Samhällets informationssäkerhet – Nationell handlingsplan 2012

Den svenske Myndigheten för samhällsskydd och beredskap (MSB) har, sammen med Samverkansgruppen för informationssäkerhet (SAMFI), nylig publisert Samhällets informationssäkerhet – Nationell handlingsplan 2012.

Samhällets informationssäkerhet – Nationell handlingsplan 2012

I det siste har klare rapporter, med kort og konsist språk, fått mye oppmerksomhet. Denne handlingsplanen er også usedvanlig godt skrevet og følger i samme spor med kort og konsist språk, klar ansvarsfordeling, tydelige oppgaver og gode beskrivelser. Det er ikke lett, om mulig, å gjøre den mer kompakt, men, det er noen punkter som kanskje bør fremheves, spesielt for Sikkerhetsbloggens lesere.

I innledningen står det at målgruppen er «alla aktörer i samhället som arbetar med informationssäkerhet…», men selv om rapporten går ut bredt, på tvers av sektorer og etater, er altså anbefalingene og oppgavene konkretiserte til enkelte etater, slik at ansvaret ikke pulveriseres.

Allerede i innledningen ved deres generaldirektør Helena Lindberg ser vi at de har samme fokus som NSM:

Informationssäkerhet handlar om att information ska skyddas utifrån krav på dess konfidentialitet, riktighet och tillgänglighet.

Dette er veldig likt innledningen i informasjonssystemsikkerhetsdelen av den nylig reviderte forskrift om informasjonssikkerhet, § 5.1:

Sikkerhet i informasjonssystemer skal vurderes i henhold til følgende grunnleggende egenskaper:

a. Autentisiteten (ektheten), konfidensialiteten, integriteten og tilgjengeligheten til systemets data og tjenester.

I kapittel 1 Informationssäkerhet i verksamheter står det en god beskrivelse som godt kan gjenbrukes for å formidle viktigheten av god informasjonssikkerhet:

Att förbättra informationssäkerheten innebär inte enbart att tillmötesgå externa krav, utan även att förbättra verksamheten i sig. Att ha en god informationssäkerhet ska därför ses som en kvalitetsaspekt, ett sätt att uppnå god intern kontroll, ordning och reda. En god informationssäkerhet utgör också en förutsättning för en rad olika it-baserade tjänster som i sig kan vara kostnadsbesparande eller inkomstbringande för verksamheten.

Handlingsplanen ser altså på informasjonssikkerhet som noe som gir bedre kvalitet, flere muligheter og besparelser, i motsetning til en vanlig oppfatning om at informasjons-sikkerhet bare er vanskelig og fordyrende.

Ill.: Colourbox.no

Videre i kapittel «1.1 Utveckla ramverk för informationssäkerhet» står det:

Utveckla den befintliga modellen för informationsklassning så att den stödjer processen från värdering av konsekvenser fram till användandet av systematiskt utformade skyddsnivåer. I detta arbete kan det även ingå att ta fram definitoner av vissa nationellt gemensamma skyddsnivåer.

Også i Norge kan det være behov for å ta frem felles beskyttelsesnivåer på tvers av sektorer. Sikkerhetslovens fire nivåer, BEGRENSET, KONFIDENSIELT, HEMMELIG og STRENGT HEMMELIG gjelder kun for informasjon som er viktig for rikets sikkerhet og er ikke koordinert med for eksempel beskyttelsesbehov for personopplysninger eller finansinformasjon.

Uten å mene at resten av kapittel 1 og begynnelsen av kapittel 2 er av liten interesse, handlingsplanen er i sin helhet veldig god og dekker mange områder, er det spesielt interessant hvordan kapittel 2.4 beskriver kunnskap om og behov for signalskydd:

Signalskyddssystem är konstruerade och anpassade för att möta en hotbild från andra länders samlade underrättelse-tjänster och kräver därför omfattande skyddsåtgärder, regelverk, utbildning och hantering. Systemen används framförallt för att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet men kan även användas för att skydda andra uppgifter där man ser en stark hotbild.

Dette ligger til grunn for blant annet krav til og utviklingen av krypto for beskyttelse av sikkerhetsgradert informasjon, og det trusselbildet løsningene skal motstå. Videre står det at denne kunnskapen må spres bredere i samfunnet, både hva det er og hvordan man kan bruke det.

Ill.: Colourbox.no

I kapittel 4.3 presenteres en veldig konkret oppgave, nemlig bred innføring av DNSSEC innen utgangen av 2014. Tilsynelatende er DNSSEC allerede tatt i bruk i det offentlige Sverige, men det er altså ønsket ytterligere/full utbredelse før 2015. Dette virker ambisiøst, men sikker infrastruktur er alltid nødvendig for sikre tjenester på høyere lag.

I den grad noe savnes i rapporten, er det kanskje etter dette kapittelet. Det ville vært naturlig at STARTTLS fikk like stor oppmerksomhet her, siden det raskt kan gi en betydelig forbedring av e-post-sikkerheten på tvers av offentlige og private aktører, uten at verken mottager eller avsender må gjøre noe ekstra.

I tillegg til evaluering og godkjenning av krypto for beskyttelse av informasjon som er skadelig for rikets sikkerhet (tilsvarende sikkerhetsloven), har Sverige også evaluering og godkjenning av krypto for beskyttelse av (annen) skjermingsverdig informasjon, Krypto för skyddsvärda uppgifter (KSU). Slik evaluering/godkjenning har vi ikke i Norge, selv om noe kanskje på sikt kan gjenspeile seg i arbeidet til Difi med å gjøre NSMs kryptokrav gjeldende på tvers av offentlige etater.

Handlingsplanen har et klart mål om at KSU skal benyttes for å beskytte alle «skyddsvärda uppgifter». I tillegg anbefales det at KSU-godkjente løsninger for sikker fjerntilgang (VPN), USB-minnepinner og mobil data- og taletrafikk. Dette er områder også NSM ser behov for både godkjente løsninger for BEGRENSET, men også for beskyttelse av annen skjermingsverdig informasjon nasjonalt.

Ill.: Colourbox.no

Som EU-medlem tilpasser Sverige seg EU-reglement og -systemer, og har derfor opprettet og ønsker å videre utvide utbredelsen av Swedish Government Secure Intranet. Et slikt nasjonalt system for behandling av skjermingsverdig informasjon vil gi effektiv og sikker informasjonsbehandling, men samtidig må man være veldig forsiktige med hvordan eksterne systemer kobles til (som EU i dette tilfellet), slik at om man behandler nasjonal informasjon i systemet, vil ikke dette lekke til de sammenkoblede systemene.

De to siste kapitlene som får spesiell omtale her er «5.1 Utveckla ett kryptogranskningsregelverk för kommersiella produkter» og «5.2 Ökad användning av CC-evaluerade produkter». NSM baserer seg på både den amerikanske FIPS 140-2-standarden og Common Criteria for evaluering og godkjenning av kommersielle kryptoprodukter for beskyttelse av BEGRENSET informasjon. Ulempen med dette, foruten at Norge og NSM ikke har innflytelse på førstnevnte standard, er at leverandøren må gjennomgå to separate (dog ikke nødvendigvis overlappende) evalueringer. Handlingsplanen anbefaler at det etableres en kryptoevaluering innen CC og at dette dermed kan ligge til grunn for en KSU-godkjenning.

Ill.: Colourbox.no

NSM anser at det vil være mulig å benytte et slik løp for godkjenning av løsninger for BEGRENSET, noe som faktisk var ønsket med publiseringen av NSM Cryptographic Requirements in 2004. Ved å publisere enten en særskilt CC-profil for krypto eller implementere et CC-basert kryptokravsett i andre, produktspesifikke profiler, kunne man forholdt seg til én evaluering, basert på et åpent, internasjonalt anerkjent rammeverk.

Og profiler må tas frem slik at produkter kan sertifiseres og brukerne kan få tilgang til sikre produkter.

