NIT och personlig integritetNIST – National institute of standards and technology, är en betydelsefull amerikansk organisation som tar fram riktlinjer och vägledning inom området datasäkerhet. I december 2017 gjordes en uppdatering av riktlinjerna, och det behövs eftersom hoten mot våra digitala identiteter är fler och allvarligare än någonsin tidigare. I den här texten ska vi titta på ett par av de frågor som är viktiga just nu och på hur NIST menar att man bör hantera dem. Beteendebiometri är ett område som blir allt intressantare för dem som vill skydda känslig information. Läs vidare om du vill veta mer om vad detta betyder och varför det kan vara relevant för just dig eller ditt företag. Texten är baserad på artikeln Behavioral biometrics missing from cybersecurity och på information från NIST´s egen sida.

Hur arbetar NIST?

NIST sammanställer information som företag och organisationer ska kunna använda som plattform när de värderar, förebygger och svarar på hot online. 30 % av alla amerikanska myndigheter använder sig av NIST i sitt arbete. Förenklat kan man säga att det finns fem områden som NIST arbetar med. Det handlar om att identifiera potentiella hot, om att detektera dem när man väl blivit drabbad, om att skydda data, om att insätta åtgärder om de preventiva insatserna misslyckats och om att återskapa information som gått förlorad. Organisationen verkar inom ramarna för USA´s handelsdepartement men resultatet av mycket av arbetet är offentligt. alla kan ta del av det och även institutioner i andra länder tar intryck av riktlinjerna som NIST utvecklar.
NIST´s viktigaste uppgift kan sägas vara riktlinjer och vägledning som uppdateras så att de ständigt bygger på aktuell information. Tusentals experter inom olika områden som relaterar till datasäkerhet deltar aktivt i arbetet med att ta fram dessa riktlinjer och NIST har även fast personal som överser arbetet och publicerar nyheter inom datasäkerhet. Bland annat på hemsidan som vi länkar till i inledningen av denna artikel. Även i Sverige finns både statliga myndigheter och branschorganisationer som arbetar med att ta fram underlag som andra kan använda när de tar beslut gällande säkerhet online. Det visar hur viktigt detta är idag.

Det handlar om stora pengar

Att på egen hand hålla sig a jour när det gäller datasäkerhet är resurskrävande. Den som arbetar med detta måste hela tiden informera sig om nya hot och nya metoder för att stävja dem. Många företag och organisationer som inte prioriterat detta arbete står handfallna när de väl utsätts för till exempel en så kallad ransomware attack eller en bedragare som via sociala plattformar skaffar upplysningar som kan användas till att komma åt känslig information. Det faktum att bristande it säkerhet idag kan kosta enorma belopp är en stark drivkraft. Man bedömer att priset för detta, globalt sett, uppgår till 400 miljarder dollar om året.

Forskningsinstitutet NIST har funnits sedan 1988 och verksamheten har förändrats i grunden flera gånger sedan dess. Från att i första hand ha arbetat med mätteknik jobbar man nu allt mer med hotbilder online. Man kan säga att datasäkerhet är en slags kapplöpning mellan dem som vill exploatera säkerhetsluckor och dem som försöker förebygga dem. Det är alltså viktigt för alla som hanterar värdefull data att skydda den och förnya skyddet så ofta som möjligt. Det är den viktigaste lärdomen som man, enligt NIST, bör ta med sig från 2017. NIST mottar statliga bidrag i storleksordningen en biljon dollar, årligen. Det ska dock sägas att finansieringen bantades med 23 % i Donald Trump´s budget för 2018.

Nya sätt att bekräfta identitet

Ett av de viktigaste områdena när det gäller datasäkerhet är att se till så att information inte hamnar i händerna på obehöriga. I regel är användarkonton lösenordsskyddade och tanken är att kontot är skyddat om bara lösenordet är tillräckligt starkt. Det NIST nu varnar för är att det dels finns många sätt att komma över lösenord men också hot där lösenordet inte innebär något skydd, hur bra det än må vara. Att bekräfta sin identitet är att ta säkerheten ett steg längre än att använda lösenord vid inloggning. Det kan ske genom till exempel röstigenkänning eller med en fingeravtrycksläsare. Att det finns ett behov av säkrare verifiering i samband med inloggning och skapande av nya konton bevisas av att ett av nio konton online, totalt sett, beräknas vara falska. Det gäller inte minst sociala plattformar där falska konton används som ett led i bedrägerier.

