Behovet av en samordning och precisering av kraven på ADB-säkerhet diskuteras i denna artikel av Christer Lindén, datasäkerhetschef vid Försvarets datacentral. Enligt Christer Lindén är olika skyddsmetoder och tekniker relativt välutvecklade medan detsamma ej gäller kravsidan där angelägna krav kan komma bort och detaljkrav ibland blir uppförstorade.
Intresset för säkerhetsfrågor i samband med ADB är glädjande nog stort. Säkerhetsfrågornas betydelse ökar vartefter samhällets beroende av en väl fungerande ADB-verksamhet ökar.
Tiden börjar nu bli mogen för att övergå ”from sounds to things”. Krav och önskemål på säkerhet framförs också från olika myndigheter, organisationer och intressegrupper (t ex datainspektionen, revisorer, fackföreningar m fl). Den sammantagna kravbilden är dock splittrad med risk för motstridiga krav och förbiseenden. Vidare saknas en entydig uppfattning om vad som skall förstås med begreppet ADB-säkerhet.
De investeringar som görs i dag (och i morgon) i maskin- och programvara är av väsentligt större omfattning (realtidssystem, databaser) och kan förutses ha betydligt längre ekonomisk livslängd än tidigare utvecklade (satsvisa) system. Säkerhetsfrågorna kan bäst tillgodoses, både funktionellt och ekonomiskt, om kraven beaktas redan vid utveckling och upphandling av ADB-produkter. Efterhandskonstruktioner blir allt dyrbarare.
Beslutsfattare och handläggare upplever i dag ställda krav på säkerhet som delvis oprecisa och dåligt samordnade. Risk finns för att en ojämn, ”godtycklig” säkerhetsbarriär byggs upp med fara för onödigt stränga säkerhetsåtgärder, oavsiktliga blottor samt bristande respekt för ställda krav som följd. Situationen medför också att kontrollerande institutioners (datainspektion, revisorer m fl) bedömningar kan innehålla ett besvärande stort inslag av subjektivt tyckande.
I det följande diskuteras grovt möjligheten till och behovet av en samordning och precisering av kraven på ADB-säkerhet.
1 ADB-SÄKERHETEN I MASSMEDIA
Vi kan se hur intresset för säkerhetsfrågor i samband med ADB väckts och inriktats genom att göra en snabb tillbakablick på hur debatten förts i massmedia, främst tidningarna.
I samband med folk- och bostadsräkningen 1970 avkrävdes svenska folket uppgifter om innehav av färg-TV, kylskåp m m. Därvid uppstod en mer eller mindre välgrundad oro för hur uppgifterna skulle användas (bl a rädsla för skatterevision). I pressen togs farhågorna upp till debatt varvid hotet mot den personliga ”integriteten” vid användning av ADB diskuterades.
Vid denna tid började även den datorbaserade selektiva direktreklamen (”skitposten”) att snabbt växa i omfattning. Denna företeelse satte ytterligare FARt på debatten. Dagstidningarna grundar sin ekonomi till stor del på annonsintäkter. Partiska personer med knytning till direktreklambranschen antydde att tidningsledningarnas intresse för debatten delvis utgick från egoistiska motiv. Direktreklam och uppbyggnaden av stora offentliga personregister kopplades ofta ihop.
Datalagen, som antogs 1973, tillkom bl a under intryck av nämnda debatt. Lagen syftar till skydd av personlig integritet vid ADB. Under lång tid därefter sattes, i den allmänna debatten, mer eller mindre likhetstecken mellan ADB-säkerhet och skydd av personlig integritet vid ADB.
Debatten har således främst uppmärksammat ett ostridigt viktigt skyddsobjekt. Men den har också banat väg för ett vidare säkerhetstänkande hos organisationer och enskilda. Befattningar som datasäkerhetschefer och ADB-revisorer har inrättats. Utredningar och utbildning inom säkerhetsområdet har initierats och utförts av olika organisationer som Statskontoret, Servi-Data, FAR, IBM m fl.
2 VAD ÄR DÅ ADB-SÄKERHET?
Som tidigare nämnts saknas en entydig definition av begreppet ADB-säkerhet. En praktisk avgränsning, som varken gör anspråk på att vara heltäckande eller invändningsfri, fås genom att se säkerhetskraven ur ADB-användarnas synvinkel. Ytterst är det ju användarnas krav på villighet att betala för ADB-information som skall beaktas. Externa krav (datalag, revisionskrav m fl) styr i sin tur vissa användarkrav. Ur följande allmänna användarfrågor kan flertalet säkerhetskrav härledas:
Är min ADB-information riktig? (Kvalitet)
Får jag min information i tid? (Tillgänglighet)
Är min information skyddad för obehörig insyn? (Sekretess)
Svaren på frågorna måste naturligtvis detaljeras och ”klädas på” med kvalitativa och kvantitativa uppgifter för olika typer av störningar.