Alt i alt, en svært god handlingsplan som andre lett kan se til og bruke i eget hus. Og med bilag 1 får man god oversikt over de forskjellige involverte etatene og deres ansvarsområde.

Last ned og les!

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in forvaltningen, Informasjonssikkerhet, Kryptografi, Teknisk. Bookmark the permalink.

2 Responses to Samhällets informationssäkerhet – Nationell handlingsplan 2012

  1. Hei,

    Bare en liten kommentar angående TLS for epost. For å sitere Schneier; “Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products.”[0]

    Med litt motvilje kan man benytte denne argumentasjonen som et motsvar på “siden det raskt kan gi en betydelig forbedring av e-post-sikkerheten på tvers av offentlige og private aktører, uten at verken mottager eller avsender må gjøre noe ekstra.” Det at man må gjøre noe ekstra for å bedre sikkerheten trenger ikke nødvendigvis være negativt, siden det krever et økt fokus på sikkerhet i daglige prosesser. Så der liker jeg godt rapportens kapittel 2 Kompetensförsörjning”. For nettopp informasjon og fokus er viktig.

    Et annet poeng med TLS er at det bare sørger for en av oppgavene kryptografien hjelper til med, beskyttelse av informasjon (kryptering), men i liten grad bidrar til verifisering av sender, noe det etter min personlige mening antageligvis er minst like stor grad er behov for i bedrifters daglige virke. Dette er jo også fokus for DNSSEC, som bidrar til å redusere risiko for DNS poisioning ved å signere records. Dette forutseter dog at en angriper ikke er i en posisjon til å redirecte trafikken til en ny DNS server som ikke er DNSSEC aktivert og holder sine egne modifiserte record, noe som bl.a. taler for å bruke egne forwarding DNS servers i lokalnettet fremfor å benytte servere fra f.eks ISP. Men igjen, dette krever en kompetanseforhøying hos lokal-administratorer som skal sette opp dette.

    Point-to-point encryption av epost, som man får i bl.a. OpenPGP, vil også i mindre grad være utsatt for man-in-the-middle muligheter enn det globale Certificate Authority legger opp til. Ved å se gjennom Trusted Root Certificates på en relativt fersk Windows 7 installasjon i en virtuell maskin observerer jeg følgende; 23 sertifikater er pre-configured, hvorav 9 benytter en nøkkellengde på 1024 bits, og flere av dem baserer seg på MD5. Ser man til litteraturen finner man flere interessante observasjoner om denne nøkkellengden; for å nevne noen [1], [2] og [3]. Nå er disse vel å merke mulig å deaktivere, men dette burde vært gjort allerede i oppdateringen dere har beskrevet i [4], og som dere skriver “NSM har siden 2003 krevd at RSA-nøkler er minst 2048 bit for sluttbrukere”.

    Jeg stiller meg følgende spørsmål: Vil en storstillt utrulling av STARTTLS virkelig bidra til en bærekraftig løsning?

    [0] http://www.schneier.com/crypto-gram-0005.html
    [1] http://www.iacr.org/cryptodb/data/paper.php?pubkey=641
    [2] http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.123.5881&rep=rep1&type=pdf
    [3] http://www.ipam.ucla.edu/publications/scws4/scws4_6649.pdf
    [4] http://blogg.nsm.stat.no/archives/2263

    • Lars Olaussen says:

      Side du stiller deg selv spørsmålet, skal jeg ikke prøve å besvare spørsmålet ditt, men heller kommentere kommentaren din.

      Jeg tror ikke det er noen «silver bullet» når det gjelder sikkerhet, selv om krypto er det nærmeste man kommer ;-) Derimot er det viktig å se personell, kunnskap, prosedyrer og tekniske mekanismer i sammenheng. Grunnen til at jeg nevnte STARTTLS spesielt er at det har vært diskusjon om bruk av dette i Norge, og om DNSSEC etableres på tvers av offentlige etater i Sverige betyr det at nødvendige sertifikater (eventuelt prosedyrer) kanskje kan gjenbrukes for STARTTLS.

Comments are closed.