Handhavande och omgivande miljö 1 Syfte Oavsett hur säkert ett system är kan det alltid användas på ett sådant vis att det inte längre är säkert. Det här dokumentet beskriver dels de krav som ställs på användande och dels den omgivande miljön för att systemet ska vara säkert. Dokumentet skall vara ett stöd vid handhavande av systemet för att kontrollera att systemet används korrekt och den omgivande miljön skyddas tillfredsställande. Dokumentet riktar sig i första hand inte till användare av systemet utan de som ansvarar för att tillhandahålla systemet för andra. Dokumentet ansluter mot den interna dokumentationen för systemets säkerhetsfunktioner och utgör på så vis en del i argumentationen för systemets säkerhet. Systemets säkerhetsfunktioner ska tillsammans med detta dokument garantera att säkerhetsmålen uppnås. 2 Sammanfattning Dokumentet består av tre delar, en del som beskriver den rekommenderade användningen av systemet, en del som beskriver krav på den omgivande miljön och en kortare del som beskriver avvikande incidenter och hur de bör hanteras. 3 Klassificering Dokumentet har klassificerats som offentligt dokument (Klass A). Det finns därför inga restriktioner för hur dokumentet får distribueras och hanteras. Dokument: Handhavande och omgivande miljö 1
4 Innehåll 1 Syfte...1 2 Sammanfattning...1 3 Klassificering...1 4 Innehåll...2 5 Inledning...3 5.1 Definitioner...3 6 Användning av systemet...4 6.1 Upprättande av användarpolicys...4 6.2 Lösenfraser...5 6.3 Okänd sändare...6 6.4 Hantering av återställningsfiler...8 6.5 Säkerhetskopiering av meddelandekorgar...9 6.6 Flera användare...10 6.7 Information ur klienten...10 6.8 Fingerprint...11 7 Omgivande miljö...12 7.1 Tillgång till datorsystem...12 7.1.1 Medvetenhet...12 7.1.2 Fysisk inlåsning...12 7.1.3 Låsning av arbetsstation...12 7.1.4 Viloläge och vänteläge...13 7.2 Skydd mot skadlig kod och nätverksintrång...14 7.2.1 Kontroll av programexekvering...14 7.2.2 Automatiska uppdateringar...15 7.2.3 Brandväggar...15 7.2.4 Anti-virus...16 7.3 Skydd mot stöld av datorsystem...17 8 Incidenthantering...18 8.1 Komprometterad lösenfras...18 8.2 Komprometterad kontoinformation...18 8.3 Svagheter i TSC...19 8.4 Avbrott i tjänsten...19 8.5 Skräppost (spam)...19 9 Checklista för säkerhetsåtgärder...20 Dokument: Handhavande och omgivande miljö 2
5 Inledning Det här dokumentet beskriver en serie med rekommendationer för hur programmet bör användas. Alla rekommendationer är bör skrivningar. Det är upp till användande organisationer själva att bedöma vad som är säker användning av systemet och vilka rekommendationer som ska följas. 5.1 Definitioner Begrepp Angripare Användarpollicys Användarvillkor Datorsystemet Diskkryptering Handhavande Klienten Komprometterad Mask Omvigande miljö Systemet Systempartitionen Trojan TSC Betydelse En person som försöker ta sig förbi systemets säkerhetsfunktioner, dvs en hacker. Skriftliga regler för hur systemet ska användas. De villkor som gäller för tjänsten och måste accepteras om programvaran ska användas. Användarvillkoren ska accepteras av användaren i samband med att ett konto aktiveras på servern. Det system där TSC är installerat. En metod för att att kryptera ett helt filsystem eller en diskpartition, till skillnad från filkryptering där enstaka filer krypteras. Användning av systemet. Den programvara som används för att skicka och ta emot krypterade meddelanden och installeras på användarens datorsystem. Avslöjad för en angripare. Påminner om ett datorvirus fast infekterar system (oftast på ett nätverk) och inte enstaka filer eller program. Det som ligger utanför TSC, exempelvis andra programvaror i datorsystemet eller den omgivning där datorsystemet är placerad. The Secure Channel (TSC), som inkluderar klienten, serverprogramvaran, serversystemet och omgivande mjukvara. Den partition (dvs indelning av hårddisken) som lagrar filsystemet där operativsystemet är installerat. Ett skadlig program installerar sig på datorn och uppvisar ett skadligt beteende. The Secure Channel Dokument: Handhavande och omgivande miljö 3
