Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia



Relevanta dokument
E-legitimering och e-underskrift Johan Bålman esam

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Gråa hår av offentlig upphandling?

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Introduktion till eidas. Dnr: /

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

eidas införande i Sverige Björn Scharin, PTS

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering

Identifieringstjänst. del av projektet Infrastruktur

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Inledning. Upphandlingsrättsliga principer

Juridik och informationssäkerhet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Frukost möte Salems kommun Anna Karin Renström Ann-Christin Lindberg

Offentlig upphandling hur gör man och vad bör man tänka på?

Upphandlingsprojektet inom SN m.fl.

Tekniskt ramverk för Svensk e- legitimation

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Innehåll 1(14) Granskningsdokumentation

Svensk e-legitimation. 7 mars

Offentlig upphandling hur gör man och vad bör man tänka på?

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Offentlig upphandling och små företag Upplands Bro 16 sept Ulrica Dyrke, Företagarna

Tjänster för elektronisk identifiering och signering

Bilaga 3c Informationssäkerhet

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

eidas i korthet Eva Sartorius

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Svensk e-legitimation. Nu kör vi!

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

E-legitimeringssystemet - så här fungerar det och de här avtalen finns. Anna Månsson Nylén

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

BILAGA 3 Tillitsramverk Version: 1.3

Upphandlingsenheten Kommunalförbundet Region Siljan.

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Remiss av PM: Myndigheters tillgång till tjänster för elektronisk identifiering

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Aktuellt om e-handel inom SFTI (Single Face To Industry) Kerstin Wiss Holmdahl, SKL, NEA:s julkarameller den 8 december 2010

Informationssäkerhet, Linköpings kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Offentlig upphandling - en affärsmöjlighet?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Säker e-kommunikation

Introduktion. September 2018

BILAGA 1 Definitioner

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Rapport, Uppdrag angående förstudie avseende elektronisk upphandling, S2013/8859/RU (delvis) 1 Bakgrund

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Utblick Europa. Nils Fjelkegård E-legitimationsnämnden. 6 december

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Svensk e-legitimation och eidas

2. Administrativa förutsättningar och krav

Elektronisk offentlig upphandling

Svensk e-legitimation

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Icke funktionella krav

Offentlig upphandling en affärsmöjlighet?

Offentlig e-upphandling; dags att förbereda sig

Årsberättelse för. E-legitimationsnämnden

Skolorna visar brister i att hantera personuppgifter

Svensk e-legitimation nu är det dags!

Samverka effektivare via regiongemensam katalog

Frågor och svar. Beskrivning: Upphandlingen Informationsförsörjning omfattar programvaror och tjänster med tillhörande E-post:

eidas och Svensk e-legitimation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Myndigheten för samhällsskydd och beredskaps författningssamling

Filleveranser till VINN och KRITA

Säkerhet vid behandling av personuppgifter i forskning

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

Vad du behöver veta när du ska lämna anbud. Pia Nedby, SISAB Upphandling24 Konferens Stora säljdagen

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

UPPHANDLINGS-PM Upphandling Diarienummer KS 2013/0093. Upphandling Internettjänst Danderyds kommun

Välkommen till enkäten!

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

YTTRANDE Nils Fjelkegård Datum Dnr /112

Tjänster för avtalsuppföljning 2018 Informationssäkerhet. Avropsstöd. Informationssäkerhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Statens, kommuners och myndigheters inköp regleras i ett särskilt regelverk, den offentliga upphandlingen.

Rapport: Uppföljning 2012 av upphandlande myndigheters användning av e-upphandling

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Offentlig upphandling på Åland. Upphandlare Mårten Broman

Utbildning i upphandling. Att lämna anbud till Tibro kommun

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för informationssäkerhet

Upphandlingspolicy. för Borlänge, Falun, Gagnef, Ludvika och Säter

Transkript:

Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1

Säkerhetsfrågor i fokus dagligen 2

IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk upphandling 3

Kammarkollegiets upphandlingsstöd Kammarkollegiet har regeringens uppdrag att utveckla och förvalta ett nationellt upphandlingsstöd samt att driva utvecklingen av elektronisk upphandling Vägledning: IT-säkerhet i system för elektronisk upphandling, utgiven 2013 4

System för elektronisk upphandling Visma TendSign Mercell Opic Dibus Primona EU-supply CTM E-avrop Avantra Webbaserade molntjänster, används av upphandlare och anbudsgivare 5

Grundläggande säkerhetsfunktioner Insynsskydd och sekretess Vid lagring Vid datakommunikation Identifiering och autentisering Av företag eller myndighet Av behörig person Elektronisk identitet kopplas till person Behörighet att lämna anbud, att teckna kontrakt, att komma åt systemet Äkthet, undertecknande och förändringsskydd Förvanskningsskydd Undertecknande av FFU, Anbud, Öppningsprotokoll, Kontrakt Spårbarhet Tid Vem har gjort vad Håll reda på tidpunkter 6

