Vad är ett pålitligt IT-system?

Jag blev nyligen intervjuad av forskarna Nina Lewau och Jacob Löfvenberg på FOI. De arbetar med projektet Pålitliga IT-plattformar för Försvarsmaktens forskning och teknikutveckling. Detta blogginlägg är baserat på intervjun och innehåller några av mina personliga funderingar på området.

Att välja ordet pålitlighet för att diskutera IT-säkerhet är smart då diskussionen annars kan riskera hamna i invanda tankemönster. När jag själv associerar kring pålitlighet tänker jag i första hand på de klassiska aspekterna av informationssäkerhet; konfidentialitet, riktighet och tillgänglighet (som om jag inte direkt hamnade i invanda tankemönster…). Ett pålitligt IT-system är då ett system som man kan vara trygg i att dessa aspekter är omhändertagna. Men det finns även andra aspekter som jag associerar med pålitlighet men som sällan diskuteras i informationssäkerhetssammanhang men som får följdverkningar för informationssäkerheten, t ex:

  • I det fall ett säkerhetsgodkänt IT-system inte finns in tillräcklig omfattning eller på platser där det behövs kan det medföra att andra IT-system som inte är godkända används.
  • Ett IT-system som upplevs vara svårt att använda kan medföra att användarna struntar i att använda funktioner i systemet eller använder andra IT-system.
  • Verksamhetens behov täcks inte in av existerande IT-system på grund av misstag i kravanalysarbetet (kravhantering är en viktig disciplin och jag beundrar duktiga kravanalytiker på samma sätt som duktiga penetrationstestare).

Höga pålitlighetskrav för rikets säkerhet

Pålitlighetskraven på IT-system som är avsedda för behandling av uppgifter som omfattas av sekretess och som rör rikets säkerhet är högt ställda. Säkerhetsskydd i och kring ett IT-system behöver anpassas, inte efter vad som är möjligt att uppnå utan efter det säkerhetsskydd som behövs. Om inte erforderligt säkerhetsskydd kan uppnås måste man avstå från ett IT-system. Detta innebär också att om det finns motstridiga krav mellan önskvärd funktionalitet och krav på säkerhetsskydd har säkerhetsskyddskrav företräde.

Säkerhetsskyddet väger tyngst. Att väga önskad nytta mot risker är inte ok om man inte kan uppnå erforderligt säkerhetsskydd.

Säkerhetsskydd ska bl a skydda mot spioneri och sabotage. Informationssäkerhet för ett IT-system är ytterst då en fråga om att upptäcka och förhindra att en behörig person går främmande makt tillhanda och röjer hemliga uppgifter ur ett IT-system eller negativt påverkar systemets funktion. Den gränssättande aktören är andra staters underrättelsetjänster.

För den här typen av IT-system måste kraven på pålitlighet vara höga. Ett motiv är att den längst definierade sekretesstiden för försvarssekretess är 150 år. Aktörer kan ha gott om tid och kan ha ett långsiktigt inhämtningsbehov. Detta gör det svårare att sätta den rätta nivån på pålitlighet enligt den måttstock som de flesta privata företag arbetar efter. De kommer antagligen inte att finnas om 150 år, men det kommer Sverige. Den rätta nivån på pålitlighet är alltså högre i Försvarsmakten än i samhället i övrigt.

Det finns olika syn på acceptabel riskaptit. Riskaptiten kan vara större i privata företag som kan acceptera vissa brister om behovet är stort nog, t ex då det är viktigare att snabbt nå ut med en produkt på marknaden. Med ”150-årshemligheter” hos en myndighet måste riskaptiten vara avsevärt mindre.

