Från och med den 1 november 2018 gäller föreskrifterna för hur NIS-reglerna skall tillämpas i Sverige. I och med beslutet om Myndigheten för samhällsskydd och beredskaps författningssamling MSBFS 2018:8 fick en lång rad med verksamheter veta mer i detalj hur de skall agera.
I föreskriften förekommer ett intressant råd om informationssäkerhet – nämligen följande:
”allmänna råd 10§: Vid val av säkerhetsåtgärder i form av krypto- och it-säkerhetsprodukter, bör alltid behovet av att välja produkter som är certifierade genom tredjepartsgranskning mot lämplig standard analyseras.”
Då Advenicas verksamhet sedan årtionden innefattat att konstruera och tillverka just ”krypto- och it-säkerhetsprodukter” för denna typ av kunder är vi såklart intresserade av hur tillämpningen kommer att fungera i praktiken. Detta har lett till en hel del funderingar.
Fundering 1: Varför är uppmaningen så vag?
Det är alltså ett allmänt råd att man bör analysera behovet att använda certifierade produkter. Det är tydligt att MSB anser att det sannolikt är positivt med certifierade produkter. Åtminstone framstår det som mer positivt än negativt. Den som av någon anledning inte vill använda certifierade produkter har inga problem att hitta grund för att motivera att helt strunta i detta. Det är ju bara ett allmänt råd och det står bör – inte skall. Man behöver alltså inte ens analysera behovet.
Och om man ändå faktiskt analyserar behovet kan ju analysen råka visa att det inte behövs. Det spelar således ingen roll om grundorsaken är okunskap, bristande resurser, kostnader eller annat – det är inga problem att motivera att avstå. Det måste vara önskan om säkerhetsuppfyllnad och inte regeluppfyllnad som är drivande.
Fundering 2: Vilka lämpliga standarder avses?
Vi har under många år tagit fram kryptoprodukter för den absolut högsta säkerhetsnivån som finns över huvud taget. Våra system är godkända för att skydda det hemligaste Sverige och andra länder har. Det finns etablerade regelverk för hur hemliga uppgifter skall hanteras, det finns bi- och multilaterala avtal som reglerar hur nationer utbyter och hanterar varandras information. Orsaken till att just kryptosystem har så rigorösa regler grundar sig huvudsakligen på tre fundamentala orsaker:
- Det går aldrig att i efterhand åtgärda en skada. Det som en gång har läckt ut kan aldrig göras okänt igen. Man får således bara en chans att göra rätt.
- Det krävs extrem noggrannhet och metodik för att göra allt rätt. Antalet möjligheter att göra något litet misstag som leder till informationsläckage är närmast oändligt.
- Ett läckage kan ske utan att man blir medveten om att det skett. Det finns inget sätt att utifrån kontrollera att ett kryptosystem inte läcker. Man måste lita på att systemet gör rätt.
Den enda möjligheten som står till buds är att under hela framtagandet av systemet arbeta så att risken för felaktigheter minimeras. Dessa åtgärder påverkar hela systemets livscykel: design, konstruktion, tillverkning, transport, förvaring, skrotning.
Utan att ha fullständig kontroll på hela kedjan riskerar man att skyddet inte fungerar.
Vi har under många år utvecklat system för denna högsta säkerhetsnivå – och anser därför att vi har kunskap om såväl tekniska aspekter som vilka lämpliga standarder som skulle kunna vara relevanta.
Standarder som avser företaget och inte produkten:
ISO 27000, och andra liknade standarder ställer krav på företagets processer och organisation. Dessa har sannolikt en positiv inverkan på företagets produkter – men det är inte något som kan sägas med säkerhet. Det kan mycket väl vara lämpligt att ställa krav på företaget – men det kan inte vara det som avses i de allmänna råden: ”…välja produkter som är certifierade…”
Grundläggande produktcertifieringar
Det finns också ett antal godkännanden som är av grundläggande karaktär som CE, UL och liknande som alla produkter behöver oavsett säkerhetsnivå. Därför fungerar dessa inte som urvalskriterier.
