Upphandlingssystem och IT-säkerhet

Upphandlingssystem
och IT-säkerhet
Britta Johansson
Sentensia
1
Säkerhetsfrågor i fokus dagligen
2
IT-säkerhet i upphandlingssystem
• Deltagare presenterar sig för varandra
• Myndighet
• Erfarenhet av elektronisk upphandling
3
Kammarkollegiets upphandlingsstöd
• Kammarkollegiet har regeringens uppdrag att
utveckla och förvalta ett nationellt upphandlingsstöd samt att driva utvecklingen av elektronisk
upphandling
• Vägledning: IT-säkerhet i system för elektronisk
upphandling, utgiven 2013
4
System för elektronisk
upphandling
•
•
•
•
•
•
•
Visma TendSign
Mercell
Opic Dibus
Primona
EU-supply CTM
E-avrop
Avantra
Webbaserade molntjänster, används av upphandlare och
anbudsgivare
5
Grundläggande
säkerhetsfunktioner
Insynsskydd och sekretess
• Vid lagring
• Vid datakommunikation
Identifiering och autentisering
• Av företag eller
myndighet
• Av behörig person
• Elektronisk identitet kopplas till person
Behörighet
• att lämna anbud,
• att teckna kontrakt,
• att komma åt systemet
Äkthet, undertecknande och
förändringsskydd
• Förvanskningsskydd
• Undertecknande av FFU, Anbud,
Öppningsprotokoll, Kontrakt
Spårbarhet
• Vem har gjort vad
• Tid
• Håll reda på tidpunkter
6
Upphandlingsprocessen
7
Stegen i upphandlingsprocessen
• Annonsera
• Hämta handlingar
• Frågor och svar
• Lämna in anbud
• Öppna
• Utvärdera
• Tilldelningsbeslut
• Kontrakt
8
Vad säger lagen
• Anbud skriftligt
• Elektroniska medel allmänt tillgängliga
• Krav på systemen: säkert, behörighet, spårbarhet
• Får kräva elektronisk signatur
• Bevara säkert
• Öppna inte före tidsfristen
• Två personer öppnar
• Ingen uppgift lämnas ut innan beslut fattats
9
Hur mycket säkerhet behövs
• Gör en riskanalys!
• Vad står på spel?
• Vilka erfarenheter finns
• Vad händer om en oönskad händelse inträffar, vilka
konsekvenser blir det?
• Vilken sannolikhet är det att en oönskad händelse
inträffar?
• Skydd ska stå i proportion till risken
10
Dagens säkerhetslösningar
Hur går det till att åstadkomma säkerheten?
11
Kryptering för insynsskydd
• Insynsskydd åstadkoms genom kryptering.
• Krypterat data vid överföring, kryptering vid lagring av data
• SSL vanligast för webbtjänster
• Garanterar rätt webbplats
• Insynsskydd i kommunikation
• Nyckellängd bör vara 128 eller 256 bitar för säker transport
• Krypterad e-post
12
Elektronisk identifiering
• Hur vet vi att det är rätt person som uppges ha
behörighet
• Hur vet vi att det krypterade dokumentet kan läsas
av tilltänkt mottagare?
