Public Key Infrastructure Kan ett systeminförande med PKI förbättra rutiner avseende IT-säkerhet?

Storlek: px
Starta visningen från sidan:

Download "Public Key Infrastructure Kan ett systeminförande med PKI förbättra rutiner avseende IT-säkerhet?"

Transkript

1 Public Key Infrastructure Kan ett systeminförande med PKI förbättra rutiner avseende IT-säkerhet? Examensarbete utfört inom området data- och systemvetenskap vid Luleå Tekniska Universitet av Lena Westerlund Åsa Åström Luleå Handledare: Dan Harnesk, Luleå tekniska universitet Institutionen för industriell ekonomi och samhällsvetenskap Avdelningen för Data- och systemvetenskap

2

3 Sammanfattning Detta examensarbete behandlar PKI (Public Key Infrastructure) och säkerhet. Syftet med rapporten var att undersöka om ett systeminförande med PKI i ett företag, kunde förbättra vissa rutiner rörande IT-säkerhet. Vi ville se om rutinförändringen har medfört att arbetet har underlättats för den som utför rutinen. Vi har försökt skapa oss en helhetsbild av ämnesområdet genom litteraturstudier och fallstudie. Fallstudien har omfattat intervjuer med IT-säkerhetschef och en användare inom Västernorrlands läns landsting. Vi har funnit att landstinget vi undersökt har förbättrat säkerheten i och med systeminförandet med PKI. Denna undersökning har inte kunnat verifiera någon rutinförbättring orsakad av PKIinförandet.

4

5 Abstract This paper deals with PKI (Public Key Infrastructure) and security. The purpose of this study was to examine whether a systemimplementation with PKI in a company, could improve some routines concerning security. We wanted to see if the change in routines has made the work easier for the person that performs the routine. We have tried to make ourselves an overall picture of the subject field through literature studies and case study. The case study has included interviews with an IT-security manager and a user within Västernorrlands läns landsting. We have found that landstinget we studied has made improvements concerning ITsecurity when they have implemented a system with PKI. In this study we have not been able to verify any improvements in routines caused by the implementation with PKI.

6

7 Förord Denna rapport är ett resultat av vårt examensarbete på C-nivå (10 p) i systemvetenskap på avdelningen för data och systemvetenskap vid Luleå tekniska universitet. Vi har valt att studera området PKI och säkerhet vid elektroniska transaktioner pga vårt stora intresse för denna nya teknik. Vi vill rikta ett stort tack till: Dan Harnesk, vår handledare vid Luleå tekniska universitet Annika Holmgren och Kristina Bergström, Avantra AB i Luleå för hjälp och stöd, och för att resan till Härnösand möjliggjordes Hans Asplund, IT-säkerhetschef vid Västernorrlands läns landsting, för all hjälp och för intervjun Henrik Bjerneld, Sema i Sundsvall, för hjälp med uppstart, tips om fallstudie och för bildspelet Eva Andersson, 1:e tandsköterska vid Alnö tandkliniken vid Västernorrlands läns landsting för intervjun Luleå den 21 maj Lena Westerlund Åsa Åström

8

9 INNEHÅLLSFÖRTECKNING 1 INLEDNING BAKGRUND PROBLEMOMRÅDE SYFTE HYPOTES MED DEFINITIONER VARIABLER AVGRÄNSNINGAR MÅLGRUPP OCH FÖRKUNSKAPSKRAV METOD ARBETSPROCESS UNDERSÖKNINGS- OCH FORSKNINGSANSATS Metod Fallstudie DATAINSAMLINGSMETOD Intervjuer URVAL TEORI SYSTEMINFÖRANDE Syfte med informationssystem Vinster vid systeminförande SÄKERHET BEGREPP OCH DEFINITIONER IT - säkerhet Hot Skyddsåtgärder PKI Vad är PKI? Elektroniska signaturer Identifiering Kryptering Användningsområden för PKI Fördelar och nackdelar Rutiner EMPIRI VÄSTERNORRLANDS LÄNS LANDSTING Från Closed User Group till PKI Pilotprojektet för PKI inom landstinget ANALYSFÖRFARANDE Analysens upplägg Faktorer av vikt för datainsamling Utformning av intervjuguide Tolkningsförfarande RESULTAT Resultat IT-säkerhetschef Resultat användare SAMMANSTÄLLANDE RESULTATTOLKNING ANALYS...35

10 INNEHÅLLSFÖRTECKNING 5 SLUTSATS SLUTSATS METODDISKUSSION EGNA REFLEKTIONER FÖRSLAG TILL FORTSATTA STUDIER REFERENSLISTA...41 BILAGA A Intervjusammanställning IT-säkerhetschef... BILAGA B Intervjusammanställning användare... BILAGA C Lagen om Kvalificerade elektroniska signaturer... BILAGA D Systemöversikt LVN... Figurförteckning Figur 1: Infrastruktur för elektronisk signatur. 16 Figur 2: Asymmetrisk kryptering Figur 3: Resultatmatris... 35

11 INLEDNING 1 1 INLEDNING 1.1 BAKGRUND Inom det område som vår utbildning specialiserar sig mot, nämligen Interorganisatoriska nättjänster, så finns det ett område som vi tycker är viktigt och intressant, nämligen säkerhet. För att människor ska kunna utbyta varor och tjänster elektroniskt, så måste man kunna förlita sig på en hög säkerhet. En av de nyaste teknikerna för att åstadkomma säkra överföringar, är att använda PKI. Det har varit intressant att studera en så pass ny teknik som PKI är och det har gett oss värdefull kunskap. Spridningen av PKI är ännu inte så stor i Sverige, men av datatidningarna att döma så kommer det starkt. Vi tror att detta system kan få stor användning inom framför allt stora, ekonomiskt stabila företag och myndigheter. För de företag/myndigheter som har behov av hög säkerhet och har pengar att satsa, så är detta definitivt något att överväga. 1.2 PROBLEMOMRÅDE Spridningen av information på elektronisk väg har ökat de sista åren. I takt med denna ökning uppmärksammas också hoten. Olika hot kräver olika skyddsåtgärder och det gäller att vara förutseende om man vill undgå att drabbas. Internt inom företag är det lättare att skydda sig eftersom man oftast känner varandra, men vid informationsöverföring på oskyddade nät som exempelvis Internet kan man aldrig vara säker på att den man kommunicerar med är den han/hon utger sig för att vara. Exempel på sätt att skydda sig mot dessa hot, är användning av ett elektroniskt ID-kort för att identifiera sig eller att kryptera informationen innan den sänds. Elektroniska affärer är ett område som utvecklats mycket under de sista åren och då framför allt de affärer som görs mellan företag/myndigheter. I en artikel i Computer Sweden (nr 32, 2001), berättades nyligen att utvecklingen för företag inom detta område går dåligt. Bedrägerier slår hårt mot företagens vinst. Tom Carthy (refererad i SIG Security, 1999) har gjort en undersökning som visar att många företag upplever att ett av de största hindren för att göra elektronisk affärssamverkan på Internet, är att säkerhetsfrågorna inte är lösta.