Upphandlingsprocessen 7

Stegen i upphandlingsprocessen Annonsera Hämta handlingar Frågor och svar Lämna in anbud Öppna Utvärdera Tilldelningsbeslut Kontrakt 8

Vad säger lagen Anbud skriftligt Elektroniska medel allmänt tillgängliga Krav på systemen: säkert, behörighet, spårbarhet Får kräva elektronisk signatur Bevara säkert Öppna inte före tidsfristen Två personer öppnar Ingen uppgift lämnas ut innan beslut fattats 9

Hur mycket säkerhet behövs Gör en riskanalys! Vad står på spel? Vilka erfarenheter finns Vad händer om en oönskad händelse inträffar, vilka konsekvenser blir det? Vilken sannolikhet är det att en oönskad händelse inträffar? Skydd ska stå i proportion till risken 10

Dagens säkerhetslösningar Hur går det till att åstadkomma säkerheten? 11

Kryptering för insynsskydd Insynsskydd åstadkoms genom kryptering. Krypterat data vid överföring, kryptering vid lagring av data SSL vanligast för webbtjänster Garanterar rätt webbplats Insynsskydd i kommunikation Nyckellängd bör vara 128 eller 256 bitar för säker transport Krypterad e-post 12

Elektronisk identifiering Hur vet vi att det är rätt person som uppges ha behörighet Hur vet vi att det krypterade dokumentet kan läsas av tilltänkt mottagare? Elektronisk identitet är centralt begrepp 13

Elektronisk identifiering Användarnamn och lösenord skapas ofta av användaren själv visar att samma person återkommer lösenord ska inte lagras klartext komplexiteten står för säkerheten Engångslösenord Tvåfaktorautentisering, t.ex. dosa, sms, papper Certifikat kan ha utgivare som knyter person till certifikat avancerad teknisk lösning, PKI Identitetsintyg Inom en federation där deltagarna litar på varandra 14

Elektronisk identifiering Säkerheten i elektronisk identifiering beror på Den tekniska lösningen, hur säker är den Hur går identitetskontrollen till Utfärdarna av identiteter med hög säkerhet använder metoder för utlämning som liknar dem för körkort, pass och id-kort - hög nivå på identitetskontroll. Personligt möte kravs i något skede Standardiserade metoder för att ange säkerhetsnivåer, viktigt för att kunna ha tillit till andra aktörer 15

Säkerheten i den tekniska lösningen för e-identifiering Den tekniska lösningen Styrka i lösenord Att lösenord inte lagras i klartext Att lösenord är tillräckligt långa och komplexa Att lösenord byts ut tillräckligt ofta Ett de enheter som ger engångslösenord hanteras som värdehandlingar Att lösningar som bygger på certifikat och kryptering har tillräckligt långa nycklar och att certifikat inte är spärrat Att medlemmar i en federation iakttar samma regler 16

Säkerhet i identifieringen Identifieringen när en elektronisk identitet utfärdas står för att ge tillit till sambandet mellan personen och dennes elektroniska identitet Exempel: hämta ut dosa på bankkontor skicka lösenord till folkbokföringsadressen hämta ut lösenord med rekommenderat brev använd tidigare person-till-person-identifiering för att få ny elektronisk identitet 17

Elektroniska identiteter i Sverige E-legitimation SITHS - inom vårdsektorn Steria tjänstecertifikat STORK - för europiska medborgare Svensk e-legitimation - federation för offentlig sektor 18

Identifiering av myndighet och företag Är det rätt företag som lämnar anbud Är det verkligen den upphandlande myndigheten som anbudet skickas till? SSL-protokollet identifierar webbplatser 19

Behörighet och åtkomstkontroll Vem är behörig att lämna anbud Vem är behörig att teckna kontrakt Alla upphandlingssystem innehåller behörighetskontroller Olika behörigheter för olika roller Olika behörighet vid olika tidpunkter Behörighetssystem kräver elektronisk identifiering Hur behörig behöver man vara för att få ut ett förfrågningsunderlag? 20

Äkthet och förändringsskydd Checksumma En matematisk metod att verifiera äkthet i en datamängd, t.ex. ett dokument Förändring av data leder till annan checksumma Data kan inte återskapas ur checksumman I praktiken leder olika data alltid till olika checksummor En bra metod för att upptäcka förändringar, avsiktliga eller oavsiktliga 21

Exempel på användning av checksummor Manuell kontroll av anbud, överför checksumma på överenskommet vis Lösenord bör lagras som checksummor, inte i klartext Elektronisk signatur består av krypterad checksumma 22

Elektronisk signatur Knyt ett dokument till en person på ett säkert sätt Vanligtvis krypteras en checksumma Metoden skyddar mot avsiktlig och oavsiktlig förvanskning Metoden identifierar den som signerat En bra metod för att erhålla spårbarhet 23

Elektronisk signatur i upphandling Anbud kan signeras Myndigheter får kräva att anbud ska vara elektroniskt signerade Kräver att både myndighet och alla anbudsgivare har tillgång till elektroniska signaturer Kontrakt kan signeras elektroniskt 24

