IT-sikkerhed: En ny fælles standard?
2017 var året, hvor nogle af de hidtil største cyber-angreb som WannaCry og NotPetya fandt sted. IT-sikkerhed står nu højt på agendaen både i den offentlige og private sektor, og de mange cyber-angreb har givet anledning til debat om behovet for skærpede lovkrav og et EU-initiativ om en fælles standard for IT-sikkerhed.
Reform af cyber-sikkerheden i Europa
Cyber-angreb og cyber-sikkerhed har længe stået højt på dagsordenen i EU. For nylig holdt EU-Kommissionens vicepræsident, Andrus Ansip, en tale i USA, hvor han lagde vægt på behovet for samarbejde og informationsudveksling internt i EU, men også især med USA, for effektivt at kunne bekæmpe og forebygge cyber-angreb. Særligt fremhævede Ansip de manglende fælles principper for udvikling og udnyttelse af kunstig intelligens, de lave standarder for sikkerhed for Internet of Things og behovet for fælles og gerne globale sikkerhedsstandarder.
EU-kommissionen fremsatte i september 2017 et forslag om en fælles EU-certificeringsstandard for IT-produkter og services, der er en del af en større cyber-sikkerhedspakke. I sin tale gjorde Ansip sig forhåbninger om, at EU-initiativet kan udgøre et solidt fundament for fælles IT-standarder på begge sider af Atlanten.
EU vil skabe fælles certificeringsstandard
En ny EU-certificeringsstandard vil indeholde både regler, tekniske krav og procedurer fastsat af EU-Kommissionen, men en fælles standard er endnu i den meget tidlige etableringsfase. Det er ENISA (European Network and Information Security Agency), der har fået til opgave at lave et konkret oplæg baseret på retningslinjerne opstillet af blandt andre EU-Kommissionen samt på input fra nationale tilsynsmyndigheder.
Certificeringsstandarden har til formål at:
- mindske markedsfragmenteringen
- fjerne reguleringsmæssige barrierer
- opbygge tillid.
Standarden skal desuden medføre en udfasning af differentierende nationale certificeringssystemer.
Det forventes, at cyber-sikkerhedspakken, herunder en eventuel EU-certificeringsstandard, skal til udvalgsafstemning ultimo juni 2018.
Standard for login uden kodeord viser vejen
EU-Kommissionens cyber-sikkerhedspakke er dog ikke det eneste initiativ på IT-sikkerhedsfronten. Standardiseringsorganisationerne W3C, som udarbejder åbne standarder, og FIDO, som udvikler autentificeringssystemer, står bag WebAuthn. WebAuthn skal muliggøre en mere sikker autentificering ved brug af biometri eller USB-nøglebrikker. Autentificeringen med WebAuthn sker uden brugernavn og kodeord og vil derfor særligt kunne udgøre et værn mod konventionelle phising-angreb.
WebAuthn er allerede understøttet i den seneste version af Firefox og vil også blive understøttet i de kommende versioner af Crome og Edge, der forventes frigivet i de løbet af de kommende måneder. Standarden har dermed opnået bred opbakning i markedet.
Kontakt
