Obama lanserer ny strategi for sikker identitetshåndtering på nett

25.04.11 in Uncategorized | Legg igjen en kommentar

Den amerikanske regjeringen har presentert en plan for et nytt ID-system som skal gjøre det lettere å identifisere seg på nettet og samtidig beskytte brukerne mot identitetstyveri. Den nye planen har fått tittelen: “National Strategy for Trusted Identies in Cyberspace”.

I motsetning til de fleste andre land er det ikke myndighetene, men private sektor som går i spissen for initiativet. Det er heller ikke et enkeltstående nasjonalt ID-kort, men flere ID-er som kan brukes til ulike tjenester som er utstedt av ulike leverandører.

I tillegg til bank- og e-handel systemer skal systemet også gi tilgang til elektroniske journaler og diverse andre offentlige tjenester.

En talsmann for regjeringen refererer til at mer enn åtte millioner amerikanere er rammet av identitetstyveri i det siste året. Det er derfor behov for et system som erstatter dagens brukernavn og passord.

“Nettet har endret måten vi kommuniserer og gjør forretninger på. Det har åpnet opp markedet og koblet samfunnet vårt sammen som aldri før. Men det har også ført til nye utfordringer som online svindel og identitetstyveri som skader forbrukerne og koster milliarder av dollar i året”, sa Obama i forbindelse med presentasjonen av planen.

Den nye strategien ble presentert bare dager etter at de to senatorene John Kerry (demokrat) og John McCain (republikaner) fremmet et forslag til en ”no tracking” lovgivningen som gir forbrukerne rett til å kreve at de ikke spores på Internett. I dag kan de enkelte nettstedene selv forfatte sine “vilkår for bruk av deres tjenester”, men de færreste brukere leser disse lange og intrikate tekstene.

Regjeringens plan innebærer derfor at den private sektor skal utvikle metoder for å skape en trygg online-identitet slik at du som bruker kan benytte samme ID for å logge på forskjellige tjenester i stedet for å måtte huske mange forskjellige brukernavn og passord.

Planen har fått en positiv mottakelse, men det er også blitt advart om at konsekvensene kan bli store hvis denne “unike identiteten” blir hacket.

Det er planlagt en serie workshops senere i år for å utvikle konkrete spesifikasjoner, men det forventes at det kan ta mer enn fem år før den endelige tekniske løsningen er på plass.

For mer informasjon om strategien, se denne Youtube videoen og FAQ siden til “National Strategy for Trusted Identities in Cyberspace” , som tilsynelatende er laget for å berolige alle amerikanerne som frykter at regjeringen nå planlegger å opprette en sentral database for å spore deres bevegelser på nettet.
La oss håpe at denne strategien gir gode innspill til norske myndigheter og næringsliv, slik at vi i Norge også kan få til en bedre identitetshåndtering enn vi har i dag.

Bruk biometri på ID-kort

19.02.11 in Uncategorized | Legg igjen en kommentar

Biometri er mye mer enn fingeravtrykk. Les mer på hig.no

Biometri er mye mer enn fingeravtrykk. Les mer på hig.no

Om ID-kortet ditt ikke virker uten at du som rettmessig innehaver holder i kortet, har vi kommet et godt skritt i riktig retning.
Da blir det straks mindre interessant å stjele dette, og den du samhandler med opplever økt trygghet under identifisering og bekreftelse av identitet; kalt autentisering.

NorSIS som leder ID-tyveriprosjektet og Datatilsynet har ved flere anledning uttrykt bekymring for det norske samfunnets robusthet mot identitetstyveri.
Samfunnet vårt er i dag preget av en utstrakt grad av åpenhet, tillit og modernisert samhandling. Dette er positive karakteristika, men kan også gi borgeren, næringslivet og myndighetene økt sårbarhet. Ved å gjøre tilgangen til personopplysninger enklere for allmennheten, men også for identitetstyven, svekkes samtidig borgerens evne til å beskytte seg. (Eksempler på tilgjengelige personopplysninger er offentlige skattelister, ulike identitetsdokumenter i åpen postgang og offentlig elektronisk postjournal.)