• Elektronisk identitet är centralt begrepp
13
Elektronisk identifiering
• Användarnamn och lösenord
•
•
•
•
skapas ofta av användaren själv
visar att samma person återkommer
lösenord ska inte lagras klartext
komplexiteten står för säkerheten
• Engångslösenord
• Tvåfaktorautentisering, t.ex. dosa, sms, papper
• Certifikat
• kan ha utgivare som knyter person till certifikat
• avancerad teknisk lösning, PKI
• Identitetsintyg
• Inom en federation där deltagarna litar på varandra
14
Elektronisk identifiering
Säkerheten i elektronisk identifiering beror på
• Den tekniska lösningen, hur säker är den
• Hur går identitetskontrollen till
• Utfärdarna av identiteter med hög säkerhet använder
metoder för utlämning som liknar dem för körkort, pass och
id-kort - hög nivå på identitetskontroll. Personligt möte kravs i
något skede
• Standardiserade metoder för att ange säkerhetsnivåer,
viktigt för att kunna ha tillit till andra aktörer
15
Säkerheten i den tekniska
lösningen för e-identifiering
• Den tekniska lösningen
•
•
•
•
Styrka i lösenord
Att lösenord inte lagras i klartext
Att lösenord är tillräckligt långa och komplexa
Att lösenord byts ut tillräckligt ofta
• Ett de enheter som ger engångslösenord hanteras som
värdehandlingar
• Att lösningar som bygger på certifikat och kryptering har
tillräckligt långa nycklar och att certifikat inte är spärrat
• Att medlemmar i en federation iakttar samma regler
16
Säkerhet i identifieringen
• Identifieringen när en elektronisk identitet utfärdas står
för att ge tillit till sambandet mellan personen och
dennes elektroniska identitet
• Exempel:
•
•
•
•
hämta ut dosa på bankkontor
skicka lösenord till folkbokföringsadressen
hämta ut lösenord med rekommenderat brev
använd tidigare person-till-person-identifiering för att få ny
elektronisk identitet
17
Elektroniska identiteter i Sverige
• E-legitimation
• SITHS - inom vårdsektorn
• Steria tjänstecertifikat
• STORK - för europiska medborgare
• Svensk e-legitimation - federation för offentlig
sektor
18
Identifiering av myndighet och
företag
• Är det rätt företag som lämnar anbud
• Är det verkligen den upphandlande myndigheten
som anbudet skickas till?
• SSL-protokollet identifierar webbplatser
19
Behörighet och åtkomstkontroll
• Vem är behörig att lämna anbud
• Vem är behörig att teckna kontrakt
• Alla upphandlingssystem innehåller behörighetskontroller
• Olika behörigheter för olika roller
• Olika behörighet vid olika tidpunkter
• Behörighetssystem kräver elektronisk identifiering
• Hur behörig behöver man vara för att få ut ett
förfrågningsunderlag?
20
Äkthet och förändringsskydd
• Checksumma
En matematisk metod att verifiera äkthet i en
datamängd, t.ex. ett dokument
• Förändring av data leder till annan checksumma
• Data kan inte återskapas ur checksumman
• I praktiken leder olika data alltid till olika checksummor
• En bra metod för att upptäcka förändringar,
avsiktliga eller oavsiktliga
21
Exempel på användning av
checksummor
• Manuell kontroll av anbud, överför checksumma på
överenskommet vis
• Lösenord bör lagras som checksummor, inte i
klartext
• Elektronisk signatur består av krypterad
checksumma
22
Elektronisk signatur
• Knyt ett dokument till en person på ett säkert sätt
• Vanligtvis krypteras en checksumma
• Metoden skyddar mot avsiktlig och oavsiktlig
förvanskning
• Metoden identifierar den som signerat
• En bra metod för att erhålla spårbarhet
23
Elektronisk signatur i upphandling
• Anbud kan signeras
• Myndigheter får kräva att anbud ska vara
elektroniskt signerade
• Kräver att både myndighet och alla anbudsgivare har
tillgång till elektroniska signaturer
• Kontrakt kan signeras elektroniskt
24
Elektroniska signaturer på svensk
marknad
• ChamberSign har tjänst för elektroniska signaturer
• Flera typer av elektroniska identiteter kan användas för
att skapa signatureren
• E-legitimationsnämnden upphandlar tjänst för att
skapa elektroniska signaturer baserade på Svensk elegitimation. Ett avrop på E-förvaltningsstödjande
tjänster 2010
• Inte särskilt vanligt ännu i upphandlingssammanhang
25
Federationer
• Federation: en gruppering som erkänner tillit till
varandra och tillämpar samma regelverk
• Svensk e-legitimation är en federation för svensk
offentlig sektor och utfärdare av e-legitimationer.
