För att uppnå rätt säkerhet för ett IT-system behöver man på något sätt ställa säkerhetskrav på systemet, men även på systemets omgivning och hur systemet ska hanteras när det är i drift. Hur ser det då ut för IT-system som ska hantera hemlig information som rör rikets säkerhet? I denna blogg går vi igenom vad som krävs av sådana IT-system och hur du kan dra nytta av produkter godkända för dessa högt ställda krav i en verksamhet inom kritisk infrastruktur.
Höga krav på säkerheten i IT-system
Säkerhetspolisen och Försvarsmakten är verksamheter som arbetar med oerhört känslig information i sina IT-system och därför har de i sina föreskrifter om säkerhetsskydd regler om IT-säkerhet. Reglerna säger bland annat att IT-system ska vara försedda med sju säkerhetsfunktioner:
- Behörighetskontroll
- Säkerhetsloggning
- Skydd mot skadlig kod
- Intrångsskydd
- Intrångsdetektering
- Skydd mot röjande signaler
- Skydd mot obehörig avlyssning
De sju säkerhetsfunktionerna ska tillsammans skydda ett IT-system mot hot i och utanför systemet.
Försvarsmakten ställer dessutom krav på att IT-systemen ska vara försedda med av myndigheten godkända säkerhetsfunktioner. Förutom Försvarsmakten gäller reglerna även för de försvarsnära myndigheterna (bl a FMV, FRA, FOI, FHS och TRM). Myndigheterna ska själva avgöra vad som är godkända säkerhetsfunktioner för myndighetens IT-system, det vill säga vilka egenskaper säkerhetsfunktionerna ska ha.
I Sverige är det sedan MUST, Militära Underrättelse- och Säkerhetstjänsten, som tagit fram de säkerhetskrav på IT-system som används av Försvarsmakten. Dessa krav kallas KSF, Krav på IT-Säkerhetsförmågor hos IT-system. Om ett IT-system uppfyller KSF-kraven reduceras riskerna, enligt MUST, till en acceptabel risknivå.
KSF riktar sig i första hand till personal inom Försvarsmakten och externa organisationer som kravställer och anskaffar IT-system för Försvarsmaktens räkning. KSF riktar sig därmed inte direkt till de som utvecklar IT-system, då de i stället är mottagare av den kompletta kravställning på IT-systemet som innehåller krav med ursprung i KSF. Det är kravställarens ansvar att se till att denna kravställning ger IT-systemet tillräckliga IT-säkerhetsförmågor enligt KSF.
Den KSF som gäller i dag i Försvarsmakten är version 3.1 från 2014. Den innehåller 148 krav på säkerhetsförmågor för de sju säkerhetsfunktionerna (funktionella säkerhetskrav) och 275 krav på hur man påvisar förtroende för säkerhetsförmågorna (assuranskrav).
Både de funktionella säkerhetskraven och assuranskraven är indelade i tre kravnivåer: Grund, Utökad och Hög. En högre kravnivå innebär ökande krav på säkerhetsfunktionalitet och assurans. Vilken kravnivå som gäller för ett visst IT-system beror på två faktorer:
- Konsekvensnivå vid röjande av den information som systemet ska behandla.
- Exponeringsnivå för hur exponerat systemet är avseende någon aktörs möjlighet att påverka systemet fysiskt eller logiskt
Vad innebär assurans?
Att det är svårt att mäta säkerhet är anledningen till att man hellre talar om assurans, snarare än säkerhet. Men vad innebär assurans? Tittar man på synonymer.se ser man att assurans kan betyda ’försäkring’, i betydelsen ’att man har försäkrat sig om något’. Advenica använder följande definition:
”Assurans inom säkerhet innebär graden av tillförsikt i att en produkt eller ett system korrekt utför sina kravställda säkerhetsfunktioner och att de inte kan kringgås”.
Assurans är inte heller någon absolut egenskap men det för diskussionen över till något som man aktivt kan agera på. Det vill säga, vilka aktiviteter och metoder har använts för att öka sannolikheten att säkerhetsprodukten faktiskt beter sig säkert? Det kan röra sig om metoder för definition av säkerhetskrav, val av arkitektur, designval och kvalitetssäkringsmetoder.
Höga krav på assurans ger förtroende
Assuranskraven i KSF 3.1 handlar om att få förtroende för IT-systemets säkerhetsförmågor. Det räcker inte med vaga påståenden eller säljpresentationer. Systemutvecklaren måste bland annat påvisa att säkerhetsfunktionerna inte kan kringgås, att man har kontroll över systemets komponenter, gränsytor och dataflöden, hur utvecklingen av systemet går till och hur drift och förvaltning ska genomföras.
Ett system består av en sammansättning av en eller flera IT-komponenter, där vissa tillför säkerhetsfunktionalitet. En IT-komponent är säkerhetsrelaterad om den används för att uppfylla en säkerhetsfunktion eller om den tillhandahåller funktionalitet som en säkerhetsfunktion är beroende av. Eftersom förtroendet för dessa IT-komponenters säkerhetsförmåga är avgörande för förtroendet för hela systemet ingår det i IT-systemets assuranskrav att fastställa vilka komponenter som för ett visst system är säkerhetsrelaterade.
Den nivå av assurans som krävs av de säkerhetsrelaterade IT-komponenterna benämns komponentassuransnivå och beskrivs i fyra nivåer från Nivå 1 till Nivå 4 (N1-N4) där nivå 4 utgör den högsta nivån av komponentassurans. Processen för att godkänna säkerhetsrelaterade IT-komponenter till viss komponentassuransnivå är en fristående process som ligger utanför KSF.
Datadioder – lösningen när man behöver överföra känslig information
En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket.
Skyddade eller hemliga nätverk har höga säkerhetskrav gällande konfidentialitet. När man behöver överföra data till eller från ett sådant nätverk räcker det inte med att använda den vanligaste lösningen för att reglera ett informationsflöde, nämligen en brandvägg. Då behöver du en datadiod. Datadioder, med sin höga assurans, erbjuder det nödvändiga skyddet som innebär att det inte kan uppstå några informationsläckor.
Säkerhetsskyddsklassade datadioder – inte bara för försvaret!
En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom kritisk infrastruktur, branscher som använder ICS/SCADA-system, samt försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information har användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.
Advenica har datadioder som är godkända för komponentassurans N3 – det finns inga andra datadioder som har lika hög eller högre säkerhetsnivå. För den som har krav på komponentassurans på säkerhetsskyddsklass nivå N3 eller lägre är detta en kraftfull lösning för ett effektivt, riskfritt och försäkrat enkelriktat dataflöde mellan säkerhetsdomäner.
Även för den som inte har de kraven är detta en kostnadseffektiv och säker lösning för skydda känslig information. Aktörer inom kritisk infrastruktur bär ett stort ansvar i sina verksamheter då de bidrar till att vårt samhälle fungerar som det ska. Dessa organisationer har ofta känsliga OT-system som driver exempelvis energiförsörjning eller distribution av dricksvatten. För att dessa känsliga system ska kunna hålla en hög säkerhet och inte påverkas av eventuella intrång i organisationernas IT-system behöver de ett högt skydd för att kritisk samhällsverksamhet inte ska påverkas. En datadiod kan då med säkerhet se till att inget skadligt kan ta sig från verksamhetens IT-system till de känsliga OT-systemen.
Läs mer om Advenicas datadioder!
