25 september 2018

Noggrann procedur bakom godkännande av IT-system

Försvarsmakten har olika rutiner för att godkänna IT-system, systematiska och väl dokumenterade, eller mer infor­mella. Men möjligheten att upptäcka sårbarheter skulle öka ytterligare om de användes tillsammans, tror forskare vid FOI som har kartlagt rutiner och regelverk för godkännande.

Kretskort med ljusbågar mellan sig

Systematiska och väl dokumenterade rutiner tillsammans med mer informella granskningar ökar möjligheten att upptäcka sårbarheter i IT-system. Bild från iStock.

Försvarsmakten använder såväl öppna IT-system som system med högsta sekretess­nivå, kritiska för rikets säkerhet. Det är därför extremt viktigt att de är säkra. De granskas och godkänns enligt olika procedurer eller rutiner som är styrda av ett omfattande regelverk.

– Det finns tre olika rutiner som alla syftar till att godkänna systemen. Vad de fokuserar på för att nå god­kännande är olika, säger Amund Gudmundson Hunstad, som är forskare vid FOI och som har undersökt hur Försvarsmakten och FMV godkänner IT-system.

Rutinerna har fokus på aspekterna sekretess, till­gänglig­het och det som kallas riktighet. Det sistnämnda innebär att information inte ska kunna manipuleras eller ändras otillbörligt. Själva process­erna för god­kännandet är olika beroende på vilket typ av system det handlar om. Särskild kritisk är det för system som hanterar exempelvis hemlig infor­ma­tion. De granskas i en omfattande och väl dokumen­terad process som styrs av såväl lagstiftning som Försvarsmaktens egna bestämmelser. FMV använder en liknande rutin.

– Ju mer sekretess man vill ha, desto viktigare är dokumentationen. Den krävs för att säker­ställa spår­barhet. Det är ett systematiskt, noggrant arbete, säger Amund Gudmundson Hunstad.

Informell granskning

När det handlar om färdiga system görs ibland en så kallad ”informell granskning”. Då är dokumenta­tionen inte lika omfattande. Fokus är i stället på att granska sårbarheter.

– Man bankar på systemet och ser om det går sönder, säger Amund Gudmundson Hunstad.

Det betyder att systemet testas i en simulerad miljö, liknande den det är tänkt att användas i. Det kan handla om att mata in data, uppdatera programmet, testa om det förekommer skadlig kod och hur programmet reagerar. Gudmundson Hunstad tycker att metoden i förekommande fall skulle kunna användas även som komplement till den mer systematiska granskningen.

– Jag tror att möjligheten att upptäcka sårbar­heter skulle vara större om man komplet­terade med mer informell granskning, säger han.

Slagsida mot sekretess

De egenskaper systemen testas på hänger ihop och motverkar delvis varandra. Hög sekretess innebär lägre tillgänglig­het och tvärtom. Om sekretessen är hög kan det också medföra att de som ska bedöma riktighet – exempelvis indika­tioner på manipulering – inte får den åtkomst de behöver för att göra det.

– Det är förhållandevis enkelt att säga att det ska vara sekretess, tillgänglighet och riktighet. Det är svårare att genomföra det i den grad som behövs. Även regelverket som styr försvaret har en slagsida mot sekretess, säger Amund Gudmundson Hunstad.

 

Enligt Amund Gudmundson Hunstad är följande viktigt att tänka på när en organisation tar fram rutiner för att godkänna IT-system:

  • Vilka effekter vill vi ha i verksamheten? Medför exempelvis ett IT-system med hög sekretess begränsningar i åtkomst till information? Är detta i överensstämmelse med verksamhetens behov och krav?
  • Vilka kvarvarande risker är vi villiga att kunna hantera därefter och hur hanterar vi dem?
  • Var systematiska men använt sunt förnuft.