Administreras av E-legitimationsnämnden
• Peppol är ett EU-projekt för elektronisk offentlig
upphandling, har en federation för validering av
certifikat för upphandling inom EU. Nu Open Peppol
• Stork är ett EU-projekt som handlar om europeiskt
godkännande av elektroniska identiteter
26
Tid
• Tid är en väsentlig faktor i upphandlingssystem
• Systemen bör hämta tid från central server på
internet
• Loggning med tidsangivelser ska göras
• Det finns fristående tjänster för tidsstämpling
elektroniskt
27
Spårbarhet
• Loggning av alla händelser ger möjlighet till
spårbarhet
• Elektronisk signatur ger också god spårbarhet
28
Tillit till upphandlingssystemet
• Det upphandlingssystem som en myndighet anlitar
måste myndigheten ha tillit till
• Ett bra sätt är att begära att leverantören använder
ett ledningssystem för informationssäkerhet
• Följ standarden ISO 27 000
• Eventuell certifiering är bra, men inte nödvändig
29
ISO 27000
• I myndighetens
säkerhetsarbete
• I upphandlingssystemets
leverantörs
säkerhetsarbete
30
ISO 27000
•
•
•
•
•
•
•
•
•
•
•
Informationssäkerhetspolicy
Organisation av informationssäkerheten
Hantering av tillgångar
Personalresurser och säkerhet
Fysisk och miljörelaterad säkerhet
Styrning av kommunikation och drift
Styrning av åtkomst
Anskaffning, utveckling och underhåll av informationssystem
Hantering av informationssäkerhetsincidenter
Kontinuitetsplan för verksamheten
Efterlevnad
31
ISO 27001
Bilaga A Mål och åtgärder
• Ca 100 konkreta krav på åtgärder
32
Fler exempel ur ISO 27001 bil A
33
Riskbedömning
• Vilka krav ska man ställa
• På upphandlingssystemet
• På anbudsgivarna
• Gör en riskbedömning
•
•
•
•
vilka värden står på spel
hur känslig är marknaden
proportionalitet i kraven
internationell marknad
34
På gång i Sverige och EU
Direktiv, förordningar och lagstiftning
35
Ny lagstiftning om elegitimationer 2013
• Valfrihetssystem införs 1 juli 2013 för elektronisk
identifiering för myndigheters e-tjänster
• Upphandlingssystem kan betraktas som en e-tjänst
• Myndigheter och utfärdare av e-legitimationer kan
ansluta sig till en federation där ett regelverk anger
säkerhetskraven och rutiner
• Identitetsintyg enligt standard med olika typer av
bakomliggande elektronisk identifiering utgör
Svensk e-legitimation
36
Upphandling över gränserna
• Gränsöverskridande upphandling är ännu litet
• En myndighet som annonserar över
tröskelvärden och använder elektronisk
inlämning av anbud måste ange
hur utländska anbudsgivare ska
lämna anbud
• Arbetet i EU siktar på gränsöverskridande
upphandlingar
37
Vad är på gång inom området?
• Valfrihetssystem för e-legitimationer
• EU-förordning om gränsöverskridande elektronisk
identifiering, elektroniska signaturer m.m.
• Nytt upphandlingsdirektiv med krav på elektronisk
kommunikation
• Standarder för upphandlingsprocessen CEN/BII3
• Standarder för elektroniska signaturer
• EU-projekt: STORK, PEPPOL, E-SENS
38
Upphandlingsdirektiv
• Elektronisk upphandling blir obligatoriskt
• Miniminivå, e-kommunikation
• Flera moment ska kunna göras elektroniskt:
•
•
•
•
Annonsering
Tillgång till förfrågningsunderlag
Möjlighet att lämna anbud
Kataloger
39
Elektronisk identifiering
• Ny reglering av elektronisk identifiering och
elektroniska signaturer planeras
• Motiveras bland annat med kraven på elektronisk
upphandling
• Tekniska krav specificeras av EU-kommissionen
40
Status, förordningen, e-signaturer
• Mål
• att anta förordningen under EP nuvarande
mandatperiod
• Förhandlingarna (trilogerna) måste vara avslutade under
februari-2014
41
Status, förordningen, e-signaturer
• Artiklar 1-19
•
•
•
•
Inledande bestämmelser
E-legitimationer
Krav på tillhandahållande av betrodda tjänster
Tillsyn av betrodda tjänster
• Övriga artiklar
• Regler för e-signaturer och sigill, valideringstjänster,
bevarandetjänster, tidsmärkningar, e-delivery,
webbsideautentisering
• Elektroniska dokument (ej betrodd tjänst)
42
Avslutande checklista
43
Vad ska man tänka på?
• Riskanalys
• Ledningssystem
• Insynsskydd
• Informationsklassning
• Tidsangivelser
• Identifiering och
lösenord
• Behörighet hos
anbudslämnare
• Behörighet hos
utvärderare
• Elektronisk identifiering
• Elektronisk signatur
• Spårbarhet och
loggning
• Allmän IT-säkerhet
44