Juridiska säkerhetskrav
Lagar med säkerhetskrav Det finns ingen datasäkerhetslag och inga juridiska krav på viss teknik, men... Vissa juridiska krav leder till krav på teknik i praktiken
Grundtyper av juridiska krav Nationens säkerhet (försvar, ekonomisk stabilitet o. dyl.) Personlig integritet vid känsliga åtgärder (sjukdata, sociala åtgärder m.m.) Bokföring och liknande krav på ekonomisk reda Allmän personlig integritet ( inte allt på nätet och tillgängligt för alla )
Exempel på relevanta lagar Sekretesslagen Offentlighetsprincipen (TFF) Personuppgiftslagen Arkivlagen Bokföringslagen Säkerhetsskyddsförordningen
Sekretesslagen Gäller myndigheter. Gäller data som berör rikets säkerhet (militärt, ekonomiskt o. s. v.) eller enskildas personliga integritet. Stadgar att sådana data inte ska kunna nås annat än av behöriga handläggare. Innebär att myndigheter måste skydda sådana uppgifter, då de lagras och behandlas i datorer.
Offentlighetsprincipen Allmänheten har rätt att läsa offentliga handlingar, d. v. s. handlingar (ej anteckningar o. dyl.) som inkommit till eller upprättats vid myndigheter och som ej omfattas av sekretess. Myndigheter är skyldiga att se till att beslut fattas utifrån så långt som möjligt korrekta uppgifter. Slutsats: Allmänheten ska kunna läsa, men inte allt, och absolut inte kunna ändra
Bokföringslagen Dokument... och maskinläsbara medier som används för att bevara räkenskapsinformation skall vara varaktiga och lätt åtkomliga.... De skall förvaras i Sverige, i ordnat skick och på betryggande och överskådligt sätt. Maskinutrustning och system som behövs för att presentera räkenskapsinformationen... skall hållas tillgängliga i Sverige. (Undantag finns) Om en bokföringspost rättas, skall det anges när rättelsen har skett och vem som har gjort den. Vid elektroniskt underlag (verifikation) ska originalversionen sparas.
Säkerhetsskyddslagen Säkerhetsskyddsförordningen Gäller försvaret och dess leverantörer. Anger krav på säkerhetsklassning av data och personer samt skydd, särskilt vad gäller kontroll av personer med tillgång till sekretessbelagd information. Försvaret underhåller skriftserie med detaljerade föreskrifter och råd
Personuppgiftslagen (PUL) Gäller data som kan härledas till individer (inte enskilda firmor, fastigheter o. s. v.) Data får föras för personer som är kunder, medlemmar, anställda o. s. v. har givit uttryckligt tillstånd är föremål för forskning har uttryckligt eget intresse av registreringen av deras persondata eller om det finns uttryckligt allmänintresse
Begränsningar i PUL Databehandlingen ska ha uttryckligt mål, och alla data måste vara relevanta för detta ändamål Känsliga data (hälsa, religion, politisk åsikt, ras) får bara föras om verksamhetens art kräver det (sjukvård, samfunds medlemmar o. s. v.) Datas korrekthet måste upprätthållas Export får bara ske inom EU, eller till land som regeringen godkänt eller i den registrerades uppenbara intresse
Säkerhetskrav i PUL 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns b) vad det skulle kosta att genomföra åtgärderna c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är.
Elektroniska dokument? Juridiska termen dokument förutsätter någon form av avgränsat innehåll och bevisbart ursprung Elektroniska dokument förutsätter digitala signaturer (blanda inte ihop det med digitaliserade namnteckningar!!!) EU godkänner nu i princip digitala, signerade dokument
Säkring av datas tillgänglighet samt övrigt fysiskt skydd OBS: Systemtillgänglighet är delmängd, inte hela begreppet!
Tillgänglighet för data kräver Fysiskt intakt dator (eller annan läsare) Fysiskt intakta lagringsmedia Driftmiljö där datorn kan fungera Bevarad kommunikationsmöjlighet Program, som inte kraschat eller på annat sätt hindrar åtkomst
Fysiskt intakt utrustning Stöld Vätska Brand Smutspartiklar Strömpuls Stötar och slag Avsiktlig skada kräver skydd mot
Skydd för lagrade data kräver Samma skydd för lagringsmedia som all annan IT-utrustning Högre skydd mot värme Oftast högre skydd mot starka magnetfält (magnetiska och elektroniska media) Säkerhetskopior i särskilt arkiv Fungerande rutiner, som kontrollerar att kopiering sker på korrekt sätt av alla data
Fysisk tillgång till dator eller lagringsmedia möjliggör Stöld Avsiktlig skada Bortkoppling av behörighetskontroll Inläggning av elaka program Insyn i vad som finns på skärmen Installation av avlyssningsutrustning
Bra driftmiljö för datorn Elektricitet Jämn spänning Rätt temperatur (kyla och fläkt) Rätt luftfuktighet Inga starka elektromagnetiska fält i omgivningen
Bevarad kommunikation Intakta ledningar eller radiolänkar Intakt sändare och mottagare Rimlig störningsnivå Kodning anpassad till störning Alternativ väg
Fungerande program Egen del av datavetenskapen Gott om metoder på alla nivåer, som säkrare språk, felträdsanalys, testmetoder, kvalitetsgranskningar och ett otal andra Sorgligt försummat i praktiken i alldeles för många fall
Reserver och extra resurser Inte bara data kan behöva reservkopior. Reservhårdvara måste vara kompatibel med det den ska ersätta. Extra resurser, som utökad bandbredd, fungerar bara om det inte finns andra flaskhalsar (T ex två nätleverantörer? De kanske använder samma fiberlänk eller samma mast för radiolänksdelen...)
Denial of Service-attacker Kräver större resurser än den attackerades för att lyckas Att ta över andras datorer och låta dem attackera (DDoS) fungerar Kan bestå i ren översvämning Kan bestå i kraschförsök Filter får inte bli flaskhals
Filter mot spam och annat Filtrering tar tid, och kan därför förvärra attack! Filtrering kan aldrig ta bort alla medvetna attacker. Filtrering kan klara majoriteten av skräpet, eftersom det inte är så medveten attack Filter kräver ständig uppdatering
Fysisk säkerhet för sekretess RöS, Röjande Signaler, är klassiskt problem Utöver medvetna sändningar (radio), så kan man få information ur strålning från processorer och bildskärmar ström-/spänningsvariation ljud från tangenter ljusvariationer
Tillträdesskydd Minskar risken med RöS Minskar risken för stöld och sabotage Minskar risken för obehörig åtkomst till inloggade datorer och visad information Hindrar direktladdning av nytt OS, inkoppling av ny utrustning och liknande sabotage Ger punkter för säker administration