It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: december, 2012

Det finns inga gratiskrav

Det finns inga gratiskrav.Det här är en post-it som sitter strax till höger om min skärm vid skrivbordet. Den är till för att påminna mig om att påminna personer i min närhet om att ”Det finns inga gratiskrav”.

I mina ögon är säkerhetskravställning lite av en konst. Inte för att det är svårt, på sätt och vis är det ganska enkelt att ställa säkerhetskrav: det finns en hel industri kring it-säkerhet som har tagit fram saker från säkerhetsövervakningsavdelningar till MAC och allt där i mellan.

När du sitter med ett system under utveckling och ska formulera säkerhetskrav har du hur många krav som helst att välja på. Häri ligger konsten, du kan inte ställa hur många som helst för förr eller senare ska kraven uppfyllas; någon ska implementera MAC-kontrollen eller organisera säkerhetsövervakningsavdelningen och det kostar resurser i tid och pengar.

Att välja säkerhetskrav

Varje säkerhetskrav kostar resurser och sådana är alltid begränsade. Konsten är att ställa de säkerhetskrav som ger mest bang for the buck. Säkerhetskrav kostar olika mycket resurser och bidrar med olika mycket säkerhet så i grunden handlar det om en cost/benefit-analys för varje krav.

Är den säkerhet som kravet bidrar med värd besväret?

För att kunna svara på denna fråga måste man har koll på tre saker:

  1. Vad kostar kravet?
  2. Hur mycket säkerhet ger kravet?
  3. Vilket behov av säkerhet finns?

Tyvärr finns inga exakta svar på någon av frågorna, det finns inte ens ganska exakta svar, så vi kan sällan räkna på det med siffror. (Jag refererar till två äldre inlägg: Att mäta säkerhet på Internetdagarna och Att mäta säkerhet igen.)

Jag sprang på ett fantastiskt citat igår kväll på tal om det här, ett av ekonomilegenden Keynes (nu såg jag att det inte alls var han utan tydligen Carveth Read):

It is better to be vaguely right than exactly wrong.

Det kommer att handla om olika bra uppskattningar till svaren. Man ska göra avvägningen i alla fall; men man måste acceptera att det inte är en exakt vetenskap och handla därefter. Det här leder ofta till något som det är modernt att hata inom säkerhet; något som slarvigt kallas magkänsla. Jag gnäller en del över det i Att mäta säkerhet igen-inlägget om du är på humör för sånt, annars lägger vi det åt sidan.

Av de tre frågorna följer att alla säkerhetskrav inte är lika mycket värda. Vissa saker ger mycket säkerhet för lite resurser medan andra ger förhållandevis lite säkerhet i utbyte mot stora resurser. De förstnämnda är no-brainers, de sistnämnda kräver analys; kanske är just den lilla säkerhetsdetalj som erbjuds ett måste som inte går att uppnå på något annat sätt? Kanske kan vi inte avgöra riktigt utan blir tvungna att köra för att vara på säkra sidan?

Rabatt på säkerhetskrav

När vi ändå har börjat tala i ekonomiska termer kan vi lika gärna fortsätta, men det får bli nästa gång. Trevlig tredje advent!

Annonser

Sekretessbelagt, hemligt, konfidentiellt och känsligt

En av mina pet peeves är slarv med terminologi. Det är en peeve som inte har tjänat mig så väl, ingen gillar någon som tycker att sådana detaljer är viktiga. Så, jag försöker ligga lågt till vardags, med undantag för idag.

Hemligstämpel

Inom säkerhetsområdet är ett vanligt mål att hindra obehöriga från att ta del av vissa data. Varför då? Av någon anledning är obehörig åtkomst oönskat; vissa data är nämligen:

  • sekretessbelagda,
  • hemliga,
  • konfidentiella eller
  • känsliga.

Data kan vara allihop eller bara vissa av dem. Låt oss utgå från lösenorden som finns i databasen till en webbapplikation; är de sekretessbelagda, hemliga, konfidentiella eller känsliga?