Ett IT-system som är avsett för behandling av hemliga uppgifter (rikets säkerhet) ska därför utformas så att det kan möta en sådan aktörs ansträngningar. Krav på informationssäkerhet för ett sådant IT-system är mer omfattande än andra IT-system i samhället. Detta innebär också att det är nödvändigt med mer resurser för att uppfylla kraven jämfört med andra IT-system som inte omfattas av sådana krav. Informationssäkerhet för rikets säkerhet är av nödvändighet mer kostsam än annan informationssäkerhet.

Hur tar man fram ett pålitligt IT-system?

Det är en av de svåraste frågorna som finns (förutom sekretessbedömning som alltid är svårt) och oftare ställs på sin spets i organisationer med höga krav på informationssäkerhet. Hur uttrycker man de önskvärda säkerhetsegenskaperna och hur kan man i efterhand säkerställa att man har fått det?

Jag upplever att det inte finns några bra svar som talar om hur man ska göra. Det finns väldigt olika kunskaper och insikter inom området. Mycket av hantverket är person- och organisationsberoende. Försvarsmakten har sedan några år detaljerade krav på säkerhetsfunktioner (KSF) som har hjälpt till att tydliggöra vissa  säkerhetsegenskaper som ett IT-system ska ha. Med KSF har det blivit bättre då det tidigare, vad jag känner till, inte fanns ett sådant stöd för bedömning av om ett IT-system uppfyllde säkerhetskraven. Säkerligen kan den nuvarande versionen av KSF, 3.0, förbättras ytterligare. Det är enligt min mening en del av ett ständigt förbättringsarbete.

Att ställa krav på önskvärda säkerhetsegenskaper handlar inte bara om funktionella krav utan även om krav på hur man ska påvisa att ett IT-system har en önskvärd egenskap. En svårighet är inte enbart att påvisa en egenskap utan även att påvisa avsaknaden av oönskade egenskaper.

En annan aspekt är de olika analyser som ska genomföras före och som ligger till grund för kravställning av säkerhet i och kring ett IT-system. Det kan finnas olika fokus på analyserna och jag tycker själv att säkerhetsanalysen är överskattad (analysen som i IT-säkerhetssammanhang i Försvarsmakten tidigare benämndes hot-, risk- och sårbarhetsanalys). Min uppfattning är att de ofta innehåller ganska triviala hot. Ett klassiskt exempel är ”virus”. Ett sådant hot handlar inte om specifika sårbarheter i det aktuella IT-systemet eller i den tänkta användningen vilket är mer intressant. Det finns utrymme för egna värderingar. Bedömningar som olika personer gör kan skilja sig åt.

Schematisk bild över förhållanden mellan analyser och säkerhetskrav i en säkerhetsmålsättning för ett IT-system i Försvarsmakten.

Alla IT-system innehåller sårbarheter

En fråga är hur man ska se på kommersiellt tillgängliga programvaror, som t ex operativsystem, ordbehandlingsprogram och databashanterare. Det är knappast tal om att en myndighet på egen hand ska utveckla ett ordbehandlingsprogram. Det finns därför ett beroende av kommersiellt tillgängliga programvaror i alla IT-system. Även om svenska myndigheter har tillgång till källkod för Microsofts programvaror menar jag att det inte hjälper då källkoden knappast kan användas för att avgöra om den binärkod man har fått avspeglar källkoden. Till detta ska läggas de ständiga säkerhetsuppdateringarna. Det handlar också om mycket stora mängder källkod och komplexa interna beroenden.

I utveckling av mjuk- och hårdvara finns många vägar för en annan stats underrättelsetjänst att dolt ändra egenskaperna för  egna syften. Hela kedjan från källkod till körbar kod som körs i en dator innehåller potentiella påverkansmöjligheter. Ett exempel är att genom en kompilator ge binärkod andra egenskaper än vad källkoden anger.