Elektroniska signaturer på svensk marknad ChamberSign har tjänst för elektroniska signaturer Flera typer av elektroniska identiteter kan användas för att skapa signatureren E-legitimationsnämnden upphandlar tjänst för att skapa elektroniska signaturer baserade på Svensk e- legitimation. Ett avrop på E-förvaltningsstödjande tjänster 2010 Inte särskilt vanligt ännu i upphandlingssammanhang 25

Federationer Federation: en gruppering som erkänner tillit till varandra och tillämpar samma regelverk Svensk e-legitimation är en federation för svensk offentlig sektor och utfärdare av e-legitimationer. Administreras av E-legitimationsnämnden Peppol är ett EU-projekt för elektronisk offentlig upphandling, har en federation för validering av certifikat för upphandling inom EU. Nu Open Peppol Stork är ett EU-projekt som handlar om europeiskt godkännande av elektroniska identiteter 26

Tid Tid är en väsentlig faktor i upphandlingssystem Systemen bör hämta tid från central server på internet Loggning med tidsangivelser ska göras Det finns fristående tjänster för tidsstämpling elektroniskt 27

Spårbarhet Loggning av alla händelser ger möjlighet till spårbarhet Elektronisk signatur ger också god spårbarhet 28

Tillit till upphandlingssystemet Det upphandlingssystem som en myndighet anlitar måste myndigheten ha tillit till Ett bra sätt är att begära att leverantören använder ett ledningssystem för informationssäkerhet Följ standarden ISO 27 000 Eventuell certifiering är bra, men inte nödvändig 29

ISO 27000 I myndighetens säkerhetsarbete I upphandlingssystemets leverantörs säkerhetsarbete 30

ISO 27000 Informationssäkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och underhåll av informationssystem Hantering av informationssäkerhetsincidenter Kontinuitetsplan för verksamheten Efterlevnad 31

ISO 27001 Bilaga A Mål och åtgärder Ca 100 konkreta krav på åtgärder 32

Fler exempel ur ISO 27001 bil A 33

Riskbedömning Vilka krav ska man ställa På upphandlingssystemet På anbudsgivarna Gör en riskbedömning vilka värden står på spel hur känslig är marknaden proportionalitet i kraven internationell marknad 34

På gång i Sverige och EU Direktiv, förordningar och lagstiftning 35

Ny lagstiftning om e- legitimationer 2013 Valfrihetssystem införs 1 juli 2013 för elektronisk identifiering för myndigheters e-tjänster Upphandlingssystem kan betraktas som en e-tjänst Myndigheter och utfärdare av e-legitimationer kan ansluta sig till en federation där ett regelverk anger säkerhetskraven och rutiner Identitetsintyg enligt standard med olika typer av bakomliggande elektronisk identifiering utgör Svensk e-legitimation 36

Upphandling över gränserna Gränsöverskridande upphandling är ännu litet En myndighet som annonserar över tröskelvärden och använder elektronisk inlämning av anbud måste ange hur utländska anbudsgivare ska lämna anbud Arbetet i EU siktar på gränsöverskridande upphandlingar 37

Vad är på gång inom området? Valfrihetssystem för e-legitimationer EU-förordning om gränsöverskridande elektronisk identifiering, elektroniska signaturer m.m. Nytt upphandlingsdirektiv med krav på elektronisk kommunikation Standarder för upphandlingsprocessen CEN/BII3 Standarder för elektroniska signaturer EU-projekt: STORK, PEPPOL, E-SENS 38

Upphandlingsdirektiv Elektronisk upphandling blir obligatoriskt Miniminivå, e-kommunikation Flera moment ska kunna göras elektroniskt: Annonsering Tillgång till förfrågningsunderlag Möjlighet att lämna anbud Kataloger 39

Elektronisk identifiering Ny reglering av elektronisk identifiering och elektroniska signaturer planeras Motiveras bland annat med kraven på elektronisk upphandling Tekniska krav specificeras av EU-kommissionen 40

Status, förordningen, e-signaturer Mål att anta förordningen under EP nuvarande mandatperiod Förhandlingarna (trilogerna) måste vara avslutade under februari-2014 41

Status, förordningen, e-signaturer Artiklar 1-19 Inledande bestämmelser E-legitimationer Krav på tillhandahållande av betrodda tjänster Tillsyn av betrodda tjänster Övriga artiklar Regler för e-signaturer och sigill, valideringstjänster, bevarandetjänster, tidsmärkningar, e-delivery, webbsideautentisering Elektroniska dokument (ej betrodd tjänst) 42

Avslutande checklista 43

Vad ska man tänka på? Riskanalys Ledningssystem Insynsskydd Informationsklassning Tidsangivelser Identifiering och lösenord Behörighet hos anbudslämnare Behörighet hos utvärderare Elektronisk identifiering Elektronisk signatur Spårbarhet och loggning Allmän IT-säkerhet 44