Sekretessbelagt är sådana uppgifter (läs: data) som omfattas av offentlighets- och sekretesslagen (2009:400) eller, populärt, OSL.

…förresten, som vanligt när jag citerar lagar så bör du beakta att IANAL.

Det här gör det väldigt enkelt; inget annat (IANAL-varning utfärdas) än det som är upptaget i OSL är sekretessbelagt. Sverige har nämligen en blacklist-modell för sina lagar: det som inte är otillåtet är tillåtet. Det är bara en av de saker som är så fina med fria samhällen, det kanske till och med är definitionen på dem.

Det är inte strikt fel att säga att lösenorden till användare i en webbapplikation är sekretessbelagda eftersom 18 kap. 8 § säger följande:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser […] 4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling

…men om du inte arbetar på sektionen för ärendehantering på en myndighet och precis sitter och handlägger en ansökan om att få ta del av den allmänna handlingen ”listan över riksdagsföreträdares lösenord” så är det nog inte vad du menar.

Intressant i sammanhanget OSL är att Sverige har klampat med smutsiga skor över Kerckhoffs princip i nästa paragraf:

9 § Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs […]

Jag knyter näven i byxfickan. En annan intressant men irrelevant paragraf är:

14 § Sekretess gäller för uppgift i kopior som i säkerhetssyfte har genererats i Regeringskansliets datasystem och som har bevarats med anledning av naturkatastrofen i Asien år 2004, om det inte står klart att uppgiften kan röjas utan fara för att Regeringskansliets verksamhet skadas.

Tala om specifikt; konspirationsteoretiker förenen eder. Vi går vidare.

Hemliga uppgifter är en delmängd av de sekretessbelagda, d v s allt som är hemligt är också sekretessbelagt men inte nödvändigtvis tvärtom. Vad som är hemligt definieras av säkerhetsskyddsförordningen (1996:63) i fjärde paragrafen (min fetstil):

I denna förordning avses med […] 1. hemlig uppgift: uppgift som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet […]

Nu börjar det ta sig. Nästa fråga är vad som gör att något ”rör” rikets säkerhet och då blir det genast svårt eftersom ”rikets säkerhet” inte är definierat i lag. Säkerhetspolisen har en kanonbra text som heter Säkerhetsskydd – en vägledning (pdf) som säger följande:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket. Begreppet rikets säkerhet vållar ibland svårigheter och bekymmer i säkerhetsskyddsarbetet. Något exakt svar på vad som är rikets säkerhet finns inte, utan det är upp till varje myndighet att själva undersöka vilka uppgifter som ska hållas hemliga i förhållande till rikets säkerhet.

Där har ni det. Om vår webbapplikation är ett gränssnitt för att reglera temperaturen för Ringhals 2 kan man nog framgångsrikt argumentera för att lösenorden är hemliga. Samma kan man nog göra om det är ett dokumenthanteringssystem som används vid ett utvecklingsprojekt av nya pansarvärnsrobotar till Försvarsmakten. De omfattas av 18 kap. 8 § OSL samt rör rikets säkerhet. I praktiken så betraktas dock allt som omfattas av försvarssekretess som hemligt.

Kvalificerat hemlig

Det finns ytterligare en benämning, kvalificerat hemlig, jag är osäker på var det definieras dock så om någon vet är ni välkomna att kommentera. Det används emellertid då röjande skulle innebära synnerligen stor skada för rikets säkerhet. De kännetecknas ofta av att det är två ramar runt stämpeln (eller att det står kvalificerat hemlig, förstås).

Nu är det tyvärr slut med lagreferenser.

Kvar finns konfidentiell och känslig, de betyder inget särskilt utan kan användas fritt utan att behöva oroa sig för missförstånd. I och för sig kan det väl ske vissa missförstånd vid användning av det senare begreppet eftersom det kan gälla både lösenord och kroppsdelar men det är nog inget att oroa sig över.

(Uppdatering: missa inte Kim Hakkarainens kommentar nedan för ytterligare nomenklatur-pekpinnar.)