Ny samverkan till stöd vid upphandling av kryptolösningar



Relevanta dokument
Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

Träffpunkt CC- Svenskt PP/cPP arbete. Ronny Janse, MSB Jan-Ove Larsson, FRA

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Vem tar ansvar för Sveriges informationssäkerhet?

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Strategi för samhällets informationssäkerhet

Tal till Kungl. Krigsvetenskapsakademien

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Strategi för förstärkningsresurser

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Vägledning för säker och robust samverkan

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Justitiedepartementet Stockholm

Samhällets informationssäkerhet

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

IT-säkerhet Internt intrångstest

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

SOLLENTUNA FÖRFATTNINGSSAMLING

Betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige

Beslut. Vårt tjänsteställe, handläggare Vårt föregående datum Vår föregående beteckning Daniel Kuehn, FM :2

Internetsäkerhet. banktjänster. September 2007

Informationssäkerheten i den civila statsförvaltningen

Informationssäkerhetspolicy för Ystads kommun F 17:01

Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Samlad informationsoch. 1 mars 2019

ISA Informationssäkerhetsavdelningen

FÖRSVARETS FÖRFATTNINGSSAMLING

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Håbo kommuns förtroendevalda revisorer

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD

RIKTLINJER FÖR IT-SÄKERHET

Viss översyn av verksamhet och organisation på informationssäkerhetsområdet

Årsrapport Itincidentrapportering

Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

Myndigheten för samhällsskydd och beredskaps författningssamling

Internetdagarna Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Myndigheten för samhällsskydd och beredskaps författningssamling

EBITS Elförsörjningen i Cyberkriget. Långholmen november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Samlad informationsoch

Informationssäkerhetspolicy inom Stockholms läns landsting

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Inbjudan till dialog avseende drift och kundstöd

Trygg och säker - riktlinjer för kommunens säkerhetsarbete

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy för Ånge kommun

FÖRFATTNINGSSAMLING. Försvarsmaktens föreskrifter om skydd för utrikes- och sekretessklassificerade uppgifter och handlingar;

IT-säkerhetspolicy. Fastställd av KF

att få ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhotbedömning.

Svensk författningssamling

Utredningen om genomförande av NIS-direktivet

Informationssäkerhetspolicy

Civilt försvar grunder och aktuell information. Version juni 2018

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet - en översikt. Louise Yngström, DSV

STRATEGI FÖR ELEKTRONISK KOMMUNIKATION FÖR MÖNSTERÅS KOMMUN

Årsrapport 2014 KUNSKAP OM UTLANDET - FÖR SVERIGES INTEGRITET

Föredragande borgarrådet Sten Nordin anför följande.

Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt

Hur värnar kommuner digital säkerhet?

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Christina Goede, Peter Jonegård, Cecilia Laurén, Svante Nygren

Programmet för säkerhet i industriella informations- och styrsystem

Säkerhet vid behandling av personuppgifter i forskning

Många företag och myndigheter sköter sina betalningar till Plusoch

Regler för lagring av Högskolan Dalarnas digitala information

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Säkerhetsskydd en översikt. Thomas Palfelt

Agenda SWEDISH CERTIFICATION BODY FOR IT SECURITY

Svensk författningssamling

Gräns för utkontraktering av skyddsvärd information

Säkerhet i industriella informations- och styrsystem

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

VÄGLEDNING INFORMATIONSKLASSNING

FRA:s överdirektör Charlotta Gustafsson: FRA:s roll i Sveriges cybersäkerhetsarbete

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Inkopplingsguide till HaboNet

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

InfoSäkutredningen Delrapport 1 om signalskydd

Krav för signalskyddssystem avsedda för Totalförsvaret

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

IT-säkerhet i det tillverkande företaget

Säkra trådlösa nät - praktiska råd och erfarenheter

Transkript:

Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV 1

Kryptering är grunden för säker informationsteknologi Kryptering är grunden för merparten av olika IT-produkters säkerhetsfunktioner. Kryptering används bl a för verifiering av lösenord, säker autentisering, skydda data i transit, skydda data som lagras, digitala signaturer, säkra e-tjänster etc. Kryptering är idag förutsättningen för vår vardag: Bankomater, betalsystem, mobiltelefoni, debiteringssystem, styrsystem, smarta telefoner, inpasseringssystem, kopieringsskydd, fordonslås, internettjänster, e-myndigheter etc etc. Sveriges förmåga att upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur förutsätter att kryptolösningarna är väl vald för ändamålet. 2

Hur kan säker kryptering uppnås? Säkra krypteringslösningar är beroende av flera faktorer: Matematiskt säkra kryptografiska algoritmer. Säkra kryptostandarder. Säkra it-produkter. Säkra systemarkitekturer. Säkra systemimplementationer. Säker nyckelgenerering och nyckelhantering. Utbildade användare. Vart och ett av ovan områden är en nödvändig och fundamental faktor för att kunna etablera säker kommunikation och säkra it-lösningar. 3

Kryptoincidenter kan vara samhällsfarliga Kryptering innebär mycket stor aggregering av värde. Få algoritmer och standarder som används leder till monokulturer och risk för s k single-point-of-failure. En kryptonyckel eller kryptofunktion representerar det samlade värdet hos all information som någonsin skyddats av den. Föreställer er t ex: Värdet av all kommunikation med utrikesdepartementet, Alla transaktioner med en bank Den korrekta lägesbilden i svensk elförsörjning eller svenskt luftrum. Vid allvarliga kryptoincidenter kan skydden av samtliga ovan system i värsta fall förloras. Samtidigt. 4

Exempel: Brister i kryptografiska standarder Denna typ av incident kan bli direkt samhällsfarlig, eftersom den kan komma att omfatta många produkter och system samtidigt och det kan ta lång tid innan nödvändiga uppdateringar genomförts. Exempel: Freak: Brister i SSL/TLS kryptostandard. Drabbade bl a webbläsarna från Apple, Google, Microsoft och andra produkter som använde OpenSSL. Samtidigt. 36% av HTTPS-säkrade anslutningar var osäkra. Beskrevs som "potentially catastrophic. 5

Exempel: Brister i it-produkter. Beroende på den enskilda produktens spridning och användningsområde kan sådana incidenter drabba berörda användare hårt och även bli samhällsfarliga. Exempel: Heartbleed Sårbarhet i programbiblioteket OpenSSL. 17% (c:a en halv million) av de s k säkra servrarna på Internet bedömdes vara sårbara. Kallades katastrofal av Electronic Frontier Foundation, Ars Technica och Bruce Schneier. Tidningen Forbes kallade Heartbleed den värsta sårbarheten sedan internet började användas kommersiellt. 6

Bristen på styrning ger falsk trygghet Som beskrivits i föregående avsnitt är det flera faktorer som måste vara korrekt hanterade för att önskat skydd ska erhållas. Det är en komplicerad kedja av aspekter som var och en är vital, och som var och en måste hanteras och därmed styras. Att tro att en verksamhet är säker för att man använder kryptering leder i många fall till en falsk trygghet, där riskerna kan vara mycket större än man tror. Enbart när samtliga faktorer som angivits i föregående avsnitt är väl hanterade kan man anse att skyddet är adekvat. 7

Signalskydd, KSU och Common Criteria Signalskydd: Skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Dimensionerad att möta hotbilden från andra länders underrättelsetjänster. Godkänns av MUST vid Försvarsmakten. Krypto för Skyddsvärda uppgifter Skydd för annan information än den som är hemlig med hänsyn till rikets säkerhet. Godkänns av MUST vid Försvarsmakten Common Criteria IT-säkerhets- och kryptogranskning enligt standarden Common Criteria. Certifiering FMV/CSEC och andra länder anslutna till CCRA eller SOG-IS MRA. 8

Hur täcka nationella behovet av säker kryptering? Tillämpningen av Signalskydd och/eller KSU kan inte skalas upp till att täcka hela det allmänna behovet av att skydda känslig eller sekretessbelagd information. Common Criteria är ett internationellt erkänt certifieringssystem för IT-säkerhet och kryptering kan ge ett bra grundskydd och har mycket bättre kapacitet men kan inte ge skydd mot alla aktörer. Frågan om hur ovan begränsningar kan hanteras för att möta Sveriges faktiska behov är av central betydelse. 9

