Tillit och säkerhet

I detta kapitel ges vägledning i vilka ramverk och standarder som man rekommenderas förhålla sig till och även övergripande beskrivning av de ställningstaganden man behöver ta i beslut om hur man utformar sina ramverk för tillit och säkerhet i samband med att man ska realisera samverkan.

Bilden nedan visar schematiskt aktörer, komponenter och interaktioner vid informationsdelning med perspektivet tillit och säkerhet.

Bilden visar hur olika komponenter samverkar kring identitets- och åtkomsthantering. Terminologin är hämtad från Referensarkitektur för identitet och åtkomst (Terminologin linjerar inte helt med T2).

Tillit

Tillit är att lita på, alternativt ha förtroende för, någon eller något och dess agerande. Det är en känsla som uppstår hos någon och är svårt att kvantifiera. Inom interoperabilitetsområdet bygger tilliten på dels de tekniska standarder som används, dels på andra aktörers förmågor inom informationssäkerhetsområdet och efterlevnad av avtal, överenskomna ramverk och gällande lagrum.

För att möjliggöra tillitsfull samverkan bör man, inom ramarna för det sammanhang samverkan ska äga rum, etablera tillit mellan samverkande aktörer. Tillit till informationsöverföring bygger på tillit på två nivåer. För det första krävs organisationstillit, det vill säga tillit till övriga aktörers förmåga att hantera överförd information på ett sätt som stämmer överens med ingångna avtal, överenskommelser, samt de lagrum som möjliggör informationsdelningen. För det andra krävs teknisk tillit, vilket avser tillit till de tekniska standarder som används för utgivning och verifiering av digitala identiteter, tillit till de tekniska standarder som används för informationsöverföring, samt tillit till parternas realiseringar är korrekta.

Bilden visar hur teknisk och organisatorisk tillit relaterar till varandra.

Organisationstillit

E-delegationen har formulerat organisationstillit i syfte att effektivisera arbetet med informationsutbyte mellan offentliga aktörer. Följande beskrivning står att läsa i reboot - omstart för den digitala förvaltningen, SOU 2017:114, kapitel 15.2:

Principen bygger på att det vid informationsutbyte inom ramen för myndigheternas samverkans- och serviceskyldighet räcker att kontrollera att den andra parten är den myndighet som den uppger sig vara, eftersom en myndighet vanligtvis kan lita på att en handläggare som agerar för en annan myndighets räkning är behörig att företräda myndigheten. Principen bygger på förvaltningslagens regler om myndigheternas samverkansskyldighet samt att varje myndighet själv ansvarar för sin interna kontroll.

DIGG driver ett regeringsuppdrag att etablera Ena - Sveriges digitala infrastruktur och som del av detta tas ett ramverk för organisationstillit fram. Det innehåller certifieringsordning, metodik och aktiv förvaltning. Regeringsuppdraget har som förslag att lägga till följande tillägg till definitionen av begreppet organisationstillit ovan:

Tillit till den interna kontrollen fås genom att en organisation har bevisade förmågor som tillsammans med det systematiska informationssäkerhetsarbetet samt ramverk för identitet och teknik ger förutsättningar för en trygg och effektiv digitalisering.

I samverkan mellan aktörer som inte omfattas av organisationstilliten mellan statliga myndigheter kan man uppnå samma tillit genom att avtala mellan samverkande parter om ramverkets efterlevnad.

Teknisk tillit

Teknisk tillit handlar ofta om att peka ut vilka standarder som får nyttjas och hur de ska konfigureras (nyckellängder, kryptografiska algoritmer). Vilka behörighetspolicyer som ska användas och vilken uppsättning behörigheter som används för samverkan.

Mekanismer för att uppnå tillit till tekniken beskrivs mer i detalj under säkerhetsavsnittet nedan.

Säkerhet

Inom ramarna för en specifik samverkan bör de aktörer som ingår avtala om riktlinjer för säkerhetsarbetet hos varje aktör. Detta då informationssäkerheten och cybersäkerheten kräver en gemensam lägsta nivå för att ha verkan.

Samverkan kring informationsutbyte baseras till stor del idag på standarder för identifiering, åtkomstbeslut, och datakryptering. Standarderna som rekommenderas att användas beskrivs av Ineras referensarkitektur för identitet och åtkomst.

TLS är den standard för transportkryptering som är dominerande idag. Dess säkerhetsnivå bygger på vilka underliggande kryptografiska algoritmer som används - vilka som är tillförlitliga ändras i takt med att datorer blir snabbare eller man hittar svagheter i algoritmerna. Man måste ha en tillförlitlig och aktivt förvaltad källa för godkända algoritmer. Källan som rekommenderas för T2-arkitekturer är Ineras anvisning för kryptering.

Vår rekommendation att man vid utformandet av sitt säkerhetsramverk utgår från de riktlinjer och det metodstöd som finns publicerat under Informationssäkerhet, cybersäkerhet och säkra kommunikationer (msb.se).

Identitetshantering

Identitetshantering omfattar att styrka identiteter för såväl personer som system. Personer kan oftast grovt delas in i privatpersoner och företrädare för organisationer. För de första gruppen finns ett antal utfärdare enligt Svensk E-legitimation (e-legitimation.se). För anställda finns det vanligtvis mer sektorspecifika identitetoperatörer som regleras av E-legitimering för medarbetare | DIGG.

