Kryptering og cybersikkerhed
1. Resumé
Både den offentlige sektor, infrastrukturen, erhvervsliv og vores private husholdninger bliver mere og mere digitaliseret. Dermed stiger også behovet for at sikre, at denne digitalisering kan ske sikkert. Med et højt trusselsniveau fra hackerangreb af forskellig baggrund, er øget forskning i kryptering og cybersikkerhed af stigende vigtighed for, at vi kan udnytte potentialerne i digitaliseringen.
2. Samfundsudfordringer og/eller muligheder
Den netop lancerede fælles offentlige digitaliseringsstrategi går på tre ben: Den skal sikre en mere sammenhængende offentlig sektor, den skal gøre det lettere at drive virksomhed og udviklingen skal ske med sikkerhed for borgerens og virksomheders data, så danskerne også fremover kan have tillid til offentlige digitale løsninger. Den netop vedtagne EU-forordning stiller en lang række krav til bedre beskyttelse af personfølsomme oplysninger. Samtidig vurderer Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, truslen fra cyberspionage og cyberkriminalitet, til at være meget høj. En analyse blandt ingeniørforeningens it-ingeniører viser, at næsten hver tredje af de adspurgtes arbejdspladser har været udsat for et angreb på bare et år.
Samtidig er der et behov for at tilgangen til at håndtere fjendtlige angreb ændrer sig i takt med, at dygtigheden blandt hackere stiger og typen af angreb ændrer sig. Et af de forskningsområder, der er stort behov for at styrke, er derfor kryptering og cybersikkerhed.
3. Forskningsbehov
Indenfor kryptering er der især 5 store udfordringer som bør løses forskningsmæssigt:
a) Letvægtskryptografi (både algoritmer og protokoller) der kan implementeres i ressourcebegrænsede systemer (både "cyber physical systems" og "Internet of Things (IoT)").
b) Fremkomsten af kvante-computere vil dramatisk reducere anvendeligheden af gængse algoritmer til digitale signaturer og samtidig betyde forøgede nøglelængder for symmetriske krypto-algoritmer. De amerikanske myndigheder, såsom National Security Agency (NSA) og NIST, anbefaler, at der overgås til postkvantekryptografi algoritmer, der kan modstå angreb med en kvante-computer. Dette er især vigtigt i indlejrede systemer med meget lang levetid og store udskiftningsomkostninger, som f.eks. smarte el- og vandmålere, samt styre-/kontrol-/signalsystemer til kritisk infrastruktur (f.eks. SCADAsystemer til bortledning af spilde- og regnvand, signalsystemer til tog- og flydriften, og lyskryds til trafikregulering). Øget forskning indenfor postkvantekryptografi er derfor vigtigt for at kunne sikre disse systemer frem mod 2025.
c) Mange fejl i kryptosystemer opstår ved komposition af både kryptografiske algoritmer og -protokoller. Der bør derfor forskes i, hvordan algoritmer og protokoller kan sættes sammen på en måde, der garanterer sikkerheden i det endelige system.
d) Analyse og validering af udbredte software biblioteker, der implementerer kryptografiske algoritmer og -protokoller ("cryptographic libraries").
e) Udvikling af kryptografiske metoder, algoritmer og protokoller der kan understøtte forskningen indenfor Privacy by Design. Dette indebærer forskning indenfor "multi-party secure computations", "attribute-based -", "fully homomorphic -" og "searchable encryption" og kryptografiske anvendelser af zero-knowledge protokoller.
Indenfor cybersikkerhed er der især fire hovedområder, der kræver forskningsmæssigt fokus fremadrettet:
a) Cybersikkerhed kan deles op i tre hovedfokusområder: Prævention (hvordan man forhindrer at systemer kompromitteres), detektion (hvordan man opdager at et system er kompromitteret) og reaktion (hvordan man stopper et angreb og retablerer et sikkert og velfungerende system). Forskningen har hidtil primært fokuseret på prævention, men i takt med at IKT systemer bliver mere omfattende og mere komplekse bliver det sværere at undgå kompromittering, hvorfor det er vigtigt at forske i detektion og reaktion. Konkret indebærer det:
- Forskning i "Intrusion Detection/Prevention Systems", herunder detektion af forskellige former for malware, f.eks. Spyware og Botnets.
- Forskning i evidensbaseret analyse af sikkerhedssituationen ("security analytics"), f.eks. ud fra "Security Information & Event Management (SIEM)" systemer.
- Forskning i korrelation og præsentation af sikkerhedsinformationer på en sådan måde, at de fremmer en rettidig og hensigtsmæssig reaktion fra sikkerhedspersonalet.
