Den här artikeln är en praktisk genomgång av hur förmågor kan lösas ut tekniskt. Den är inte en juridisk tolkning, och den ersätter inte säkerhetsskyddsanalysen. Den är skriven för säkerhetsskyddschefer, CISO och systemägare som ska översätta regelverkens text till en faktisk plattform och kunna stå för sina val vid en tillsyn.
Vad regelverket säger
Säkerhetsskyddslagen (2018:585) sätter ramen. Den som bedriver säkerhetskänslig verksamhet är skyldig att skydda säkerhetsskyddsklassificerade uppgifter mot bland annat obehörig åtkomst, förändring och röjande. Sedan 2022 kan viten aktualiseras på upp till 50 miljoner kronor.
PMFS 2022:1 är Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd. För IT-plattformar är det främst informationssäkerhetsdelen som styr de tekniska valen: krav på tillträdesbegränsning, behörighetsstyrning, registrering av åtkomst, separation, kryptering, loggning och dokumenterade rutiner.
KSF, Krav på Säkerhetsfunktioner, är Försvarsmaktens kravbas för system som hanterar hemliga uppgifter. Den definierar konkreta säkerhetsfunktioner med olika styrkenivåer, bland annat för autentisering, åtkomstkontroll, säkerhetsloggning, separation, härdning och kryptografi.
Det är dessa krav som kontrolleras vid en tillsyn. En IT-plattform som ska driftsättas måste kunna motiveras mot varje krav, vilket ställer krav på att det är dokumenterat och att lösningen är granskningsbar.
Områden som är utmanande
Det här är inte en uttömmande lista på områden. Det är fem områden där vi i praktiken ser att egenbyggda plattformar och färdiga arkitekturer skiljer sig mest. För varje område beskrivs vad regelverket kräver, vad det betyder tekniskt, hur vårt avgränsade IT-system Citadel® löser det, och ett konkret exempel.
1. Åtkomstkontroll och behörighetsstyrning
PMFS kräver att tillträde till säkerhetsskyddsklassificerade uppgifter begränsas till personer som är säkerhetsprövade och har behov av uppgifterna. KSF översätter det till tekniska krav på autentiseringsstyrka, rollbaserad åtkomst och regelbunden granskning av behörigheter.
Tekniskt betyder det identitetshantering kopplad till en säkerhetsklassad personalkatalog, autentisering med tillräcklig styrka för aktuell KSF-nivå, en behörighetsmatris som speglar verklig organisation, och rutiner för att återta behörighet när någon byter roll eller slutar.
I link22 Citadel hanteras detta i plattformslagret med en anpassning till kundens roller och plattformens behörighetsmodell. Underlag för granskning kan genereras från systemet, vilket innebär att rapporten alltid speglar verkligheten.
Exempel: En ny systemtekniker ska få tillgång till driftmiljön. Säkerhetsprövningen är klar, behovet är dokumenterat, rollen finns redan i mallen. Behörigheten beviljas, händelsen registreras, rollen och behörigheten adderas i katalogen, och nästa kvartalsgranskning visar både beviljandet och att behörigheten fortfarande motsvarar tjänsten.
2. Loggning, spårbarhet och händelseuppföljning
PMFS kräver registrering av åtkomst till säkerhetsskyddsklassificerade uppgifter. KSF specificerar säkerhetsloggning med krav på integritet, separation från övrig drift och lagringstid.
Tekniskt betyder det exempelvis loggar som inte får modifieras av den individen som loggas, separation mellan loggadministration och systemadministration, definierade lagringstider, och larmtrösklar som signalerar avvikelse.
Grundarkitekturen i Citadel levererar säkerhetsloggning som standard, med separerade roller för loggförvaltning och lagring som uppfyller tillsynens krav. Loggintegriteten skyddas med kryptografiska metoder vars styrka motsvarar KSF-nivån.
Exempel: En systemägare ska utreda ett misstänkt obehörigt åtkomstförsök tre månader tillbaka i tiden. Loggarna finns kvar, är oförändrade sedan registrering, och kan exporteras med signatur som intygar integriteten. Vi tillhandahåller loggarna för att utredning ska ta vid.
3. Härdning och konfigurationsstyrning
KSF kräver att attackytan minimeras: bara nödvändiga tjänster är aktiverade, det finns en dokumenterad baseline och alla förändringar i IT-systemet finns under strikt ändringskontroll. PMFS och KSF har krav på en dokumenterad systembeskrivning som speglar verkligheten.
Tekniskt betyder det att det finns härdade OS-images med en dokumenterad baseline, applikationskontroll som förhindrar oönskade körningar, automatisk detektion av drift mot baseline och ett uppdateringsförfarande som inte tappar härdningen vid varje uppdatering.
I Citadel är härdningsmallarna en del av leveransen. De är leverantörsoberoende men beprövade i drift. Modulariteten innebär att kunden kan byta en komponent utan att tappa baseline, eftersom härdningsdokumentationen är knuten till funktionsblock och inte till ett specifikt fabrikat.
Exempel: En uppdatering distribueras till samtliga aktuella delar i systemet. Härdningsrapporten genereras automatiskt efter uppdateringen och visar att alla delar fortfarande matchar baseline. Avvikelser uppmärksammas och åtgärdas innan plattformen tas i bruk igen.
4. Segmentering, isolering och informationsflöden
PMFS kräver separation mellan informationsdomäner med olika säkerhetsklass. KSF specificerar kontrollerade flöden över domängränser, med assurans som matchar nivåskillnaden.
Tekniskt betyder det bland annat nätsegmentering, kontrollerade gateways, och funktioner mellan fysiskt separerade domäner som datadioder och filgranskande lösningar för in- och utflöden. Det betyder också att flödesmodellerna ska vara dokumenterade, inte underförstådda.
Citadel levereras med säkerhetskomponenter från link22, allt från användarapplikationer till diod proxy, data guard och fysiska datadioder. Flödesmodellen ingår i dokumentationen från dag ett.
Exempel: En användare i en A-domän i ett hemligt system behöver hämta ett dokument från en B-domän. Flödet går via funktioner för granskad filöverföring, registreras i loggen, och kan revideras över tid. Ingen användare behöver fysiskt flytta media mellan domänerna.
5. Dokumentation, granskningsbarhet och förvaltning
PMFS kräver exempelvis dokumenterad säkerhetsskyddsanalys, systembeskrivning och rutiner. Därtill läggs spårbar förändringshantering över tid.
Det här är området där egenbyggda lösningar oftast fallerar över tid. Vid driftsättning finns dokumentationen, för konsulterna har just skrivit den. Problemet uppstår sex, tolv och tjugofyra månader senare, när dokumentationen och verkligheten har divergerat.
Citadel levereras med en dokumentationsbas som är knuten till plattformens konfiguration. Citadel Service håller den aktuell genom ett förvaltningsavtal som bland annat inkluderar uppdatering av systembeskrivning och analysstöd vid förändring kopplat till säkerhetsarkitekturen.
Exempel: Säkerhetsskyddschefen får besked om en kommande tillsyn. Aktuell systembeskrivning och senaste härdningsrapport finns på plats. Inget akut krävs.
Vad som händer när man bygger eget
Det här är inte ett argument mot ”egenbygge” i sig. Det finns verksamheter där en specialbyggd lösning är rätt val. Men de återkommande mönstren när vi blir kontaktade kan se ut som följer:
Ett projekt på 18 månader blir 30 månader. Under tiden uppdateras kraven, och delar av lösningen är redan föråldrade vid driftsättning.
Baseline för härdningarna dokumenteras till driftsättning av miljön, sedan drar verkligheten ifrån. Patchar appliceras utan motsvarande dokumentationsuppdatering. Vid tillsyn två år senare matchar pärmen inte längre systemet.
Konsulterna lämnar projektet efter införandet. Den interna förvaltningen ärver något som ingen riktigt äger. Nästa förändring blir antingen för försiktig (rör inget) eller för aggressiv (bygg om), och båda alternativen är kostsamma.
Avslutning
Regelefterlevnad och compliance är inte en enskild händelse som enbart ska uppfyllas vid driftsättning. Det är ett tillstånd som måste underhållas i takt med att hot, krav och plattformen själv förändras. En regelriktig IT-plattform är därför både ett tekniskt val och ett förvaltningsval.
Citadel är ett sätt att hantera den utmaningen: en beprövad, dokumenterad och modulär plattform med en förvaltningsmodell som är byggd för att eftersträva compliance över tid. Det är inte den enda vägen till en regelriktig plattform, men det är vägen som börjar med en arkitektur som har granskats. Inget hjul behöver uppfinnas på nytt.
Om ni vill se hur Citadel mappar mot just era krav, boka ett möte med oss. Vi går igenom er nuvarande situation, vilka behov ni har och vad Citadel skulle kunna ge för fördelar för er.
Läs mer här om vår avgränsade IT-miljö: link22 Citadel.