För att identifiera system används ofta certifikat som användas för att etablera TLS-kommunikation. Samverkande parter behöver vara överens om vilka certifikatsutgivare som är betrodda.

Mer detaljer kring detta finns beskrivet i Referensarkitektur för identitet och åtkomst.

Åtkomsthantering

Det har inom T2 - välfärden identifierats tre generella scenarion för åtkomsthantering vilka behöver stödjas av digitala tjänster:

  1. Användare nyttjar digital tjänst via användargränssnitt

  2. Användare nyttjar digital tjänst, som i sin tur anropar en annan digital tjänsts API, under användarens identitet

  3. Digital tjänst nyttjar API under egen identitet

Dessa tre mönster stämmer väl överens med mönster som beskrivs i Referensarkitektur för identitet och åtkomst.

Åtkomstpolicy

Den digitala tjänsten behöver formulera sin åtkomstpolicy. Åtkomstpolicyn ska mappa egenskaper hos anropande part och eventuellt för slutanvändaren (åtkomststyrande attribut) mot behörigheter som krävs för olika delar av tjänstens funktionalitet.

Åtkomststyrande attribut

Åtkomststyrande attribut är de attribut som beskriver tjänstekonsumenten (fysisk och/eller juridisk), i vilken roll eller med vilken grund denne vill ha åtkomst till den begärda digitala tjänsten, eller annat som är av intresse för att tjänsteproducenten ska kunna ta ett åtkomstbeslut.

Åtkomststyrande attribut kan delas in i tre huvudkategorier:

  1. Identitetsrelaterade attribut

  2. Uppdragsrelaterade attribut

  3. Ombudsrelaterade attribut

Krav på tillämpningar

Förmåga

Beskrivning

Förmåga

Beskrivning

Beskriv tillitsmodell för auktorisering

Ska beskriva vilka utfärdare av digitala identiteter som ska godkännas inom den specifika arkitekturen samt hur tilliten för dessa upprätthålls.

Man ska även beskriva om man nyttjar någon federativ åtkomst, det vill säga om man godkänner åtkomstintyg från fler olika utfärdare av åtkomstintyg samt hur tilliten för dessa upprätthålls.

Beskriv åtkomststyrande attribut

Ska när det realiseras definiera vilken eller vilka standarder för attributhantering som ska användas, vilka attributprofiler som ska användas, samt hur informationsförsörjning av attribut kan ske.

Beskriv åtkomstpolicyer och behörigheter

Ska definiera vilken eller vilka standarder för behörighetstilldelning som ska användas samt hur dessa ska dokumenteras.

Beskriv åtkomstintyg

Ska definiera vilken eller vilka standarder för åtkomstintyg som ska stödjas, samt vilken nomenklatur och format intygen ska ha.

Krav på realiseringar

När man väljer att realisera åtkomsthantering inom en T2-arkitektur bör man i sin lösningsarkitektur stipulera vilka icke-funktionella krav som ställs samt beskriva hur man i sin realisering möter dessa krav.

Krav

Beskrivning

Krav

Beskrivning

Tillgänglighet

Tillgänglighet beskriver krav på att det ska gå att få ett åtkomstintyg utställt när det behövs.

Detta krav är beroende av tillgängligheten av autentisering. Tillgängligheten för en specifik digital tjänst är vidare beroende av tillgängligheten av åtkomsthantering.

Faktorer som påverkar tillgängligheten är:

  1. SLA för auktorisationstjänster

  2. Giltighetstid för identitetsintyg

  3. Giltighetstid för åtkomstintyg

  4. Möjligheter till federativt utgivna åtkomstintyg

Konfidentialitet

Konfidentialitet inom åtkomsthantering handlar i mångt och mycket om att uppgiftsminimera vilka åtkomststyrande attribut som tillgängliggörs.

Tjänstekonsumerande system behöver till exempel inte ta del av alla attribut som krävs för att besluta om åtkomst till en bakomliggande digital tjänst.

Riktighet

Riktighet inom åtkomsthantering handlar om att besluta om metoder för att säkerställa att åtkomststyrande attribut är korrekta, att den åtkomstpolicy som används är korrekt, samt att de intyg som ställs ut är korrekta.

Informationsförsörjning av attribut och policyhantering styrs i regel inte av de tekniska standarder som nyttjas och bör riskanalyseras.

Spårbarhet

Spårbarhet är viktigt inom välfärden och regleras ofta i gällande lag. Hur man hanterar spårbarhet i relation till såväl felsökning, uppföljning, statistik och rättsliga utredningar bör belysas.

Skyddsåtgärder

Samverkan inom T2 - välfärden förordar direkt kommunikation mellan tjänstekonsument och tjänsteproducent. Ansvaret för kravställning på skyddsmekanismer åligger tjänsteproducenten.

Nedan visas en schematisk bild med exempel på skyddsmekanismer vid samverkan.

API:er kan exponeras via internet alternativt ett nätverk med ökad stabilitet, tillgänglighet och säkerhet som till exempel Sjunet eller SGSI. Val av nätverk kan påverka behovsbilden av skyddsmekanismer.

Information som överförs ska skyddas från insyn och påverkan med transportkryptering.

Bland övriga skyddsmekanismer kan nämnas DDOS-skydd, brandväggar, säkerhetsfunktioner i API-gateway, applikationsbrandväggar och meddelandekryptering. Val av skyddsmekanismer utvärderas utifrån det totala skyddsbehovet som fastställs i ett riskbaserat informationssäkerhetsarbete.