- Forskning i sikkerhedsinfrastrukturer til små og mellemstore virksomheder, som ikke har de nødvendige sikkerhedskompetencer blandt personalet, men har behov for tilstedeværelse online.
b) Overgang fra traditionel perimetersikkerhed til et totalforsvar, hvor IKT systemer gøres robuste overfor kompromitterede delsystemer. Forskning indenfor dette område kan lære meget fra eksisterende forskning indenfor fejltolerance, der også sigter på at gøre systemer robuste overfor fejlende delsystemer, men i cybersikkerhed er modstanderen intelligent, hvilket betyder, at man ikke kan benytter statistiske-/aktuariske modeller for fejl. Det indebærer konkret forskning i:
- Robusthed af beregninger og datalagring, f.eks. gennem optimale replikeringsstrategier i forhold til en given angrebsmodel.
- Identifikation, isolation og korrektion af kompromitterede delsystemer.
c) Eksplicitte modeller af tillid mellem komponenter og agenter i sikre IKT systemer. Hovedparten af IKT systemer er i dag distribuerede, hvilket betyder, at de består af flere komponenter og tjenester, der ikke nødvendigvis allesammen er udviklet af og/eller kontrolleres af de samme aktører. Cybersikkerhed bygger som regel på en række implicitte antagelser om troværdigheden af andre komponenter og aktører, samt politiet og det juridiske systems evne og mulighed for at håndhæve kontrakter og/eller gældende lov. I et globalt IKT system holder disse antagelser ikke nødvendigvis, så det er nødvendigt at forske i eksplicitte modeller til at ræsonnere om andre aktørers velvilje og kompetence for at kunne orkestrere distribuerede systemer, der kan fungere i praksis. Forskning i hvordan sådanne eksplicitte tillidsmodeller kan realiseres direkte i systemets komponenter og mekanismer er ligeledes nødvendig for at kunne nå dette mål.
d) Identitetsstyring og adgangskontrol der respekterer udfordringerne indenfor Privacy by Design og især understøtter de kontekstafhængige adgangskontrolpolitikker defineret i Privacy by Design, men samtidigt er simple at specificere og vedligeholde i organisationer og virksomheder, der løbende udvider og omstruktureres.
4. Forhold vedrørende udmøntning og implementering af forskningsindsatsen
Forskningen skal være med til at understøtte en udvikling af sikre it-produkter, både fysiske produkter (devices), services (cloud tjenester, betalingstjenester, rejsekort lignende produkter), apps (betalingstjenester, togbilletter etc) og software (chat tjenester, sociale medier etc.). Den skal endvidere være med til at understøtte den øgede sikkerhed, der er i fokus i forhold til den offentlige digitalisering i Danmark. Digitaliseringsstrategi 2016-2020, der blev lanceret 12. maj, lægger vægt på at øge sikkerheden i omgangen med borgeres og virksomheders data. Danmark er på mange niveauer i front som it-nation, og der er derfor også alt mulig grund til at være i front med forskning på disse kritiske områder. Samtidig er cybersikkerhed af natur et grænseoverskridende fænomen, og derfor er forskning i, viden om og værktøjer til kryptering og cybersikkerhed globalt efterspurgt.
5. Danske forudsætninger
På offentlig digitalisering er Danmark frontrunner og kan derfor udvikle en styrkeposition ud fra de erfaringer, der ligger i implementeringen af offentlig digitalisering på en sikker og tillidsvækkende måde. Men forskningen skal også være med til at udvikle metoder til at omgå den konstante ændring i hackermetoder og angreb, som virksomheder udsættes for. Det gælder både vitale forsyningstjenester, men også virksomheder med en udviklet grad af IoT (Internet of Things) som vil blive stigende i takt med tendenser i Industri 4.0-bølgen. Forskningen vil derfor med fordel kunne ske i samarbejde med både privatejede små og store industrivirksomheder og offentlige administrative organisationer.
6. Mål, effekt og perspektiver
Målet med øget forskning i kryptering og cybersikkerhed er at gøre den offentlige sektor, dansk erhvervsliv og danske borgere klar til at udnytte potentialerne i den stigende digitalisering sikker og forsvarligt.
7. Kontaktperson
Ingeniørforeningen, Grit Munk, gmu@ida.dk, telefon 3059 6596.
DTU Compute, Christian Damsgaard Jensen, cdje@dtu.dk, telefon 4525 3724
Referencer:
http://www.fm.dk/nyheder/pressemeddelelser/2016/05/ny-faellesoffentlig-digitaliseringsstrategi