Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet? Roger Forsberg roger.forsberg@msb.se 072-210 70 73 2 Signalskydd (Säkra kryptografiska funktioner) RR P AA TT AA TR A UTA NN A A KT OL T Å N Å GOOGO N OO B BH EH EÖR Ö IRG D FÖ RR ST SS T ÅRÅ R 3 Målsättning Efter lektionen ska elev ha god kunskap om: • Vad är signalskydd • När behövs signalskyddsystem och hur kan signalskydd vara en möjliggörare i verksamheten • Vad gör signalskyddssystem bättre än andra krypton • Vilka typer av signalskyddssystem finns idag • Hur får man tillgång till signalskyddssystem 4 Signalskydd - vad är det? FM ska leda och samordna signalskyddstjänsten inklusive arbetet med säkra kryptografiska funktioner inom totalförsvaret • • • System med kryptografisk funktion som har godkänts av Försvarsmakten för skydd av hemliga uppgifter FM är ”garant” för att systemet gör vad det ska och inget annat samt att det skyddar upp till en fördefinierad nivå Signalskyddssystem består av – Krypto (kryptomodul) – Kryptonycklar, certifikat – Systeminstruktion – Tydligt regelverk – Utbildad personal (behörig personal) För att upprätthålla skyddsnivån krävs det att alla i hela kedjan följer gällande 5 regelverk och instruktioner Hur många bryter mot 7 § i Säkskyddsförordningen, när man använder signalskydd? Vart börjar man? • Säkerhetsskyddsanalysen – Identifiera skyddsvärda tillgångar – Identifiera hotbild – Hur ser verksamhetens behov ut av att kunna förmedla de skyddsvärda tillgångarna, internt och externt, tal, data eller fax • Omfattas de skyddsvärda tillgångarna av sekretess som rör rikets säkerhet, ska signalskyddssystem användas då dessa förmedlas utanför ett nät som organisationen har full kontroll över (logiskt och fysiskt) 13 § i Säkerhetsskyddsförordningen framgår följande: Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten. 6 Hot mot våra tillgångar Bloggar Så väl inom Försvarsmakten Foto E-post Påidentifierat fredagensticker vi på Vi har mycket allvarlig brist i en en standard PLC föruppdrag eldistributionen! veckas Kani snabbt delar av el-nätet i det lamslå norrastora området. Sverige! ”Smart”-phones Obehörigt intrång IT-sytem, LAN, wifi Avlyssning Molntjänst Störningar, avbrott Digitala lagringsmedia Vårdslös hantering Varning! Röjande signaler 7 SKYDD AV INFORMATION Konfidentialitet, tillgänglighet, riktighet och spårbarhet Ledningssystem för informationssäkerhet LIS ISO 27000 Information som ej behöver särskilt skydd, kan vara blanketter som ska fyllas i, informationsblad etc. Basnivå Skydd av känsliga uppgifter Offentlighet & Sekretesslag Skydd av skyddsvärd uppgifter samt sekretessbelagda uppgifter Bl.a. 18 kap. 8 § skydd för anläggningar, tele mm 18 kap. 13 § Risk- och sårbarhetsanalyser mm 19 kap. 3 § upphandling Kr y p t e r i n g s ä ke rs t ä l l e r ä v e n Sekretessbelagda uppgifter som rör rikets säkerhet (HEMLIGA UPPGIFTER), är 15 kap. 2 § men kan även vara vissa uppgifter enligt bl.a. 15 kap 1 §, 18 kap 1, 2, 5, 8, 9 och 13 §§ Tillgångar Personuppgiftslag Offentlighet & Sekretesslag r i k t i g h e t o c h s p å r b a r h e t KO N F I D E N T I A L I T E T Kryptolösning KSU SSL Certifikat KURIR (RAKEL) SGSI I N F O S Ä K SG R SG C SG S SG TS Kryfax MGM Data MGS , PGAI mfl Telefon MGL RÖS, Intrång Manipulering Störsändning Avlyssning S Ä K E R H E T S S K Y D D OGRANSKAT KRYPTO K S U S I G N A L S K Y D D Ingen nationellt godkänd kryptometod MYNDIGHETSBESLUT OM ÅTGÄRDER Tryckfrihetsförordningen – offentlighetsprincipen, upphovsrätt Offentlighet & Sekretesslag - allmän och offentlig handling Arkivlagen - arkivering och lagringsbestämmelser Säkerhetsskyddslag – grundläggande krav Kryptolösningar signalskydd Nationellt godkända kryptosystem ÅTGÄRDER