Skip to main content

Ackreditering

Ackreditering

Att ackreditera ett system är att godkänna systemet för användning i den kontext för vilken systemet är framtaget för att lösa en uppgift.

Det är mycket som ska falla på plats för att ackreditera ett avancerat militärt system som ska hantera hemlig information. Många processer har tagits fram genom åren men processer är inte allt. Det är ingenjörskonsten och erfarenheten som leder till framgång när dessa system ska upphandlas, realiseras och ackrediteras.

 

Informationen

Klassificering

När ett system ackrediteras sker det i syfte att säkra den information som systemet hanterar. Informationen sekretessklassificeras enligt OSL (2009:400) och säkerhetsskyddsklassificeras enligt SSL (2018:585). Systemet avgränsas av systemgränsen i form av yttre systemgränsytor. Om systemet har yttre systemgränsytor mot system från andra nationer måste informationen också klassificeras avseende utlämningsbarhet till andra nationer respektive om det är tillåtet att dela informationen med utländska myndigheter. Båda dessa regleras av regeringsbeslut.

Informationszoner

När information har klassificerats kan systemets informationszoner identifieras. Det ställs olika krav på separationen mellan olika informationszoner vilket leder till krav på inre gränsytor med olika egenskaper för att rätt skydd ska kunna realiseras mellan informationszonerna.

Säkerhetsanalysen

Hotbilden

För att kunna avgöra hur mycket kraft som ska läggas på IT-säkerhetsåtgärder måste hotbilden analyseras. Det behöver klaras ut vilka hot systemet ska skyddas mot. Det görs ofta med en riskmatris där konsekvensen av ett realiserat hot värderas med sannolikheten för att hotet ska realiseras. Hög konsekvens och hög sannolikhet leder till hög risk som måste bemötas.

Insiderhotet

Ett typiskt hot är insiderhotet. Insidern kan förekomma i skalan från omedvetet oförsiktig till medvetet illvillig. Hela skalan går att skydda sig mot med olika åtgärder, men någonstans går gränsen för vad som är kostnadseffektivt att skydda sig mot med tekniska lösningar och vad som istället ska lösas med metod. Ingen teknik kan skydda system mot alla upptänkliga insiders, så man behöver tidigt klara ut vem det är man faktiskt ska skydda sig mot.

Exponeringen

Användare

När systemet är taget i drift arbetar det i en omgivning full av potentiella aktörer. Det finns säkerhetsadministratörer, systemerare, ordinarie användare, underhållspersonal, städare och andra aktörer som interagerar med systemet och dess omgivning. Flera av dessa kan vara medvetna eller omedvetna insiders.

Omgivning

Systemet i sig kan vara upprättat i bergrum långt inne på eget territorium – liten exponering – eller bäras av flygande farkoster nära fientliga förband – stor exponering. Systemet kan ha stora mängder yttre gränsytor där stora datamängder passerar – stor exponering – eller endast några få – liten exponering.

Avvägningar

Den miljö som systemet verkar i exponerar systemet mot olika hot. Ju större exponering, desto kostsammare att konstruera systemet IT-säkert. Väl avvägda organisatoriska eller administrativa åtgärder kan vara kostnadseffektiva åtgärder för att minska exponeringen och därmed förenkla IT-säkerhetsarbetet. Att minska mängden användare med administrativ behörighet i systemet kan leda till minskad exponering, men det kan också leda till att en personalkategori blir nyckelpersoner som inte är gripbara i tillräcklig omfattning vilket kan gå ut över tillgängligheten om exempelvis reparationer kräver högre behörigheter.

Konstruktionen

Utmaningen

Det hjälper inte hur bra kraven är ställda på IT-säkerheten i ett system, när det kommer till realiseringen är det konstruktionen som skiljer agnarna från vetet. En undermålig konstruktion leder ofelbart till brister som kan utnyttjas av en angripare. Komplexa IT-system bygger på integration av många olika underleverantörers komponenter. Alla underleverantörer har olika mognad avseende IT-säkerhet och konstruktionen kommer därför att med nödvändighet bestå av komponenter framtagna med varierande grad av assurans, dvs vår tillit till att produkterna gör vad de ska och inte innehåller säkerhetshål. Säkerheten måste därför konstrueras i lager med högassuranskomponenter, lågassuranskomponenter och övriga komponenter så att fel och brister i komponenter kan kapslas in för att inte bli åtkomliga för en angripare.

Oberoende penetrationstester

För att ge tilltro till att konstruktionen verkligen håller mot en angripare genomförs oberoende penetrationstester. Experter på området ges fria händer att ta sig in i systemet och resultatet tas om hand för att täppa till eller kapsla in de brister som hittas.

Upphandlingen

Fallgropen

Att konstruktionen och inte kraven är avgörande för hur IT-säkert systemet blir innebär stora utmaningar för en upphandlande myndighet. Det är i princip omöjligt att upphandla helt IT-säkra system i konkurrens eftersom IT-säkerhetsåtgärder är kostnadsdrivande. En anbudsgivare som räknar bort sig på IT-säkerheten, till exempel på grund av otillräckliga erfarenheter, offererar det lägsta priset och vinner upphandlingen. Konstruktionen kommer då att bli därefter och tyvärr visar sig inte detta förrän på slutet när konstruktionen ska skärskådas med oberoende penetrationstester. Då kan det vara alldeles för sent att rädda projektet.

Vägen framåt

Konceptet för framgång grundar sig på samarbete mellan myndighet och industri, där konstruktionen i form av en IT-säkerhetsarkitektur tas fram i samverkan mellan industrin och IT-säkerhetsexperter innan beställningen på systemet läggs. Detta står i motsatsförhållande till normala förfaranden i upphandlingar och kan ytterst påbjuda att flera konkurrerande IT-säkerhetsarkitekturer får realiseras innan en av dem vinner och de andra förkastas.

Interop har mångårig erfarenhet av ackreditering i olika projekt.

Insatsförmåga Luftvärn

I projekt InsatsFörmåga Luftvärn (IFLv) upphandlade FMV två nya systemenheter EldE 98 och LvC samt uppgraderar de befintliga systemenheterna EldE 97, PS-91 och UndE 23. Upphandlingen omfattar även ett nytt helt ledningssystem anpassat för luftvärnets behov.

Interop har som oberoende leverantör bistått FMV med ackrediteringsrelaterade tjänster under projekttiden.

LvS 1.0

I LvS 1.0 ingår en central ledningsplats för luftvärnet. GBADOC, Ground Based Air Defense Operational Centre som Sverige leasede av Norge.  Konceptet togs fram inför NBG 08 och fanns kvar fram till 2017 då GBADOC avvecklades till förmån för IFLv.

Interop deltog i ackrediteringen av LvS 1.0.

Våra andra tjänster

Systemarbete

Systemarbete innebär att utifrån tekniska, taktiska och operativa målsättningsdokument genomföra kravanalys och kravtolkning i syfte att ta fram en sammanställd kravbild i en systemspecifikation.

ILS

Integrated Logistics Support (ILS) är ett samlingsnamn på metoder för att kunna genomföra ett effektivt underhåll.

Verifiering och validering

Verifiering och validering är två begrepp med olika betydelse. Verifiering är en självklar komponent i princip alla projekt, medans validering är något som görs efter att projektet levererat till kunden.