Under den avslutande paneldebatten under Informationssäkerhets-konferensen påtalades vikten av att kryptera känslig information och att kommersiella krypteringssytem i offentlig förvaltning har granskats av oberoende kryptoexperter.

Dag Ströman, Sveriges certifieringsorgan för IT säkerhet vid FMV, berättade en historia om sårbarheter hos tre olika leverantörers USB-minnen som blev känd för ett och ett halvt år sedan.

Två var godkända av ett annat lands kryptogranskning, men det visade sig att alla tre hade samma typ av sårbarhet som gjorde att en angripare med rätt kunskap kunde läsa den krypterade informationen.

– Inget av dem hade kunnat bli godkänd mot de krav på krypterade USB-minnen som MSB nyligen tagit fram i samarbete med experter från FRA, Försvarsmakten, FMV och Polisen.

 

Enligt Dag Ströman visar exemplet att man bör förstå vad ett annat lands granskning syftar till innan man använder den som grund för egna beslut.

– Man behöver sätta sig in i vilka brister som deras granskningar försöker förebygga och ställa detta i relation till de risker man är beredd att ta och de hot som riktas mot Sverige. För Svenska offentliga förvaltningar är det därför naturligare att förlita sig på en svensk kryptogranskning.

Om en granskad produkt ändå skulle innehålla sårbarheter, är det enligt Dag Ströman lite lättare att komma i kontakt med de som gjort granskningen och hålla någon ansvarig om det är en svensk myndighet.

 

Landstingen blev intresserade av KSU sedan Datainspektionen slagit ner på att det ute i landet skickas patientuppgifter okrypterat över nätet.

– Vi har behov av kryptering och hade tänkt titta på KSU, men då visade det sig att vi redan hade den funktionaliteten. Vi kan redan nu kryptera med våra certifikat, säger Kjell Allestedt, informationssäkerhetschef på Inera, tidigare Sjukvårdsrådgivningen och ägt av landstingen.

 

I mer än tio år har Inera utvecklat en PKI, Public Key Infrastructure, en modell för framförallt kryptering men även signering, för vård och omsorg.

– Vi förvaltar PKIn och ger ut legitimationskort som oftast är SIS-märkta. Den är fastslagen av regeringen, därför kan man också säga att PKIn är godkänd av regeringen.

 

PKIn bygger på asymmetrisk kryptering och mottagaren erhåller två nycklar när han får certifikaten. Dels ett certifikat med den publika nyckeln, dels en hemlig nyckel som ligger på ID-kortets chip.

Myndigheterna betonar vikten av att systemen granskas av oberoende kryptoexperter. Kjell Allestedt säger att PKI är lite annorlunda eftersom själva krypteringen är en öppen och publicerad standard.

– Vi har en publicerad policy där man själv får läsa och avgöra om administrationen är tillräckligt säker så att man kan lita på certifikaten.

– Vi på Inera och många landsting har SIS-godkända kort som bygger på PKIn vilket innebär att Det Norske Veritas inspekterar.

 

Kjell AllestedtKjell Allestedt är nöjd med det nuvarande systemet och har inga planer på att överge det.

– Nej, absolut inte. Myndigheternas KSU har en vanlig symmetrisk kryptering med nycklar som ska ges till mottagaren och det vill vi gärna undvika. Däremot kan kanske KSU vara aktuellt i de fall man vill lagra information krypterat. Där passar inte PKI eftersom materialet är hopplöst förlorat om den enda nyckeln försvinner. Vår policy tillåter inte att man har en ”master key”.

 

Hittills har man gett ut 300 000 ID-kort med kryptonycklar.

– Alla landsting är med, ett stort antal kommuner och Kriminalvården är på gång att använda vår lösning, säger Kjell Allestedt.