Utvecklingsmiljöer, källkodshantering och konfigurationsstyrning

I utvecklingsprojekt skulle det kunna vara så att säkerhetsarbetet mer är fokuserat på den slutliga produkten och inte på den utvecklingsmiljö där utvecklingen sker. Även om den slutliga produkten är avsedd för hemliga uppgifter (rikets säkerhet) behöver inte utvecklingsmiljön innehålla sådana uppgifter och därför ha en lägre nivå av skydd. Utvecklingsmiljön kan t ex vara anslutet till Internet och därmed potentiellt möjligt att angripa utifrån. Som utvecklare är det effektivt och kanske t o m nödvändigt med obegränsad åtkomst till Internet i en utvecklingsmiljö. Källkodshantering och konfigurationsstyrning (change management) är av fundamental betydelse för informationssäkerheten då det bringar ordning och reda i arbetet under utveckling och drift. Pålitliga IT-system kräver ordning och reda i hanteringen av både mjukvara och hårdvara.

Alla IT-system innehåller kända och okända sårbarheter (läs t ex mitt blogginlägg om fantastiska sårbarheter). Det är kanske så att vi måste acceptera att IT-system kan innehålla skadlig kod eller manipulerad hårdvara. IT-system behöver i sådana fall utformas så att följdverkningar av oönskade händelser minimeras. Ett exempel är nätverksmässig separation som förhindrar exfiltrering av information genom nätverk. Jag menar att man måste höja blicken och oftare diskutera arkitekturfrågor. Det behövs mer offentlig diskussion och utveckling av arkitektur- och designprinciper för hur man bygger pålitliga IT-system. Det kan omfatta hur olika IT-system kan kommunicera med varandra genom dataslussar och datadioder, hur informationsutbyte med USB-minnen ska kunna användas m m.

Skrivare exempel på ”tillkommande säkerhetskrav”

IT-säkerhet kan uppfattas som att ett IT-system ska ha sådana säkerhetsegenskaper som förhindrar att obehöriga utomstående inte ska kunna komma över informationen i systemet. Skyddsåtgärderna är förhoppningsvis också utformade så att användare inte kan ta del av information som de inte är behöriga till. Men informationssäkerhet som rör sekretessaspekten är mer komplicerad än så. Ett exempel är när skrivare används i IT-system. Om det saknas tekniska funktioner för exemplarhantering av utskrifter medför det att IT-systemet är enda stor kopieringsapparat för ”svartkopior”. Svartkopior är oregistrerade kopior av eller utdrag ur hemliga handlingar som ska registreras för att uppnå kontroll över varje exemplars livscykel.

Jag menar att ett IT-system med skrivare som saknar tekniska funktioner för exemplarhantering av utskrifter inte är pålitligt, även om det har godkända funktioner för bl a behörighetskontroll. IT-säkerheten för ett IT-system handlar inte endast om skyddet för den elektroniska informationen i systemet utan även om skyddet kring hur information exporteras ur systemet. Krav på sådana skyddsåtgärder benämns i Försvarsmakten som tillkommande säkerhetskrav (sådana krav beskrivs i avsnitt 13.3 i H SÄK Infosäk).

Pålitlighet är relativt

Bedömningen om när ett IT-system är pålitligt kan variera mellan människor, myndigheter, företag och stater. Vi kan ha olika bedömningsgrunder baserat på skillnad i t ex kunskap om sårbarheter och skydd, riskaptit samt säkerhetskultur. Bestämmelser om informationshantering skiljer sig åt mellan olika aktörer vilket också påverkar skyddets utformning. Det som oroar mig är när samma uppgift ges olika grad av skydd i skilda organisationer. Frågorna gäller inte bara Försvarsmakten utan alla organisationer som hanterar hemliga uppgifter (rikets säkerhet).

≈ ≈ ≈

Inom projektet pålitliga IT-plattformar har en litteraturstudie av tekniker för pålitliga IT-plattformar genomförts. FOI har gett ut flera rapporter som rör informationssäkerhet. Du hittar länkar till rapporterna i blogginlägget FOI-rapporter om informationssäkerhet.

/Kim Hakkarainen