12 2 INLEDNING Olika system kan användas för att göra överföringar säkra. Under de sista åren har en helt ny typ av lösningar utvecklats. Samlingsnamnet för dessa är PKI, vilket står för Public Key Infrastructure. Inom dessa system använder man sig av asymmetrisk kryptering i kombination med ett stort regelverk. Detta leder till att man på ett helt annat sätt än tidigare kan förlita sig på andras identitet. Den nya lagen om kvalificerade elektroniska signaturer ger dessutom en juridisk giltighet, vilket bör kunna underlätta dessa transaktioner. I boken Elektroniska signaturer av Andreas Halvarsson och Tommy Morin (2000) kan man läsa att analytiker tror att marknaden för dessa system är mycket lovande på grund av fyra faktorer: juridik, teknik, standard och Internet. Systemen tros även kunna förbättra företagens säkerhet och effektivisera rutiner åtskilligt. Men gör de verkligen det? I Västernorrlands läns landsting pågår sedan 1999 ett pilotprojekt kring PKI. Har deras säkerhet blivit högre och rutinerna blivit förbättrade sedan de införde ett PKI-system? Det är detta som vi vill undersöka. 1.3 SYFTE Vi avser med denna rapport att: Undersöka hur ett systeminförande med PKI kan påverka vissa rutiner rörande IT-säkerhet. Med vissa rutiner avser vi de rutiner som kräver ett säkert handhavande. De rutiner vi kommer att undersöka är sådana som respondenterna upplevt blivit förändrade. 1.4 HYPOTES MED DEFINITIONER Den frågeställning vi vill undersöka är: Kan ett systeminförande med PKI medföra någon förbättring av vissa rutiner rörande IT-säkerhet? Definitioner För att en rutin ska få kallas rutin behöver den inte vara dokumenterad. Därför bedömer vi att även en rutin som inte finns dokumenterad i en rutinbeskrivning ingår i denna grupp. Under förutsättning att syftet för rutinförändringen är att underlätta arbetet för användaren, kan en förbättring av en rutin enligt vår definition innebära:

13 INLEDNING 3 En övergång från en manuell rutin, till en IT-stödd rutin. Att rutinen åstadkommer en tidsbesparing för den som utför rutinen. 1.5 VARIABLER För att kunna undersöka rutinernas förändring, har vi tittat på fem variabler. Dessa beskrivs överskådligt nedan. I kapitel 4 beskrivs de tydligare och kopplingen mot teori, samt tolkningen förklaras. Rutinsteg. Utifrån beskrivningen av hur rutinen utförs delar vi in rutinen i rutinsteg. Dessa ställs i analysen mot varandra för att vi ska se vilken förändring som inträffat. Vi räknar även stegen för att se om antalet minskat. Övergång från manuell till IT-stödd rutin. Detta är en av våra definitioner för förbättrade rutiner. Vi vill se om denna övergång skett i och med systembytet. Tidsbesparing. Denna variabel kommer också från vår definition av förbättrade rutiner. Vi avser att undersöka om systembytet lett till någon form av tidsbesparing för berörda parter, i utförandet av rutinen. Säkerhet. Eftersom säkerhet är den största anledningen till att göra ett systembyte till PKI, så vill vi få bekräftat att systemet fortfarande är säkert. Orsak till förändring. Om rutinen har förändrats är det viktigt att se vad som är orsaken till förändringen, PKI eller systeminförandet. 1.6 AVGRÄNSNINGAR Vi kommer att redogöra teoretiskt för grunderna till ett systeminförande i form av syfte och vinster. Beträffande rutiner kommer vi att redogöra för varför rutiner är viktigt, samt koppla rutiner till säkerhet och PKI. Inom området säkerhet kommer vi endast att ta upp de bitar som behövs för förståelsen för PKI, nämligen IT-säkerhet. Vi kommer inte att redogöra för den administrativa säkerheten. Inom områdena hot, risk och skyddsåtgärder, kommer vi endast att ta upp de bitar som berör grundkraven inom säkerhet. Vi kommer att redogöra för syftet och grunderna för informationsklassificering, utan att gå in på hur klassindelningen ska göras. Inom området PKI kommer vi att redogöra för grunderna till elektroniska signaturer, identifiering, kryptering och signering, och sådant som behövs för att skapa en helhetsbild över detta. Rapportens tekniska bitar ska endast ge en grundförståelse, och är därför inte djupt beskrivna. Inom området kryptering kommer vi att redogöra för grunderna för asymmetrisk kryptering.

14 4 INLEDNING Vi kommer däremot inte att gå in i själva krypteringsalgoritmerna, eftersom de ej är nödvändiga för förståelsen av området. Vi kommer ej heller att förklara eventuella protokoll som nämns i rapporten. Vi avser ej att mäta i vilken utsträckning rutinen har förbättrats, utan hur den har förbättrats. I vår analys kommer vi inte att undersöka tekniska faktorer. 1.6 MÅLGRUPP OCH FÖRKUNSKAPSKRAV Med denna rapport vänder vi oss främst till personer som arbetar med eller är intresserade av säkerhet vid elektroniska transaktioner. Exempel på personer som rapporten lämpar sig för är: dataansvariga inom företag IT-säkerhetsansvariga inom företag Det är även tänkbart att en användare med goda datakunskaper, kan ta del av vissa delar av rapporten. Tyngdpunkten i teoridelen i vår rapport ligger inom områdena systeminförande, säkerhet och PKI. För att aktivt kunna ta del av innehållet i rapporten bör man behärska centrala begrepp inom säkerhet, data- och datorkommunikation.

15 METOD 5 2 METOD I detta kapitel beskriver vi arbetsprocessen, som lett fram till det färdiga arbetet, vår undersökningsansats, forskningsansats och datainsamlingsmetod. 2.1 ARBETSPROCESS Vår studie påbörjades med litteraturstudier inom vårt tilltänkta problemområde. Utifrån litteraturen identifierade vi problemområdet som vi skulle arbeta inom. Problemområdet, syftet och hypotesen formulerades i skrift. Huvudområdet för studien beslutades tidigt, men den specifika inriktningen och hypotesen har vi redigerat. Litteraturstudier och nertecknande av teoriavsnittet inom området har pågått under hela vårterminen, parallellt med arbetet att hitta den exakta inriktningen. Eftersom antalet fallstudieföretag inom vårt område var få, så fattade vi beslut om lämpligt företag innan den exakta hypotesen var klar. Efter att ha diskuterat med en person på företaget, kunde vi med litteraturen som grund hitta en lämplig frågeställning att undersöka. Datainsamlingen utfördes på företaget och därefter påbörjades analysen av det insamlade materialet. Analys och tolkningar av resultat, återspeglar teoribakgrunden som finns i rapporten. Det hela avslutades med att slutsatsen fastställdes och sammanställdes i rapporten. 2.2 UNDERSÖKNINGS- OCH FORSKNINGSANSATS Avsikten med denna rapport var att undersöka hur ett systeminförande med PKI påverkar ett företag. Vi ville då specifikt se om detta kunde medföra en förbättring av vissa rutiner rörande IT-säkerhet. Vi valde fallstudien som metod för att verifiera, alternativt falsifiera vår frågeställning.

16 6 METOD Metod Fallstudie För att pröva vår hypotes valde vi att göra en beskrivande fallstudie, eftersom vi ville få fram hur ett företag förändrat sina rutiner i och med ett systeminförande med PKI. A case study is an empirical inquiry that investigates a contemporary phenomenon within its real-life context, especially when the boundaries between phenomenon and context are not clearly evident (Yin, 1994, sid. 13). Vi insåg att med tanke på våra begränsade kunskaper inom detta nya område som PKI är, så skulle en fallstudie kunna ge oss de data som vi var intresserade av att samla in. Eftersom tekniken är relativt ny så fanns det inte så många lämpliga företag att välja bland. Vi ansåg att det skulle räcka med ett företag som infört PKI, om vi valde ett där användare hade hög kunskap om säkerhet och relativt stor erfarenhet av att använda datorer. Vårt problemområde består av faktorer som ska beskrivas och av personliga handlingssätt. Därför har vi använt en metod som ger kvalitativa resultat. I den kvalitativa metoden använder man sig inte av siffror eller tal, utan istället verbalaformuleringar, enligt Jarl Backman (1998). 2.3 DATAINSAMLINGSMETOD För att samla in data valde vi att göra litteraturstudier och intervjuer. Litteraturstudierna har omfattat teorier kring systeminförande, rutiner, säkerhet och PKI. Med dessa som grund har vi arbetat med problemformulering, datainsamling genom fallstudie, sammanställning av data och analys av denna. Litteraturen till studierna har huvudsakligen varit böcker, och till viss del artiklar. Vi har haft vissa svårigheter att hitta generell litteratur avseende systeminförande, men Andersen (1994) och Flensburg m. fl. (1999) beskriver relativt enkelt detta område, varför vi i huvudsak har refererat till dem. Inom området säkerhet har det funnits ett stort antal böcker att välja mellan, medan det inom området PKI har varit svårare att hitta litteratur som ger en helhetsbild över ämnet. Eftersom detta område är mycket viktigt för myndigheter, så har Statskontoret gett ut ett antal rapporter rörande PKI och säkerhet vid elektroniska överföringar. I huvudsak har vi använt oss av Halvarsson & Morin (2000), och kompletterat med Statskontorets rapporter. Litteratur avseende rutiner har varit ett stort problem och vi har därför använt oss av ett antal böcker.

17 METOD 7 Eftersom antalet respondenter var få, bedömde vi att fallstudien skulle genomföras med hjälp av personliga intervjuer. Detta för att ge oss ett tydligt resultat. Att välja enkät som intervjumetod ansåg vi olämpligt, då det kräver större antal respondenter för att ge den typen av undersökning giltighet. Enkät utesluter oftast möjligheten att få fram de svar av beskrivande karaktär, som vi var intresserade av att analysera Intervjuer Vi ville göra en jämförelse mellan de faktorer vi hittat i litteraturen, och i verkligheten. Detta möjliggjorde vi genom formuleringen av våra intervjufrågor. Rutinernas förändring tydliggjordes genom att respondenterna fick beskriva vad rutinen bestod av och hur den utfördes. Detta gjordes så utförligt som möjligt, för att vi skulle kunna räkna de steg rutinen bestod av. Vi ville dessutom få fram infomation om eventuell tidsbesparing, övergång till IT-stödd rutin, om säkerheten upplevdes förbättrad, samt orsaken till förändringen. Detta analyserades sedan kvalitativt och sammanställdes i form av en matris. Intervjuerna har gjorts med två yrkeskategorier inom företaget, IT-säkerhetschef och användare. Detta för att få ett bredare perspektiv över den påverkan införandet kunde ha. Eftersom den data vi ville få fram var av beskrivande karaktär, så försökte vi att inte styra frågorna för respondenterna. Där vi såg att respondentens kunskaper i ämnet var stora, så lät vi han/hon berätta relativt fritt. Intervjuerna utfördes på plats hos respondenterna, för att vi skulle ha möjlighet att studera denna nya teknik. Intervjuerna berörde ämnen i teoriavsnittet, men utformades lite olika beroende på respondenternas kunskaper. 2.4 URVAL Målet med vår datainsamling var att få veta vilka effekter ett systeminförandet med PKI haft på vissa rutiner i ett företag. Vid valet av företag att studera var urvalet ej speciellt stort, eftersom tekniken vi valt att studera inte är spridd i Norrbotten. Den existerar i övre Norrland endast i form av pilotprojekt på några orter. När vi med hjälp av en konsult inom området fått information om vilka tillgängliga företag som fanns, så var valet ganska lätt. Den huvudsakliga anledningen till att vi valde landstinget, var att organisationen här är hierarkisk och att kunskaperna inom säkerhet här var höga. Inom en hierarki har olika yrkeskategorier olika behållning från ett datasystem och även olika typer av rutiner som kan förbättras.

18 8 METOD Detta borde ge oss ett bredare perspektiv över problemet. Beträffande kunskaper hade vi av den vidtalade konsulten fått veta att detta företag hade de mest kunniga användarna. Vi kontaktade landstinget och förvissade oss om att de uppfyllde våra kriterier, nämligen att de testat PKI under en period och att de dessutom var intresserade av att ställa upp på vår undersökning. Kravet vid val av respondenter var att personerna i fråga varit med innan det nya systemet infördes, eftersom vi ville göra en jämförelse mellan det gamla och det nya systemet. För att få en förståelse för vad PKI innebar beträffande teknik och säkerhet, valde vi att först utföra en intervju med IT-säkerhetschefen på landstinget. Eftersom han dessutom varit projektledare under hela projektet, så satt han inne med mycket kunskap och förstod vilken påverkan detta införande hade i organisationen. För att ytterligare få mer djup i insamlad data, kändes det viktigt att intervjua någon som använder denna teknik och vet hur användare påverkas av systeminförandet. Det är inte alla på varje arbetsplats som använder PKI utan endast ett fåtal. PKIanvändarna på alla tandkliniker utför däremot samma arbetsuppgifter och vi ansåg därför att det skulle räcka att intervjua en användare. Efter att ha utfört intervjun med användaren, har vi sedan vänt oss till IT-säkerhetschefen för att från honom få mer information om rutinernas koppling till systeminförandet/pki.

19 TEORI 9 3 TEORI Vi kommer i detta kapitel att redogöra för sådant som gäller generellt vid systeminförande. Vidare kommer vi att redogöra för de krav som ställs på ett system för elektroniska transaktioner, hur detta kan uppfyllas, samt teorier och begrepp som finns inom områdena säkerhet och hot. Vi kommer också att beskriva grunderna för PKI, samt koppla säkerhet och PKI till rutiner. Avsikten med vårt teoriavsnitt är att ge en helhetsförståelse för dessa områden. 3.1 SYSTEMINFÖRANDE Ett införande av ett nytt system i ett företag påverkar hela företaget. Vi kommer därför under denna rubrik att redogöra för syftet med ett systeminförande och vilka vinster som kan uppnås med systeminförandet Syfte med informationssystem Det finns enligt Flensburg och Friis (1999) tre syften med att införa ett informationssystem. Dessa är rutin, kontroll och styrning, samt stöd. Det första syftet rutin, innebär att vissa rutiner i arbetet kommer att effektiviseras när datasystemet införs, det blir både snabbare och säkrare än om rutinen skulle ha utförts av människor. Flensburg m.fl. (1999) menar att när de rutinbetonade arbetsuppgifter införs i ett datasystem kommer den mänskliga kapaciteten frigöras. Kontroll och styrning innebär att upplysningar i datorn kan användas i andra sammanhang. Exempelvis så kan affärsstatistik användas av ledningen till beslutsstöd. Problemet var förut att begränsa informationsmängden. Behov av att kunna göra rapporter som inte innehöll överflödig information uppkom. För att hantera problemet med informationsöverflöd finns det två lösningar. Den ena innebär att man försöker styra informationsresurserna, så att beslutsfattaren får den information han/hon behöver. Den andra är att underlätta framtagandet av ad-hoc rapporter. Detta har lett till att 4GL-verktyg har utvecklats. Personerna som använde dessa lösningar upptäckte att det gick att använda dem till annat. De kunde göra individuella system som användes till att stödja den personliga databehandlingen. Dessa system kallas stödsystem. Inget system har enligt Flensburg m.fl. (1999) enbart ett av dessa syften, utan de innehåller en liten del av alla tre dimensionerna.

20 10 TEORI Vinster vid systeminförande Andersen (1994) beskriver fyra olika vinster som kan uppnås vid systeminförande. Dessa beskrivs nedan. Rationaliseringsvinster Meningen med system som vill uppnå rationaliseringsvinster är att man vill göra kostnadsbesparingar. Manuella rutiner överförs till datorstödda rutiner. På det sättet får man snabbare och mer korrekta resultat, en mindre personalinsats kan också utföra arbetsuppgifterna. En typisk rationaliseringsvinst är de administrativa hjälpfunktionerna, såsom bokföring och lönehantering. Styrningsvinster Styrningsvinster innebär att man använder datorstöd för att få den information som hjälper personalen med att fatta bättre beslut. Dessa beslut ska ge intäktsökningar eller kostnadsreduktioner. Ett exempel på styrningsvinster är informationssystem för material- och produktionsstyrning. Organisationsvinster För att uppnå en organisationsvinst i företaget, måste ledningen först beskriva hur verksamheten ska fungera. Då datorstöd används på ett sådant sätt att ledningens önskemål uppfylls internt i verksamheten, kan man säga att en organisationsvinst har uppnåtts. Marknadsvinster Då datorstöd används till att ge företaget en positiv profilering, som i sin tur kan leda till att verksamheten kan få en fördel i förhållande till konkurrenterna på marknaden, talar man om marknadsvinst. Ett exempel på en marknadsvinst är då datorstöd leder till att man kan utveckla nya produkter och tjänster, som exempelvis bankomater med självbetjäning för kunder.

21 TEORI SÄKERHET BEGREPP OCH DEFINITIONER För att kunna utföra säkra elektronisk transaktioner krävs att säkerhetsproblemen löses. Dessa är idag de största hindren för tillväxten inom den elektroniska handeln enligt Tom Carthy (SIG Security, 1999). Deltagarna i elektroniska transaktioner måste få vissa försäkringar om att information överförs säkert. Under denna rubrik kommer vi att redogöra för några begrepp som finns inom området IT-säkerhet, nämligen datasäkerhet och kommunikationssäkerhet. Vi kommer att klargöra vad som menas med hot, sårbarhet och risker. Vi tar även upp informationsklassificering samt redogör för begreppet skyddsåtgärder och dess basstrategier IT - säkerhet Informationssäkerhet relateras både till traditionell datasäkerhet och till säkerhet som hanterar information. Om inte informationen hanteras på rätt sätt kan enligt Statskontoret (1997:29a) verksamheters framtida fortlevnad äventyras. Både öppen och känslig eller hemlig information måste skyddas från obehörig förändring. Begreppet IT-säkerhet innehåller skyddsåtgärder av teknisk karaktär och inkluderar både kommunikationssäkerhet och datasäkerhet. För att komplettera helhetsbilden tillkommer förutom dessa två även den administrativa säkerheten. Den administrativa säkerheten beskriver och definierar regler och rutiner för styrning och kontroll av IT-resurserna. (Statskontoret 1997:29a) Datasäkerhet Med ADB-säkerhet eller ibland bara datasäkerhet menas säkerhet som rör själva behandlingen och/eller lagringen av data (program och information). (Statskontoret 1997:29a sid. 7) I ett säkert datasystem upprätthålls enligt Pfleeger (2000) tre karakteristiska faktorer som är absolut nödvändiga: Konfidentialitet skyddar tillgängligt datasystem så det bara är tillgängligt för behöriga parter. Tillgängligheten gäller bland annat läsning, granskning och utskrift av data. Integritet ser till att mottagen information är densamma information som skickades, det vill säga integriteten skyddar informationen så inget har lagts till, tagits bort eller ändrats. I modifikationen inkluderas skrivning, ändring, ändring av status, borttagande eller skapande.

22 12 TEORI Tillgänglighet verifierar identiteten hos en entitet (användare eller service) så att en behörig part kommer åt det data den har rätt att komma åt. Kommunikationssäkerhet Kommunikationssäkerhet avser säkerhet vid överföring av data via något kommunikationsmedium. (Statskontoret, 1997:29a sid. 7-8) National Computer Security Association (NCSA) har enligt Turban m.fl. (1999) identifierat fyra huvudpunkter för säkra transaktioner, dessa är: Autenticitet skyddar mottagaren av ett meddelande. Autenticiteten garanterar att sändande part av ett meddelande är den han utger sig för att vara. Avskildhet/sekretess skyddar meddelandets innehåll så det bara är känt för sändaren och mottagaren. Brott mot sekretessen kan uppstå både under själva transaktionen och efter det att transaktionen är utförd. När ett meddelande är mottaget, måste sändaren vara säker på att innehållet förblir hemligt. Integritet skyddar meddelandet så det inte ändras under transaktionen. Detta kan vara medvetet eller omedvetet. Icke förnekande betyder att en sändare inte ska kunna förneka att han sänt ett meddelande, likaså ska inte en mottagare kunna förneka att han har tagit emot ett meddelande. Lösningen till icke förnekande är en signatur som gör det svårt för någon part (sändare och mottagare) att förneka att de är involverade i utbytet av ett meddelande Hot När man inför effektiv IT-säkerhet, är det nödvändigt att känna till vilka hot som finns mot systemet. Den här kunskapen är enligt Statskontoret (1997:29b) nödvändig för att kunna välja de mest kostnadseffektiva säkerhetsåtgärderna. Ett hot kan i korthet sägas vara en möjlig, oönskad ändelse som, om den inträffade, skulle få negativa följder. (Statskontoret 1997:29b sid. 15) Huvudtillgångarna i ett datasystem är enligt Pfleeger (2000) hårdvaran, mjukvaran och data. Det finns fyra typer av hot mot säkerheten i ett datasystem. Alla fyra hoten exploaterar sårbarheten hos tillgångarna i datasystemet: Avbrott är där någon resurs i ett datasystem blir okontaktbar, otillgänglig eller oanvändbar. Till exempel kan ett program eller en datafil ha blivit raderad.

23 TEORI 13 I ett Intrång har en obehörig part fått access till en resurs i systemet. Den obehörige parten kan vara en person, ett program eller ett annat datasystem. Exempel på detta är avlyssning av nätverkstrafik och kopiering av filer för att komma åt data. Modifikation betyder att en obehörig part inte bara har fått access till en resurs utan även manipulerar denna resurs. Exempel kan vara någon som ändrar värden i en databas eller modifierar funktionaliteten i ett program så programmet skickar data till obehöriga. Tillverkning betyder att en obehörig part kan förfalska och införa objekt i ett datasystem. Exempel är tillägg av poster i en databas eller tillägg av icke önskvärda transaktioner i ett nätverk. Sårbarhet Sårbarhet är en punkt där ett hot kan skada systemet. Sårbarhet är således en svaghet som ett hot kan utnyttja för att åstadkomma skada. (Statskontoret 1997:29a sid. 19) Enligt Summers (1997) är sårbarhet en brist i ett system som kan orsaka att säkerheten kan missbrukas. Pfleeger menar att det finns tre kategorier av systemresurser som kan påverkas av sårbarheten. Dessa tre är hårdvara, mjukvara och data. Risk Risk är sannolikheten för att hotet ska realiseras. (Statskontoret 1997:29a sid. 19) Statskontoret (1997:29c) skriver i sin rapport att det är viktigt för verksamheten att inte underskatta olika risker, både oavsiktliga och avsiktliga. De oavsiktliga riskerna är oftast den egna personalen som förorsakar att händelser inträffar, detta på grund av bristande utbildning eller stress. För att undvika både oavsiktliga och avsiktliga hot krävs att administrativa säkerhetsrutiner tillsammans med skyddsåtgärder tillämpas Skyddsåtgärder Skyddsåtgärder används för att möta speciella hot. För att hoten ska kunna bekämpas effektivare kan skyddsåtgärderna enligt Statskontoret (1997:29b) behöva samverka med varandra. När det gäller IT-säkerhet är det svårt att välja en kombination av skyddsåtgärder som både är kostnadseffektiv, användbar, effektiv, kompatibel och samtidigt kan möta de förväntade hoten i önskad grad.

24 14 TEORI För att öka säkerheten kan enligt Summers (1997) skyddsstrategier sättas in på olika sätt. Hon menar att det finns fyra skyddsstrategier: Undvikande betyder att man inte exponerar tillgångarna mot hoten. Man försöker organisera uppgifterna så hoten kan undvikas. Istället för att exempel skriva ut känsliga uppgifter på en skrivare kopplad till ett nätverk, skriver man ut uppgifterna på utrustning som inte är kopplade till ett nätverk. Förebyggande av hot är den bästa strategin. Att förebygga hot innefattar att utarbeta och upprätthålla en säkerhetspolicy. Säkerhetspolicyn inkluderar både säkerheten mot hårdvaran och säkerheten mot mjukvaran. Upptäckande betyder att man försöker upptäcka missbruk eller felaktig användning samtidigt eller omedelbart efter det att skadan har skett. Det finns några syften till varför man använder strategin upptäckande. Den ska avskräcka missbruk. Den ska upptäcka olika hot i tid för att minska skadan. Den ska identifiera inkräktare och åtala denne, och den ska avslöja sårbarheter. Återställande följer en säkerhetsbrytning. Återställande innefattar att återställa skadade resurser och försöka minimera sårbarheten som tillåter säkerhetsbrytningen. Informationsklassificering Statskontoret (1997:29b) menar att det är viktigt att fastställa en säkerhetsnivå för att kunna tillgodose olika intressenters krav. Flera brister i IT-verksamheten beror på att bearbetad information inte har klassificerats. En informationsklassificering görs enligt Statskontoret (1997:29b) för att man ska kunna fastställa i vilken omfattning informationen behöver skyddas. Man försöker bestämma vilka skydd som behövs, d.v.s. skyddsnivån. Det finns olika krav till varför information måste skyddas enligt Statskontoret (1997:29b). Man måste ta hänsyn till lagar såsom datalagen och sekretesslagen, olika säkerhetskrav och övriga krav som exempelvis ekonomiska krav. Utgångspunkten vid informationsklassificering är att olika information ska relateras till lagstiftningen, gruppers intressen och verksamhetens krav. Bedömningen sker utifrån riktigheten i informationen, hur tillgänglig informationen är för behöriga parter, hur informationen är skyddad från obehöriga (sekretess) och hur spårbarheten till individer/program går att härleda.