Strategisk samverkan mellan fyra myndigheter inom kryptoområdet Under 2014 samverkade Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarsmakten och Försvarets materielverk för att ta fram ett förslag till nationell strategi och åtgärdsplan för säkra kryptografiska funktioner. Rapporten ingår i NISU-utredningen som presenterades våren 2015. 10

Viktiga principer i strategin MSB tar fram kryptokrav i internationell samverkan och med stöd från Försvarsmakten, FRA och FMV/CSEC. Fördel: Kostnadsdelning med andra länder i det mödosamma kravarbetet. Kravuppfyllnad visas genom CC-certifiering hos FMV/CSEC eller andra av Sverige erkända certifieringssystem. Fördel: Skalbar och kostnadseffektiv baskontrol av krypto. MSB beställer nationell granskning hos FMV/CSEC eller Försvarsmakten av de produkter som får störst genomslag i Sverige. Fördel: De begränsade nationella resurserna används för de mest använda produkterna och minskar riskerna med dessa. För kritiska system där lämpligt KSU eller Signalskydd inte finns, används kombinationsprincipen. Fördel: Högre säkerhet än enkel CC-certifiering, men begränsas inte av kapaciteten till nationell granskning. 11

Kombinationsprincipen Kombinationsprincipen innebär att två eller flera produkter kombineras för att skapa flera lager av kryptering. Genom att kombinera CC-certifierade produkter på detta sätt kan riskerna ändå minskas. En angripare måste lyckas bryta kryptoskyddet i flera produkter, vilket avsevärt kan höja säkerheten. Kombinationsprincipen kan tillämpas i de fall en kritisk tillämpning behöver skyddas, där CC-certifiering inte bedöms vara tillräckligt och KSU-godkända krypton inte finns. Tillämpas av bl a US i ökande omfattning: Säkra mobila lösningar Säker VPN, Säker trådlös uppkoppling 12

Isberget Samarbetet avser att öka tillgången på bra krypto-lösningar på nivån under signalskydd. 13

Åtgärder enligt samverkansplanen MSB Tar fram krav på kryptoprodukter baserat på CC i internationell samverkan, med stöd från FMV/CSEC, Försvarsmakten och FRA. Ger ut råd och ev föreskrifter i enlighet med redovisade principler. Analyserar vilka produkter som behöver kompletterande nationell granskning och beställer sådan granskning av FMV/CSEC eller Försvarsmakten. FMV/CSEC Certifierar kryptoprodukter mot MSB:s krav. Internationell samverkan med andra länders certifieringsorgan för att likvärdiga certifieringar i olika länder. Expertstöd till MSB. Försvarsmakten FRA Anger vilka kryptostandarder som ska anses vara säkra. Genomföra KSU-godkännande på av MSB utvalda produkter Expertstöd till MSB. Analysera kryptotillämpningar på arkitekturnivå (kombinationsprincipen) Stöd till Försvarsmakten och MSB. 14

Status Modellen ingår i NISU-utredningens förslag. Avvaktar nu regeringens bedömning. Under tiden sker redan visst arbete hos myndigheterna enligt dessa principer. Arbete pågår hos MSB med att ta fram krav på Säkra USB-minnen Säker hårddiskkryptering Säker VPN Säkra brandväggar. 15

Sammanfattning Den föreslagna modellen: Ger kostnadsdelning med andra intressenter vid kravställningsarbetet. Ger god skalbarhet många produkter kan certifieras inom ramen för det internationella samarbetet. Ger större tillgång till produkter och ökad konkurrens på lika villkor. Fokuserar nationella granskningsresurser på att i efterhand granska de produkter som fått störst spridning. Medger att kombinationsprincipen kan användas för skydd för kritiska system om KSU-godkännande saknas. Kort sagt: En modell som avser öka tillgången till säkra kryptosystem i Sverige. 16

Tack för uppmärksamheten! Frågor? 17

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss