Analys av Svensk e-legitimation

Transkript

1 Analys av Svensk e-legitimation Lars Grundström : lars.grundstrom@msb.se : Gustav Söderlind : gustav.soderlind@msb.se : Verksamheten för samhällets information- och cybersäkerhet

2 MSB:s vision Ett säkrare samhälle i en föränderlig värld

3 Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Informationssäkerhet 11 a Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder inom olika nivåer och områden i samhället. Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter. Myndigheten ska i detta arbete 1. agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade, 2. samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, och 3. vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa. Förordning (2010:1901).

4 Verksamheten för samhällets informations- och cybersäkerhet Verksamhetschef: Richard Oehme Strategiskt stöd Enheten för systematiskt informationssäkerhetsarbete Enhetschef: Fia Ewald Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur Enhetschef: L-G Emanuelson Enheten för operativ cybersäkerhet och itincidenthantering Nationell operativ samverkansfunktion för informations- och cybersäkerhet (NOS) CERT-SE Enhetschef: A-M Alverås-Lovén

5 Hur arbetar MSB inom området informationoch cybersäkerhet Policy och inriktning Strategi, Handlingsplan, Föreskrifter, Analys Stöd till verksamheters m.fl. förebyggande Informationssäkerhetsarbete - Förebyggande informationssäkerhets arbete - Kritisk informationsinfrastruktur SCADA-frågor - Kommunikationssäkerhet - e-utveckling - Vård- och omsorg - Standardisering - Medvetandehöjning - RSA förmågebedömning informationssäkerhet - Utbildning & FoU Respons och hanterarfrågor - Nationell operativ samverkansfunktion (NOS) - Nationell responsplan - CERT-SE - Övningar

6 Bakgrund Begäran av tre myndigheter MSB:s uppdrag stödja och samordna arbetet med samhällets informationssäkerhet lämna råd och stöd i fråga om förebyggande arbete Metod: komparativ och scenarioanalys Att analysera ett komplext och omfattande system kräver samverkan med andra experter

7 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast halvårsskiftet 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

8 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/ Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

9 Övergripande rekommendationer (1/2) Ytterligare strategisk teknisk kompetens, direkt eller genom stöd från expertmyndigheter Genomgång av hela systemet, utifrån ett informationssäkerhetsperspektiv, när det driftsatts, vid större förändringar samt regelbundet Bör överväga kravställning innebärande att handlingar som ska skrivas under presenteras på tillförlitligt sätt för användare

10 Övergripande rekommendationer (2/2) Myndigheter som erbjuder e-tjänster gör grundläggande behovsanalys innan tjänsten tas i bruk Riskanalys av tjänster som exponeras Informationsklassificering av de informationstillgångar som ingår i tjänsten Resultat kan t.ex. leda till krav på LOA nivå för legitimering Behov sidokanaler (t.ex. sms eller mejl) m.m.

11 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/ Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

12 Regler och avtal för Svensk e- legitimation (1/2) Definiera minimikrav på säkerhet i formuleringar som ger utrymme för tolkning och subjektiva bedömningar (ex. god branschpraxis) Plan för framtida utveckling där krav från relevanta aktörer beaktas Utöka information till förlitande parter med riskinformation Användargränssnitt som ger liknande upplevelse vid inloggning respektive vid signering

13 Regler och avtal för Svensk e- legitimation (2/2) E-legitimationsnämnden bör verka för Framtagande av riktlinjer för oavvislighet Riktlinjer för att DoS/DDoS hanteras i alla lager och underliggande system (internetaccess, nätverk, applikationslogik, databaser m.m.) Regelbunden och tydligare granskning och kontroll som följer en strukturerad metodik Överväga tillsyn i alla delar

14 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/ Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

15 Kryptoalgoritmer Löpande utvärdering av kryptolösningar och uppgradera vid behov Löpande se över dokumentationen

16 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/ Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

17 SAML-kravställning Utgångspunkt scenarioanalys Rekommendation att E-legitimationsnämnden genomför riskanalys och vidtar åtgärder för att hantera identifierade risker Fyra rekommendationer kopplade till SAML implementationen. Avsikt att stärka säkerheten i systemet genom minska risken aktörer av misstag ökar sårbarheten vid systemimplementation

18 Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/ Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

19 Central infrastruktur Heltäckande säkerhetsgranskning av oberoende tredje part bör genomföras (arkitektur, implementation, hårdvara och mjukvara) Säkerställa väldefinierad och publicerad process för godkännande, verifiering och driftsättning (lika vid varje tillfälle) I högre grad peka på standarder och best practices inom informationssäkerhetsområdet

20 Sammanfattning MSB anser att det är viktigt att alla deltagande aktörer aktivt bidrar till att utveckla säkerheten i federationen, bl.a. genom att genomföra: informationsklassificering riskanalys