25 TEORI PKI Under denna rubrik försöker vi ge en helhetsförståelse för begreppet PKI. Vi kommer här att redogöra för de viktiga funktionerna i ett PKI-system, elektroniska signaturer och dess grunder i form av identifiering, kryptering och signering. Vi kommer även att ta upp lite kring den praktiska biten med implementation, samt de för- och nackdelar som ses med detta system Vad är PKI? PKI som står för Public Key Infrastructure, är inte ett specifikt system utan ett samlingsnamn för flertalet lösningar där kryptering används. Enligt författarna Halvarsson och Morin (2000), åstadkommer dessa lösningar ett system där identifiering, kryptering, kontroll av integritet kan ske, och stödjer på så sätt användningen av elektroniska signaturer. PKI är inte enbart ett tekniskt system, utan det är en kombination av teknik, juridik och standard. Det är denna kombination som gör det så speciellt. Det är framför allt tre viktiga funktioner, som en PKI innehåller. Dessa är: Certifiering - att skapa ett certifikat. Verifiering - att kontrollera ett certifikat för att se giltigheten, och att det ej är indraget. Revokering - att återta ett certifikat. Görs exempelvis om en anställd slutar och inte längre får använda sina gamla tjänsteverktyg Elektroniska signaturer Det går inte att ge någon entydig definition på begreppet elektroniska signaturer, enligt Statskontoret (2000:7). EG-direktivets ramverk för elektroniska signaturer är visserligen en definition, men det är inte infört ännu. På detta sätt förklarar de begreppet elektronisk signatur: Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autenticering.(statskontoret, 2000:7, sid. 20). Så här förklarar Halvarsson m.fl. (2000, sid. 19) begreppet:

26 16 TEORI Elektroniska signaturer är den lösning som ska kunna vara en digital ersättning för en juridiskt bindande namnteckning, t.ex. på ett kontrakt eller annan avtalshandling. Ibland talas det om digitala signaturer, men detta begrepp avser en teknik. EU vill att elektronisk signatur ska vara det begrepp som används, och det avser mer den juridiska biten. När man talar om kvalificerade elektroniska signaturer, så är det ännu mer regler som styr. Grunden till en elektronisk signatur är: Identifiering ska visa mottagarens/sändarens identitet. Kryptering gör informationen säker. Signering ger ett dokument en laglig status. Figur 1. Infrastruktur för elektronisk signatur (enligt Halvarsson m.fl.). Dessa grundstenar i kombination med PKI (se figur 2) kommer enligt Halvarsson m.fl. (2000) att göra e-handeln säker. Signering Vid signeringen skapar enligt Statskontoret (2000:7) användarens program en checksumma (hash) av dokumentet eller meddelandet som man tänkt skicka. Kryptering sker av checksumman med hjälp av en privat nyckel. Detta resultat är den digitala signaturen. När mottagaren har fått meddelandet, så kan han/hon i sin tur kontrollera signaturen. Detta görs genom en dekryptering med den publika nyckeln, så att checksummorna kan jämföras.

27 TEORI Identifiering När man talar om identifiering så finns det två viktiga termer att redogöra för, nämligen CA och Certifikat. CA Enligt Statskontoret (2000:7) är CA en central part i PKI. CA står för certification authority, och är den administrativa enhet som sköter om den infrastruktur som krävs för att hantera privata och publika krypteringsnycklar, dvs. hantera den publika nyckelinfrastrukturen (PKI). CA har ansvar för att utfärda certifikat för publika nycklar, samt att handha dessa under kortets hela giltighetstid. CA beskrivs även av Halvarsson m.fl., som en betrodd part som flertalet användare litar på. Exempel på CA är Telia och Posten. Processen kring utlämnandet av certifikaten är noggrann enligt Statskontoret (2000:40). Personen som ska få certifikatet måste någon gång infinna sig personligen, så att identitet kan fastställas. Detta kan exempelvis göras genom att ett aktivt kort eller lösenord till ett certifikat kvitteras ut i en bank, eller på posten med ett rekommenderat brev. Identifiering med arbetsgivares hjälp kan också förekomma (sid. 15). Certifikat Ett certifikat är: en signerad digital handling utfärdad av en betrodd tredje part, en s.k. CA. (Halvarsson, 2000, sid. 37) Det finns enligt Halvarsson m.fl. två typer av certifikat, nämligen mjuka och hårda certifikat. Båda innehåller samma säkerhetsfunktioner, men den mjuka lagras i en fil på diskett eller på en hårddisk, medan den hårda är ett elektroniskt identitetskort. Rent tekniskt är det elektroniska ID-kortet ett aktivt kort, eller så kallat smart kort, som innehåller ett chips där ett digitalt certifikat och användarens privata nyckel lagras. För att man ska kunna använda elektroniska ID-kort som identifikation, krävs dessutom att användaren kan använda rätt privat nyckel. Den skyddas genom en personlig kod, vanligtvis en PIN-kod, men det kan även röra sig om biometriska metoder som exempelvis fingeravtryck. Det är väl standardiserat vilka uppgifter ett certifikat ska innehålla. En vanlig standard för detta är ISO-standarden X509v3 (Halvarsson m.fl., 2000).

28 18 TEORI Kryptering Halvarsson m.fl. (2000, sid. 46) definierar begreppet kryptering som: att kryptera, att överföra information till hemlig kod. Detta görs för att man ska kunna manipulera information i exempelvis en blankett på ett kontrollerat och väldefinierat sätt, så att ingen obehörig kommer åt informationen. De komponenter som man använder vid själva krypteringen är en matematisk krypteringsalgoritm och en krypteringsnyckel. Med hjälp av dessa får en blankett ett helt nytt utseende. Det finns enligt Halvarsson m.fl. två huvudtyper av kryptering, symmetrisk och asymmetrisk kryptering. Det är endast den asymmetriska krypteringen som påverkas av PKI, eftersom PKI som namnet anger handlar om en infrastruktur för publika nycklar. I den symmetriska krypteringen används endast privata nycklar. Asymmetrisk kryptering I detta system får varje användare ett så kallat nyckelpar, vilket alltså består av två nycklar, en publik och en privat. Den publika nyckeln kommer att vara tillgänglig för alla via elektroniska kataloger, och den privata hålls hemlig på exempelvis en skyddad hårddisk eller ett aktivt/smart kort. De kan endast användas tillsammans. Krypteringen sker med den publika nyckeln, medan dekrypteringen sker med mottagarens privata nyckel. Det positiva med denna kryptering är att nyckelhanteringen blir enklare, eftersom vem som helst kan använda nyckelkatalogerna. Man behöver därför inte känna sin affärspartner. Denna kryptering kräver däremot mer datorkraft. Se figur 2. Figur 2. Asymmetrisk kryptering (enligt Halvarsson m.fl.).