6 Användning av systemet Det här stycket innehåller information om hur man handhar systemet på ett passande vis. 6.1 Upprättande av användarpolicys Om det finns ett behov med hänsyn till organisationen bör användarpolicys för användningen av systemet upprättas med utgångspunkt av skyddsåtgärderna i detta stycke. Varje skyddsåtgärd i detta kapitel bör tas upp i en användarpolicy om det inte finns någon orsak till att den inte ska vara med där. PCY_USR_DOC1 PCY_USR_DOC2 PCY_USR_DOC3 Det bör vid behov med hänsyn till organisationen finnas skriftliga användarpolicys för hur systemet ska användas. Användarna bör vara medvetna om de användarpolicys som gäller och bör ha tillgång till den skriftliga dokumentationen som finns. Det bör finnas en kontinuerlig uppföljning av att de skriftliga användarpolicys som finns för systemet följs av användarna. Dokument: Handhavande och omgivande miljö 4
6.2 Lösenfraser Varje användare av TSC har en egen lösenfras som skyddar kontoinformation, meddelandekorgar, adressboken och återställningsfiler vid lagring. En lösenfras är betydligt längre än ett lösenord och utgör en mening eller kortare fras istället för ett enstaka ord. Lösenfraser bör kunna skapas av användare själva utan extra stöd utöver vad som finns i programvaran, kravet på 20 teckens längd tillsammans med informationen som ges i programmet anses räcka för att uppnå tillräcklig säkerhet. Det finns däremot en risk att användare glömmer lösenfraser. Om detta sker förlorar användaren tillgång till kontot på servern och förlorar därmed möjlighet att själv inaktivera kontot eller ladda ned meddelanden som skickats till kontot. Det kan därför finnas ett behov av att tillfälligt skriva ned lösenfraser på ett säkert ställe vilket i så fall bör regleras med en användarpolicy. Om detta inte tas upp i en användarpolicy finns det risk att användare på eget initiativ hittar på mer eller mindre passande lösningar för att minnas lösenfraser. Om lösenfraser skrivs ned bör det inte göras på digital form och det bör absolut inte göras i eller kring det datorsystem där TSC används. De nedskrivna anteckningarna bör förvaras inlåst på ett sådant vis att enbart användaren själv har tillgång till anteckningarna. Anteckningarna bör i så fall förvaras med en passande skyddsnivå med tanka på brytskydd, larm, etc. Det kan vara olämpligt att förvara anteckningarna på samma ställe som återställningsfiler. Det kan vara lämpligt att om möjligt säkerställa att ingen annan har läst lösenfraserna med någon form av försegling. En förutsättning för att spara minnesanteckningar över lösenfraser är att hanteringen är tillräckligt säker, om förutsättningar för detta saknas så bör minnesanteckningar undvikas. Lösenfraser bör ej skapas centralt utan av användarna själva. PCY_USR_PAP Om förutsättningar finns kan lösenfraser skrivas ned som minnesanteckningar. En minnesanteckning bör då skrivas ned på papper och förvaras inlåst med tillräckligt skydd på ett sådant vis att enbart användaren har tillgång till anteckningarna. Om möjligt bör också metoder med försegling användas för att säkerställa att ingen annan har läst lagrade anteckningar. Om förseglingar används bör dessa kontrolleras med jämna mellanrum. Dokument: Handhavande och omgivande miljö 5
6.3 Okänd sändare Ett meddelande med okänd sändare är ett meddelande med en sändare som inte finns med i adressboken. Meddelanden skickade från en okänd sändare kommer gulmarkeras och inte visas för användaren eftersom signaturen inte kan verifieras om inte användarens krypteringsnyckel är nerladdad till klienten. Däremot visas sändarens fullständiga adress vilket möjliggör för användaren att lägga till mottagaren i adressboken, varpå meddelandet kan verifieras och läsas. Problemet med det här är att sändarens identitet inte kan verifieras av systemet eftersom en sådan valideringsprocess inte används. Sändaren kan påstå sig vara vem som