Show 2. maj 2025
October 10, 2021
IBM Danmark
for
KOMBIT – Kommunernes IT-fællesskab
Kategori :
Type :
andet
Danmark har den mest digitaliserede offentlige sektor i verden (Digst 2024). Det giver borgerne muligheder for at håndtere dialog med det offentlige hjemme fra sofaen. Digitaliseringen gør samtidig Danmark ekstra sårbar for den stigende cybertrussel. Teknologien udvikler sig med ekspresfart, og ondsindede aktører finder nye måder at udfordre det digitale Danmark. Truslen kommer ikke altid udefra. I de senere år, har der været eksempler på store organisationer både globalt og nationalt, som internt har haft ondsindede aktører, der har udnyttet deres adgange til at foretage uberettiget udveksling af data, blandt andet gennem misbrug af krypteringsnøgler (Cisa 2025).
For KOMBIT, der forvalter samfundskritiske it-systemer på vegne af landets kommuner, er sikkerhed fundamentalt for at beskytte borgernes data og oplysninger. KOMBIT har et stort og strategisk fokus på cybersikkerhed, og oprettede i 2024 kommunernes fælles cybersikkerhedsenhed, KommuneCERT. Men der er også stort fokus i løsningerne.
Som en del af den fælleskommunale it-infrastruktur driver KOMBIT bl.a. Serviceplatformen. Med Serviceplatformen har kommunerne det rette fundament til at dele data på tværs af fagområder og it-systemer på en sikker og lovmedholdelig måde. Serviceplatformen understøtter muligheden for at slå op i indkomstoplysninger fra SKAT, udbetalingen af offentlige ydelser, distribution af CPR-data og meget mere. Med andre ord udgør Serviceplatformen en vigtig del af den digitaliserede kommunale opgaveforvaltning.
Et af de tiltag, KOMBIT har implementeret, er krypteringsnøgle-løsningen IBM Hyper Protect Crypto Services (HPCS) til beskyttelse af Serviceplatformens krypteringsnøgler. Krypteringsnøglerne bruges bl.a. til at Serviceplatformen kan identificere sig overfor de systemer, der udveksles data med. KOMBITs overordnede mål med løsningen er at leve op til de højeste standarder for beskyttelse af nøgler og eliminere risikoen for menneskelige fejl.
Da KOMBITs systemer skal i genudbud har det også været vigtigt at anvende en standardiseret løsning, så Serviceplatformen ikke bliver fastlåst til en bestemt cloud-udbyder eller driftsleverandør.
“I vores digitale tidsalder, hvor data er blevet helt fundamentalt for et velfungerende velfærdssamfund, er beskyttelse af vores infrastruktur ikke blot en teknisk opgave – det er en strategisk nødvendighed. Man kan sige, at vi ikke blot investerer i sikkerhed, men i stabilitet, tillid og fremtidssikring af de fælleskommunale systemer, der holder velfærden kørende. Her er Serviceplatformen og den fælleskommunale it-infrastruktur et af de vigtigste i kommunernes it-portefølje. Vores ansvar er ret klart på det her område: Data skal beskyttes, så samfundet kan fungere. Implementeringen af IBMs krypteringsnøgle-løsning er et vigtigt tiltag i den kontekst”, siger Søren Kromann, Operations- og finansdirektør i KOMBIT.
Mange traditionelle IT-løsninger lader de enkelte servere opbevare krypteringsnøgler og tillader applikationerne at tilgå disse nøgler, når de skal identificere sig overfor eksterne systemer eller foretage digital signering af data, så data ikke kan manipuleres af udenforstående. Ved misbrug af krypteringsnøglerne ville man dermed kunne foretage uberettiget udveksling af data med disse systemer.
Med IBM HPCS fungerer det på en anden måde. HPCS beskytter krypteringsnøglerne med såkaldte HSM moduler (Hardware Security Module), der er “tamper-proof”, hvilket betyder at krypteringsnøglerne kun kan anvendes af HSM'en, og at denne selvdestruerer nøglerne hvis nogen forsøger at manipulere med den – f.eks. åbne for HSM-hardwaren. Når Serviceplatformen skal foretage krypterings-operationer, foregår det derfor ved at det pågældende data sendes i et lukket netværk til HPCS, der udfører krypteringsoperationen ved brug af krypteringsnøglen, og returnerer det krypterede data til Serviceplatformen. Det er således ikke længere muligt at stjæle krypteringsnøglerne – hverken ved indbrud eller af interne, ondsindede aktører. Krypteringsnøglerne beskyttes nu end-to-end af IBMs HPCS-løsning, så de kun kan benyttes til de formål, de er beregnet for.
