Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

Relevanta dokument
Ny samverkan till stöd vid upphandling av kryptolösningar

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Samhällets informationssäkerhet

Träffpunkt CC- Svenskt PP/cPP arbete. Ronny Janse, MSB Jan-Ove Larsson, FRA

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Samlad informationsoch. 1 mars 2019

Beslut. Vårt tjänsteställe, handläggare Vårt föregående datum Vår föregående beteckning Daniel Kuehn, FM :2

FMV:s yttrande över betänkandet SOU 2015:23 avseende informations- och cybersäkerhet i Sverige strategi och åtgärder för säker information i staten

Samlad informationsoch

Vem tar ansvar för Sveriges informationssäkerhet?

Svensk författningssamling

Strategi för samhällets informationssäkerhet

Viss översyn av verksamhet och organisation på informationssäkerhetsområdet

Strategi för förstärkningsresurser

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

Betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige

Gräns för utkontraktering av skyddsvärd information

Beslut. HÖGKVARTERET Datum Beteckning FM :1 Sida 1 (5) Ert tjänsteställe, handläggare Ert datum Er beteckning Signalskydd

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Svensk författningssamling

Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt

Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

Tal till Kungl. Krigsvetenskapsakademien

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

Årsrapport 2014 KUNSKAP OM UTLANDET - FÖR SVERIGES INTEGRITET

Internetdagarna Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Elektromagnetiska hot

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

ISA Informationssäkerhetsavdelningen

Ny struktur för ökad säkerhet - nätverksförsvar och krishantering

<SYSTEMOMRÅDE> ISD-STRATEGI

Vägledning för säker och robust samverkan

Civilt försvar Elförsörjningens beredskapsplanering påbörjas. Magnus Lommerdal

Christina Goede, Peter Jonegård, Cecilia Laurén, Svante Nygren

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Samhällets informationssäkerhet. Nationell handlingsplan 2012

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Trygg och säker - riktlinjer för kommunens säkerhetsarbete

Försvarets Radioanstalts övervakning av kommunikation och Europakonventionen om mänskliga rättigheter. Mark Klamberg, doktorand

Regler för lagring av Högskolan Dalarnas digitala information

Svensk författningssamling

Designregel Härdning av IT-system, utgåva 1.0

Civilt försvar grunder och aktuell information. Version juni 2018

Regleringsbrev för budgetåret 2012 avseende Försvarets radioanstalt

Öppen sammanfattning av Försvarsmaktens och MSB:s redovisning av regeringsbeslut 11 maj 2017

Resiliens i en förändrad omvärld

Regleringsbrev för budgetåret 2017 avseende Inspektionen för strategiska produkter

FÖRSVARETS FÖRFATTNINGSSAMLING

Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum

EU förhandlingar kring cybersäkerhetscertifiering

Regleringsbrev för budgetåret 2017 avseende Inspektionen för strategiska produkter

Ivar Rönnbäck Avdelningschef. Avdelningen för utbildning, övning och beredskap

Årsrapport Itincidentrapportering

Handbok. Sekretessbedömning. Del B

Logistik för högre försvarsberedskap (SOU 2016:88)

Programmet för säkerhet i industriella informations- och styrsystem

Försvarets radioanstalts (FRA) behandling av personuppgifter

IT-säkerhet Internt intrångstest

Informationssäkerheten i den civila statsförvaltningen

Svenska kraftnäts arbete med risk- och sårbarhetsanalys

Kommittédirektiv. Investeringsplanering för försvarsmateriel. Dir. 2013:52. Beslut vid regeringssammanträde den 16 maj 2013

Svensk författningssamling

Kommittédirektiv. En ny myndighet med ansvar för frågor om samhällets krisberedskap och säkerhet. Dir. 2008:27

Inriktning för Försvarets materielverks verksamhet för åren 2016 till och med 2020 (l bilaga)

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Promemoria: Genomförande av direktivet om inrättande av en kodex för elektronisk kommunikation

InfoSäkutredningen Delrapport 1 om signalskydd

De frivilliga försvarsorganisationerna. En oumbärlig kraft för samhällets försvar och krishantering

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Samhällets informationssäkerhet. Nationell handlingsplan 2012

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

VERKSAMHET Myndighetens uppgifter anges i förordningen(2010:1101) med instruktion för Inspektionen för strategiska produkter.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Regeringens skrivelse 2014/15:84

Inbjudan till dialog avseende drift och kundstöd

Hur värnar kommuner digital säkerhet?

Kurskatalog 2016 Utgåva 2

Statusrapport för det fortsatta arbetet med samverkan avseende FoU inom området CBRNE. Susanna Ekströmer, MSB Åsa Scott, FOI

HUR GENOMFÖR MAN EN SÄKERHETSANALYS. Thomas Kårgren

Din guide till en säkrare kommunikation

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

en granskningsrapport från riksrevisionen Kontrollen av försvars - underrättelseverksamheten rir 2015:2

Policy för informations- säkerhet och personuppgiftshantering

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Befintlig 40 kv luftledning mellan Holma och Kaxholmen i Jönköpings kommun

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Nationell strategi för samhällets informations- och cybersäkerhet. Skr. 2016/17:213

REGERINGENS STYRNING AV FÖRSVARSUNDERRÄTTELSE- VERKSAMHETEN * FÖRSVARSDEPARTEMENTET SEKRETARIATET FÖR UNDERRÄTTELSEFRÅGOR * MATTIAS BROMAN

Driftsäkerhetsforum. 26 november Post- och telestyrelsen

Regleringsbrev för budgetåret 2010 avseende Försvarets radioanstalt

Mångfald en förutsättning

Regleringsbrev för budgetåret 2016 avseende Försvarets radioanstalt

Transkript:

Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 Kryptosamverkan Träffpunkt CC 2016-04-20 1

Kryptoincidenter kan vara samhällsfarliga Kryptering innebär mycket stor aggregering av värde. Om få algoritmer och standarder används leder detta till monokulturer och risk för s k single-point-of-failure. En kryptonyckel eller kryptofunktion representerar det samlade värdet hos all information som någonsin skyddats av den. Föreställer er t ex: Värdet av all kommunikation med utrikesdepartementet Alla transaktioner med en bank Den korrekta lägesbilden i svensk elförsörjning eller svenskt luftrum. Vid allvarliga kryptoincidenter kan skydden av samtliga ovan system i värsta fall förloras. Samtidigt. 2

Exempel: Brister i kryptografiska standarder Denna typ av incident kan bli direkt samhällsfarlig, eftersom den kan komma att omfatta många produkter och system samtidigt och det kan ta lång tid innan nödvändiga uppdateringar genomförs. Exempel: Freak Brister i SSL/TLS kryptostandard. Drabbade bl a webbläsarna från Apple, Google, Microsoft och andra produkter som använde OpenSSL. Samtidigt. 36% av HTTPS-säkrade anslutningar var osäkra. Beskrevs som "potentially catastrophic. 3

Exempel: Brister i it-produkter Beroende på den enskilda produktens spridning och användningsområde kan sådana incidenter drabba berörda användare hårt och även bli samhällsfarliga. Exempel: Heartbleed Sårbarhet i programbiblioteket OpenSSL. 17% (c:a en halv million) av de s k säkra servrarna på Internet bedömdes vara sårbara. Kallades katastrofal av Electronic Frontier Foundation, Ars Technica och Bruce Schneier. Tidningen Forbes kallade Heartbleed den värsta sårbarheten sedan internet började användas kommersiellt. 4

Signalskydd, KSU och Common Criteria Signalskydd: Skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Dimensionerad att möta hotbilden från andra länders underrättelsetjänster. Godkänns av MUST vid Försvarsmakten. Krypto för skyddsvärda uppgifter (KSU) Skydd för annan information än den som är hemlig med hänsyn till rikets säkerhet. Godkänns av MUST vid Försvarsmakten Common Criteria IT-säkerhets- och kryptogranskning enligt standarden Common Criteria. Certifiering av FMV/CSEC och andra länder anslutna till CCRA eller SOG-IS MRA. 5

Hur täcka det nationella behovet av säker kryptering? Tillämpningen av Signalskydd och/eller KSU kan inte skalas upp till att täcka hela det allmänna behovet av att skydda känslig eller sekretessbelagd information. Common Criteria är ett internationellt erkänt certifieringssystem för IT-säkerhet och kryptering, och kan ge ett bra grundskydd och har mycket bättre kapacitet, men kan inte ge skydd mot alla aktörer. Frågan om hur ovan begränsningar kan hanteras för att möta Sveriges faktiska behov är av central betydelse. 6

Strategisk samverkan mellan fyra myndigheter inom kryptoområdet Under 2014 samverkade Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarsmakten och Försvarets materielverk för att ta fram ett förslag till nationell strategi och åtgärdsplan för säkra kryptografiska funktioner. Rapporten ingår i NISU-utredningen som presenterades våren 2015. 7

Viktiga principer i strategin MSB tar fram kryptokrav i internationell samverkan och med stöd från Försvarsmakten, FRA och FMV/CSEC. Fördel: Kostnadsdelning med andra länder i det mödosamma kravarbetet. Kravuppfyllnad visas genom CC-certifiering hos FMV/CSEC eller andra av Sverige erkända certifieringssystem. Fördel: Skalbar och kostnadseffektiv baskontroll av krypto. MSB beställer nationell granskning hos FMV/CSEC eller Försvarsmakten av de produkter som får störst genomslag i Sverige. Fördel: De begränsade nationella resurserna används för de mest använda produkterna och minskar riskerna med dessa. För kritiska system där lämpligt KSU eller Signalskydd inte finns, används kombinationsprincipen. Fördel: Högre säkerhet än enkel CC-certifiering, men begränsas inte av kapaciteten till nationell granskning. 8

Kombinationsprincipen Kombinationsprincipen innebär att två eller flera produkter kombineras för att skapa flera lager av kryptering. Genom att kombinera CC-certifierade produkter på detta sätt kan riskerna ändå minskas. En angripare måste lyckas bryta kryptoskyddet i flera produkter, vilket avsevärt kan höja säkerheten. Kombinationsprincipen kan tillämpas i de fall en kritisk tillämpning behöver skyddas, där CC-certifiering inte bedöms vara tillräckligt och KSU-godkända krypton inte finns. Tillämpas av bl a USA i ökande omfattning: Säkra mobila lösningar Säker VPN, Säker trådlös uppkoppling 9

Status FMV fick i regleringsbrev 2016 följande uppgift: Försvarets materielverk ska med utgångspunkt från Informationssäkerhetsutredningen NISU 2014 bilaga 4 redovisa ett preciserat förslag till nationell strategi och åtgärdsplan för säkra kryptografiska funktioner, efter samråd med Försvarsmakten, Försvarets radioanstalt och Myndigheten för Samhällskydd och Beredskap. Förslaget ska innehålla en kostnadsredovisning och kunna ligga till grund för konkret uppgiftsställning till berörda myndigheter. Förslaget ska redovisas senast den 1 juni 2016 till Regeringskansliet (Försvarsdepartementet). CSEC har fått uppgiften att handlägga denna uppgift. 10

11