Myndigheten för samhällsskydd och beredskap (MSB) har i dagsläget en föreskrift som reglerar att statliga myndigheter ska jobba med ledningssystem för informationssäkerhet, LIS. Till följd av detta bedriver myndigheterna i dag ett systematiskt arbete med att till exempel ta fram informationssäkerhetspolicys, klassificera sina informationstillgångar och införa tekniska och administrativa skyddsåtgärder. För detta tillhandahåller MSB ett metodstöd som stöd vid införandet av ett ledningssystem för informationssäkerhet. För att klassificeringen i praktiken ska kunna omsättas till tekniska skyddsåtgärder för elektronisk information, exempelvis kryptering av kommunikation, bedömer MSB att det behövs ett liknande metodstöd för anpassade och säkra krypto- och it-säkerhetslösningar för information som är skyddsvärd och/eller sekretessbelagd. Detta är något som till stor del saknas idag.
Genom det nya projektet utreder MSB hur ett sådant stöd skulle kunna tas fram och etableras. Stödet ska omfatta förslag på tekniska skyddsåtgärder som ska leda till en hög säkerhet för alla system som lagrar eller överför information som är skyddsvärd och/eller som omfattas av sekretess enligt OSL 2009:400 men som inte rör rikets säkerhet. Tanken är att projektet ska leverera en samling dokument med instruktioner om uppsättning, konfiguration och drift av en it-lösning, så kallade säkerhetsarkitekturer. Detta kompletteras med en lista över certifierade och godkända kommersiella it-produkter och en lista med godkända integratörer. Målet är att detta samlade stöd i framtiden ska hjälpa svenska myndigheter att anskaffa och implementera säkrare it-system för sin informationshantering.
Konceptet som projektet bygger på baseras på en internationell förebild. Enligt modellen skyddas data som överförs eller lagras genom kryptering i flera lager. De produkter som används ska ha genomgått it-säkerhetscertifiering enligt den internationella standarden ISO/IEC 15408 ”Common Criteria”. Dock finns det alltid en risk för att det finns oupptäckta sårbarheter i enskilda produkter som kan äventyra säkerheten. Modellen kräver därför att data krypteras mer än en gång. Tillsammans med kravet att de olika krypteringsprodukterna kommer från sinsemellan oberoende leverantörer minskar risken signifikant att en sårbarhet i en enskild it-produkt kan leda till att säkerheten i systemet som helhet äventyras. Den höga graden av standardisering av arkitekturen gör det samtidigt vara möjligt att byta ut en produkt där man upptäckt en sårbarhet mot en annan.
Ett pågående pilotprojekt
Modellen i sig förväntas kunna vara överförbar till svenska förhållanden, men detta behöver först undersökas i praktiken. Därför genomförs nu en pilot. Genom piloten får MSB en bild av hur det nya konceptet kan förbättra säkerheten i en verksamhets it-system, samtidigt som man kan undersöka vilka resurskrav och kompetensbehov som kan uppstå kopplat till lösningens införande. Piloten planeras vara klar under våren 2018 varefter en utvärdering ska göras. Först därefter kan det visa sig om det nya konceptet kan leverera det MSB vill ha i form av en fungerande, säker, effektiv och modern it-lösning.
Statens servicecenter (SSC) är med i projektet sedan våren 2017 då de blev pilot-myndighet för modellen som ska prövas.
Projektet genomförs genom ett samarbete mellan MSB och Sveriges Certifieringsorgan för IT-Säkerhet (CSEC) vid Försvarets Materielverk (FMV) – vilka bland annat bidrar med nödvändig expertkunskap.
CSEC är en självständig enhet inom FMV som på regeringens uppdrag verkar som nationellt certifieringsorgan för granskning av it-säkerhet i produkter och system enligt den internationella standarden Common Criteria (ISO/IEC 15408). CSEC utfärdar regler för hur kommersiella evalueringsföretag under myndighetens tillsyn granskar (evaluerar) it-säkerhet i it-produkter.
Ansvarig handläggare på MSB är Ronny Janse, Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet.
Ansvarig på FMV är Dag Ströman, Verksamhetschef för Sveriges Certifieringsorgan för IT-Säkerhet, CSEC.