Digitale signaturer brukes i økende grad i bedrifter og offentlige administrasjoner. Men uten tilstrekkelige cybersikkerhetstiltak kan denne metoden være en vektor for nettkriminelle og svindlere. Gjennom sosialteknikk kan de lure underskriver/ofre til å tro at et dokument er legitimt. Deres signatur kan få autorisasjon til å utføre andre operasjoner uten deres samtykke, blant mange andre ondsinnede aktiviteter. Så, hvordan kan vi unngå dette? ‎

‎Elektroniske kontra digitale signaturer

‎For det første er det viktig å skille mellom‎‎ begrepene elektronisk eller e-signatur og en digital signatur‎‎ fordi cybersikkerhet spiller en nøkkelrolle i deres differensiering. Selv om mange medier og kilder bruker disse begrepene om hverandre, er faktisk alle digitale signaturer elektroniske, Men‎‎ ikke alle e-signaturer er digitale‎‎. ‎

‎I teorien er formålet med e-signaturer å verifisere ektheten av dokumentet. Men digitale signaturer går utover det. De er en bestemt type e-signatur som gir ekstra sikkerhet. I tillegg til å sikre ektheten av dokumentet, bruker de standardiserte kryptografiske metoder som digitale sertifikater (f.eks. SSL). Dette for å sikre at ingen tredjeparter forstyrrer prosessene. En eller annen form for flerfaktorautentisering (MFA) må inkluderes for å tilby de høyeste sikkerhetsgarantiene om at underskriverne er legitime. Disse må være innlemmet i DSCer (Digital Signature Certificates) på et bestemt cybersikkerhetsnivå. ‎

Sikkerhetsnivåer

‎Digitale signatursertifikater er delt inn i tre kategorier: ‎

Klasse 1 (DSC1): Dette representerer et grunnleggende sikkerhetsnivå, da de bare valideres via e-post og /eller passord. Derfor er de ikke egnet for bruk med juridiske dokumenter og er bare gyldige for miljøer og dokumenter med svært lav risiko. ‎

Klasse 2 (DSC2): Dette er det vanligste sikre nivået for signering av dokumenter. I dette tilfellet verifiserer den ektheten av underskrivere mot en forhåndsetablert database der signataren ble bekreftet tidligere ved registrering. Og i økende grad har et ekstra lag med verifisering for å sikre at signataren er den opprinnelige signataren som er registrert. ‎

‎Klasse 3 (DSC3): Dette er det høyeste sikkerhetsnivået, men også det minst praktiske, da det krever at en organisasjon eller tredjepart er til stede for å bekrefte signatarens identitet før signaturen. Av denne grunn har bruken en tendens til å være begrenset til juridiske dokumenter der konsekvensene av et sikkerhetsbrudd kan være svært farlige. ‎

‎For de aller fleste dokumenter for organisasjoner bør en DSC2-sertifisering være tilstrekkelig. Prosessene som krever DSC3-sertifisering generelt er for kostbare når det gjelder ressurser og tid. ‎

‎Det er imidlertid viktig at disse DSC2-sertifikatene inkluderer en ekstra bekreftelsesmetode. Husk at ‎‎61% av datainnbrudd involverte offerets legitimasjon‎‎. Hvis nettkriminelle har fått denne legitimasjonen, kan de bruke et tidligere innhentet digitalt sertifikat. Men hvis organisasjonen har en annen metode for verifisering, for eksempel ‎‎en MFA-tjeneste som er lett håndterbar og svært sikker‎‎, vil det redusere sjansene for at dokumenter blir manipulert betydelig. I denne forstand har ‎‎de mest avanserte løsningene‎‎ ekstra MFA-beskyttelse på selve mobiltelefonene, for å sikre at de er autoriserte enheter og dermed forhindre angripere i å kunne bruke klonede telefoner.

Anbefaling

Absec anbefaler virksomheter til å bruke vår månedlige MFA-abonnementstjeneste eller kjøp av 1- og 3-års lisenser, som enkelt rulles ut til brukere, via en sikker MFA-app til mobiltelefonen. Vi benytter en-gangs pålogging (SSO) fra PC og Mac, til alle tjenester via SAML med støtte for et stort antall 3dje-parter, og det gir enklest og god brukeropplevelse. Ved hver pålogging sendes et varsel til mobilens MFA-app, fra hvor og hvem, som må bekreftes eller nektes.  Uten nettforbindelse f.eks på fly, benyttes QR-kode for å logge in på PC og Mac. Vi bruker GEO-inngjerding og autentiserings-rammeverk, som gir god kontroll og sikkerhet.

Ta gjerne kontakt for en uforpliktende samtale!

Sikre din virksomhet! Abonner på vårt nyhetsbrev for de nyeste innsiktene og tipsene om cybersikkerhet.

×