Kvalitetsmärkning för it-säkerhet nu på plats - Common Criteria förenar 26 länder

Under hösten träffades en internationell och viktig överenskommelse kring säkerhet i it-produkter. På något märkligt sätt hamnade det lite i medieskuggan här i Sverige, trots att Sverige som land spelade en stor roll i genomförandet. TechWorld har träffat Dag Ströman från Försvarets materielverk (FMV), som var ordförande och ledde förhandlingarna som ledde fram till att överenskommelsen ratificerades. Han berättade för oss om ett hårt och intensivt arbete för att ta fram en standard för hur it-säkerhet kan kravställas, och hur kraven ska tas fram i nära samverkan mellan leverantörer, myndigheter och andra relevanta intressenter.

Men vi börjar med en liten historielektion.

Den internationella överenskommelsen och samarbetsorganisationen kallas Common Criteria Recognition Arrangement (CCRA) och är ett samarbete mellan 26 länder som utvecklar säkerhetsstandarden Common Criteria (CC).

– Common Criteria är egentligen en hopslagning av tre olika standarder. Den äldsta är den som kallas the Orange Book. Det är en av de första it-säkerhetsstandarderna. Den togs fram i USA någon gång i början av åttiotalet, när man började upptäcka hur användbara sammankopplade datasystem var, men att det kunde gå ganska illa om man använde dem för kritiska tillämpningar utan att beakta säkerhetsaspekterna, säger Dag Ströman.

Han förklarar att man med andra ord omgående förstod hur viktigt det var med säkerheten. Därför började man skapa en standard för hur man skulle kunna granska it-säkerhet, vilket till en början nästan enbart handlade om operativsystemet.

– Kanada tog fram en liknande men anpassad standard. Snart upptäckte även Europa att man behövde en standard och Frankrike, Tyskland, England och Holland tog fram en europeisk standard som hette ITSEC, berättar Dag Ströman.

ITSEC-standarden kompletterades dessutom med en överenskommelse kallad Senior Officials Group – Information Security – Mutual Recognition Agreement, SOGIS – MRA, där myndigheterna i länderna som skapade ITSEC kom överens om att lita på varandras granskningar genomförda enligt standarden. En leverantör som fick ett ITSEC-certifikat i Frankrike kunde visa upp det i England och få samma status på den engelska marknaden.

Utan en sådan överenskommelse att erkänna varandras certifikat skulle annars leverantörerna varit tvungna att upprepa granskningen flera gånger, alltså en gång vardera av respektive lands it-säkerhetsmyndighet. När européerna utvecklade ITSEC, blev amerikanska leverantörer tvungna att först granska mot Orange book i USA och sedan mot ITSEC i något av de anslutna europeiska länderna och vice versa.

– Det blev snabbt tydligt att det gick emot det gemensamma intresset att tvinga leverantörer att lägga massor av pengar på att granska i princip samma sak flera gånger. Därför satte man omgående igång med arbete och diskussioner kring om man inte borde ha en gemensam standard. Det arbetet ledde fram till det som nu är Common Criteria, de gemensamma kriterierna för utvärdering av it-produkters säkerhetsegenskaper. Det är resultatet av förhandlingar kring tiotusentals detaljer.

En viktig fråga enligt Dag Ströman är att kunna definiera it-säkerhet på ett bättre sätt. För hur ska vi kunna få den it-säkerhet vi vill ha om vi inte kan uttrycka vad det är vi vill ha?

– Vi behöver ett språk som beskriver vad det är vi vill ha. Det duger inte att bara säga att man vill ha en säker produkt. Det är alltför tolkningsbart. Vad är den säker mot? Skyddar den mot en amatörhacker, eller ska den skydda mot en nationalstats samlade resurser? Det är två helt olika ansträngningar med att ta fram en säker produkt, beroende på vem du vill skydda mig mot.

Han menar att det till exempel inte går att peka på ett operativsystem och fråga om det är säkert eller inte, eftersom alla delar av det inte är lika säkra eller lika bra på att skydda all information.
– Man måste bli mycket mer precis i hur man uttrycker vilken säkerhet man vill ha. Hur ska den skydda, mot vem ska den skydda och hur verifierar vi att den håller vad den lovar?

Men hur ska den nya överenskommelsen förbättra de här processerna?
– Syftet med den nyligen uppdaterade CCRA-överenskommelsen är att vi inom en snar framtid kommer ha bättre kravställningsmodeller som svenska myndigheter kan använda, och som leverantörer kan visa att de klarar av att uppfylla. Enkelt uttryckt skulle man kunna säga att de 26 länderna som undertecknat den nya CCRA-överenskommelsen har kommit överens om en slags ”Svanenmärkning” för it-säkerhet. Och Sverige var ordförandeland och ledde förhandlingsarbetet.

CCRA syftar alltså till enklare och mer samstämmig certifiering av it-säkerhetsprodukter världen över. Det ska göra all granskning mer tillförlitlig och konsistent, men man vill också öka antalet evaluerade produkter som finns tillgängliga, och komma bort från behovet av upprepade evalueringar i olika länder.

– Vi såg att det existerande sättet behövde förändras för att bli effektivare. It-säkerhet är en fråga som alla länder försöker förstå hur de ska hantera.

Och nu är vi en bra bit på vägen?
– I september 2014 blev de 26 länderna överens om de nya principerna för hur arbetet att definiera it-säkerhet i it-produkter ska bedrivas. FMV representerar Sverige inom detta samarbete och jag själv har varit dess ordförande sedan 2009. Tittar man på listan över vilka länder och myndigheter som samarbetat och förhandlat kring detta, förstår man varför det är så viktigt och så intressant. Det är it-säkerhets- och signalskyddsmyndigheterna från USA, Storbritannien, Frankrike, Japan, Indien, Sydkorea och många andra som deltagit i arbetet.

Sverige är redan på god väg att anamma det här nya sättet. Och vi har haft en väldigt stor roll i att driva igenom det här.

– Frågan om krypto- och it-säkerhet diskuteras på hög nivå mellan olika länder. Det här får sådana effekter att det diskuteras på internationella toppmöten. I oktober förra året representerade jag CCRA vid diskussioner med bland andra USA, EU och Kina, om kryptosäkerhet. För krypton finns det olika regler i olika länder och under det här mötet diskuterades om man skulle kunna använda CCRA som en rekommendation.

Vad är Common Criteria?
Common Criteria är ett ramverk för att uttrycka krav på säkerhet i it-produkter. Det sker genom någonting som kallas skyddsprofiler (Protection profiles - PP), som är beställarens dokument där säkerhetsnivåer och önskemål specificeras.

– Det man ska komma ihåg är att CC i sig inte ställer några egna krav på it-säkerhet. CC är ett slags formulär som hjälper beställaren att själv effektivt formulera kraven. Men det förutsätter att hen själv vet vilka krav det är som ska definieras, säger Dag Ströman.

Den som använder CC måste alltså veta vad den vill ha. När köparen väl bestämt vad den vill ha, kan också leverantören göra anspråk på att möta de kraven och hävda att deras produkt håller en viss nivå. Om då beställarens krav matchar leverantörens anspråk finns det sedan regler för hur man verifierar att det verkligen förhåller sig så. Det handlar alltså både om hur du utrycker krav och hur du verifierar det.

Hur verifieras säkerheten?
I två dokument, den ovan nämnda PP:n och i leverantörens dokument som kallas Security Target (ST), beskriver man vilka tillgångar som ska skyddas, vilka hot som man ska kunna stå emot och vilken förmåga en tänkbar angripare har att göra ett angrepp.

– Det är skillnad på att motstå ett nyfiket prövande från en vanlig användare, och en avancerad hacker. Man kan skriva i detalj vad produkten skyddar mot, och sedan anpassar man kraven på testning utifrån vem som är angripare. Så om du har en produkt som inte är tänkt att kunna motstå sofistikerade angrepp så anpassas också kostnaden för granskningen efter det, berättar Dag Ströman.

Om det är en väldigt sofistikerad angripare som du vill skydda dig mot ställer CC mycket högre krav på designen. Produkten utsätts då också för fler och mer omfattande penetrationstester. Standarden anpassar sig alltså till det anspråk på säkerhetsnivå som leverantörer gör.

Det är den första delen med de grundläggande definitionerna. När beställaren väl vet vad det är man vill skydda sig mot, behöver man bryta ner det i funktionella krav. Det kan handla om med vilka säkerhetsfunktioner man vill möta hoten.

– Ska det vara krypto, loggning, autentisering eller något annat? Säg att du vill skydda din dagbok mot att en obehörig kommer åt informationen i den. Då väljer du bland de funktioner som passar bäst för just det du vill åstadkomma, säger Dag Ströman.

Nästa del i CC är ett stöd i arbetet att välja bra säkerhetsfunktioner. Den delen är en katalog av väldefinierade funktioner. Det är väl genomtänkta små delkrav som leverantören lägger in i sin ST.

När listningen är färdig är det dags för produkten att verifieras. Del tre av CC är ett smörgåsbord av granskningsåtgärder som man kan genomföra för att verifiera säkerheten.

– Det finns ingen bortre gräns för hur mycket man kan granska en produkt. Det går alltid att fortsätta. Här har vi standardiserat hur saker ska granskas och hur mycket det ska granskas. Sedan kan den som skriver PP eller ST bestämma hur mycket tid de vill att vi lägger ner på granskning, förklarar Dag Ströman.

Det här är det som beskrivs i en PP och ST. Det är noga genomarbetade dokument på allt mellan tjugo och hundratals sidor.

När man väl har en ST eller PP klar, skickar leverantören sin produkt och nödvändig produktdokumentation med till exempel designbeskrivningar och källkod till ett evalueringsföretag (it security evaluation facility – itsef), som testar och verifierar produkten mot de krav som ställts.

– Det här är privata expertföretag, som är oberoende av leverantören, och licensierade av certifieringsorganet. I Sverige har vi två licensierade evalueringsföretag som utför sådana testningar. Det är Combitech och Atsec. Vi kollar att det vet hur de ska testa, att de kan tekniken och att de kan hålla sekretessen uppe.

Hur får de ert godkännande?
– Evalueringsföretaget testar och vi övervakar deras arbete. När vi tycker att de utfört arbetet i enlighet med standarden, utfärdar vi certifikatet och då litar resten av organisationen på att det lika bra gjort som i de andra länderna som är med i CCRA. Det itsef:arna gör handlar alltså om evaluering, medan det vi gör är certifiering. Det vill säga att vi verifierar att labben gör sitt jobb.

Genom standarden och CCRA finns det 17 länder som har ett certifieringssystem för att göra granskningar. Totalt är det ungefär 60 labb världen över som utför granskningar på det här certifierade sättet, under övervakning av sina nationella experter.

– Det är ett väldigt viktigt verktyg för leverantörerna som kan få en granskning gjord som är godkänd i alla 26 länderna. Länderna vet att med den tillsyn över labben som myndigheterna gör så kan de lita på alla de produkter som passerat den här apparaten. Det betyder att de får ett större underlag och urval inför sina upphandlingar.

– Vi vill att myndigheter och industrin ska läsa standarden och använda den för sina behov. Det handlar om att komma överens om hur standarden ska tolkas för framtidens utveckling. Kommer det nya hot ändrar vi oftast inte själva standarden. Däremot ändras kraven på hur vi verifierar att något är korrekt gjort.

Aktörer inom certifieringsordningen är utvecklaren (företaget som tillhandahåller produkten), sponsorn (beställer och finansierar oberoende granskning av produkten), evalueringsföretaget (även kallat itsef, som granskar produkten enligt Common Criteria) och certifieringsorganet CSEC (som granskar och godkänner evalueringsföretagens rapporter och utfärdar certifikat).

Överskattar tillverkarna hur bra deras produkter skyddar?
– Ja, det har givetvis hänt. Men om de skriver upp sina anspråk för högt och säger att de klarar av väldigt sofistikerade hot, då blir också evalueringen både hårdare och dyrare för dem att genomgå.

Hur ser leverantörerna på CCRA?
– Den vanligaste kritiken är att det kostar för mycket och tar för lång tid. Till viss del kan den kritiken vara befogad, men den uppstår på grund av att tillverkarna inte gör produkter som är bra nog. Labben gör det besvärligt för dem.

Hur gick förhandlingarna till?
– Först jobbade vi flera år med att diskutera principerna för den nya överenskommelsen. 2012 kom vi överens om principerna i ett så kallat vision statement. När vi var överens om vad vi ville åstadkomma, tog det ytterligare ett år att komma fram till ett detaljdokument där vi i princip var överens om den nya texten. Därefter gick den texten på legal granskning i alla 26 länderna. Många av dem skickade den till alla sina departement, varpå det kom in massor av små detaljändringar och diskussioner.

– I maj var vi till sist överens om slutversionen och jag kunde ställa frågan till alla länderna om de var beredda att signera det här. Först fick jag samla in ett godkännande att de var beredda att göra det, och i juli fick jag in det sista godkännandet. Därefter tog det från juli till september att samla in signaturerna. Det går på lite olika nivåer i olika länder. I vissa länder är det ministrar som undertecknar.

Men nu är det klart?
– Den 8 september nådde vi slutmålet med så många års arbete. Sverige var ordförandelandet som ledde förhandlingarna mellan dessa 26 länder, och vi rodde det i hamn. Det är en stor bedrift. Det finns ett väldigt positivt samarbete som ökar tilliten mellan länder och jag tycker att det är värt att belysa det, avslutar Dag Ströman.