29 TEORI Användningsområden för PKI Eftersom en PKI är skalbar så kan PKI införas på försök i liten skala, och sedan utökas när tiden är mogen. Detta är möjligt eftersom säkerhetsfunktionerna i systemet är likformiga oavsett på vilket sätt infrastrukturen ska användas. Halvarsson m.fl. (2000) ger dessa exempel på vad PKI kan användas till. E-blanketter elektroniska signaturer kan användas till signering av fakturor, tidrapporter, reseräkningar, avtal och inköpsorder. Dessa blanketter, som exempelvis hämtas från ett företags hemsida, är intelligenta och kan själv utnyttja säkerhetsfunktioner som baseras på PKI. När blanketten är ifylld kan den signeras och skickas tillbaka. Här rekommenderas användning av MS Word som blankettformat, eftersom det är en mjukvara som är väl spridd och känd av de flesta. Elektronisk handel existerande säkerhetssystem som bygger på att motparten är känd, kan bytas ut mot en PKI-lösning i och med lagen om kvalificerade elektroniska signaturer. E-bank flertalet banker har idag någon Internettjänst, som underlättar för kunderna att göra affärer dygnet runt. Mobile business användning av handdatorer, mobiltelefoner eller bärbara datorer för att göra affärer, dvs. trådlös elektronisk handel. Det protokoll som används av standardprogramvaror för e-post och webbläsare är SSL och S/MIME. (Statskontoret 2000:40) Införandet av en PKI i ett företag kan variera från företag till företag. SIG Security (1999) jämför etableringen av ett PKI-projekt med andra tekniska infrastrukturprojekt. De faser som man måste gå igenom är ungefär de samma som i ett vanligt IT-projekt, nämligen: förstudie kravsammanställning framtagning av förfrågningsunderlag utvärdering av anbud implementering uppföljning Den tyngsta fasen är implementationsfasen, vilken innefattar både teoretiskt och praktiskt arbete med att utveckla och införa/uppdatera riktlinjer, policy och rutiner. Även utbildningsbehovet för användare måste ses över, samt underhållsrutiner och tekniska miljöer.

30 20 TEORI En av de viktigaste punkterna att titta på under förstudien, är frågan om vem som ska ansvara för den publika nyckelinfrastrukturen. De valmöjligheter som finns är att göra det i egen regi eller via outsourcing till någon leverantör av PKI-tjänster Fördelar och nackdelar Vid en implementation av en PKI, är kostnadsfrågan naturligtvis viktig. Initialkostnaderna kan upplevas som stora. Exempelvis uppger Statskontoret (2000:40) att ett kort kostar ca kronor och kortläsare inklusive drivrutiner kostar ca kronor per användare. En totallösning går att köpa i vissa fall för ca kronor per användare. Om man ser på hur verksamheten utvecklas, så kan det ändå bli en ren vinst. De vinster man kan göra enligt Halvarsson m.fl. (2000) är att: säkerhetsökningen underlättar informationshanteringen organisationens inre effektivitet ökar man kommer att få stora samordningsvinster säkerheten gör att man kan ta bort kostsamma manuella rutiner och ersätta dem med effektivare IT-rutiner trovärdig relation med bl.a. kund och användare Rutiner Rutiner är en viktig del i vår undersökning. Därför kommer vi kort att redogöra för vikten av att ha rutiner, och sedan koppla det till säkerhet och PKI. Vad är en rutin och varför skapar man rutiner? Andersen (1994) skriver att en rutin är en sammanhängande kedja av arbetsuppgifter. Man upprättar en rutin om man vill lösa en uppgift som verksamheten har blivit ställd inför. SAOL beskriver det som vanemässigt arbets- eller tillvägagångssätt. Lindström-Myrgård (1997) skriver detta om rutiner (sid. 87): Att intressera sig för rutiner är inte lika tjusigt som att syssla med mål och strategier. Men - man bör komma ihåg att rutinerna är ett företags livsnerv. Att skapa rutiner som fungerar på alla nivåer i organisationen är därför en utmaning. Löser man det problemet har man kommit en bra bit på väg i riktning mot en effektiv organisation. Det är alltså viktigt att ha rutiner för arbetsuppgifter man utför. Dataföreningen i Sverige (1997) ger följande exempel som pekar på vikten av att ha rutiner avseende säkerhet.

31 TEORI 21 Att fax hamnar fel är mycket vanligt. Fel nummer kan leda till allvarliga konsekvenser. Skickar du känsliga fax, kontrollera alltid att faxet kommer fram till rätt adress.(sid. 63) Man kan inte betrakta ett faxat dokument som original annat än om telefaxet är försett med en digital signatur. E-postsystemet måste jämföras med vanlig posthantering. Administrativa rutiner måste utformas kring detta, så att den stora mängd e-post som förväntas, kan hanteras. Rutiner bör finnas inom många områden. Statskontoret (1997:29c) tar bland annat upp följande exempel: administration av behörighet bör kunna ske centralt definition av rutiner för hur krypteringsnycklar ska handhas rutiner för hantering av aktiva kort bör göras eventuella kryptossystem bör godkännas av IT-säkerhetschef rutiner bör finnas för hur man ser till att personal som slutat anställning tas ur systemen Freese (1993, sid. 62) skriver att det är viktigt att skyddsåtgärder blir en del av den dagliga rutinen, och att de upplevs som meningsfulla. Han skriver även att: Säkerhetsrutiner i form av administrativa åtgärder, både väl synliga och mindre märkbara är ett viktigt rättesnöre i det dagliga arbetet inom flertalet verksamheter. När administrativa rutiner utarbetas, måste de sörja för att säkerhetsaspekterna tas tillvara. (sid. 93f) Halvarsson m.fl. (2000) menar att säkerheten gör det möjligt att använda IT eftersom man har en garanterad säkerhetsnivå. Säkerhetsnivån gör det lättare att byta ut kostamma och ineffektiva rutiner mot en IT-lösning. Näringsdepartementet (2001) skriver i sin redogörelse att den offentliga förvaltningen får möjlighet att införa effektivare rutiner och öka tillgängligheten i och med den nya lagen om kvalificerade elektroniska signaturer. Syftet med lagen är att ge en ökad tillit till de elektroniska signaturerna och även öka användandet av de elektroniska kommunika-tionerna.

32 22 TEORI

33 EMPIRI 23 4 EMPIRI I detta kapitel kommer vi att redogöra för hur delar av datasystemet i vårt fallstudieföretag var uppbyggt tidigare. Vi kommer även att förklara anledningarna till systembytet, och hur PKI används idag. Därefter kommer vi att redogöra för hur analysen är upplagd och vilka resultat vi har kommit fram till i undersökningen. Uppgifterna kring landstinget som finns beskrivna i nedanstående kapitel har vi fått från IT-säkerhetschefen för Västernorrlands läns landsting. 4.1 VÄSTERNORRLANDS LÄNS LANDSTING Västernorrlands läns landsting (LVN) är ett typiskt norrländskt landsting, där stora delar av sjukvårdsenheterna ligger utanför centralorten. I detta landsting ingår bl.a. 16 tandvårdskliniker, samt ett antal vårdcentraler och distriktssköterskmottagningar, som ligger utanför de centrala enheterna. Det finns på dessa kliniker ett behov av att komma åt information, som finns lagrad centralt Från Closed User Group till PKI Tidigare var tandklinikerna uppkopplade till dessa centrala resurser via ISDN. Man hade en Closed User Group med en egen modempool för ISDN. Denna hette Maxpro. En sluten användargrupp innebär att ingen utomstående ska kunna ta sig in i systemet. Man var här beroende av hur Telias spärrar för systemet var satta, och det visade sig att de inte alltid fungerade. Det hände att utomstående kunde ta sig in. Inloggningen till systemet var en standardinloggning och ingen kryptering användes. En sluten användargrupp var inte en perfekt lösning i detta fall, och det fanns ett visst missnöje hos systemets användare. Missnöjet rörde både säkerhet och tillgänglighet, eftersom dessa behov hade förändrats. I samband med att man närmade sig år 2000, slutade leverantören av systemet att ge support på detta, eftersom det inte höll för millennieskiftet. Landstinget var i det läget tvungen att ge sig ut och leta efter en annan typ av system som uppfyllde dess krav. Redan 1996 hade IT-säkerhetschefen för landstinget under en konferens i Frankfurt kommit i kontakt med smarta kort. Eftersom han upplevde det mycket intressant, så bevakade han utvecklingen i Sverige avseende dessa kort. Under 1999 fick han så kontakt med ett konsultföretag, som hade en expert inom området och detta ledde till att man beslutade sig för att satsa på PKI.