I en undersøkelse gjennomført for NorSIS av TNS Gallup svarte 3,1 % at de i løpet av de siste 2 årene har blitt utsatt for at noen andre har brukt deres identitet til å begå straffbare handlinger. Dette tilsvarer 124 000 personer eller hele Stavanger, Norges 4. største by.

I april 2010 ble biometriske pass innført i Norge som en etterfølger til de maskinlesbare passene fra oktober 2005. Dette gir en økt sikkerhet ved at innehavers biometriske karakteristika kan kontrolleres opp mot registrert informasjon i passet.

Flere norske selskaper har vært framme i media den senere tid med ulike løsninger rundt fingeravtrykksensorer som kan monteres på ulike enheter og kort.

Det neste naturlige steg vil være å integrere både biometrisensor og databehandling i nasjonale ID-kort, herunder pass og førerkort. Flere selskaper rundt om i verden, også norske, har over lengre til arbeidet med ulike løsninger rundt fingeravtrykksensorer som kan monteres på ulike enheter og kort. En vellykket integrasjon av biometrisensorer i betalings- og ID-kort vil innebære et betydelig fremskritt i kampen mot identitetstyveri og kriminalitet basert på falske identiteter.

Hva er biometri?
Biometri er enkelt forklart en måte å identifisere en person gjennom vedkommende sine unike fysiologiske eller atferdsmessige mønstre. Biometrisk teknologi tilbyr høyere sikkerhetsnivå ved å sikre at den autoriserte er fysisk til stede for å få tilgang. Et eget biometri-laboratorium ble åpnet på Høgskolen i Gjøvik 15. februar.
ID-tyveriprosjektets mål er som følger:

Definere tiltak og virkemidler
som forebygger og reagerer på identitetstyverier og svindel
som følge av slike tyverier
Økt bruk av autentisering (bekreftelse på identitet), når det er relevant, mener ID-tyveriprosjektet vil redusere omfanget av ID-tyveri, samt bidra til å øke bevisstheten til innbyggerne.

I så måte ser prosjektet biometriløsninger i norske identitetsbevis og tilsvarende som interessante bidrag i ovennevnte arbeid.

Noen aktuelle bruksområder

      Nasjonalt identitetskortet
      Pass
      Førerkort
      Nettbanktjenester
      Adgangskontroll
      Bank- og kredittkort
      Datautstyr av ulik art
      Mobiltelefoner

Les mer
http://www.tu.no/innsikt/it/article270633.ece
http://www.digi.no/860889/forste-bestilling-paa-norsk-finger-sensor
http://nrk.no/nyheter/distrikt/ostafjells/telemark/1.7508102

Bruken av fødselsnummer i Norge

09.12.10 in Uncategorized | Legg igjen en kommentar

Vi trenger bedre og brukervennlige autentiseringsløsninger i Norge
Man kommer alt for langt med et fødselsnummer i Norge. Det er en generell oppfatning hos mange i Norge at hvis en person kan et fødselsnummer, er vedkommende denne personen.

Det er viktig at vi har en klar forståelse av forskjellen på identifisering og autentisering.
Identifisering er fastslåelse av identitet. Autentisering betyr å verifisere identiteten. Med andre ord å forsikre seg om at det er rette vedkommende man samhandler med.

Fødselsnummeret vårt fungerer i dag i praksis som et passord som skal være hemmelig; men som du må oppgi over alt. Ved legebesøk oppgir du dette nummeret for at legen skal finne deg i journalsystemet. I ulike kiosker kan du bestille kontantkort kun ved å oppgi fødselsnummeret. Fødselsnummeret må sees på som en unik måte å skrive navnet ditt på. Derfor bør det også behandles på lik linje som et navn.