Fingeravtryck borde vara den optimala identitetshandlingen eftersom de är personliga och unika. Simulerade fingeravtryck, så kallade masterprints, kan dock användas till att lura omkring 65 % av alla smartphones med fingeravtrycksläsare. Fingeravtryck kan även kopieras och med hjälp av tämligen enkel utrustning överföras till ett medium som sedan används på själva läsaren. Det är således fråga om ett tämligen svagt skydd. Faran är att de invaggar användaren i en falsk känsla av trygghet. Så vad är det då vi behöver 2018? Enligt NIST bör vi använda mer komplexa system för verifiering av vår identitet. Ett starkt lösenord i kombination med fingeravtrycksläsare och röstigenkänning är bra. Men det finns ännu bättre sätt!

Beteendegeometri förebygger bedrägeri

Behavioral biometrics eller beteendegeometri, som det blir på svenska, är ett sofistikerat sätt att upptäcka inloggningsförsök som inte är legitima och som kan innebära risk för bedrägerier eller för att någon obehörig kommer över känslig information. Inom beteendebiometri handlar det inte bara om vad vi gör utan om hur vi gör det. Avvikelser från det normala kan registreras under en inloggning även om helt korrekt information anges. En enkel form av detta tillämpas redan idag av företag som till exempel Paypal. Om du loggar in från en ny enhet i ett nytt land kan ditt konto komma att frysas tillfälligt. Det finns även mer sofistikerade system som innebär att en inloggning kan stoppas om någon använder snabbtangenter eller tar ovanligt lång tid på sig vid inloggning.

Beteendebiometri är inte begränsad till själva inloggningen. Allt fler företag och organisationer satsar på kontroll av användarkonton i realtid och kan lägga in spärrar som träder i kraft om en användare plötsligt börjar bete sig på ett sätt som anses suspekt. Kanske efter att ha tillgripit en enhet med en aktiv inloggning. En sak som kan avslöja om en användare är genuin eller en bedragare är vilka bakgrundsprocesser som vederbörande startar eller något så enkelt som att man, till skillnad från alla andra dagar, inte inleder ett arbetspass med att kolla mejlen utan gör något helt annat.

Man räknar med att omkring 9 miljarder onlinekonton har stulits sedan 2013, en närmast chockerande hög siffra. Beteendebiometri är ett område som kommer att hjälpa många att förbättra säkerheten och tekniken finns redan tillgänglig. Det handlar om processer som så att säga arbetar bakom kulisserna och det är svårt för den som otillbörligen vill komma åt data att veta vad som kan komma att avslöja vederbörande. Små vanor och beteenden blir alltså, om vi tillämpar beteendebiometri, en del av våra identitetshandlingar och vi kanske inte ens själva vet hur vårt digitala “fingeravtryck” ser ut.

Beteendebiometri i framtiden

Det pratas mycket om att våra lösenord måste bli säkrare. NIST´s viktiga och intressanta arbete med biometri flyttar fokus för diskussioner om säkerhet till ett nytt och bredare område. Inga lösenord är helt säkra och de skyddar oss inte överhuvudtaget om vi av misstag laddat ner ett program som ger någon annan kontrollen över vår enhet eller om någon kommer över en en enhet som redan är inloggad. Beteendebiometri är en slags övervakning som reagerar när något ovanligt inträffar. I framtiden kommer detta att kunna kombineras med avancerad mätutrustning. En dator kan till exempel komma att känna av trycket från dina fingrar när du trycker på en tangent.

Ett lösenord är egentligen en form av skydd som sett sina bästa dagar. Istället för att skriva in en förutbestämd kombination av tecken som verifiering av behörighet kan en inloggning handla om att svara på ett antal framslumpade frågor som bara en anställd med rätt behörighet kan förväntas ha svaren på. Inloggning till känsliga konton och alla aktiviteter efter inloggningen kan sedan komma att övervakas via automatiska system som reagerar på avvikelser från det normala i form av allt från oväntade låtval i Spotify till hur snabbt användaren skriver. Det kan alltså komma att bli i princip omöjligt att använda någon annans dator eller konto.

Organisationen NIST är banbrytande inom beteendebiometri

Området beteendebiometri innebär att alla som vill förbättra säkerheten online kan välja metoder från en stor portfölj av verktyg som kan innebära såväl särskild hårdvara som enkla eller mycket avancerade program och plugins. Den amerikanska organisationen NIST lyfter fram att olika företag och myndigheter möter olika hot och därför måste välja en egen strategi. NIST arbetar därför inte med generellt giltiga checklistor utan presenterar snarare ett ramverk. I dagsläget handlar mycket, inom organisationens ramar, om just beteendebiometri som anses vara svaret på många av de utmaningar vi står inför idag när det gäller skydd av känslig information. Inom detta fält finns även lösningar som privatpersoner kan tillämpa.

Behöver du hjälp?

Använd formuläret och skicka ett mail till oss så kontaktar vi dig inom kort.

Not readable? Change text.