemidler går stadig fremover. Samtidig utnyttes mangler og svakhetene av aktører til å skaffe seg informasjon eller materielle verdier ved å utnytte systemer og personer.

Norsk senter for informasjonssikring (NorSIS) gjennomfører i disse dager sin årlige id-tyveri konferanse. NorSIS leder et ID-tyveriprosjekt som over tid har arbeidet med å adressere svakhetene knyttet til id-tyveri, våre identitetskort og hvordan vår identitet verifiseres i samfunnet.

Her har vi første dag fått presentert mye nytt og spennende. Hva med kroppen vår som ID? Det er ikke gjenkjenning av ansiktstrekk vi snakker om, men for eksempel måten vi beveger oss på. Tanken er at systemet for eksempel kan erstatte adgangskort. Et visuelt datasystem har på avstand kjent deg igjen før du kommer frem til en stengt dør som så åpnes. Høgskolen på Gjøvik ved Nislab har et spennende miljø for forskning og utvikling av slik teknologi. De har mange andre spennende ting på trappene innen biometri som identifikasjon. Fremtiden vil vise hva som best bidrar til økt sikkerhet og beskyttelse av identitet.

Enn så lenge skal vi slippe å danse foran web-kamera på egen pc for å kunne logge oss inn.

Prosjektleder for Folkeregisterprogrammet Boris Schürmann gav uttrykk for bekymring knyttet til manglende sikkerhet ved blant annet det norske førerkortet og andre id-kort. Ved hjelp av forfalskninger kan det være mulig å foreta endringer i dagens folkeregister som igjen kan danne grunnlag for etablering av en identitet som er falsk. Folkeregisterinformasjonen kan igjen benyttes til ytterligere utstedelse av originale id-dokumenter, men som vil være basert på falske forutsetninger.

For oss i NSM har troverdigheten til både folkeregisteret og identitetsdokumenter en stor betydning i forhold til vårt arbeid med personkontroll forut for avgjørelse om sikkerhetsklarering. Således imøteser vi alle gode tiltak som gjør det vanskeligere og opptre med falsk identitet.

Dag 1 her på konferansen hadde fokus på forskning knyttet til løsninger. Dag 2 vil sannsynligvis gi oss mer informasjon om hvordan det står til med id-tyveri-utfordringene i Norge, i tillegg til at NorSIS lanserer sin test for næringslivet i samarbeid med Næringslivets sikkerhetsråd. Mer om det i morgen.

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Identitetstyveri, Sikkerhetstilstanden and tagged . Bookmark the permalink.

2 Responses to Et spørsmål om identitet

  1. Heidi Molvik Rundhovde says:

    Takk for interessant innlegg, som peker på viktige utfordringer knyttet til informasjonssikkerhet. Biometrisk identifikasjon er et spennende område som kan komme til å by på løsninger for noen av disse problemstillingene. Til teknologi basert på biometri hefter det imidlertid også et potensiale for personvernproblematikk, som det er svært viktig at man holder et parallelt fokus på både i debatt, ved utvikling og ved iverksetting av løsningene. For å ivareta den enkeltes vern og integritet fra det tidspunkt hvor ny teknologi settes i verk, må utforskingen av disse aspektene få gå hånd i hånd.

    Dere etterlyser tiltak som gjør det vanskeligere å opptre med falsk identitet. I denne forbindelse tenker vi ofte tiltak i form av tekniske og organisatoriske løsninger som skal hindre 3.part i å videreformidle personlig informasjon uten opphavskvinnens aksept. I dagens virkelighet, hvor den fysiske og virtuelle verden er knyttet sammen i globale nettverk, kan personlig og identitetsbærende informasjon spres lett og den lagres lenge. Forbrukerens rolle er i stor grad endret fra innholdskonsument til innholdsprodusent, og det er derfor sentralt også å holde fokus på den informasjon som forbrukeren selv deler (for eksempel i sosiale medier). Når den enkelte bidrar i spredning av informasjon om seg selv stiller dette høyere krav til brukerens forståelse av ulike kategorier av informasjon, hvilken mening informasjonen kan gi for andre, på hvilke måter det er mulig å misbruke den, og hvordan den kan ivaretas for å beskytte seg best mulig mot farer som blant annet identitetstyveri. Vi står med andre ord også overfor utfordringer knyttet til overføring av kunnskap til den enkelte forbruker. Kunnskap som må gjenspeiles hos den enkelte i innsikt, erfaring og opplevelser på en slik måte at vi står bedre rustet til å gjøre gode valg med tanke på deling av personlig informasjon i vår daglige ferd på internett.

    Lykke til med resten av konferansen!

    Med vennlig hilsen Heidi Molvik Rundhovde
    twitter: @heidimrundhovde

    PS. Et lite praktisk innspill… innlegget ditt refererer til en, etter min mening velbegrunnet, bekymring knyttet til manglende sikkerhet ved det norske førerkortet og andre id-kort. Et mulig tiltak kan være å ikke tillate offentlige etater som politi og vegvesen å sende noen av våre viktigste identitetsdokumenter (pass, førerkort) som vanlig post, ubeskyttet, i konvolutter av lett gjenkjennelig størrelse, med avsenders navn og adresse synlig utenpå.

    • Roar Thon says:

      Takk for meget gode innspill. Skulle tro du deltok på konferansen! Mange av de faktorene du tar opp her, blir nettopp diskutert på konferansen når jeg skriver dette. Som alltid på sikkerhetskonferanser blir det ofte presentert “enkle” løsninger på kompliserte spørsmål som jeg ikke bestandig kjøper uten videre. Når noen snakker om “sikker kommunikasjon” lurer jeg på hvem den er sikker for, for hva, hvor lenge og hvordan påvirker det mine andre kommunikasjonskanaler. Det er ikke bestanding at “sikre” teknologiske løsninger er det beste, dersom brukeren ikke forstår hvordan de skal bruke systemet eller behandle/beskytte informasjonen når den kommer til brukeren. Den beste sikkerhetsløsningen tar hensyn til alle faktorer inkludert mennesket.

      Innspillet ditt om forsendelse av pass og førerkort er veldig relevant. I en undersøkelse sier politiet selv at de har hatt en økning på 65% på antall pass som blir borte i posten. I samme undersøkelse sier 3 av 4 seg villig til å fysisk hente passet hos politiet. Les mer om dette på Id-prosjektets sider.

      I min hverdag som er relatert til sikkerhetsgradert informasjon styres slike forsendelser etter verdivurderingen av forsendelsens innhold. Hvor viktig er dette, og hvilken skade kan oppstå dersom den kommer i uvedkommendes hender. Noe informasjon kan sendes i vanlig post med en lukket konvolutt innenfor, noe må sendes rekommandert og noe må leveres personlig. Men den hverdagen blir kanskje litt for spesiell i forhold til samfunnet forøvrig. Eller er det kanskje noe å lære av gamle rutiner og regler? Det kan jo tenkes at de er basert på erfaring? Men det er jo hemmelig!

Comments are closed.