NorSIS ønsker en debatt om bruken av fødselsnummeret. I en artikkel på regjeringen.no skriver Fornyings-administrasjons- og kirkeminister Rigmor Aasrud følgende: “I forslag til revidert personopplysningslov, som var ute på høring i 2009, foreslo regjeringen å stramme inn på bruken av fødselsnummer som bevis på din identitet. Forslaget innebærer at ingen skal ha lov til å godta fødselsnummer som bekreftelse på at du eller andre er den dere utgir dere for å være.” Dette understreker behovet for denne debatten.
Vi ønsker å få mer fokus på autentisering; også i den fysiske verden. Fødselsnummeret vårt er i dag distribuert i mange forskjellige databaser. Ved å fristille det fullt og helt på lik linje med organisasjonsnummer så tvinger vi næringsliv og myndigheter til å tenke på en annen måte.

Offentlige registre

Vi er oppmerksomme på utfordringene rundt sammenstilling av informasjon med en unik koblingsnøkkel. Enten fødselsnummeret er hemmelig eller allmenn tilgjengelig informasjon, vil de som har, eller på ulovlig vis får tilgang til, offentlige registre kunne sammenstille informasjon, all den tid både navn og fødselsnummer i stor grad finnes i alle disse registrene.
Det må legges mer fokus på sikring av slike systemer samtidig som det bør sees på alternative koblingsnøkler som ikke er identifikasjonsbærende (se nederst).

NorSIS ønsker et nytt sikkerhetsregime i alle typer samhandling der varer og tjenester krediteres samt ved alle typer registrering av nye kundeforhold. Navn og personnummer skal ikke være nok for å kunne bekrefte at du er du. Vi ønsker nasjonalt ID-kort velkommen, og ser også fram til nye tjenester rundt biometri som med større grad kan bekrefte at du er rettmessige innehaver av ID-kort eller tilsvarende identitetsdokumenter.
Det vil være med på gjøre samfunnet tryggere, og øke sannsynligheten for at du handler med rette vedkommende.

Dette vil også øke bevisstheten til både forbrukeren, næringslivet og myndighetene. Sett i forhold til kostnaden ved all svindel vi har i dag er vi dessuten tjent med dette ekstra sikkerhetsnivået over tid.

Les mer

Måtte gi ut fødselsnummer for å kjøpe brødrister

Butikk krever fødselsnummer

Utrygge fødselsnummer

Fødselsnummeret vårt består av 11 siffer der de 6 første er fødselsdato og de tre neste sifrene er individnummer hvor det tredje nummeret viser til kjønn, partall betegner kvinne og oddetall betegner mann. De to siste er kontrollsifre. Kilde: http://www.skatteetaten.no/no/Artikler/2010/Oppbygging-av-fodselsnummer/

Norsk naivitet

15.10.10 in Uncategorized | Legg igjen en kommentar

- ID-tyvene spiller på den norske naiviteten. Vi tror at vi i alle henseender har det trygt og godt og at det alltid er noen andre som ordner opp om det skulle oppstå noen problemer. Vi oppdras til å tro godt om folk. Så lenge vi er snille og greie er det jo ingen som har behøver å være slemme mot oss. Dette er vel og bra og en av grunnene til at vi i dag er verdens rikeste land. Det vi nå må ta innover oss er at verden har endret seg dramatisk i takt med den digitale utvikling. Ordtaket ”leilighet skaper tyv” får gyldighet når en ser hvilke muligheter de kriminelle vet å utnytte nå når datamaskiner og internettilgang nærmest er blitt allemannseie.

I en travel hverdag er det mye å passe på. Både innen arbeidsliv og det private stilles en stadig ovenfor nye utfordringer.

- Det dreier seg om å passe på at ikke personopplysninger kommer ID-tyvene i hende. Hver enkelt av oss må ta ansvar ved å utvise aktsomhet og omtenksomhet. I offentlige og private virksomheter er det nødvendig å ha et løpende fokus på informasjonssikkerheten. Det er laget klare råd og veiledninger om hvordan en kan sikre seg best mulig.

Skatteopplysningene på nett

I enhver sammenheng oppfatter folk flest at både politikere og fagmyndigheter må gå foran med gode eksempler.

- Dessverre er det ikke alltid slik. Beslutningen om at skattelistene skulle legges ut på internett var en uklok beslutning. Det beredte grunnen for å gi ID-tyvene viktig innsyn i private opplysninger som egentlig bare burde være et forhold mellom den enkelte skatteyter og skattemyndighetene. Her ser vi et godt eksempel på politikernes manglende forståelse for problemet. Et annet eksempel er jo selvangivelsen og skatteoppgjøret som sendes i posten. Hvor lett er det ikke at noen snapper opp konvolutter ved å lure i buskene? Når myndighetene selv utviser så lite aktsomhet har vi en lang vei å gå. Dessverre er det fortsatt mange banker som ikke er stort bedre. Både kredittkort og PIN-koder sendes pr. post. Riktignok i to atskilte konvolutter med noen dagers mellomrom. Flere har begynt å aktivere kortene via nettbanken, og det er bra med tanke på de digitale transaksjonene. Det som ikke er hensyntatt er mulighetene for “offline” identifisering med kortet. Personlig frammøte ved utlevering av identitetsdokumenter er noe som bør utredes nærmere.

Hvem har ansvaret for min identitet?

16.09.10 in Uncategorized | Legg igjen en kommentar

I anledning ID-tyverikonferansen 2010 som arrangeres på Thon Hotell Slottsparken i Oslo 11. – 12. oktober gjennomføres det en paneldebatt med dette temaet.

Nytilsatt direktør i Datatilsynet, Bjørn Erik Thon, innleder og styrer debatten.
Direktør i Datatilsynet, Bjørn Erik Thon
Vi har fått med et knippe interessante personer i panelet:

• Partileder i Venstre Trine Skei Grande har vært tydelig i IKT politikken. Hun er mot Datalagringsdirektivet og sendte i sommer en henvendelse til Fornyings, administrasjons og kirkedepartementet (FAD) med spørsmål om hva departementet har tenkt å gjøre med rapporten om identitetsproblematikk som Datatilsynet overleverte i januar 2009 samt Strategi og tiltaksplanen til ID-tyveriprosjektet som ble publisert 19.november 2009. Partileder Venstre, Trine Skei Grande

• Inger Marie Sunde, førsteamanuensis ved Politihøgskolen, tidligere førstestatsadvokat i ØKOKRIM og leder av politiets datakrimsenter. I Datakrimutvalget var hun med på å utforme den nylig vedtatte §202 om identitetskrenkelse i straffeloven av 2005.

• Fagdirektør finans i Forbrukerrådet, Jorge Jensen, representerer forbrukeren som ofte er den tapende part i disse sakene. Forbrukerrådet er blant annet opptatt av systemansvar i forhold til bankkort m.m.

• Seksjonsdirektør Svindelforebyggende seksjon i Finansnæringens Fellesorganisasjon(FNO) Frode Bjeglerud, har vært tydelig på at nå må myndighetene også stille opp og ta sin del av ansvaret for et problem som har kostet finansnæringen store beløp de siste årene. Bransjen har selv gjort mange grep og har initiert til samhandling mellom det offentlige og næringslivet.

Meld deg på konferansen og ta del i denne spennende debatten.

ID-tyverikonferansen 2010

03.09.10 in Uncategorized | Legg igjen en kommentar

Pass på identiteten din

Meld deg på i dag!

ID-tyveriprosjektet er nå halvveis.

Hvordan står det til med problemet, hva har vi fått gjort og hva gjenstår?
Dette og mere til vil vi sammen med våre samarbeidsparter og mange dyktige foredragsholdere belyse på konferansen.
Sammen med Norsk Regnesentral arrangerer vi en todagers konferanse med temaer innen identiet og personvern.
Noen av temaene:

  • Svindelerfaringer
  • Skattelister og offentlighet
  • Endringer i den nye straffeloven
  • Kompetansebehovet
  • Ansvarsfordeling
  • Risikoanalyse i e-ID-systemer
  • Teknologier som støtter personvern (PET)

Se programmet og meld deg på her

Unngå ID-tyveri i sommer

06.07.10 in Uncategorized | Legg igjen en kommentar

I løpet av den siste tiden har tyveri av kort fra postkasser økt med over 30 %.
Husk å låse postkassen din
Sommeren er en yndet tid for ID-tyvene. Med økt bruk av kredittkort både i inn- og utland, samt aktiv informering via sosiale medier om hva vi gjør og hvor vi er, ligger forholdene godt til rette for ID-tyvene.

Vi nordmenn er vant til en oppvekst i et trygt samfunn der alle vil oss vel. Dette samfunnet er i ferd med å endres. Verden har kommet tettere på oss og vi reiser stadig mer ut i verden. Vi er derfor nødt til å legge på et lite filter når det gjelder vår omgang med personinformasjon.

Det er i hovedsak to ting som kreves for å begå identitetssvindel: Informasjon om hvem du er og et dokument som bekrefter dette.
Det ligger mye informasjon om oss på internett allerede; telefonkataloger, skattelister, Facebook, LinkedIn, resultatlister fra idrettsarrangementer og mye mer.

Dette kan danne grunnlaget for å sette sammen en profil om deg. Får tyven i tillegg tak i fødselsnummeret ditt (fødselsdato og personnummer, 11 siffer til sammen) så kan det være lett å bestille nye kredittkort, opprette ny konto og lignende.
Kort og pinkoder sendes som oftest til din folkeregistrerte adresse. Har du kontroll på at ingen har skiftet denne? Har du låst postkassen så ikke uvedkommende kan hente ut pass, kort og pinkoder? Det er viktig å tenke igjennom konsekvensene av å ikke ta nødvendige forholdsregler.

ID-tyveriprosjektet anbefaler

  • Ta selvtesten på www.idtyveri.info og følg rådene for å gjøre ferien litt mer sikker og avslappende.
  • Lås postkassen din!
  • Be naboen ta inn posten når du er på ferie
  • Ikke gi fra deg kredittkortet når du betaler, men ha det under oppsyn.
  • Ha kontroll på pass og andre viktige dokumenter
  • Pinkoder og passord skal aldri deles med andre, ei heller banken din.
  • Sjekk kontoutskrift og faktura til kredittkort grundig i etterkant

Vi ønsker dere alle en riktig god og sikker ferie!

Facebook kan være kilden til så mangt – tenk før du klikker!

28.04.10 in Uncategorized | Legg igjen en kommentar

Sosiale medier blir stadig mer populære også for de kriminelle miljøene rundt om i verden. Vi glemmer å slå på den sosiale brannmuren, og deler alt for mye informasjon med alt for mange personer. Denne historein vil kanskje få deg til å tenke deg om før du sprer personsensitiv informasjon på Facebook og andre steder.

Idefense-gruppen til Verisign kom over et spesielt tilbud i et hackerforum nylig. En hacker med kallenavn Kirllos tilbyr et stort antall hackede Facebook-kontoer til en utrolig lav pris.  Kirllos tilbyr kontiene for mellom 25 og 45 dollar pr. 1000 konti, avhengig av antallet kontakter den enkelte bruker har. Det vil si ca. 20 øre per konto. Dette er veldig billig sammenlignet med andre som har brukerdata til salgs. I siste utgave av Internet Security Threat Report har Symantec funnet ut at brukernavn og passord til epost-konti koster mellom 1 og 20 dollar per konto – 50 ganger så dyrt.
Dette er altså en sjeldent god mulighet for folk som vil spamme, stjele informasjon/identiteter eller på andre måter svindle personer på Facebook. Å selge brukernavn og passord på slike fora er ikke uvanlig, men 1,5 millioner brukerkonti med tilhørende passord er noe uvanlig. Dette bør få Facebook brukere og andre til å tenke seg om. Facebook  nærmer seg nå en halv milliard brukere i verden. Daglig blir folk utsatt for svindelforsøk, og hele tiden lar folk seg lure. Den vanligste formen for svindel i nettsamfunn er at svindleren bruker en kompromittert konto til å sende ut en melding som ser ut som den kommer fra kontoens egentlige eier der det går frem at kontoens eier sitter fast et sted i verden og trenger penger for å komme seg hjem.

