Principper for drifts-og datasikkerhed i Rejsekort Gregers Mogensen, Rejsekort A/S Rejsekort er din elektroniske billet til bus, tog og metro 20170906 Summit 2017: Smart Society
Agenda Potentielle kriser Rejsekort struktur Udstyr, kort og netværk Datasikkerhed og brugergrænseflader --------------------------- Andre elektroniske medier 20170906 Summit 2017: Smart Society 2
Potentielle kriser STORE HÆNDELSER Systemet virker slet ikke: Kunderne kan ikke lave check ind og check ud. Konsekvens: Provenutab for trafikselskaberne Systemet beregner forkerte priser: Nogen betaler for meget og nogen betaler for lidt. Konsekvens: Tillidstab og tung proces for korrektioner Lækage af persondata Større antal kundedata kopieres ud af systemet. Konsekvens: Stort tillidstab, oprydning og systemopdatering. SMÅ HÆNDELSER Nogle kunder får forkert pris. Kunder fusker med rejsekortet Medarbejdere misbruger informationer om enkelte kunder i systemet Nogle kunder kan se andre kunders data. 20170906 Summit 2017: Smart Society 3
Rejsekort struktur ~14.000 stk. Kunder ~2 mio. stk. Brugere Admin. ---------- NETS CPR DanID ~2 mio. stk. Kunder MPLS netværk Rejse-kort ~500 stk. Datavarehus ~1800 stk. 20170906 Summit 2017: Smart Society 4
Udstyr, kort og netværk Udstyr er offline – dvs. check ind / check ud er en lokal handling uden forbindelse til det centrale system. Udstyr, der kan læse/skrive på rejsekort har HW SE (Sikkert Element). Hvert SE skal være i regelmæssig kontakt med systemet, ellers bliver det sat på spærreliste. Rejsekortet er sikret med læsenøgle, skrivenøgle og signeringsnøgle. ”Businesscasen” for snyd med rejsekort er begrænset Udstyr er koblet på et lukket datanetværk, som går til stationer, busgarager, salgssteder og kundeservice. Datafiler er signerede. Kontrol af fuldstændighed og korrekte sekvenser i flere led. Central overvågning af misbrug. 20170906 Summit 2017: Smart Society 5
Datasikkerhed og brugergrænseflader Styring af differentierede brugerrettigheder for tilgang til data – både personfølsomme data (Identitet) og personrelaterede data (Rejseinformationer). Personfølsomme data sendes ikke ”ud af huset” i bulk. Rejsekort selvbetjening testes for ”huller” af eksternt sikkerhedsfirma. Brugergrænseflader til medarbejdere testes for ”huller” af eksternt sikkerhedsfirma. Logning af alle ”bestillinger” fra kunder og fra brugere/medarbejdere. Årlig IT-revision af hosting leverandører. Compliance gruppe og compliance manual fastlægger regler for trafikselskabernes håndtering af rejsekortdata. 20170906 Summit 2017: Smart Society 6
Sikkerhed ved andre elektroniske medier Kunde skal have gyldig ”billet” Billet defineret før rejsen (fra-til/zoner n1...n2/antal zoner ”herfra”) Billet defineret under rejsen (”åben billet” hvor forløbet registreres) Ad.1: Sikkerhed mod kopiering fra billet App. P.t. ikke sandsynligt med ”system angreb” Ad.2a: Rejsekort i mobiltelefon forudsætter HW SE for at kunne læse og skrive. Teknik virker, men indtil videre ikke løsning på forretningskoncept. Ad 2b: Telefon eller Wallet som ID til Check Ind/Check Ud. (Transport for London) Pt. er kun bankkort anerkendt som generel ID Hvordan sikres mod at bankkort(ID) er spærret? Ad.2c: Automatisk identifikation af rejsevej (Be in – Be out) Kræver både robust ID og robust lokalisering – lokal og ”global”. Sikring af korrekt og robust lokalisering er ikke løst (endnu). 20170906 Summit 2017: Smart Society 7
? gem@rejsekort.dk 20170906 Summit 2017: Smart Society 8