helst och behöver inte vara den sändare som påstås, det finns då en risk att viktig information skickas till en person som uppgett en felaktig identitet. Därför är det lämpligt att det specificeras i användarpollicys hur okända sändare ska hanteras. Hur man bör hantera okända sändare beror på den verksamheten där systemet ska användas. Om programvaran används internt inom organisationen bör utomstående mottagare antagligen inte accepteras utan som regel förkastas, samtidigt kan en intern lista med adresser distribueras (med lämplig säkerhet) och användas. Används programmet på ett sådant vis att man i princip enbart förväntar sig okända sändare bör okända sändare kanske snarare som regel accepteras och läggas till i adressboken. Detta kan exempelvis röra sig om en tidningsredaktion som använder programmet för att ta emot nyhetstips. I detta fallet kan en användare även ha valt att ange en pseudonym snarare än ett riktigt namn för att få förbli anonym. Om verksamheten ligger någonstans mellan dessa fall kan det vara bra med rutiner för att verifiera att det är en påstådda sändaren som verkligen har skickat meddelandet innan användaren läggs till i adressboken. Detta kan exempelvis göras med ett telefonsamtal till sändaren. Telefonnumret bör i så fall hämtas från en separat och betrodd källa och inte via de identitetsuppgifter som angetts av sändaren själv. Sändarens påstådda identitetsuppgifter kan fås genom att börja lägga till sändaren som en kontakt i adressboken men sedan välja att inte acceptera mottagaren. Det går inte att kontrollera en användares identitet genom att ställa kontrollfrågor via meddelanden eftersom angriparen då kan utföra en account-in-the-middle attack där angriparen lurar både sändare och mottagare med falsk identitet. PCY_USR_UKS1 Användare av systemet bör vara medvetna om att sändarens identitet i ett meddelanden med okänd sändare (gulmarkerad) enbart är ett påstående från användaren själv, detta gäller även om sändaren läggs till i adressboken och meddelandet verifieras och blir läsbart. Ett grönt meddelande betyder bara att meddelanden har lyckats knytas till Dokument: Handhavande och omgivande miljö 6
PCY_USR_UKS2 PCY_USR_UKS3 sändaradressen och inte att sändarens identitet som sådan är verifierad. Om verksamheten är sådan att man enbart ska kommunicera med varandra kan det vara lämpligt att distribuera adresslistor internt med en säker metod och sedan stämma av okända sändare mot listorna. Mottagare som inte är med i listorna bör inte accepteras och läggas till som kontakter i klientens adressbok. Om det är lämpligt av verksamheten kan man lägga till okända sändare i adressboken efter att sändarens identitet har verifierats från annan informationskälla. Dokument: Handhavande och omgivande miljö 7
6.4 Hantering av återställningsfiler Återställningsfiler kan användas för att återställa ett konto ifall en dator går sönder, blir stulen eller på annat sätt blir obrukbar. Förlorar en användare kontoinformationen förlorar användaren även möjlighet att på egen hand inaktivera kontot eller ladda ned meddelanden som skickats till kontot. Återställningsfiler är krypterade med användarnas lösenfraser och kan därför lagras gemensamt utan extra skydd. Eftersom återställningsfilerna tillsammans med lösenfrasen kan användas för att återställa kontoinformationen är det rekommenderat att de lagras skyddat ifall någon samtidigt lyckas röja en användares lösenfras. Återställningsfilerna bör inte lagras tillsammans med minnesanteckningar av lösenfraser eller på ett sådant vis att någon annan än användaren kan få tillgång till både återställningsfiler och minnesanteckningar. Återställnigsfilerna bör lagras separat från det datorsystemet där TSC används eftersom de i så fall ej kan användas för sitt syfte. PCY_USR_REC Användaren bör säkerhetskopiera sin kontoinformation med en återställningsfil som lagras separat från det systemet där TSC används. Dokument: Handhavande och omgivande miljö 8