Ovan har påståtts att säkerhetsfrågornas betydelse ökar. Några huvudmotiv härför ges i följande punkter:
ADB blir ett allt mer utnyttjat hjälpmedel. Beroendet är redan stort och ökar ytterligare. Återgång till manuella rutiner i krissituationer är ofta ogenomförbart.
Kraven på snabb tillgång till data har ökat enormt. Tyngdpunkten i ADB-verksamheten förskjuts i rask takt från lokal satsvis bearbetning mot olika former av terminalbaserad bearbetning.
Ödesdigrare följdverkningar av felaktiga data bl a beroende på ökat datautbyte mellan ADB-system.
Allt fler personer får direkt tillgång till dator via terminal. Ökade krav på behörighetskontroller ställs.
ADB-användarnas ökade intresse för säkerhetsfrågor kommer säkert även att medföra högre krav på en täckande, klar säkerhetsredovisning. Ledningar för ADB-avdelningar, servicebyråer m fl skall dokumenterat kunnat redovisa vidtagna säkerhetsåtgärder samt uppföljning över dessas effekt inför olika intressenter såsom användare, företagsledning, revisorer, datainspektion.
3 VILKA KRAVSTÄLLARE FINNS?
Nedanstående uppräkning gör inte anspråk på att vara vare sig fullständig eller korrekt. Den vill endast visa på mångfalden av reella och potentiella kravställare:
ADB-användare
Fackliga representanter
Datainspektionen
Statskontoret
Riksrevisionsverket
Föreningen Auktoriserade Revisorer FAR
Bokföringsnämnden
Servi-Data
Riksarkivet
Dataarkiveringskommittén
Sveriges Standardiseringskommission
Överstyrelsen för ekonomiskt försvar
Riksskatteverket
Bankinspektionen
Försäkringsbolag
Svenska Brandförsvarsföreningen m fl
4 SAMORDNING AV KRAV
Som framgår av ovanstående uppräkning är intressenterna på säkerhetsområdet många. En snar prövning av möjligheterna till samordning är därför önskvärd.
En översyn av datalagen pågår sedan maj 1976. Vid översynen skall bl a prövas hur datalagens skydd av den enskildes integritet skall kunna förstärkas. Övriga säkerhetsfrågor behandlas av datasamordningskommittén (DASK). Samordningsansvaret torde ligga inom DASKs uppdragsområde.
Visar det sig vara möjligt att ta fram gemensamma övergripande krav (riktlinjer, rekommendationer) torde datainspektionen kunna utnyttjas för praktisk rådgivning och uppföljning. Inspektionens goda överblick över ADB-verksamheten i Sverige borde borga för enhetlighet i bedömningarna.
5 PRECISERING AV KRAV
Man kan tycka att det är självklart att precisera och gärna också kvantifiera krav på säkerhet där så är möjligt. Ändå sker det i mycket liten omfattning. Varför? Förmodligen därför att preciseringar sällan begärts. Man har nöjt sig med uttryck som ”god säkerhet”, ”god intern kontroll”. Det har ofta lett till missuppfattningar om vad det svävande uttrycket ”god” innebär.
Enligt en känd politisk slogan ”om bara viljan finns” kan många säkerhetskrav uttryckas i precisare termer (antal, frekvenser, tider m m). Där kvantifieringar ej låter sig göras kan ofta en distinkt verbal målsättning uppställas.
Säkerhetskraven skall, om möjligt, vara så utformade att det är slutresultatet (effekten) som räknas. Härigenom undvikes utvecklingshämmande fixeringar till vissa metoder och tekniker. Jämförelse kan göras mellan bygganvisningar som anger viss tjocklek på isoleringsmaterialet och föreskrifter som i stället talar om maximala temperaturskillnader (resultatet) inomhus.
Underlättar preciserade krav säkerhetsarbetet? Ja – främst av två skäl:
Preciserade resultatinriktade krav underlättar kommunikationen mellan olika grupper av intressenter/experter.
Redovisning och tolkning av verkligt utfall mot uppställda mål underlättas.
6 SYNPUNKTER PÅ SÄKERHETSMÅL
Nedan redovisas kortfattat några synpunkter utifrån begreppen tillgänglighet, kvalitet, sekretess och uppföljning.
6.1 Tillgänglighet
Begreppet anger i vilken utsträckning tillgång till ADB-resurser kan tillhandahållas. Faktorer som påverkar tillgängligheten är av skilda slag såsom datorfel, personalbrist, programfel, kommunikationsfel, elfel, luftkonditioneringsfel, naturkatastrofer, krig.
Ledningen för ADB-verksamheten fastställer i samråd med sina användare och övriga intressenter kvantifierade tillgänglighetsmått. Hur ofta får oplanerade avbrott av olika tidslängd (inkl nedbrunnen dator) inträffa? Planerade dito? Utifrån dessa mått undersöks vilka åtgärder som erfordras och kostnader härför. En iterativ jämkning av krav och kostnader blir troligen följden.
6.2 Kvalitet
Begreppet anger i vilken utsträckning behandlad information är komplett och felfri. Det kan vara av intresse att ange riktvärden för några vanliga felkällor:
Kodning
Fel i ett fält 5–30 % före kontroll. 1–10% efter kontroll
Dataregistrering
Fel i ett fält 1 % före kontroll. 1 o/oo efter kontroll
Kvarvarande programfel i produktion
Antal fel = antal instruktioner (mycket grov uppskattning)
Kvalitetsbegreppet kan till större delen anges i kvantifierade termer. Kostnaden för kontroller och uttestning får vägas mot effekten av ”oupptäckta” felaktigheter. Även här blir det en iterativ process mellan användare, systemutvecklare, revisorer m fl.
6.3 Sekretess
Begreppet anger i vilken utsträckning obehörig åtkomst till information förhindras. Här är det mycket svårt att ge några siffror av typ antal förhindrade försök/totalt antal försök. Åtgärder får istället sättas in i enlighet med befintliga föreskrifter och gjorda rimlighetsbedömningar.
6.4 Uppföljning
Det är viktigt att ADB-verksamhetens olika behöriga intressenter har möjlighet att i praktiken verifiera uppfyllelsen av uppställda mål och effekten av vidtagna åtgärder inom säkerhetsområdet. Härvid ställs krav på dokumenterade rutin- och befattningsbeskrivningar samt mot målen avpassad uppföljningsinformation (driftstörningsinformation m m).
7 KAN SÄKERHETSKRAVEN STRUKTURERAS?
Ser vi på under punkt 3 uppräknade kravställare och deras olika utgångspunkter känns behovet av någon form av kravstrukturering starkt.
En förutsättning för att kraven skall kunna struktureras torde vara att ADB-systemen klassas i grupper efter någon huvudegenskap. På basis av denna klassificering kan säkerhetskraven bättre preciseras för varje grupp.
7.1 Klassificering
En mycket grov skiss ger bl a följande indelningspunkter:
Huvudegenskap
Redovisnings-, löne-, produktions-, statistiksystem m fl.
Bearbetningsteknik
Lokal satsvis bearbetning, olika former av terminalbearbetning.
Känslighet
Sekretessvärde avseende ekonomi-, person- och försvarsinformation. Tillgänglighetsbehov (inkl beredskap och krig). Behov av korrekt och komplett information.
7.2 Strukturering
Förhoppningsvis leder klassningen av ADB-system till ett relativt litet antal grupper och undergrupper. Av gruppindelningen framgår indirekt vilka de aktuella kravställarna är (punkt 3). Det borde vara möjligt att för varje grupp kunna ange säkerhetskrav i form av generella riktlinjer som fastställts av berörda myndigheter/organisationer.
Med utgångspunkt från nämnda riktlinjer kan sedan användarna i samråd med ADB-ansvariga utforma och fastställa preciserade säkerhetskrav för utveckling och drift av varje enskilt ADB-system.
Säkerhetsaspekterna torde kunna tillgodoses på ett rationellare sätt om skisserad kravstruktur kan realiseras.
7.3 Auktorisering av standardpaket
Inom AFIPS, USAs motsvarighet till Svenska Dataföreningen, pågår en diskussion om behovet av och möjligheterna till att auktorisera ADB-system. Diskussionen aktualiserades p g a bristande funktioner hos vissa system som utnyttjades av delstaten Kalifornien.
Auktorisationstanken bygger på att minimikrav (standards) finns specificerade för vissa applikationsområden. System som befinnes uppfylla kraven kan auktoriseras av lämpligt organ. (Jfr typbesiktning av bilar.)
I Sverige torde ev behov av auktorisation närmast vara aktuellt för standardpaket inom ekonomiområdet. Sådan auktorisation förutsätter dock att riktlinjer enligt punkt 7.2 finns framtagna.
8 SUMMERING
Vi har mycket att vinna på en klarare strukturering av kraven inom ADB-säkerhetsområdet:
Allmänheten bör kunna få en allsidigare syn på säkerhetsfrågorna.
Användarna kan formulera sina säkerhetskrav i resultattermer.
Systemutvecklare och driftansvariga får en bättre vägledning för utformning av erforderliga tekniska och administrativa åtgärder.
Det blir lättare att i efterhand följa upp huruvida säkerhetskrav i realiteten uppfylls.
Sammantaget ökar möjligheterna till en förbättrad rationell hantering av olika ADB-säkerhetsfrågor.
Christer Lindén, datasäkerhetschef vid Försvarets datacentral.