Sidor

onsdag 6 september 2017

Säkerhetsregler frångås ständigt

Att IT-säkerhet skulle segla upp som ett hett politiskt ämne var väl oväntat för alla. Men medan Transportstyrelsen, Fortifikationsverket och Dan Eliasson är på tapeten tänkte jag dela med mig av några egna erfarenheter om IT-säkerhet. Även om jag inte vet något speciellt om de tre nämnda fallen så arbetar jag till vardags med IT-säkerhet för Försvarsmakten och ser kanske lite annorlunda på vissa saker än den breda allmänheten. Framförallt gäller detta avsteg och avvikelser från säkerhetsregler. Detta förekommer alltid och överallt. För vårt säkerhetssystem börjar det redan i kravställningen: 
Funktionen för autentisering skall, där så är möjligt, utnyttja säkerhetsmekanismer som är godkända av Försvarsmakten.
Redan i "Skall"-kravet har alltså beställaren Försvarets Materielverk öppnat ett kryphål: "där så är möjligt". Naturligtvis måste det motiveras varför man inte utnyttjar godkända säkerhetsmekanismer men man kan låta bli. Och låta bli det gör vi. I vår dokumentation används följande standardtext om kryptering:
Enligt svensk försvarsterminologi får begreppet "kryptering" ("encryption") och "krypterad" ("encrypted") enbart användas för krypteringsteknik godkänd av Försvarsmakten. I detta dokument används begreppen "skydd" ("protection") och "skyddad" ("protected") för att beskriva krypteringsteknik som inte godkänts av Försvarsmakten. 
Eftersom det inte finns någon av Försvarsmakten godkänd lösning för kryptering av LAN, av den typ vi behöver, så erbjuder vi bara "network protection". Vi har i vårt system inte heller ett hårddiskkrypto utan en "full disk protection solution". Detta har godkänts, levererats och används idag.

Om säkerhetskraven på systemet verkar alltför inskränkande kan man också åberopa generalklausulen i avtalet:
Säkerhetsfunktioner och systemfunktioner i systemet får inte vara i konflikt med varandra och därigenom förhindra varandras avsedda funktion.
Om en sådan konflikt ändå uppstår så kan alltid en lokal befälhavare beordra undantag från gällande säkerhetsregler. Jag själv blev ganska förvånad när jag besökte en systeminstallation och noterade att användarnas långa och komplicerade lösenord satt fastklistrade på papperslappar på tangentborden och fick förklarat för mig att detta var ett legitimt sätt att använda systemet.

Inga kommentarer:

Skicka en kommentar