Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet? Roger Forsberg roger.forsberg@msb.se 072-210 70 73 2
Signalskydd (Säkra kryptografiska funktioner) P R R A A T T A A T R A U T A N N A A K T OL T Å N Å G O O GO N O B O B E H H E Ö R Ö I R G D F Ö R R S T S S T Å RÅ R 3
Målsättning Efter lektionen ska elev ha god kunskap om: Vad är signalskydd När behövs signalskyddsystem och hur kan signalskydd vara en möjliggörare i verksamheten Vad gör signalskyddssystem bättre än andra krypton Vilka typer av signalskyddssystem finns idag Hur får man tillgång till signalskyddssystem 4
Signalskydd - vad är det? FM ska leda och samordna signalskyddstjänsten inklusive arbetet med säkra kryptografiska funktioner inom totalförsvaret System med kryptografisk funktion som har godkänts av Försvarsmakten för skydd av hemliga uppgifter FM är garant för att systemet gör vad det ska och inget annat samt att det skyddar upp till en fördefinierad nivå Signalskyddssystem består av Krypto (kryptomodul) Kryptonycklar, certifikat Systeminstruktion Tydligt regelverk Utbildad personal (behörig personal) För att upprätthålla skyddsnivån krävs det att alla i hela kedjan 5 följer gällande regelverk och instruktioner
Hur många bryter mot 7 i Säkskyddsförordningen, när man använder signalskydd? Vart börjar man? Säkerhetsskyddsanalysen Identifiera skyddsvärda tillgångar Identifiera hotbild Hur ser verksamhetens behov ut av att kunna förmedla de skyddsvärda tillgångarna, internt och externt, tal, data eller fax Omfattas de skyddsvärda tillgångarna av sekretess som rör rikets säkerhet, ska signalskyddssystem användas då dessa förmedlas utanför ett nät som organisationen har full kontroll över (logiskt och fysiskt) 13 i Säkerhetsskyddsförordningen framgår följande: Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten. 6
Hot mot våra tillgångar Bloggar Så väl inom Försvarsmakten Foto E-post Smart -phones På fredag sticker vi på en veckas uppdrag i det norra området. Vi har identifierat en mycket allvarlig brist i en standard PLC för eldistributionen! Kan snabbt lamslå stora delar av el-nätet i Sverige! Avlyssning Obehörigt intrång IT-sytem, LAN, wifi Molntjänst Vårdslös hantering Störningar, avbrott Digitala lagringsmedia Röjande signaler Varning! 7
Ledningssystem för informationssäkerhet LIS ISO 27000 Basnivå SKYDD AV INFORMATION Konfidentialitet, tillgänglighet, riktighet och spårbarhet Information som ej behöver särskilt skydd, kan vara blanketter som ska fyllas i, informationsblad etc. Ingen kryptering Personuppgiftslag Kommersiell Kryptering SSL Certifikat I N F O S Ä K Bl.a. 18 kap. 8 skydd för anläggningar, tele mm 18 kap. 13 Risk- och sårbarhetsanalyser mm 19 kap. 3 upphandling Ingen nationellt godkänd kryptometod MYNDIGHETSBESLUT OM ÅTGÄRDER Offentlighet & Sekretesslag Kryptolösning KSU KURIR (RAKEL) SGSI Skydd av känsliga uppgifter Skydd av skyddsvärd uppgifter samt sekretessbelagda uppgifter Sekretessbelagda uppgifter som rör rikets säkerhet (HEMLIGA UPPGIFTER), är 15 kap. 2 men kan även vara vissa uppgifter enligt bl.a. 15 kap 1, 18 kap 1, 2, 5, 8, 9 och 13 Offentlighet & Sekretesslag K r y p t e r i n g s ä k e r s t ä l l e r ä v e n r i k t i g h e t o c h s p å r b a r h e t OGRANSKAT KRYPTO Tryckfrihetsförordningen offentlighetsprincipen, upphovsrätt Offentlighet & Sekretesslag - allmän och offentlig handling Arkivlagen - arkivering och lagringsbestämmelser Säkerhetsskyddslag grundläggande krav K S U K O N F I D E N T I A L I T E T Kryptolösningar signalskydd SG R SG C SG S SG TS Kryfax MGM Data MGS, PGAI mfl Telefon MGL S Ä K E R H E T S S K Y D D S I G N A L S K Y D D RÖS, Intrång Manipulering Störsändning Avlyssning Nationellt godkända kryptosystem ÅTGÄRDER ENLIGT SÄPO OCH FM FÖRESKRIFTER Krav för sekretess - Klassificering av information och signalskyddsnivå Assuranskrav - Säkerhetsgranskning och godkännande av krypton Funktionskrav - Intrångsskydd, inloggning och autentisering, krav på integritet Krav på utbildning och administrativ kontroll - Ansvar, dokumentation, materiel och nyckelhantering Tillgångar Skyddsåtgärd