IBM HPCS er en cloud-baseret løsning, hvilket betyder, at størstedelen af det komplekse arbejde med at etablere og administrere HSM hardware, er overladt til cloud-udbyderen (IBM Cloud), der også sørger for den løbende overvågning, backup etc.
Serviceplatformen har været udviklet gennem de sidste 15 år og består af en meget stor mængde kode – primært udviklet i programmeringssproget Java. Det har imidlertid været enkelt at tage HPCS-løsningen i brug, da Java anvender et plugin-baseret krypteringsrammeværk, hvor man blot har skullet udskifte det modul, der udfører krypteringsoperationerne. Dermed har det i praksis ikke været nødvendigt at ændre i Serviceplatformens eksisterende kode.
IBM Danmark har været driftsleverandør for Serviceplatformen siden 2020. Hvis KOMBIT på et tidspunkt ønsker at flytte Serviceplatformen til en anden cloud-udbyder (f.eks. i forbindelse med genudbud af driften), vil det være muligt at gøre uden at skulle foretage kodeændringer – man vil blot kunne udskifte krypteringsmodulet med et modul, der passer til den pågældende cloud-udbyder.
Et sidste vigtigt aspekt var at løsningen skulle være fremtidssikret og forberedt til brug af krypteringsnøgler, der ikke kan brydes af kvante-computere - såkaldt ‘quantum safe’ nøgler. Den implementerede HPCS-løsning er klar til at tage kvantesikre krypteringsnøgler i brug, når dette rulles ud i de kommunale IT-løsninger.
Når løsningen er fuldt udrullet i maj 2025 (pr. dags dato er udrulningen 50 % færdig) har KOMBIT og IBM løftet sikkerheden til de højeste standarder for 150 millioner transaktioner om måneden fordelt på over 100 services og reguleret af over 17000 serviceaftaler mellem landets 98 kommuner og over 700 anvendersystemer og serviceudbydere. Helt uden at de mange brugere eller anvendersystemer har oplevet en forskel. Den eneste konsekvens er, at krypteringsnøglerne er beskyttet mod ondsindede aktører og menneskelige fejl på et nyt niveau og i et hidtil uset omfang i den kommunale infrastruktur. Og på trods af, at løsningen flytter et meget stort antal kryptografiske operationer til en central service, er løsningen etableret med minimale svartidsændringer.
Løsningen er ‘usynlig’ men effektiv. Dette er et banebrydende resultat og et skridt i den helt rigtige retning ift. at sikre, at den danske kommunale IT-infrastruktur kan imødekomme det stigende trusselsniveau.
Når man skal vurdere ROI (Return On Investment) for en IT-sikkerhedsløsning gøres det oftest ved at benytte gennemsnitlige branchetal baseret på anslåede omkostninger fra brud på sikkerheden i andre organisationer. Dermed kan man betragte investeringen i en sikkerhedsløsning som en forsikringspræmie for at undgå sikkerhedsbrud og de deraf følgende omkostninger (der udover de direkte omkostninger i egen organisation og hos integrationspartnere også dækker over tillidstab fra omverdenen).
I 2024 var den globale, gennemsnitlige omkostning ved et data-sikkerhedsbrud mere end 30 millioner kroner (IBM report 2024). Omkostningen til implementering af HPCS-løsningen har været langt lavere end dette beløb. HPCS-løsningen kan ikke udelukkende betragtes med økonomiske briller – men selv hvis man gjorde, vil der være tale om en rigtig god investering.
“I en tid, hvor cybertrusler ikke længere er hypotetiske, men en realitet, der påvirker kritisk infrastruktur, kan vi ikke nøjes med at reagere – vi skal være på forkant. Derfor er vi også glade for at have implementeret IBMs krypteringsnøgle-løsning på Serviceplatformen, der er helt afgørende for kommunernes digitaliserede opgaveløsning. Krypteringsnøgle-løsningen er ikke bare en mur mod trusler, men en strategisk rygrad, der beskytter vigtige data om borgere og virksomheder mod de angreb, vi ved vil komme.” siger Johanne Strabo Svendsen, Direktør for Compliance, Kvalitet og Sikkerhed i KOMBIT.
Med dette tiltag har KOMBIT investeret målrettet i, at tilliden fra Danmarks knap 6 millioner borgere til de systemer, som verdens bedste offentlige sektor benytter sig af, fortsat kan være i top med en fremtidssikret løsning, og som imødekommer den stigende trussel.
Danish Digital Award hylder de bedste digitale projekter