ENLIGT SÄPO OCH FM FÖRESKRIFTER Krav för sekretess - Klassificering av information och signalskyddsnivå Assuranskrav - Säkerhetsgranskning och godkännande av krypton Funktionskrav - Intrångsskydd, inloggning och autentisering, krav på integritet Krav på utbildning och administrativ kontroll - Ansvar, dokumentation, materiel och nyckelhantering Skyddsåtgärd Ingen kryptering Kommersiell Kryptering Signalskydd skyddar mot • Avlysning 0ch obehörig åtkomst (Konfidentialitet) • Falsksignalering (Riktighet, Identitet) • Obehörig påverkan, förändring (Riktighet) • Intrång (HW) • Obehörig åtkomst till system (Autentisering) • Trafikanalys (Kartläggning när trafik flödar eller ej) 10 Signalskydd –bara jobbigt eller en möjliggörare Rätt använt signalskyddssystem säkerställer – Konfidentialitet (ingen obehörig kan ta del), – Riktighet (ingen förändring kan göras oupptäckt) och – Spårbarhet (äkthet, autenticering) endast behörig avsändare – Får även användas till annan skyddsvärd eller sekretessbelagd information som inte rör rikets säkerhet Användandet av Signalskydd är en viktig skyddsåtgärd för att organisationen ska uppnå en hög informationssäkerhet vid hantering av hemliga uppgifter Signalskydd ska vara en naturlig del i arbetet med hemliga uppgifter 11 Krypto kan ”missbrukas” – Ransomeware (Cryptolocker) Olika användningsområden för Signalskydd • Textskydd (Avlyssning) – – – – – VPN (flera tunnlar) Linjekrypto (punkt till punkt, ex. länkstråk) Filkrypto Talkrypto Fax • Trafikskydd (Trafikanalys) • Auteticering (inloggning med smarta kort och certifikat i ex. H-system) • Inom Sverige och till utlandet 13 SIGNALSKYDDSSYSTEM VS KOMMERSIELLT KRYPTO • Signalskyddssystem (gör vad det utges för att göra och inget mer) – – – – – Godkänt för hemliga uppgifter Styrkan är känd och verifierad, granskad och godkänd av Försvarsmakten Tydligt regelverk (regler, utbildning, egna rutiner etc) En helhetslösning (regler, utbildning, nycklar, distribution, kryptoapparat mm) Enhetligt, informationsutbyte med andra myndigheter – samma hantering • Kommersiellt Krypto som inte är granskat (gör kanske vad det utges för att göra och kanske lite !!) – – – – – – Ej för hemliga uppgifter System 1 Ej granskat av FM Hanterar systemet utifrån egna behov (och kunskap) Olika organisationer – Olika hantering (Svaghet) System 2 Användaranvisning, möjligtvis 14 Många olika system, okänd styrka på krypto Info tillgång Regelverk • FM föreskriftsrätt för alla myndigheter inom Totalförsvaret, övriga tecknas särskild överenskommelse/avtal med • FM:s FFS 2016:3 reglerar signalskyddsverksamheten • För respektive system finns tydlig instruktion framtagen • Myndighetsspecifik Signalskyddsinstruktion/plan • H TST Grunder – allmänt om signalskydd 15 Reglering – I Förordning 2015:1053 om totalförsvar och höjd beredskap framgår vilka myndigheter som ska ha signalskyddssystem – MSB beslutar om vilka övriga myndigheter, företag och organisationer som ska ha signalskyddssystem, tecknar också överenskommelse/avtal med dessa – MSB föreskriver också när ”Civila” myndigheter som har signalskyddssystem ska ha kryptoberedskap 16 Viktiga aktörer då det gäller Signalskydd • • • • Försvarsmakten MSB FRA Er organisation 17 MSB • Framför behov och prioritering av nya system utifrån ”Civila” myndigheters behov • Beslutar om tilldelning av signalskyddsmateriel till ”Civila” myndigheter och andra aktörer för extern samverkan, • Förskriftsrätt för ”Civila” myndigheter, MSBFS 2009:11 18 Processbeskrivning anskaffning av signalskyddssystem • • • • • • • • • Säkerhetsanalysen eller annan myndighet ser samverkansbehov Kontakta MSB och boka ett inledande möte med MSB, FRA och FM (endast första gången) Hemställan till