6.5 Säkerhetskopiering av meddelandekorgar Om datorsystemet där TSC används går sönder, blir stulen eller på annat vis blir obrukbar kan det vara bra att kunna återställa de meddelandekorgar som lagras på datorn. Det går därför att ta backup på meddelandekorgar. Här finns dock en hel del valfriheter som bör regleras med säkerhetspollicys. Backuper kan göras på två sätt: (1) Utan kryptering i klartext: Fördelen med detta sätt är att det alltid kommer gå att återställa data från meddelandekorgar. Nackdelen är att säkerhetskopiorna inte är skyddade på något vis. Om backuper tas i klartext så bör det enbart göras på en krypterad enhet som exempelvis ett krypterat USB-minne eller liknande. Säkerhetskopiorna bör absolut inte lagras på datorsystemet där TSC används eftersom krypteringen av meddelandekorg då kringgås. (2) Med kryptering av den privata nyckeln: Detta är den rekommenderade metoden. Meddelandekorgarna lagras då krypterat med användarens privata krypteringsnyckel som lagras i kontoinformationen som säkerhetskopieras med återställningsfiler. Nackdelen med den här metoden är att säkerhetskopiorna blir värdelösa om användarens kontoinformation går förlorad, dvs om användaren glömmer sin lösenfras och det inte finns någon minnesanteckning av denna eller datorn kraschar utan att det finns någon återställningsfil. Kryptering görs inte med användarens lösenfras och är därför giltiga även om användaren har bytt lösenfras. Säkerhetskopiorna bör inte lagras på det datorsystem där TSC används eftersom säkerhetskopiorna i så fall inte uppfyller sitt syfte. PCY_USR_BCP Användaren bör regelbundet ta säkerhetskopior av meddelandekorgar på en plats som är separat från det datorsystem där TSC används. Dokument: Handhavande och omgivande miljö 9
6.6 Flera användare Klienten har stöd för att ha flera konton lagrade på samma system vilket möjliggör att fler användare använder samma dator. Detta är inget som rekommenderas eftersom den ena användaren kan installera skadlig kod på datorsystemet som kan kompromettera den andra användarens lösenfras, exempelvis en key-logger eller någon mer sofistikerad trojan. Funktionen att ha fler konton bör enbart användas av samma användare. PCY_USR_MUL Varje användare av TSC bör ha ett eget datorsystem som ingen annan har tillgång till. 6.7 Information ur klienten Det går att få ut en hel del information från klienten som rör krypteringen, detta är för att programmets krypteringsfunktioner ska gå att verifiera. Det är därför vikigt att användare vet att information från klienten aldrig ska eller kommer behövas lämnas ut till någon. Det ända undantaget som kan finnas är fingerprint om det används. PCY_USR_INF Användare av systemet bör vara medvetna om att information från krypteringsnycklar eller krypteringsinformation aldrig någonsin ska lämnas ut från klienten (med undantag från fingerprint om det används). Detta gäller speciellt om någon tar kontakt och frågar efter det. Dokument: Handhavande och omgivande miljö 10
6.8 Fingerprint Servern garanterar att den nedladdade krypteringsnyckeln kan knytas till en specifik adress på servern, klienten kan sedan knyta meddelanden till en specifik krypteringsnyckel. Om man vill kan man välja att inte lita på servern garantier och leverans av krypteringsnycklar och själv kontrollera att rätt krypteringsnyckel används. Detta är något som i normalfallet inte behöver göras utan enbart behövs om man inte litar på serverns funktion eller behöver extra säkerhet. Denna kontroll utförs i så fall med ett fingerprint. Ett fingerprint är ett unikt nummer (512 hexadecimala siffror) som är unikt knytet till en krypteringsnyckel. Det är omöjligt för en angripare att skapa en ny krypteringsnyckel med exakt samma fingerprint. Genom att jämföra att sändaren har samma fingerprint som mottagaren kan man garantera att kommunikationen är obruten och rätt nyckel har distribuerats till mottagaren via servern. Fingerprint kan avläsas i klienten. Sändarens fingerprint avläses i informationen om krypteringsnyckel under infomration om aktivt konto. Mottagarens nyckel: Avläses i informationen om krypteringsnyckeln under mottagares information i adressboken eller när en adress accepteras som kontakt. Hela fingerprint måste jämföras och måste stämma fullständigt, det räcker inte att bara delvis jämföra fingerprint. Dokument: Handhavande och omgivande miljö 11
7 Omgivande miljö Det här stycket beskriver de krav som ställs på den omgivande miljön för att systemet ska vara säkert. Detta är enbart rekommendationer, det är upp till den användande organisationen att avgöra om den omgivande miljön skyddas tillfredsställande. 7.1 Tillgång till datorsystem Programvaran är designad så att man aktiverar ett konto (=loggar in) med lösenfrasen i programvaran och kontot hålls sedan kvar aktiverat för att kunna ta emot nya meddelanden automatiskt. Tillgången till ett datorsystem där ett konto är aktivt bör därför begränsas. Även tillgången till ett system där inget konto är aktivt bör skyddas, det finns annars en risk att obehöriga installerar skadlig kod eller stjäl information från datorn som lagras utanför TSC. 7.1.1 Medvetenhet Det är viktigt att de som använder systemet är medvetna om att tillgången behöver skyddas så de inte låter andra använda datorn eller lämnar datorsystemet obevakat när obehöriga är kvar i rummet. PCY_ENV_KNO Användare av systemet bör vara medvetna om att tillgången till systemet bör skyddas. 7.1.2 Fysisk inlåsning Tillgång till programvaran med ett aktivt konto kan göras genom att kontrollera fysisk tillgång till systemet. Ett sätt är att ha låsning med nyckel eller kort av det utrymme där datorsystemet är placerat. Låsningen bör i så fall vara automatiskt. 7.1.3 Låsning av arbetsstation Ett sätt att skydda datorn mot tillgång är att låsa arbetsstationen när den inte används. Låsningen görs så att det behövs ett lösenord för att komma in i datorsystemet igen. Säkrast är det om denna funktion även aktiveras automatiskt när datorn inte används. Denna typ av låsning kan kringgås med avancerade metoder och ger därför inte ett fullständigt skydd men fungerar bra som ett komplement till övriga skyddsåtgärder. Dokument: Handhavande och omgivande miljö 12
7.1.4 Viloläge och vänteläge När en användare är inloggad i systemet lagras användarens personliga användarnyckel (beräknad från lösenfrasen) i datorns arbetsminne. Det finns därför behov av att reglera hur vänteläge och viloläge används. Viloläge betyder att datorn fortfarande är på men drar mindre ström. Minnet från ett system som ligger i viloläge kan dumpas och på så vis kan man komma över krypteringsnycklar eller annan information som ligger kvar där. System som ligger i viloläge bör därför skyddas med fysiskt skydd. Det inbyggda skyddet med kryptering som finns i TSC kan kringgås om en angripare kommer över en dator som ligger i viloläge. Vänteläge betyder att datorn är avstängd, fast arbetsminnet har skrivits till en fil på disken vilket gör att datorn kan återuppta tidigare tillstånd när datorn startas igen. Eftersom minnets innehåll skrivs till disken gäller precis som för viloläge att datorn måste skyddas med fysiskt skydd. Det finns dock ett undantag. Om diskkryptering av systempartitionen används kan datorn säkert försättas i viloläge eftersom även minnets innehåll kommer krypteras. Är datorn däremot avstängd krävs inget fysiskt skydd av datorn för att TSC skall vara säker eftersom all information som lagras på hårddisken är skyddad med kryptering. Samma principer gäller för andra program som lagrar viktig information i datorns arbetsminne, det kan därför vara bra att tillämpa dessa skyddsåtgärder även på datorer som inte använder TSC. PCY_ENV_ACC1 PCY_ENV_ACC2 Om TSC används på fasta arbetsstationer bör dessa skyddas med fysiskt skydd (inlåsning) då de ligger i viloläge eller vänteläge. Säkrast är det att stänga av datorerna helt vilket bör göras efter avslutat arbetspass. Om TSC används på laptops, plattor eller telefoner så bör dessa stängas av helt när de inte används, eller använda sig av diskkryptering av systempartitionen och försättas i viloläge. Vänteläge bör inte användas. Dokument: Handhavande och omgivande miljö 13