Common Criteria (CC)
CC är ett internationellt regelverk som avser att lösa den här typen av frågor. Man etablerar Protection Profile (PP) och Security Target (ST) som beskriver vad produkten skall klara av, arbetar metodiskt och strukturerat för att möta alla de hot som identifieras. Med struktur och ordning och reda skapar man en lämplig skyddsnivå. Man kan välja olika grad av ”Evaluation Assuranse Level”. En skala som graderas från EAL1-7.
Tanken med CC är god – genom att kunna kravställa en gemensam nivå skulle man kunna upphandla system från ett antal likvärdiga leverantörer och avgöra valet av produkt baserat på pris eller andra faktorer. Problemet är att det i praktiken aldrig finns några likvärdiga produkter. Det är alltid äpplen och päron som jämförs. För att kunna kallas likvärdiga skulle två produkter i praktiken ha:
- Samma Protection Profile
- Samma Security Target
- Samma Evaluation Assurance Level
Det har även gjorts försök att ta fram gemensamma PPs, så kallade ”Collaborative Protection Profiles” men dessa har inte fått allmänt genomslag.
Utöver ovanstående finns ett regelverk kring vem som har rätt att genomföra certifiering enligt CC. Det finns godkända certifieringsorgan i Sverige.
En konsekvens av att det ofta saknas likvärdiga godkända produkter är att det ibland kravställs CC-certifiering utan precisering av vilken PP eller ST som gäller. Hade man pekat ut en enskild ST eller PP hade man kunnat hamna i konflikt med upphandlingsregler som inte tillåter att man bara har en enstaka möjlig leverantör.
Det vanligaste är idag att man endast ställer krav på CC-certifiering utan att över huvud taget precisera ST / PP – något som är mycket märkligt. Det är som att säga att produkten skall vara ”bra” utan att säga vad den skall vara ”bra till” eller ”hur bra”.
Detta har pågått i flera år och leder till att produktleverantörer minimerar den del av produkten som granskas (”Target of Evaluation”, TOE) för att uppnå en så hög EAL-nivå som möjligt, på så liten del av produkten som möjligt.
En rätt genomförd CC-certifiering är alltid positivt för produktens säkerhetsegenskaper – men krav på CC fungerar i dagsläget inte som urvalsinstrument mellan olika produkter. Det är inte möjligt att meningsfullt kravställa så att det blir säkerhetsfrämjande.
Brasklapp: beskrivningen av CC-metodiken är förenklad.
Nationella Godkännanden
Produkter som är avsedda för höga säkerhetsnivåer går igenom en lång rad av tester. Exakt vilka tester som genomförs är sådant som aldrig publiceras. Orsaken till detta är att den som har kännedom om vilka tester en produkt genomgått skulle kunna utnyttja detta för att hitta svagheter som testerna eventuellt inte avslöjat. Ibland görs inte heller själva godkännandet publikt eftersom man inte vill att en motståndare skall veta om vilka säkerhetsprodukter som används.
I Sverige finns även en process för ”Komponentassuransgodkännande” som utfärdas av MUST. Endast ett fåtal produkter har genomgått denna process. Advenica har sådana produkter.
Multinationella godkännanden
Det finns även produkter som är godkända av multinationella organisationer såsom EU eller NATO. Advenica har även denna typ av produkter.
Nationella och multinationella godkännanden är ofta de mest rigorösa av alla godkännanden. Inte heller dessa lämpar sig alltid för kravställning i en upphandlingssituation av ett eller flera av följande skäl:
- Produkten får inte göras tillgänglig för vem som helst (mycket vanligt)
- Godkännandet är hemligt – så man inte vet vad som kravställs
- Det finns endast en möjlig leverantör.
Slutsats och avslutande råd
Troligen har den som skrivit MSBFS-2018:8 varit fullt medveten om denna problematik och därmed just därför valt att vara så vag i skrivningen. För den som skall tillämpa reglerna har vi ett antal råd:
- Det är viktigt att genom kravställning säkerställa bra produkter.
- Det är oftast svårt att i förväg veta exakt vilken certifiering som är lämplig.
- Öppna alltid för alternativa godkännanden med formuleringar som ”eller motsvarande”.
- Just när det gäller säkerhetsprodukter finns även alternativa lagrum till LOU såsom Lagen om upphandling på försvars och säkerhetsområdet (LUFS) som tillåter att man har förhandling med enstaka leverantörer. Var dock beredd på att det ofta är otrampad mark för inköpsorganisationen.