Principper for drifts-og datasikkerhed i Rejsekort Gregers Mogensen, Rejsekort A/S Rejsekort er din elektroniske billet til bus, tog og metro 20170906 Summit 2017: Smart Society

Agenda Potentielle kriser Rejsekort struktur Udstyr, kort og netværk Datasikkerhed og brugergrænseflader --------------------------- Andre elektroniske medier 20170906 Summit 2017: Smart Society 2

Potentielle kriser STORE HÆNDELSER Systemet virker slet ikke: Kunderne kan ikke lave check ind og check ud. Konsekvens: Provenutab for trafikselskaberne Systemet beregner forkerte priser: Nogen betaler for meget og nogen betaler for lidt. Konsekvens: Tillidstab og tung proces for korrektioner Lækage af persondata Større antal kundedata kopieres ud af systemet. Konsekvens: Stort tillidstab, oprydning og systemopdatering. SMÅ HÆNDELSER Nogle kunder får forkert pris. Kunder fusker med rejsekortet Medarbejdere misbruger informationer om enkelte kunder i systemet Nogle kunder kan se andre kunders data. 20170906 Summit 2017: Smart Society 3

Rejsekort struktur ~14.000 stk. Kunder ~2 mio. stk. Brugere Admin. ---------- NETS CPR DanID ~2 mio. stk. Kunder MPLS netværk Rejse-kort ~500 stk. Datavarehus ~1800 stk. 20170906 Summit 2017: Smart Society 4

Udstyr, kort og netværk Udstyr er offline – dvs. check ind / check ud er en lokal handling uden forbindelse til det centrale system. Udstyr, der kan læse/skrive på rejsekort har HW SE (Sikkert Element). Hvert SE skal være i regelmæssig kontakt med systemet, ellers bliver det sat på spærreliste. Rejsekortet er sikret med læsenøgle, skrivenøgle og signeringsnøgle. ”Businesscasen” for snyd med rejsekort er begrænset  Udstyr er koblet på et lukket datanetværk, som går til stationer, busgarager, salgssteder og kundeservice. Datafiler er signerede. Kontrol af fuldstændighed og korrekte sekvenser i flere led. Central overvågning af misbrug. 20170906 Summit 2017: Smart Society 5

Datasikkerhed og brugergrænseflader Styring af differentierede brugerrettigheder for tilgang til data – både personfølsomme data (Identitet) og personrelaterede data (Rejseinformationer). Personfølsomme data sendes ikke ”ud af huset” i bulk. Rejsekort selvbetjening testes for ”huller” af eksternt sikkerhedsfirma. Brugergrænseflader til medarbejdere testes for ”huller” af eksternt sikkerhedsfirma. Logning af alle ”bestillinger” fra kunder og fra brugere/medarbejdere. Årlig IT-revision af hosting leverandører. Compliance gruppe og compliance manual fastlægger regler for trafikselskabernes håndtering af rejsekortdata. 20170906 Summit 2017: Smart Society 6

Sikkerhed ved andre elektroniske medier Kunde skal have gyldig ”billet” Billet defineret før rejsen (fra-til/zoner n1...n2/antal zoner ”herfra”) Billet defineret under rejsen (”åben billet” hvor forløbet registreres) Ad.1: Sikkerhed mod kopiering fra billet App. P.t. ikke sandsynligt med ”system angreb” Ad.2a: Rejsekort i mobiltelefon forudsætter HW SE for at kunne læse og skrive. Teknik virker, men indtil videre ikke løsning på forretningskoncept. Ad 2b: Telefon eller Wallet som ID til Check Ind/Check Ud. (Transport for London) Pt. er kun bankkort anerkendt som generel ID Hvordan sikres mod at bankkort(ID) er spærret? Ad.2c: Automatisk identifikation af rejsevej (Be in – Be out) Kræver både robust ID og robust lokalisering – lokal og ”global”. Sikring af korrekt og robust lokalisering er ikke løst (endnu). 20170906 Summit 2017: Smart Society 7

? gem@rejsekort.dk 20170906 Summit 2017: Smart Society 8