7.2 Skydd mot skadlig kod och nätverksintrång En trojan, mask eller annan skadlig kod som infekterar systemet får minst samma rättigheter som användaren i ett datorsystem. Det är därför omöjligt att skydda ett datorsystem som är infekterad med skadlig kod. Om en trojan, mask eller annan skadlig kod infekterar datorsystemet kan säkerhetsfunktionerna i TSC kringgås. Det man kan göra är att motverka att datorn blir infekterad samt använda program som kan upptäcka om datorn har blivit infekterad. En attack från en angripare kan antingen göras med hjälp av skadlig kod eller med annan programvara/script som tillämpar samma metoder som skadlig kod, för att undvika hackarattacker och nätverksintrång kan man därför skyddas sig med i princip samma skyddsåtgärder som man använder för att skydda sig mot skadlig kod. 7.2.1 Kontroll av programexekvering Det enklaste sättet att infektera ett målsystem är att få användaren att exekvera ett körbart program på målsystemet. Det är därför viktigt att enbart köra program som kommer från säkra källor och inte har manipulerats av en angripare som vill komma åt målsystemet. Till sin hjälp finns det i Windows en funktion för att signera program med ett CodeSigningcertifikat (ungefär samma säkerhetsnivå som SSL). Det är viktigt att kontrollera att programvara från en tillverkare är signerade med en giltig signatur som stämmer överens med tillverkaren. Annars finns det en risk att programvaran har manipulerats. PCY_ENV_EXE Användare av datorsystemet bör uppmanas att inte köra okända program. Dokument: Handhavande och omgivande miljö 14
7.2.2 Automatiska uppdateringar En mycket vanligt sätt att infektera ett målsystem är att utnyttja en svaghet som finns i någon av de installerade programvarorna på datorn. Det är därför viktigt att kontinuerligt uppdatera de mjukvaror som finns på systemet för att minimera riskerna för ett intrång av denna typen. De programvaror som använder automatiska uppdateringar bör ha uppdateringen aktiverad. Ett annat sätt att minska risken att bli infekterad via en svaghet av denna typ är att minimera antalet programvaror som är installerade på systemet. PCY_ENV_UPD1 PCY_ENV_UPD2 Övrig programvara på datorsystemet där TSC används bör hållas uppdaterade och om möjligt via automatiska uppdateringar. Antalet installerade mjukvaror bör hållas så lågt som möjligt på datorsystemet där TSC ska användas. 7.2.3 Brandväggar Brandväggar är ett bra sätt att skydda sig mot trojaner och annan skadlig kod. All trafik som skickas med TSC initieras av användare och det behöver därför normalt inte göras några undantag i någon brandvägg. PCY_ENV_FWL1 PCY_ENV_FWL2 Datorsystemet bör skyddas med en personlig brandvägg som blockerar ingående trafik. Nätverket där datorn är ansluten bör skyddas med brandvägg som blockerar ingående trafik. Dokument: Handhavande och omgivande miljö 15
7.2.4 Anti-virus Ett sätt att motverka och upptäcka skadlig kod är att använda programvara för anti-virus. Ett antivirus program kommer framförallt hitta tidigare kända och indexerade hot, och ger därför inte ett fullständigt skydd, men minskar riskerna för att bli infekterad. En anti-virus programvara bör därför användas på systemet. PCY_ENV_AVR Datorsystemet där TSC ska användas bör skyddas med anti-virus programvara. Dokument: Handhavande och omgivande miljö 16
7.3 Skydd mot stöld av datorsystem Systemet använder kryptering av alla information som lagras på hårddisken. För att skyddet ska vara effektivt bör datorn antingen vara avslagen eller försatt i viloläge om diskkryptering av systempartitionen samtidigt används. Så länge detta sker behövs inte några ytterligare skyddsåtgärder för att skydda datorn mot stöld vidtagas med hänsyn till TSC. Det kan däremot vara lämpligt att göra detta ändå för att skydda övrig information på datorn som lagras utanför TSC. Dokument: Handhavande och omgivande miljö 17