Signalskydd skyddar mot Avlysning 0ch obehörig åtkomst (Konfidentialitet) Falsksignalering (Riktighet, Identitet) Obehörig påverkan, förändring (Riktighet) Intrång (HW) Obehörig åtkomst till system (Autentisering) Trafikanalys (Kartläggning när trafik flödar eller ej) 10
Signalskydd bara jobbigt eller en möjliggörare Rätt använt signalskyddssystem säkerställer Konfidentialitet (ingen obehörig kan ta del), Riktighet (ingen förändring kan göras oupptäckt) och Spårbarhet (äkthet, autenticering) endast behörig avsändare Får även användas till annan skyddsvärd eller sekretessbelagd information som inte rör rikets säkerhet Användandet av Signalskydd är en viktig skyddsåtgärd för att organisationen ska uppnå en hög informationssäkerhet vid hantering av hemliga uppgifter Signalskydd ska vara en naturlig del i arbetet med hemliga uppgifter 11
Krypto kan missbrukas Ransomeware (Cryptolocker) Olika användningsområden för Signalskydd Textskydd (Avlyssning) VPN (flera tunnlar) Linjekrypto (punkt till punkt, ex. länkstråk) Filkrypto Talkrypto Fax Trafikskydd (Trafikanalys) Auteticering (inloggning med smarta kort och certifikat i ex. H-system) Inom Sverige och till utlandet 13
SIGNALSKYDDSSYSTEM VS KOMMERSIELLT KRYPTO Signalskyddssystem (gör vad det utges för att göra och inget mer) Godkänt för hemliga uppgifter Styrkan är känd och verifierad, granskad och godkänd av Försvarsmakten Tydligt regelverk (regler, utbildning, egna rutiner etc) En helhetslösning (regler, utbildning, nycklar, distribution, kryptoapparat mm) Enhetligt, informationsutbyte med andra myndigheter samma hantering Kommersiellt Krypto som inte är granskat (gör kanske vad det utges för att göra och kanske lite!!) Ej för hemliga uppgifter Ej granskat av FM Hanterar systemet utifrån egna behov (och kunskap) Olika organisationer Olika hantering (Svaghet) Användaranvisning, möjligtvis Många olika system, okänd styrka på krypto System 1 System 2 14 Info tillgång
Regelverk FM föreskriftsrätt för alla myndigheter inom Totalförsvaret, övriga tecknas särskild överenskommelse/avtal med FM:s FFS 2016:3 reglerar signalskyddsverksamheten För respektive system finns tydlig instruktion framtagen Myndighetsspecifik Signalskyddsinstruktion/plan H TST Grunder allmänt om signalskydd 15
Reglering I Förordning 2015:1053 om totalförsvar och höjd beredskap framgår vilka myndigheter som ska ha signalskyddssystem MSB beslutar om vilka övriga myndigheter, företag och organisationer som ska ha signalskyddssystem, tecknar också överenskommelse/avtal med dessa MSB föreskriver också när Civila myndigheter som har signalskyddssystem ska ha kryptoberedskap 16
Viktiga aktörer då det gäller Signalskydd Försvarsmakten MSB FRA Er organisation 17
MSB Framför behov och prioritering av nya system utifrån Civila myndigheters behov Beslutar om tilldelning av signalskyddsmateriel till Civila myndigheter och andra aktörer för extern samverkan, Förskriftsrätt för Civila myndigheter, MSBFS 2009:11 18
Processbeskrivning anskaffning av signalskyddssystem Säkerhetsanalysen eller annan myndighet ser samverkansbehov Kontakta MSB och boka ett inledande möte med MSB, FRA och FM (endast första gången) Hemställan till MSB (Hemlig, kan avslöja en ev. framtida förmåga eller nuvarande oförmåga) Organisation som ej omfattas föreskrift enligt 33, Förordning (2007:1266 ) med instruktion för Försvarsmakten MSB tecknar Överenskommelse Utbildning, Signalskyddschef (dokumentera på utbildningsbevis), systemoperatör Signalskyddsinstruktion/plan Tilldelning av mtrl Beställning an kryptonycklar (om detta ej gjort i samband med hemställan) Driftsättning (Utbildning av användare) 19
Kryptoapparater Välj system utifrån samverkansbehov och nivå VPN/datakrypto H/R-H/TS H/C - H/TS RÖS U1 el U2 Plomberade Filkrypto H/R o H/S Talkrypto (Signalskyddsberedskap) H/S (H/TS) Faxkrypto (Signalskyddsberedskap) H/S 20
Använd de system som finns Vi har ett antal godkända system, var kreativ. Hur kan man använda de vi har för att lösa en uppgift? Videokonferens Telefonkonferens IP-telefoni Enkelt H-nät mellan myndigheter Ex. VPN-förbindels H/R för att skicka MGSkrypterade filer via minskad risk för skadlig kod 21
Nyckelansvarig myndighet NAM NAM är en del av rollen som signalskyddsorganisation Taktisera med krypto Skapa små kryptonyckelserier Projekt internt/externt Samverkansområden Utse någon inom projektet som är NAM för nyckeln Att använda samma nyckel till allt alla, är det förenligt med 7 SF? Exempel på samverkan med filkrypto. NAM ex. Länsstyrelse, Militärregion, central myndighet Exempel Lämpligt krypto utifrån Behörig! verksamhetens behov 123456 Koden till Lokalt t.ex. H/R organisationens säkerhetsskåp Regionalt t.ex. H/S Central t.ex. H/TS 22
Signalskyddsmöten 2 st 6-7/12 2017 och 7-8/2 2018 (v 749 o v 806) Arbetsätt framöver Exempelvis så kan: Länsstyrelse ta ett ansvar för sitt län Kommuner inom länet kan vara användare under Länsstyrelsen (minskar behovet av signalskyddsorganisationer och signalskyddschefer) I vissa fall så kommer ändå kommuner att behöva vara egna signalskyddsorganisationer Snabbt att komma igång, minskat behov av resurskrävande utbildning 23
Kan kompletteras med ytterligare krypto för förmedling av Hemliga uppgifter Swedish Government Secure Intranet - Myndighetsintranet med hög tillgänglighet, upp till 99,98 - VPN-krypto - Mailrelay - Skyddad videokonferens - Tjänster hos andra myndigheter - Ett bärarnät mellan och inom myndigheter - Skilt från Internet NISU 2014 På gång - RAKEL-koppling 24
Tillbakablick Stöld av information ett av det största cyberhoten idag! Tillgänglig och rätt information är också viktigt! Förhindra att obehöriga och även resursstarka aktörer kommer över våra informationstillgångar, eller förändrar/förvanskar dessa, verifierad styrka! MSB inriktar och samordnar civila myndigheters signalskyddsverksamhet. Beslutar även om tilldelning av signalskyddssystem. MSB är även med och kravställer på nya system utifrån de civila myndigheters behov. Varje organisation/verksamhet är ansvarig för sin egna informationssäkerhet inklusive behoven av signalskyddssystem, samt hur man taktiserar med dessa. Ökad efterfrågan, vilket är positivt! Säkerhetsanalysen är grunden Klassa informationen, identifiera det mest skyddsvärda så att relevanta skyddsåtgärder vidtas. 26
VIKTIGT! Att komma ihåg efter denna lektion Säkerhetsskyddsanalysen är grunden Signalskydd en möjliggörare verifierad styrka DU uppnår inget säkerhetsskydd i DIN organisation utan säkerhetsmedvetna användare - UTBILDNING Funderingar kring eller behov av signalskyddssystem, börja med att kontakta MSB roger.forsberg@msb.se 072-210 70 73 Enheten för skydd av kritisk infrastruktur och cybersäkerhet 27 Tid kvar!
Swedish Government Secure Intranet Frågor? www.informationssakerhet.se/signalskydd www.msb.se 28
SLUT 29