34 24 EMPIRI Pilotprojektet för PKI inom landstinget I september 1999 startades ett pilotprojekt inom landstinget. För att möjliggöra en säker överföring av information mellan enheterna inom landstinget beslutade man att införa PKI. Denna överföring skulle dessutom bli snabbare än den tidigare. ITsäkerhetschefen på Västernorrlands läns landsting har varit projektledare för detta projekt. Från början togs tre alternativa tekniker för PKI tillämpning fram. Säker e-post, mobil sjukvård (VPN-lösning = Virtual Private Network) och LVN Extranet (se även bilaga D). Därefter gällde det att hitta tillämpningar och användarprojekt för att utveckla nya arbetssätt och rutiner. Säker e-post. Här används Novells e-post Groupwise och krypterings protokollet S/MIME (Secure Multipurpose Internet Mail Extension). Certifikatet med den privata nyckeln lagras i personens stationära dator. Den publika nyckeln hämtas från Posten ABs server i Stockholm. Mobil sjukvård. Distriktssköterskor och tandkliniker använder detta. Man har nu VPN tunnling till de centrala resurserna via Internet med ISDN som bärare. Authenticeringen av användare och tunnel görs med PKI och elektroniskt IDkort från Posten och med deras CA-funktioner. IP Security används för att förse Internetprotokollet med vissa säkerhetsmekanismer. LVN Extranet. Extranet är ett sätt att utifrån nå resurser via webbgränssnittet. Det finns webbapplikationer som kan användas tex. hjälpmedelssystem som är intressant för kommunernas ordinatörer. Man använder protokollet SSL (Secure sockets layer), för att autenticera och etablera en krypterad förbindelse. Till detta kan inloggning ske på tre sätt. Valet avgör vilken säkerhetsnivå användaren får. Användarnamn och lösenord, vilket ger en relativt låg säkerhet. Användarnamn och lösenord i kombination med engångskod via mobil telefon (SMS). Detta ger en ganska hög säkerhet. Med hjälp av hårt eller mjukt elektroniskt ID (EID), vilket ger en mycket hög säkerhet. Virtuellt EID kort är ett mjukt certifikat som har samma klient och installation som med ett smart card. Den hemliga nyckeln och det egna certifikatet lagras på hårddisken. Skillnaden är att man inte behöver kortläsaren ( kr ) och EID - kortet som kostar 430 kr. Detta innebär att med mjukt certifikat förberett för EID - kortet blir det kr billigare per klient. Säkerhetsklassningen avgör vilka kort som används var. De billigare korten kan användas inom lasarettets nät, medan man vid inloggning mot LVN använder smarta kort, vilka har högre säkerhetsklassning.

35 EMPIRI 25 Under innevarande år uppdateras IT-säkerhetspolicyn från 1995 för att passa för PKI. Många rutiner blir lite ad hoc från början, men man arbetar med att skapa etablerade rutiner och utse särskild personal som har detta som sin ordinarie arbetsuppgift. Man har avvaktat lite med detta eftersom man precis gjort en omorganisation och först under våren 2001 beslutat att gå vidare med PKI. 4.2 ANALYSFÖRFARANDE I detta avsnitt kommer vi att presentera vårt analysförfarande i form av upplägg, faktorer, intervjuutformning och tolkning Analysens upplägg Rapportens huvudsakliga syfte har varit att undersöka hur ett systeminförande med PKI påverkar vissa rutiner rörande IT-säkerhet. Vi har formulerat en frågeställning där vi vill undersöka om ett systeminförande med PKI kan medföra någon förbättring av vissa rutiner rörande IT-säkerhet. För att uppfylla vårt syfte har vi: bestämt vilka faktorer som påverkar vårt problemområde. Dessa är valda utifrån hypotesens definitioner av förbättring av en rutin, samt från teorin kring säkerhet och PKI, som återges i kapitel 1.4, 3.2 och 3.3. kartlagt de faktorer som avsågs att kontrolleras. Kartläggningen har baserats på datainsamlingstekniken intervju. tolkat resultaten utifrån datainsamlingen. Utifrån vår analys kommer resultatet i sin helhet att presenteras under rubriken Resultat (kapitel 4.3).

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

Tjänster för elektronisk identifiering och signering

Tjänster för elektronisk identifiering och signering Bg eid Gateway och Bg PKI Services Tjänster för elektronisk identifiering och signering En elektronisk ID-handling är förutsättningen för säker och effektiv nätkommunikation. I takt med att tjänster blir

Läs mer

Grunderna i PKI, Public Key Infrastructure

Grunderna i PKI, Public Key Infrastructure Grunderna i PKI, Public Key Infrastructure Christer Tallberg ctg07001@student.mdh.se Philip Vilhelmsson pvn05001@student.mdh.se 0 Sammanfattning I och med dagens informationssamhälle finns ett stort behov

Läs mer

DNSSEC och säkerheten på Internet

DNSSEC och säkerheten på Internet DNSSEC och säkerheten på Internet Per Darnell 1 Säkerheten på Internet Identitet Integritet Oavvislighet Alltså 2 Asymmetrisk nyckelkryptering Handelsbanken 3 Asymmetrisk nyckelkryptering 1 Utbyte av publika

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0 Direktkoppling till Girolink Internet Filöverföring av betalningar och betalningsinformation via Girolink Internet Version 1.0 Maj 2007 Innehållsförteckning 0. DOKUMENTHISTORIK 1 ALLMÄNT - DIREKTKOPPLING

Läs mer

Dyna Pass. Wireless Secure Access

Dyna Pass. Wireless Secure Access Dyna Pass Wireless Secure Access Säkerheten kring lösenord är ofta debatterad och det finns ett antal viktiga frågor man bör ställa sig. Några exempel på detta är: Hur stor risk ligger i den mänskliga

Läs mer

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Hur når man tre miljoner användare på ett enkelt och säkert sätt? Hur når man tre miljoner användare på ett enkelt och säkert sätt? sten.arvidson@foreningssparbanken.se Affärer på nätet behöver generella och lättillgängliga lösningar för konsumenterna Idag olika metoder

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet och Epilog Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet Tumregler och utgångspunkter

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Bilaga 2. Säkerhetslösning för Mina intyg

Bilaga 2. Säkerhetslösning för Mina intyg Bilaga 2. Säkerhetslösning för Mina intyg Sid 1/17 Innehåll 1. Sammanfattning... 2 2. Inledning... 3 3. Introduktion... 4 4. Säkerhetslösning för Mina intyg... 5 5. Krav på andra lösningar och aktörer...

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

SKOLFS. beslutade den -- maj 2015.

SKOLFS. beslutade den -- maj 2015. Skolverkets föreskrifter om ämnesplan för ämnet informationsteknisk arkitektur och infrastruktur inom vidareutbildning i form av ett fjärde tekniskt år; beslutade den -- maj 2015. Skolverket föreskriver

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA NATIONELLT NÄTVERK FÖR LÄKARSEKRETERARE 2011 11 10 STOCKHOLM Rose-Mharie Åhlfeldt Institutionen för Kommunikation och Information Bild 1 VEM ÄR JAG? Universitetslektor

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska

Läs mer

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

DNSSec. Garanterar ett säkert internet

DNSSec. Garanterar ett säkert internet DNSSec Garanterar ett säkert internet Vad är DNSSec? 2 DNSSec är ett tillägg i Domain Name System (DNS), som säkrar DNS-svarens äkthet och integritet. Tekniska åtgärder tillämpas vilket gör att den dator

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Anvisningar till rapporter i psykologi på B-nivå

Anvisningar till rapporter i psykologi på B-nivå Anvisningar till rapporter i psykologi på B-nivå En rapport i psykologi är det enklaste formatet för att rapportera en vetenskaplig undersökning inom psykologins forskningsfält. Något som kännetecknar

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Många företag och myndigheter sköter sina betalningar till Plusoch

Många företag och myndigheter sköter sina betalningar till Plusoch 70 80 60 ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 40 20 30 Manual 2 Installation Många företag och myndigheter sköter sina betalningar till Plusoch Bankgirot

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Datasäkerhet. Petter Ericson pettter@cs.umu.se