8 Incidenthantering Det här stycket beskriver hur man bör hantera incidenter som avviker från det normala. 8.1 Komprometterad lösenfras Med kompromettering av lösenfras betyder här att lösenfrasen är komprometterad men inte kontouppgifterna. Detta bör utföras i denna situationen: 1. Byt ut lösenfrasen (genom att exportera meddelandekorgar skriva upp mottagaradresser och exportera kontoinformationen, sedan återställa kontot med ny lösenfras). 2. Skapa ny återanställningsfil och förstör tidigare återställningsfiler. 3. Förstör eventuella kopior av klientens databas som tagits med kvarvarande automatiska backuper av datorsystemet (som inkluderar kontoinformationen krypterad med tidigare lösenfras). 8.2 Komprometterad kontoinformation Kompromettering av kontouppgifter (eller samtidig kompromettering av krypterade kontouppgifter och lösenfras). Detta bör utföras i denna situation: 1. Tag backup på meddelandekorgar i klartext. Finns det tidigare backuper så läs in dem i klienten och spara sedan klartext eftersom de annars kommer att förstöras. 2. Skriv ned alla adresser från adressboken. 3. Revokera kontot. 4. Skapa ett nytt konto genom att begära ny aktiveringskod. 5. Distribuera den nya adressen på lämpligt vis (skicka till passande personer från adressboken). Dokument: Handhavande och omgivande miljö 18
8.3 Svagheter i TSC 256bit Security AB står för hanteringen av upptäckta svagheter i systemet, men det vara bra att veta hur detta kommer hanteras. Om det upptäcks allvarliga svagheter i TSC som bedöms påverka säkerheten kommer berörda versioner av klienter inte längre att accepteras av servern. Man kommer uppmanas att ladda ned den senaste versionen för att klienten ska fungera igen. Det finns ingen funktion för automatisk uppdatering i klientprogramvaran. Om svagheterna inte bedöms som kritiska kommer en ny version av klienten släppas och det kommer läggas ut en rekommendation att uppdatera mjukvaran på hemsidan. Den berörda klienten kommer fasas ut efter hand. Om ni själva upptäcker svagheter eller fel i programvaran så bör detta rapporteras omgående till 256bit Security AB, oavsett om det bedöms som säkerhetskritiskt eller inte. Rapporteringen bör göras med krypterad trafik. 8.4 Avbrott i tjänsten Villkoren för tjänsten regleras i användvillkoren som finns tillgänglig på hemsidan och via programvaran då ett nytt konto skapas. Där står det hur avbrott kommer hanteras och vilka förutsättningar som gäller. Det finns många orsaker som kan leda fram till att det blir ett avbrott i tjänsten. Det måste därför finnas en beredskap från er sida för att kunna hantera ett sådant avbrott på ett kontrollerat och säkert vis. Hur detta ska gå till beror helt på vilka övriga resurser som finns inom organisationen. Det är viktigt att man inte tillämpas rutiner med lägre säkerhetsnivå vid avbrott i tjänsten eftersom dessa rutiner i så fall kan framtvingas och utnyttjas av en angripare genom att skapa ett avbrott. 8.5 Skräppost (spam) Om ett konto drabbas av mycket skräppost rekommenderas användaren att ändra sin adress via klienten (dvs de sista 4 siffrorna i adressen) och skicka den nya adressen till relevanta mottagare i adressboken. Om problemet kvarstår så kontakta 256bit Security AB. Dokument: Handhavande och omgivande miljö 19
9 Checklista för säkerhetsåtgärder Dessa säkerhetsåtgärder bör vidtagas för att användningen av systemet ska vara säker: PCY_USR_DOC PCY_USR_PAP PCY_USR_UKS PCY_USR_REC PCY_USR_BCP PCY_USR_MUL PCY_USR_INF PCY_USR_DOC1 PCY_USR_DOC2 PCY_USR_DOC3 PCY_USR_PAP PCY_USR_UKS1 PCY_USR_UKS2 PCY_USR_UKS3 PCY_USR_REC PCY_USR_BCP PCY_USR_MUL PCY_USR_INF Dessa säkerhetsåtgärder bör vidtagas för att skydda den omgivande miljön: PCY_ENV_KNO PCY_ENV_ACC PCY_ENV_EXE PCY_ENV_UPD PCY_ENV_FWL PCY_ENV_AVR PCY_ENV_KNO PCY_ENV_ACC1 PCY_ENV_ACC2 PCY_ENV_EXE PCY_ENV_UPD1 PCY_ENV_UPD2 PCY_ENV_FWL1 PCY_ENV_FWL2 PCY_ENV_AVR Dokument: Handhavande och omgivande miljö 20