Forbedret brugerautentificering og stærkere protokoller skal styrke cybersikkerheden i detailbranchen

Detailbranchen står på verdensplan overfor store udfordringer med ransomware-angreb og brugerdata, der bliver lækket. Et nyt projekt, der er støttet med 4,8 millioner kroner af Salling Fondene, skal hjælpe virksomheder med at udvikle nye metoder, der kan beskytte detailbranchen.

“Branchen står overfor store udfordringer”, lyder det fra Diego F. Aranha, der er Associate Professor ved Institut for Datalogi, og som sammen med Sophia Yakoubov og James Chiang skal lede et projekt, der skal styrke sikkerheden i branchen.

Institut for Datalogi ved Aarhus Universitet har sammen med Security Tech Space fået pengene til forskning i teknikker, der kan afsløre svindel.

Et af de største databrud til dato fandt sted hos Experian i Brasilien, som lagrer finansielle data om den brasilianske befolkning for at kunne vurdere deres kreditværdighed. Databruddet, der omfattede 200 millioner mennesker, betød, at folk fik lækket personlige oplysninger som købshistorik og kreditvurderinger. Et tilsvarende databrud hos Equifax i USA betød, at der blev lækket alt fra kørekortnumre til kreditkortoplysninger hos 147 millioner amerikanere.

“Selv om de her databrud ikke er direkte relateret til detailhandlen, så viser de, at vi har brug for mere sikre metoder til at opbevare og behandle finansielle data på, uden at man er i risiko for, at data bliver lækket til hackere. Vi har også brug for stærkere måder til at autentificere brugerne på, hvor man ikke skal gemme adgangskoder og lignende følsomt data det samme sted,” forklarer Diego F. Aranha.

Midlerne fra Salling Fondene skal bruges til at forske i to retninger, forklarer Sophie Yakoubov, der er Assistant Professor og en del af AU’s kryptogruppe. Forskningsgruppen er blandt de førende i verden inden for kryptografi og andre højtspecialiserede discipliner inden for it-sikkerhed.

Dataanalyse uden datadeling

Den ene del af midlerne skal bruges til at udvikle metoder inden for Multi-Party Computation (MPC), der er en teknologi, som kan sikre, at data ikke bliver lækket ved databrud. Fordelen med MPC er at man kan dele og udføre beregningerne på data, uden at andre får adgang til data. Det minimerer risikoen for databrud og dermed læk af følsomme oplysninger.

Det er ifølge Sophia Yakoubov en række værktøjer, der gør det muligt at fordele beregninger på tværs af flere computere. Man undgår dermed at opbevare følsomme data på en enkelt central computer, som kan gøre det sårbart ved databrud.

I dag er der en udfordring i at opbevare de data, som man skal bruge til at opdage mistænkelig aktivitet, forklarer Sophia Yakoubov:

“Der kan være mistænkelig aktivitet knyttet op til et bestemt kreditkort, som bliver brugt på tværs af flere butikker, men for at opdage det, så ville det kræve, at du opbevarede følsomme data om kortholderne et centralt sted, og det ville gøre det sårbart over for databrud. Det er her, at MPC kommer ind i billedet, fordi det gør det muligt at opdage mistænkelig aktivitet på tværs af flere lokationer, uden at du skaber et centralt sårbart sted, hvor alle data om kreditkort og købshistorik er opbevaret.”

Det er en klassisk MPC-situation, forklarer Diego F. Aranha:

“Hvis du som bank, virksomhed eller butik ser mistænkelig aktivitet, som er knyttet til et bestemt kreditkort, så vil du med MPC kunne spørge andre virksomheder, om de har set lignende aktiviteter. På den måde kan du tjekke mistænkelig adfærd uden at afsløre personfølsomme data om kortholderne.”

Nye metoder til brugerautentificering

Den anden del af projektet handler om at udvikle nye systemer til brugerautentifikation, som er lettere at bruge end blot password og brugernavn, og som samtidig gør det sværere at kompromittere sikkerhed.

Mange af de databrud, vi ser i dag vedrører brugeroplysninger og skyldes ofte, at folk genbruger det samme brugernavn og password på tværs af flere hjemmesider. De anvender typisk ikke stærke passwords, fordi de er svære at huske, og de bruger typisk heller ikke to-faktor autentifikation. Målet med projektet er at forbedre de protokoller, som butikkerne bruger til at godkende brugerne med.

“Vi ser ugentligt store databrud på brugeroplysninger. Det betyder, at der er millioner af lækkede passwords derude. Det er desværre blevet meget typisk i industrien. Så i sidste ende er du nødt til at styrke den software, som virksomhederne bruger til at autentificere med. Det er her, at udfordringen ligger, fordi det er svært at designe protokoller, som fungerer uden traditionelt brugernavn og passwords,“ forklarer Diego F. Aranha.

Denne side giver et illustrativt overblik over de største databrud

Er du mon selv er blevet hacket? Tjek her

Fakta om projektet

Projektet er et treårigt projekt, der er støttet af Salling Fondene med 4,8 mio. kr.

Formålet med projektet er at forbedre cybersikkerheden i den danske detailbranche ved at forske i metoder inden for Multi-Party Computation (MPC) og forbedret brugerautentifikation. Målet er at styrke Aarhus’ position inden for området og styrke detailbranchen mod trusler som identitetstyveri og ransomware.

Projektet er et samarbejde mellem Security Tech Space og Institut for Datalogi ved Aarhus Universitet.