Artikel top billede

DK-CERT: Sådan kan vi sikre bølleregistret

Klumme: Danskudviklet teknologi kan løse privatlivsproblemerne ved et bølleregister for nattelivet. Det skriver Shehzad Ahmad fra DK-CERT i denne klumme om it-sikkerhed.

Før du bliver lukket ind på et diskotek, skal dørmanden lige tjekke, om du er registreret i det landsdækkende bølleregister.

Det bliver virkelighed inden længe, efter at Justitsministeriet har givet grønt lys for, at politiet må udveksle oplysninger med et kommende privatdrevet register.

Databasen skal indeholde information om personer, der har fået udstedt et såkaldt restaurationsforbud.

Sådan et forbud betyder, at man ikke må komme på bestemte værtshuse.

Restaurationsforbud har eksisteret i mange år. Men det har været svært at sikre, at værtshuse og diskoteker fik besked om, hvem der havde forbud mod at komme hos dem.

Og selv om de får besked fra politiet, er det stadig en udfordring at genkende personer med forbud, så de ikke bliver lukket ind.

Det skal det landsdækkende register rette op på.

Udfordring til privatlivsbeskyttelsen

Som jeg skrev i en klumme på DR.dk i sidste måned, rejser sådan et register nogle alvorlige spørgsmål om it-sikkerhed og privatlivsbeskyttelse. Det har Forbrugerrådet også fremhævet i et høringssvar.

Det centrale register må nødvendigvis indeholde personfølsomme data: Det skal registrere personer, der har forbud mod at komme på hvilke værtshuse.

Her er der brug for god sikring, så uvedkommende ikke får adgang til data.

Men den store udfordring ligger i den daglige brug af systemet. Hvis jeg vil ind på et diskotek, skal jeg tjekkes i registret.

Men jeg ønsker ikke, at administratorerne af sådan et register skal vide, hvor jeg bevæger mig rundt i nattelivet - det er min egen sag.

En anden udfordring ligger i at gøre det svært for bøllerne at optræde under falsk navn.

Derfor er der brug for en form for identifikation, for eksempel i form af kørekort eller sygesikringsbevis.

Mulig løsning er udviklet i Danmark

Efter klummen blev offentliggjort, fik jeg en interessant henvendelse fra Alexandra Instituttet.

Det er et GTS-institut, der arbejder med anvendelsesorienteret it-forskning.

Her har forskerne i samarbejde med kryptografigruppen på Aarhus Universitet udviklet nogle teknologier, som kan være med til at løse problemerne med sådan et bølleregister.

Som nævnt er en af udfordringerne, at vi gerne vil kunne foretage et opslag i databasen uden at administratoren bagefter kan se, hvilket cpr-nummer vi har søgt efter.

Det kan lade sig gøre med en teknologi, som kaldes 'secure multiparty computation.'

Den gør det muligt at foretage opslag i en database uden at man bagefter kan se, hvad der er søgt efter, og hvad resultatet blev.

De danske forskere er blandt de førende i verden på området. Deres teknologi bruges blandt andet til auktionssystemer, hvor man kan finde det vindende bud, uden at deltagerne får at vide, hvad de enkelte bud har været.

Scanner ved indgangen

Løsningen kan implementeres på flere måder. En mulighed er, at gæsterne ved indgangen fremviser for eksempel sygesikringskortet, der bliver scannet i en terminal.

Terminalen foretager det krypterede opslag, så dørmanden kan se, om gæsten skal lukkes ind.

Det vil være bedst, hvis terminalen er isoleret fra diskotekets øvrige systemer, så oplysningerne ikke lagres.

På den måde ved hverken diskoteket eller registerets administrator, hvem man har slået op i det.

Ansigt eller fingeraftryk

En teknisk lidt mere avanceret løsning går ud på at bruge biometri.

Her kan man bruge ansigtsgenkendelse eller fingeraftryk til at identificere brugerne med.

Det centrale register skal så indeholde billede eller fingeraftryk af alle, der har fået udstedt restaurationsforbud. Igen sikrer 'secure multiparty computation', at ingen kan se, hvem der er søgt efter.

Den løsning er nemmere for brugerne, da de ikke skal have identifikation med sig. Samtidig bliver det sværere at snyde ved at låne en andens sygesikringskort.

Men der er den ulempe, at biometri er usikker. Især ved ansigtsgenkendelse er det ikke sikkert, at et ansigt genkendes korrekt.

Er man villig til at acceptere den risiko, har løsningen til gengæld den fordel, at gæsternes cpr-nummer aldrig kommer ind i diskotekets it-system.

Rigtigt fra begyndelsen

Når vi tidligere har indført it-systemer, har vi ofte først tilføjet sikkerhed og privatlivsbeskyttelse, når problemerne opstår.

Jeg mener, at vi her har alle tiders chance for at tænke de elementer ind i bølleregisteret allerede i designfasen.

Så jeg opfordrer restaurationsbranchen og justitsvæsenet til at undersøge de tekniske muligheder for at gøre systemet sikkert og med mindst mulig lagring og transport af personhenførbare oplysninger.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere