Upplýsingaöryggi - InfoSec

Ekkert stoppar ásetning til illra verka - Málið er að uppgötva illvirkin í tæka tíð

Ekkert ferli stoppar ásetning til illra verka - Málið er að uppgötva illvirkin í tæka tíð

(Greinin birtist fyrst 17. febrúar 2011)

Ég var beðinn um að fara yfir ferlið við skráningu nafns og kennitölu þeirra sem eru fylgjandi því að Icesave-lögin hin þriðju fari í þjóðaratkvæðagreiðslu.  Leituðu aðstandendur undirskriftarsöfnunarinnar til mín, þar sem upplýsingaöryggi og persónuvernd er það sem ég fæst við í mínu starfi.  Eftir skoðun á ferlinu, þá kom ég með fjölmargar spurningar, sem aðstandendur söfnunarinnar svöruðu af kostgæfni.  Ein sneri að möguleika fólk til að skrá inn bull nöfn og kennitölur.  Til að hafa ferlið eins einfalt og hægt er, þá er samanburður á nöfnum og kennitölum gerður þegar lokað hefur verið fyrir söfnunina.  Kjánaprik, prakkarar og skemmdarvargar geta því eytt tíma sínum í að skrá inn Bart Simpson eða Kaptein Kirk hafi þeir einhverja friðþægingu út úr því, en þessum skráningum er öllum eytt í yfirferð skráninga.  Þá óskaði ég eftir því að skoðaðar væru margfaldar skráningar frá sömu IP-tölu til að koma í veg fyrir að einhver sæi sér leik í því að hrúga inn undirskriftum án þess að hafa til þess heimild viðkomandi aðila.

Vegna skamms undirbúningstíma fyrir þessa söfnun var ákveðið að fara ofangreinda leið.  Hefur hún ekki hingað til þótt orka tvímælist og margoft viðgengist.  Spurningar sem má spyrja sig, eru hvers konar ferli hefði verið æskilegt og hvers konar ferli hefði komið í veg fyrir skemmdarverk illa þenkjandi aðila á svona framtaki.

Svo ég svari síðari spurningunni fyrst, þá hefði ekkert ferli komið í veg fyrir tilraunir til skemmdarverka.  Sumir eru bara ekki stærri persónur en svo, að þeir hafa þörfina til að skemma fyrir öðrum.  Þeir verða að eiga það við sína siðgæðisvitund.  Ekkert ferli stoppar einstakling í þeim eindregna ástendingi sínu að koma fram illum vilja.  Hlutverk öryggisráðstafana í þessu tilfelli er ekki að koma í veg fyrir bullskráningar, heldur að uppgötva þær áður en listinn er sendur forseta Íslands.

Hvernig er æskilegt ferli?  Í fyrsta lagi, þá er ekki til neitt fullkomlega öruggt ferli.  Jú, það hefði verið gott að láta viðkomandi staðfesta skráninguna.  Sá háttur hefur kosti og galla.  Kostirnir eru að meiri líkur væru á því að staðið væri heiðarlega að öllum skráningum (gert er ráð fyrir að stærsti hluti skráninga sé í lagi frá upphafi) og hægt væri að koma upp um falsaðar skráningar.  Ókostirnir eru að ekki eru allir með tölvupóst eða netbankaaðgang til að fá slík staðfestingarboð, flækjustig skráningarinnar eykst og meiri líkur eru á villum við innslátt.  Næst þá hefði verið gott að gefa fólki kost á að sjá hvaða aðilar hefðu skráð sig, svo einstaklingar sem hafa verið skráðir ranglega gætu krafist leiðréttingar.  Slíkt ferli kallar líka á misbeitingu, þ.e. óprúttnir aðilar gætu sagst vera réttilega skráður aðili og krafist þess að nafnið væri fjarlægt, meiri umgjörð hefði þurft til að sannreyna strax að nafn og kennitala væri til í þjóðskrá og það sem mestu máli skiptir, fleiri hefðu haft aðgang að gögnum sem þar með hefði leitt af sér ríkari kröfur um röklægt öryggi.

Næst má spyrja hvort núverandi fyrirkomulag sé fullnægjandi.  Það er mín skoðun að núverandi fyrirkomulag uppfylli þær kröfur sem gerðar eru til undirskriftar á borð við þessa.  Aðstandendur söfnunarinnar munu láta framkvæma skoðun á skráningum með það í huga að finna dæmi um þar sem nöfn og/eða kennitölur eru a) ekki til í þjóðskrá, b) eiga ekki saman.  Eftir munu standa einhver dæmi um nöfn og kennitölur sem til eru í þjóðskrá, en voru misnotuð af óheiðarlegum aðilum.  Ómögulegt er að segja til um hve stór hluti skráninga falla undir þennan hóp.  1% er um 389 skráningar og 10% um 3.886 skráningar.  Ég er viss um að fjöldinn er vel undir 10% mörkunum og mjög líklega vel undir 5%.  Ég held nefnilega að Íslendingar séu upp til hópa heiðarlegir og það séu nær eingöngu þeir sem vilja skemma sem búa yfir þeim óheiðarleika að skrá inn rangar upplýsingar.

Er söfnunin marklaus, ef allt að 10% skráninga er skemmdarverk?  Nei, alveg afdráttarlaust ekki.  Þó svo að 20% skráninga væri skemmdarverk, þá er söfnunin ekki marklaus.  Hin 80-90% eru þó a.m.k. heiðarlegar skráningar.  Ekki skiptir meginmáli hvort heiðarlegar skráningar eru 30.000, 34.500 eða 39.000.  Komið hefur fram eindreginn vilji umtalsverðs hluta kjósenda að málið fari í þjóðaratkvæði.  Sé aftur 40 - 50% skráninga óheiðarlegar, þá tel ég kröfuna um þjóðaratkvæði ekki njóta nægilegs stuðnings og söfnuna ómarktæka.

Sorglegast finnst mér í þessu, að ekki sé hægt að treysta á heiðarleika manna.  Ítrekað gerist það, að andstæðingar einhverrar hugmyndar reyna að skemma fyrir fylgjendum hennar. Ekki með því að koma með sannfærandi rök fyrir ágæti sinnar skoðunar.  Nei, með skemmdarverkum.

Svo vill til að söfnun, eins og sú sem hér um ræðir, nýtur verndar fjarskiptalaga og raunar líka laga um persónuvernd.  Rangar skráningar eru því brot á þessum tvennum lögum.  Hafa skal í huga, að kjosum.is er ekki sá sem skráir upplýsingarnar, heldur tekur við skráningum.  Sá sem skráir upplýsingar ranglega er skyldugur samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga að sjá til þess að rangar upplýsingar séu leiðréttar.  Aðstandendur kjosum.is eiga að gera það sem í þeirra valdi stendur til að tryggja að skráðar upplýsingar séu réttar og fjarlægja þær sem ekki standast skoðun.  Með því eru þeir að uppfylla skyldur sem persónuverndarlögin setja þeim.  Það er aldrei hlutverk aðstandenda kjosum.is að tryggja heiðarleika við skráningu. Slíkt verður hver og einn að eiga við sig.

Viðbót:

100% örugg leið er ekki til.  því þarf maður að spyrja sig:  Hvað er fullnægjandi öryggi?  Samkvæmt upplýsingaöryggisstaðlinum ISO 27001 þá snýst öryggi upplýsinga um þrennt:  Leynd/trúnað (confidentiality), réttleika (integrity) og tiltækileika (availability).  Almennt sagt að upplýsingaröryggi snúist um að sá sem hefur heimild skal hafa aðgang að réttum upplýsingum, þegar hann þarf.  Í tilfelli undirskriftasöfnunarinnar er nálgunin að allir sem vilja eiga að geta kosið.  Eingöngu skal hleypa í gegn (þ.e. á listann til forseta Íslands) nöfnum og kennitölum sem sannanlega eru til í þjóðskrá og eru rétt samkvæmt þjóðskrá.  Ekki skal birta kennitölur einstaklinga sem skráðu sig, en mögulegt á að vera að fjarlægja skráningar sem ranglega eru færðar inn.  Koma skal, eins og hægt er, í veg fyrir falsaðar skráningar og hafi falsaðar skráningar farið inn skal allt gert til að finna þær og fjarlægja af listanum sem fer til forseta Íslands.

Mín ráðgjöf til aðstandenda söfnunarinnar byggði á þessum grundvallaratriðum.  Einnig byggði hún á samanburði við "hefðbundna" söfnun undirskrifta, þ.e. skriflega, og að slíkur samanburður yrði söfnun kjosum.is ekki í óhag.  Ég er sannfærður um að það hafi tekist.

Er þetta 100% örugg leið?  Nei, eins og áður segir, 100% öryggi er ekki til.  Er þetta besta aðferð til að standa að svona söfnun?  Nei, til eru betri en jafnframt tæknilega flóknari leiðir.   Er þetta draumaaðferðin ef nægur tími, peningar og tækniþekking hefði verið til staðar? Nei, alls ekki.  Málið er að tvær auðlindir voru af skornum skammti:  Tími og peningar.

Allar aðferðir hafa sínar takmarkanir.  Menn hafa bent á rafræn skilríki.  Til þess að nota rafrænt skilríki þarf tækniþekkingu sem ekki allir búa yfir.  Krafan um rafrænt skilríki hefði því útilokað stóran hóp þeirra sem hefðu viljað taka þátt í söfnuninni.  Síðan er ekkert sem segir að handhafi rafræns skilríkis sé sá sem hann segist vera.  Hægt er að fá skilríki lánuð og leyniorðið með.  Bent er á að nota hlekk sem sendur er í tölvupósti.  Ekki allir hafa netfang og þar sem gætu þeir ekki kosið.  Þá hefði mátt nota hlekk sem birtist strax eftir kosningu, en þá hefði í raun hvers er geta slegið inn upplýsingarnar.  Þetta útilokar að vísu vélræna skráningu eða a.m.k. dregur úr líkum á slíku.  Sem sagt allar aðferðir hafa kosti og galla.

Stærsta hráefni í öllum öryggismálum er mannlegt eðli.  Við því er oftast fátt að gera.  Hvort er viðkomandi heiðarlegur eða óheiðarlegur?  Ef allir væru heiðarlegir, þá værum við ekki að velta fyrir okkur hvort þessi aðferð er góð eða ekki.  Mér dettur ekki í hug að skrá nafn annars aðila, nema viðkomandi (sem ég þekki vel) hafi beðið mig um að gera það, þar sem hann er ekki í aðstöðu til þess eða vegna þess að hann stendur við hlið mér þegar skráning fer fram. Þetta er jú bara söfnun undirskrifta en ekki kosning.  Svindl segir ekkert um aðferðina, heldur allt um persónuna sem stendur fyrir svindlinu.