Det er også vanlig å spre lenker, for eksempel forkledd som artige videosnutter. I virkeligheten peker lenkene til websider som sprer ondsinnet programvare (malware). Nylig kom det en falsk reklame for Ikea, der det var utlovet 1000 dollar i form av gavekort til de som videresendte reklamen til alle sine venner. Her ble også ondsinnet programvare aktivert/installert når du klikket på lenken. Etter at den ondsinnede programvaren er installert, kan svindlerene stjele brukernavn og passord, bryte seg inn i nettbankkonti, sende ut søppelpost(spam) eller lansere organiserte tjenestenektsangrep(DDOS) der målet er å sende så mange forespørsler til en nettside at den ikke klarer håndtere dette og dermed går ned.

Se over sikkerhetsinnstillingene i Facebook og andre sosiale medier du evt. benytter. Tenk deg om før du klikker. Hvis et tilbud virker for godt til å være sant – så er det som oftest det…
Unngå i alle fall å spre slike meldinger videre, så alle dine venner også blir utsatt. Gjør dette som et bidra til å redusere nettsvindel, ID-tyveri og annet ubehag ovenfor dinne venner.

SIFO rapport om ID-tyveri

18.04.10 in Uncategorized | Legg igjen en kommentar

På oppdrag fra tre departementer (BLD, FAD og NHD) har Statens institutt for forbruksforskning (SIFO) kartlagt hvilke data som finnes om ID-tyveri i Norge. Rapporten drøfter kort definisjoner av begrepet ID-tyveri, hvem som er utsatt for slikt tyveri, og hvilke problemer tyveriene representerer for de som rammes.

ID-tyveriprosjektet har bistått SIFO med erfaring, statistikk og rapporter.

Norge kjennetegnes, i følge forskerne, av en tillitsfull befolkning og et åpent samfunn med enkel tilgang til mange av forvaltningens saksdokumenter.  Systemer bygd på åpenhet og tillit omtales som mer brukervennlige og effektive enn systemer som er basert på sterk grad av sikkerhetskontroll. Samtidig pekes det på at veien fra funksjonell tillitsfullhet til naivitet kan være kort.

I rapporten konstateres at tallmaterialet som foreligger om ID-tyveri er fragmentarisk, og at det gir kun et spinkelt grunnlag for å anslå det totale omfanget i Norge av denne typen tyveri. For å få et bedre bilde, mener forskerne det vil være nødvendig å gjennomføre en mer detaljert landsrepresentativ spørreundersøkelse. ID-tyveriprosjektet har gjennomført en undersøkelse høsten 2009 som indikerer at over 200 000 nordmenn en eller annen gagn har blitt utsatt for dette. Vi ønsker å gjennomføre en årlig undersøkelse med et representativt utvalg, for å få målt utviklingen over tid.

Det er i de seinere år iverksatt en rekke tiltak for å tette huller i vernet mot identitetstyveri. Både den enkelte selv, bedriftene og det offentlige kan bidra til ytterligere sikkerhet. Rapporten foreskriver at man for å lykkes må plassere ansvaret når  noe går galt hos den aktør som i størst grad kan påvirke risikoen.
La oss nå håpe at bestillerne av rapporten tar de grep rapporten henstiller til.

Last ned hele rapporten her.

Ny film om ID-tyveri

09.03.10 in Uncategorized | Legg igjen en kommentar

I samarbeid med Alt Inn og MediaPlanet har NorSIS laget en film om ID-tyveri der du vil få råd og anbefalinger for å redusere sannsynligheten for at du selv blir neste offer.

Klikk her for å se den nye filmen om ID-tyveri

Følg med

Få nye innlegg levert til din innboks.