MSB (Hemlig, kan avslöja en ev. framtida förmåga eller nuvarande oförmåga) Organisation som ej omfattas föreskrift enligt 33 §, Förordning (2007:1266 ) med instruktion för Försvarsmakten – MSB tecknar Överenskommelse Utbildning, Signalskyddschef (dokumentera på utbildningsbevis), systemoperatör Signalskyddsinstruktion/plan Tilldelning av mtrl Beställning an kryptonycklar (om detta ej gjort i samband med hemställan) Driftsättning 19 (Utbildning av användare) Kryptoapparater Välj system utifrån samverkansbehov och nivå • VPN/datakrypto H/R-H/TS • Filkrypto H/R o H/S • Talkrypto (Signalskyddsberedskap) H/S (H/TS) • Faxkrypto (Signalskyddsberedskap) H/S 20 H/C - H/TS RÖS U1 el U2 Plomberade Använd de system som finns Vi har ett antal godkända system, var kreativ. Hur kan man använda de vi har för att lösa en uppgift? • Videokonferens • Telefonkonferens • IP-telefoni • Enkelt H-nät mellan myndigheter • Ex. VPN-förbindels H/R för att skicka MGSkrypterade filer via – minskad risk för skadlig kod 21 Nyckelansvarig myndighet – NAM NAM är en del av rollen som signalskyddsorganisation Taktisera med Exempel på samverkan med filkrypto. NAM ex. Länsstyrelse, Militärregion, central myndighet krypto Exempel • Skapa små kryptonyckelserier – Projekt internt/externt – Samverkansområden – Utse någon inom projektet som är NAM Att använda samma nyckel till allt för nyckeln alla, är det förenligt med 7 § SF? Behörig! • Lämpligt krypto utifrån verksamhetens behov – Lokalt t.ex. H/R – Regionalt t.ex. H/S 22 – Central t.ex. H/TS 123456 Koden till organisationens säkerhetsskåp Signalskyddsmöten 2 st 6-7/12 2017 och 7-8/2 2018 (v 749 o v 806) Arbetsätt framöver Exempelvis så kan: • Länsstyrelse ta ett ansvar för ”sitt” län • Kommuner inom länet kan vara användare under Länsstyrelsen (minskar behovet av signalskyddsorganisationer och signalskyddschefer) • I vissa fall så kommer ändå kommuner att behöva vara egna signalskyddsorganisationer Snabbt att komma igång, minskat behov av resurskrävande utbildning 23 Kan kompletteras med ytterligare krypto för förmedling av Hemliga uppgifter Swedish Government Secure Intranet - Myndighetsintranet med hög tillgänglighet, upp till 99,98 - VPN-krypto - Mailrelay - Skyddad videokonferens - Tjänster hos andra myndigheter - Ett bärarnät mellan och inom myndigheter - Skilt från Internet NISU 2014 På gång - RAKEL-koppling 24 Tillbakablick • • • • • • • Stöld av information ett av det största cyberhoten idag! Tillgänglig och rätt information är också viktigt! Förhindra att obehöriga och även resursstarka aktörer kommer över våra informationstillgångar, eller förändrar/förvanskar dessa, verifierad styrka! MSB inriktar och samordnar civila myndigheters signalskyddsverksamhet. Beslutar även om tilldelning av signalskyddssystem. MSB är även med och kravställer på nya system utifrån de civila myndigheters behov. Varje organisation/verksamhet är ansvarig för sin egna informationssäkerhet inklusive behoven av signalskyddssystem, samt hur man ”taktiserar” med dessa. Ökad efterfrågan, vilket är positivt! Säkerhetsanalysen är grunden – Klassa informationen, identifiera det mest skyddsvärda så att relevanta skyddsåtgärder vidtas. 26 VIKTIGT! Att komma ihåg efter denna lektion • Säkerhetsskyddsanalysen är grunden • Signalskydd – en möjliggörare – verifierad styrka • DU uppnår inget säkerhetsskydd i DIN organisation utan säkerhetsmedvetna användare - UTBILDNING • Funderingar kring eller behov av signalskyddssystem, börja med att kontakta MSB roger.forsberg@msb.se 072-210 70 73 Enheten för skydd av kritisk infrastruktur och cybersäkerhet 27 Tid kvar! Swedish Government Secure Intranet Frågor? www.informationssakerhet.se/signalskydd www.msb.se 28 SLUT 29