Digitale signaturer må bruke MFA
Digitale signaturer brukes i økende grad i bedrifter og offentlige administrasjoner. Men uten tilstrekkelige cybersikkerhetstiltak kan denne metoden være en vektor for nettkriminelle og svindlere. Gjennom sosialteknikk kan de lure underskriver/ofre til å tro at et dokument er legitimt. Deres signatur kan få autorisasjon til å utføre andre operasjoner uten deres samtykke, blant mange andre ondsinnede aktiviteter. Så, hvordan kan vi unngå dette?
Elektroniske kontra digitale signaturer
For det første er det viktig å skille mellom begrepene elektronisk eller e-signatur og en digital signatur fordi cybersikkerhet spiller en nøkkelrolle i deres differensiering. Selv om mange medier og kilder bruker disse begrepene om hverandre, er faktisk alle digitale signaturer elektroniske, Men ikke alle e-signaturer er digitale.
I teorien er formålet med e-signaturer å verifisere ektheten av dokumentet. Men digitale signaturer går utover det. De er en bestemt type e-signatur som gir ekstra sikkerhet. I tillegg til å sikre ektheten av dokumentet, bruker de standardiserte kryptografiske metoder som digitale sertifikater (f.eks. SSL). Dette for å sikre at ingen tredjeparter forstyrrer prosessene. En eller annen form for flerfaktorautentisering (MFA) må inkluderes for å tilby de høyeste sikkerhetsgarantiene om at underskriverne er legitime. Disse må være innlemmet i DSCer (Digital Signature Certificates) på et bestemt cybersikkerhetsnivå.
Sikkerhetsnivåer
Digitale signatursertifikater er delt inn i tre kategorier:
Klasse 1 (DSC1): Dette representerer et grunnleggende sikkerhetsnivå, da de bare valideres via e-post og /eller passord. Derfor er de ikke egnet for bruk med juridiske dokumenter og er bare gyldige for miljøer og dokumenter med svært lav risiko.
Klasse 2 (DSC2): Dette er det vanligste sikre nivået for signering av dokumenter. I dette tilfellet verifiserer den ektheten av underskrivere mot en forhåndsetablert database der signataren ble bekreftet tidligere ved registrering. Og i økende grad har et ekstra lag med verifisering for å sikre at signataren er den opprinnelige signataren som er registrert.
Klasse 3 (DSC3): Dette er det høyeste sikkerhetsnivået, men også det minst praktiske, da det krever at en organisasjon eller tredjepart er til stede for å bekrefte signatarens identitet før signaturen. Av denne grunn har bruken en tendens til å være begrenset til juridiske dokumenter der konsekvensene av et sikkerhetsbrudd kan være svært farlige.
For de aller fleste dokumenter for organisasjoner bør en DSC2-sertifisering være tilstrekkelig. Prosessene som krever DSC3-sertifisering generelt er for kostbare når det gjelder ressurser og tid.
Det er imidlertid viktig at disse DSC2-sertifikatene inkluderer en ekstra bekreftelsesmetode. Husk at 61% av datainnbrudd involverte offerets legitimasjon. Hvis nettkriminelle har fått denne legitimasjonen, kan de bruke et tidligere innhentet digitalt sertifikat. Men hvis organisasjonen har en annen metode for verifisering, for eksempel en MFA-tjeneste som er lett håndterbar og svært sikker, vil det redusere sjansene for at dokumenter blir manipulert betydelig. I denne forstand har de mest avanserte løsningene ekstra MFA-beskyttelse på selve mobiltelefonene, for å sikre at de er autoriserte enheter og dermed forhindre angripere i å kunne bruke klonede telefoner.
Anbefaling
Absec anbefaler virksomheter til å bruke vår månedlige MFA-abonnementstjeneste eller kjøp av 1- og 3-års lisenser, som enkelt rulles ut til brukere, via en sikker MFA-app til mobiltelefonen. Vi benytter en-gangs pålogging (SSO) fra PC og Mac, til alle tjenester via SAML med støtte for et stort antall 3dje-parter, og det gir enklest og god brukeropplevelse. Ved hver pålogging sendes et varsel til mobilens MFA-app, fra hvor og hvem, som må bekreftes eller nektes. Uten nettforbindelse f.eks på fly, benyttes QR-kode for å logge in på PC og Mac. Vi bruker GEO-inngjerding og autentiserings-rammeverk, som gir god kontroll og sikkerhet.
Ta gjerne kontakt for en uforpliktende samtale!
Siste kommentarer