Det norske IT-sikkerhetsselskapet PDI Consult har inngått et samarbeid med Sonera-selskapet SmartTrust som gjør dem i stand til å tilby flere hensiktsmessige smarkortbaserte sikkerhetsløsninger til norske bedrifter.
- Vi tilbyr å løse en rekke aktuelle problemer, sier daglig leder i PDI, Per Hansen, til digi.no. - Digitale sertifikater nedfelt i smartkort gir sikker autentisering mot IT-systemet, og den enklest mulige kryptering og signering av e-post. I tillegg kommer blant annet signering av dokumenter og av utfylte skjemaer lagt ut på websider. Systemet passer til alle aktuelle smartkorttyper.
SmartTrust-systemet brukes av en rekke store organisasjoner i Finland og Sverige, blant annet til nettbankløsninger som sender kunden en signert kvittering straks en transaksjon er bekreftet.
- Vi har ikke tenkt å gå inn på det markedet. Vi tenker oss praktiske løsninger der smartkortet ikke bare brukes overfor IT-tjenester, men også i andre situasjoner der folk allerede er vant med å bruke kort, for eksempel adgangskontroll betalingstjenester.
Poenget er at smartkort ikke bare kan inneholde flere digitale sertifikater - slik at man kan identifisere både seg selv og bedriften - men også en rekke andre anvendelser.
- Vi tenker oss et samarbeid med blant andre Securitas, Falken og ABB og andre som driver med fysisk adgangskontroll basert på kort. Vi har et samarbeid med ErgoGroup AS og ZebSign når det gjelder sertifikater. Kortet kan også være elektronisk lommebok og forsynes med bilde. Teknologien er helt standard.
Det innebærer at en bedrift kan nøye seg med ett kort til hver ansatt. Kortet åpner dørene til sonene der man har rett til å ferdes, gir tilgang til IT-tjenestene som følger med jobben, og kan brukes til å betale i kantina.
En slik løsning betyr at du må fjerne smartkortet fra PC-en straks du skal ut av kontoret, siden du ellers ikke vil kunne åpne dører eller betale for kaffen. Uten smartkort, stenges PC-en automatisk for å formidle følsomme tjenester til uvedkommende, selv om den ikke er fysisk slått av.
PC-en må oppgraderes med en smartkortleser til anslagsvis 350 kroner, og med klienten SmartTrust Personal, en forholdsvis beskjeden sak som krever seks megabytes på disken, og som er tilgjengelig for alle Windows siden 95. Klienten er bygget opp med tanke på enkel integrering mot Windows-verktøy og Office-programmer som Outlook, samt e-postklienter fra andre leverandører.
Bruken i Outlook er spesielt enkel. Når du redigerer en ny e-postmelding, får du opp valgmuligheten "Alternativer" på verktøylinjen. Under overskriften "Sikkerhet" kan man krysse av for "Krypter meldingsinnhold og vedlegg" og "Legg til digital signatur i utgående melding". Hos brukere der SmartTrust Personal er installert, er disse feltene aktive. De offentlige nøklene til dem man sender e-post til, lagres i den lokale adresseboka.
I Norge kan offentlige nøkler hentes fra ZebSign-tjenesten Katalogen.no. Tast Ldap://katalogen.no på adresselinjen i nettleseren. Det mest praktiske er å gjøre som Windows foreslår, nemlig å lese oppføringene gjennom Outlooks adresseliste. Søk på "Per Hansen", og velg alternativet "Digitale ID-er" øverst til høyre.
Krypterer du e-posten, er du garantert at bare mottakeren vil være i stand til å lese den. Signerer du e-posten, vil mottakeren være sikker på at det er du som har sendt den.
Andre smartkortløsninger fra PDI integrerer SmartTrust-autentisering med allmenne sikkerhetssystemer fra F-Secure, PDIs andre store samarbeidspartner. Det innebærer sikker pålogging utenfra, virtuelle private nett der bedriften deler lokalnett med utenforstående, eller føler at noen arbeidsgrupper må sikres ekstra mot innsyn.
Hansen mener at WebSigner, den funksjonen i SmartTrust som signerer utfylte skjemaer på en nettside, dekker et enormt behov.
- Signaturen verner innholdet i det utfylte skjemaet mot å endres underveis i den videre behandlingen. Det er en viktig garanti for utfylleren. Samtidig verner den mottakeren mot at utfylleren på et seinere tidspunkt nekter å anerkjenne innholdet. Dette er behov som går igjen i selvangivelser, lånesøknader og en rekke andre situasjoner.
Hansen mener WebSigner også dekker behov innen blant annet helsevesenet.
- Pasientjournaler og liknende vil i stadig større grad fylles ut gjennom et web-basert grensesnitt. WebSigner garanterer at den opprinnelige informasjonen blir stående. Helheten WebSigner inngår i, med sterk smartkortbasert autentisering av brukere, innebærer et vern mot innsyn fra uvedkommende. Datatilsynets krav til behandling av følsom informasjon er fullt ut tilfredsstilt.
Systemet gjelder ikke bare individuelle signaturer. Bedrifter seg i mellom har også behov for ordninger som garanterer for den elektroniske partnerens identitet. Hansen peker på samarbeidet som 55 internasjonale storbanker har opprettet i Identrus. Der arbeider man for et system som sikrer overføringer mellom banker over Internett, ikke for å erstatte Swift, men som et alternativ.
- De har også valgt SmartTrust Personal, avslutter Per Hansen.