Datasäkerhet. Petter Ericson pettter@cs.umu.se Datasäkerhet Petter Ericson pettter@cs.umu.se Vad vet jag? Doktorand i datavetenskap (naturliga och formella språk) Ordförande Umeå Hackerspace Sysadmin CS 07-09 (typ) Aktiv från och till i ACC m.fl. andra

Läs mer

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Ledning och styrning av IT i kommunen Kommunen har sedan många år en central IT-avdelning med ansvar för drift

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Mjukvarubaserade elektroniska signaturer

Mjukvarubaserade elektroniska signaturer 2002:205 SHU EXAMENSARBETE Mjukvarubaserade elektroniska signaturer En undersökning av säkerhetsmedvetandet hos innehavare av RSV-certifikat MARIA LUNDGREN CAMILLA RYDBJÖRK Samhällsvetenskapliga och ekonomiska

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

http://iwww.rsv.se:82/samset/myndigh_anv.html

http://iwww.rsv.se:82/samset/myndigh_anv.html Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 1 2 Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 9 Definition av molntjänster (forts.)... 11 Tjänster... 12 Skikt

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg

Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg Införa smarta kort med PKI i enlighet med vårdens branschstandard SITHS (Säker IT I Hälso och Sjukvård) Projektet Gemensamt tjänstekort

Läs mer

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15 Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:

Läs mer

communication En produkt från ida infront - a part of Addnode

communication En produkt från ida infront - a part of Addnode communication En produkt från ida infront - a part of Addnode Det handlar egentligen inte om kryperting, nyckelhantering, och elektroniska certifikat. innehåll communication Det handlar om trygghet och

Läs mer

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Kravhantering / Testprocess - Agenda AGENDA Grundläggande kravhanteringsprocess. Insamling, dokumentation, prioritering, Test och förvaltning

Läs mer

Användarhandledning för The Secure Channel

Användarhandledning för The Secure Channel Användarhandledning för The Secure Channel 1 Inledning Det här dokumentet beskriver hur programvaran ska användas. Dokumentet beskriver programversion 1.6.1 av The Secure Channel. Användarhandledningen

Läs mer

Juridiska förutsättningar för kommunikation i Poosty

Juridiska förutsättningar för kommunikation i Poosty 4 april 2012 Juridiska förutsättningar för kommunikation i Poosty Per Furberg 1 och Erik Sandström 2 1. Bakgrund Vi har blivit ombedda av Poosty AB att kommentera de juridiska förutsättningarna för att

Läs mer

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Föreläsning 7. DD2390 Internetprogrammering 6 hp Föreläsning 7 DD2390 Internetprogrammering 6 hp Innehåll Krypteringsöversikt (PKI) Java Secure Socket Extension (JSSE) Säkerhetsproblem 1. Vem är det man kommunicerar med Autentisering 2. Data kan avläsas

Läs mer

DFO/IF. Lösenord: IT-användning i företag Uppgifterna som lämnas ska endast avse den företagsenhet vars namn och organisationsnummer

DFO/IF. Lösenord: IT-användning i företag Uppgifterna som lämnas ska endast avse den företagsenhet vars namn och organisationsnummer Här lämnade uppgifter är sekretesskyddade enligt 24 kap. 8 offentlighets- och sekretesslagen (2009:400). Uppgiftsskyldighet föreligger enligt lagen (2001:99) om den officiella statistiken. Samråd har skett

Läs mer

Vässa IT-stödet i administrativa processer

Vässa IT-stödet i administrativa processer FOU-FONDEN FÖR FASTIGHETSFRÅGOR Vässa IT-stödet i administrativa processer ETT PILOTPROJEKT MELLAN UPPSALA KOMMUN OCH UPPSALAHEM 1 Förord Är det krångligt att införa nya IT-system i verksamheten? Är det

Läs mer

Behövs en nationell samordning? Carelink

Behövs en nationell samordning? Carelink Carelink SITHS Behövs en nationell samordning? Carelink Apoteket AB Svekom Lf Vårdföretagarna SoS KOMMUNER LANDSTING PRIVATA VÅRDGIVARE Carelink organisation CARELINK INTRESSEFÖRENING Gemensam STYRELSE

Läs mer

Tekniskt ramverk för Svensk e- legitimation

Tekniskt ramverk för Svensk e- legitimation Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER

Läs mer

Net id Användarhandbok Windows. Version 1.2

Net id Användarhandbok Windows. Version 1.2 Net id Användarhandbok Windows Version 1.2 Innehåll 1 Net id... 4 1.1 Net id PKI Klient... 4 1.2 Licensavtal... 4 1.3 Support... 4 2 Net id Tekniska data... 5 2.1 Klientsupport... 5 2.2 Servermiljö...

Läs mer

Molnet ett laglöst land?

Molnet ett laglöst land? Molnet ett laglöst land? 31 januari 2012 Pernilla Borg, CISA Magnus Ahlberg Om Ernst & Young IT Risk and Assurance Inom IT Risk and Assurance hjälper vi organisationer att hantera IT-risker på ett sätt

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Juridiska säkerhetskrav

Juridiska säkerhetskrav Juridiska säkerhetskrav Lagar med säkerhetskrav Det finns ingen datasäkerhetslag och inga juridiska krav på viss teknik, men... Vissa juridiska krav leder till krav på teknik i praktiken Grundtyper av

Läs mer

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva Svenska e-legitimationer och certifikat Wiggo Öberg, Verva Presentation av rapport och förslagets inriktning Historia och bakgrund Målbild Alternativa vägar Förslag Genomförande Frågor, synpunkter och

Läs mer

Cirkulärnr: 1998:215 Diarienr: 1998/3212. Mottagare: Kommunstyrelsen IT-frågor Inköp Kommunala bolag Det fortsatta arbetet med elektronisk handel

Cirkulärnr: 1998:215 Diarienr: 1998/3212. Mottagare: Kommunstyrelsen IT-frågor Inköp Kommunala bolag Det fortsatta arbetet med elektronisk handel Cirkulärnr: 1998:215 Diarienr: 1998/3212 Handläggare: Sektion/Enhet: Mottagare: Rubrik: Kerstin Wiss Holmdahl Civilrättssektionen Kommunstyrelsen IT-frågor Inköp Kommunala bolag Det fortsatta arbetet med

Läs mer

Decentraliserad administration av gästkonton vid Karlstads universitet

Decentraliserad administration av gästkonton vid Karlstads universitet Datavetenskap Opponent(er): Markus Fors Christian Grahn Respondent(er): Christian Ekström Per Rydberg Decentraliserad administration av gästkonton vid Karlstads universitet Oppositionsrapport, C/D-nivå

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Samverka effektivare via regiongemensam katalog

Samverka effektivare via regiongemensam katalog Samverka effektivare via regiongemensam katalog Seminarium 4:6 Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Johan Zenk, Landstinget i Östergötland Ännu inget genombrott för e-legitimation

Läs mer

Kursplan Gränssnittsdesign och Webbutveckling 1 Vårtermin 2014

Kursplan Gränssnittsdesign och Webbutveckling 1 Vårtermin 2014 Kursplan Gränssnittsdesign och Webbutveckling 1 Vårtermin 2014 Kurswebb: www.creativerooms.se/edu, välj Gränssnittsdesign eller Webbutveckling 1 Lärare: Aino-Maria Kumpulainen, aino-maria.kumpulainen@it-gymnasiet.se

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Insättningsuppgift via Internet Användarmanual

Insättningsuppgift via Internet Användarmanual Juli 2014 Insättningsuppgift via Internet Användarmanual Bankgirocentralen BGC AB 2013. All rights reserved. www.bankgirot.se Innehåll 1 Introduktion...3 1.1 Det här dokumentet... 3 1.2 Vad är Bankgirot?...

Läs mer

Datautvinning från digitala lagringsmedia

Datautvinning från digitala lagringsmedia Datautvinning från digitala lagringsmedia Kursplan Mål Kunna hantera förekommande verktyg Kunna göra systemanalys, datautvinning och dataanalys Kunna sammanställa resultat i en rapport Innehåll Översikt

Läs mer