Transcript Sikker digital postkasse —sikkerhetsvurdering

Nasjonal sikkerhetsmyndighet
Vår saksbehandler
Vår dato
Vår referanse
2013-04-30
A03 - S:13/01591-1
Deres dato
Deres referanse
Antall vedlegg
Side
1 av
Til
3
Kopi til
Se adresseliste
Sikker digital postkasse —sikkerhetsvurdering
Bakgrunn
Direktoratet for forvaltning og IKT (Difi) inviterte i brev av 20. desember 2012 til høring om
kravspesifikasjon for Sikker digital postkasse. Nasjonal sikkerhetsmyndighet (NSM) besvarte høringen
i uttalelse oversendt Difi 16. januar dette år, se vedleggl.
NSM nådde ikke frem med de synspunkter som ble fremmet i høringsuttalelsen oversendt Difi. Difi la
den 31. mai ut løsningen til anbudskonkurranse,
og derfor ønsker vi å informere Justis- og
beredskapsdepartementet
om våre anbefalinger - NSM er bekymret for at Difis kravspesifikasjon ikke
adresserer borgernes behov for konfidensialitet i tilstrekkelig grad.
Drøfting
Løsningen Sikker digital postkasse planlegges brukt til oversendelse av informasjon fra det offentlige
til landets innbyggere via en ekstern postkasseleverandør.
Det vil imidlertid være opp til innbyggerne
selv å registrere seg for tjenesten, så lenge de anser den som sikker, samt opp til avsender å vurdere
hvorvidt informasjonen som skal oversendes ikke er for sensitiv til å formidles via tjenesten.
NSM er bekymret for at hverken grunnleggende eller funksjonelle krav til informasjonssikkerhet
er
konkretisert godt nok for å kunne etablere en sikker digital postkasse. Spesifiserte konkrete
sikkerhetsmessige krav til funksjonalitet er etter NSMs oppfatning absolutt nødvendig for å kunne
oppnå det overordnede målet om tillitt til løsningen.
NSM er ikke kjent med hvilken informasjon som er tenkt formidlet via tjenesten, noe som gjør det
vanskelig å vurdere hvorvidt tjenesten er en god løsning. Samtidig er det vanskelig å spesifisere
adekvate og ikke minst relevante sikkerhetsmekanismer
for løsningen. NSM anbefaler at verdien
(sensitiviteten) til informasjonen som formidles, vurderes og legges til grunn for sikkerheten i
tjenesten. Det er uheldig at man i stedet for å etablere klare rammer og tydelige krav som er med på å
drive sikkerhetsfunksjonaliteten
fremover, heller baserer seg på det markedet leverer i dag. NSM tar til
orde for at
Grunnleggende krav til informasjonssikkerhet
i Sikker digital postkasse vil etter NSMs mening kunne
ivaretas gjennom to alternative tilnærminger. Enten utformer man kravene til postkassen som en
beskyttelsesprofil i henhold til en nærmere spesifisert Common Criteria, eller en sertifisert standard for
A03 —S:13/00002-3
Postadresse
Postboks 14
1306 BÆRUM
POSTTERMINAL
Høringssvar —Funksjonelle krav - kravspesifikasjon
Sivil telefon/telefaks
+47 67 86 40 00/+47 67 86 40 09
E-postadresse
[email protected]
Militær telefon/telefaks
515 40 00/515 40 09
Internetadresse (URL)
www.nsm.stat.no
sikker digital postboks
Nasjonal sikkerhetsmyndighet
datasikkerhet,
slik at man stiller krav om at allerede evaluerte og sertifiserte produkter og
komponenter benyttes. Ved å benytte Common Criteria vil de konkrete kravene til sikkerhetsmessig
funksjonalitet og tillit være spesifisert og etterprøvd.
NSM legger særlig vekt på behovet for ende-til-ende-kryptering
av all informasjon som sendes.
Informasjon fra avsender vil gå gjennom en meldingsformidler
før den ankommer mottakers
postkasseleverandør.
Leverandøren av postkassetjenesten
har ansvaret for å motta og plassere
innkommende
meldinger i mottakerens
postkasse. Ende-til-ende-kryptering
innebærer at kun
meldingsformidler og meldingsmottaker har anledning til å lese informasjonen i meldingen. Difi har
foreslått et konsept hvor informasjonen i meldingene kan krypteres ende-til-ende, men ønsker ikke å
kreve at dette er etablert før løsningen tas i bruk.
Det Difi ønsker, er at avsenderen krypterer informasjonen i meldinger til innbyggerne ved hjelp av et
sertifikat fra postkasseleverandøren.
Leverandøren
av postkassetjenesten
dekrypterer deretter
informasjonen i meldingen før den legges i mottakerens postkasse. Dette tilsvarer at en offentlig etat
legger et brev i en konvolutt og sender dette med posten frem til postmannen. Ved distribusjon åpner
postmannen konvolutten, tar ut brevet og legger det deretter i adressatens postkasse. Dette gir ikke
ende-til-ende-sikring
og postkasseleverandøren
vil ha full tilgang til all informasjon i brev og
dokumenter som brukerne av tjenesten mottar. I den fysiske verden er det verken lov eller mulig for
Posten å se innholdet i brevene de formidler. NSM vil derfor understreke viktigheten av at denne
konfidensialitetstjenesten
og tilliten til denne, blir bevart også ved en overgang til elektronisk
dokumentformidling.
NSM har derfor anbefalt at tjenesten Altinn styrkes og benyttes fremfor en ikke-tiltrodd-tredjepart. Så
lenge informasjonen ikke krypteres ende-til-ende, vurderer NSM det som avgjørende at ikke private
aktører får tilgang til informasjonen som formidles mellom staten og dens borgere.
NSM finner at en sikker digital postkasse-tjeneste kan leveres av private aktører. Dette forutsetter
imidlertid at «grunnmuren» i løsningen er sikker og at aktørene ikke kan få tilgang til informasjonen de
formidler og lagrer i sine postkasser.
Avslutning
Kravene til sikkerhet i digital postkasse er slik de fremkommer i Difis kravspesifikasjon
ikke
tilstrekkelige etter NSMs syn. Hovedårsaken til dette er at det ikke stilles krav som ivaretar den enkelte
borgers behov for konfidensialitet.
NSM anbefaler at man på kort sikt tar i bruk den offentlige tjenesten Altinn som leverandør av digital
post. Selv om en her har den samme utfordringen knyttet til konfidensialitet, vil en sikre at den enkelte
borgers informasjon ikke er åpent tilgjengelig for private aktører.
Det er NSMs etter oppfatning mer naturlig å vurdere private tjenesteleverandører når de er i stand til å
levere tjenester med den nødvendige sikkerhets "grunnmur" og ende —til —ende kryptering.
NSM anmoder Justisdepartementet om å adressere forholdet i lys av departementets
ansvarlig for IKT sikkerheten i samfunnet.
Avdelingsdirektør
Teknologiavdelingen
Side
2 av 3
Vår dato
2013-04-30
Vår referanse
A03 - S:13/01591-1
nye rolle som
Nasjonal sikkerhetsmyndighet
Adresseliste
Til:
Justis- og beredskapsdepartementet
Postboks 8005 Dep
0030 Oslo
DIFI
Postboks 8115 Dep
0032 OSLO
Fornyings-, administrasjons- og
kirkedepartementet
Postboks 8004 Dep
0030 Oslo
Forsvarsdepartementet
Postboks 8126 Dep
0032 Oslo
Kopi til:
Side
3 av 3
Vår dato
2013-04-30
Vår referanse
A03 - S:13/01591-1