Funktionen för autentisering skall, där så är möjligt, utnyttja säkerhetsmekanismer som är godkända av Försvarsmakten.Redan i "Skall"-kravet har alltså beställaren Försvarets Materielverk öppnat ett kryphål: "där så är möjligt". Naturligtvis måste det motiveras varför man inte utnyttjar godkända säkerhetsmekanismer men man kan låta bli. Och låta bli det gör vi. I vår dokumentation används följande standardtext om kryptering:
Enligt svensk försvarsterminologi får begreppet "kryptering" ("encryption") och "krypterad" ("encrypted") enbart användas för krypteringsteknik godkänd av Försvarsmakten. I detta dokument används begreppen "skydd" ("protection") och "skyddad" ("protected") för att beskriva krypteringsteknik som inte godkänts av Försvarsmakten.Eftersom det inte finns någon av Försvarsmakten godkänd lösning för kryptering av LAN, av den typ vi behöver, så erbjuder vi bara "network protection". Vi har i vårt system inte heller ett hårddiskkrypto utan en "full disk protection solution". Detta har godkänts, levererats och används idag.
Om säkerhetskraven på systemet verkar alltför inskränkande kan man också åberopa generalklausulen i avtalet:
Säkerhetsfunktioner och systemfunktioner i systemet får inte vara i konflikt med varandra och därigenom förhindra varandras avsedda funktion.Om en sådan konflikt ändå uppstår så kan alltid en lokal befälhavare beordra undantag från gällande säkerhetsregler. Jag själv blev ganska förvånad när jag besökte en systeminstallation och noterade att användarnas långa och komplicerade lösenord satt fastklistrade på papperslappar på tangentborden och fick förklarat för mig att detta var ett legitimt sätt att använda systemet.
Inga kommentarer:
Skicka en kommentar