Public Key Infrastructure
Kan ett systeminförande med PKI förbättra rutiner avseende IT-säkerhet?
Examensarbete utfört inom området data- och systemvetenskap vid Luleå Tekniska Universitet
av
Lena Westerlund Åsa Åström Luleå 01-05-21 Handledare:
Dan Harnesk, Luleå tekniska universitet
Institutionen för industriell ekonomi och samhällsvetenskap Avdelningen för Data- och systemvetenskap
Sammanfattning
Detta examensarbete behandlar PKI (Public Key Infrastructure) och säkerhet.
Syftet med rapporten var att undersöka om ett systeminförande med PKI i ett företag, kunde förbättra vissa rutiner rörande IT-säkerhet. Vi ville se om rutin- förändringen har medfört att arbetet har underlättats för den som utför rutinen.
Vi har försökt skapa oss en helhetsbild av ämnesområdet genom litteraturstudier och fallstudie. Fallstudien har omfattat intervjuer med IT-säkerhetschef och en användare inom Västernorrlands läns landsting. Vi har funnit att landstinget vi undersökt har förbättrat säkerheten i och med systeminförandet med PKI. Denna undersökning har inte kunnat verifiera någon rutinförbättring orsakad av PKI- införandet.
Abstract
This paper deals with PKI (Public Key Infrastructure) and security. The purpose of this study was to examine whether a systemimplementation with PKI in a company, could improve some routines concerning security. We wanted to see if the change in routines has made the work easier for the person that performs the routine. We have tried to make ourselves an overall picture of the subject field through literature studies and case study. The case study has included interviews with an IT-security manager and a user within Västernorrlands läns landsting. We have found that landstinget we studied has made improvements concerning IT- security when they have implemented a system with PKI. In this study we have not been able to verify any improvements in routines caused by the implementation with PKI.
Förord
Denna rapport är ett resultat av vårt examensarbete på C-nivå (10 p) i system- vetenskap på avdelningen för data och systemvetenskap vid Luleå tekniska universitet.
Vi har valt att studera området PKI och säkerhet vid elektroniska transaktioner pga vårt stora intresse för denna nya teknik.
Vi vill rikta ett stort tack till:
• Dan Harnesk, vår handledare vid Luleå tekniska universitet
• Annika Holmgren och Kristina Bergström, Avantra AB i Luleå för hjälp och stöd, och för att resan till Härnösand möjliggjordes
• Hans Asplund, IT-säkerhetschef vid Västernorrlands läns landsting, för all hjälp och för intervjun
• Henrik Bjerneld, Sema i Sundsvall, för hjälp med uppstart, tips om fallstudie och för bildspelet
• Eva Andersson, 1:e tandsköterska vid Alnö tandkliniken vid Västernorrlands läns landsting för intervjun
Luleå den 21 maj 2001
……….. ………
Lena Westerlund Åsa Åström
1 INLEDNING ... 1
1.1 BAKGRUND ... 1
1.2 PROBLEMOMRÅDE ... 1
1.3 SYFTE ... 2
1.4 HYPOTES MED DEFINITIONER ... 2
1.5 VARIABLER...3
1.6 AVGRÄNSNINGAR ... 3
1.7 MÅLGRUPP OCH FÖRKUNSKAPSKRAV ... 4
2 METOD ... 5
2.1 ARBETSPROCESS ... 5
2.2 UNDERSÖKNINGS- OCH FORSKNINGSANSATS ... 5
2.2.1 Metod – Fallstudie ... 6
2.3 DATAINSAMLINGSMETOD ... 6
2.3.1 Intervjuer ... 7
2.4 URVAL ... 7
3 TEORI ... 9
3.1 SYSTEMINFÖRANDE ... 9
3.1.1 Syfte med informationssystem ... 9
3.1.2 Vinster vid systeminförande ... 10
3.2 SÄKERHET – BEGREPP OCH DEFINITIONER ... 11
3.2.1 IT - säkerhet ... 11
3.2.2 Hot ... 12
3.2.3 Skyddsåtgärder ... 13
3.3 PKI ... 15
3.3.1 Vad är PKI? ... 15
3.3.2 Elektroniska signaturer ... 15
3.3.3 Identifiering ... 17
3.3.4 Kryptering ... 18
3.3.5 Användningsområden för PKI ... 19
3.3.6 Fördelar och nackdelar ... 20
3.3.7 Rutiner. ... 20
4 EMPIRI ... 23
4.1 VÄSTERNORRLANDS LÄNS LANDSTING ... 23
4.1.1 Från ”Closed User Group” till PKI...23
4.1.2 Pilotprojektet för PKI inom landstinget...24
4.2 ANALYSFÖRFARANDE ... 25
4.2.1 Analysens upplägg ... 25
4.2.2 Faktorer av vikt för datainsamling ... 26
4.2.3 Utformning av intervjuguide ... 27
4.2.4 Tolkningsförfarande ... 27
4.3 RESULTAT ... 28
4.3.1 Resultat – IT-säkerhetschef ... 28
4.3.2 Resultat – användare ... 31
4.4 SAMMANSTÄLLANDE RESULTATTOLKNING ... 33
4.5 ANALYS...35 INNEHÅLLSFÖRTECKNING
INNEHÅLLSFÖRTECKNING
5 SLUTSATS...37
5.1 SLUTSATS...37
5.2 METODDISKUSSION...37
5.3 EGNA REFLEKTIONER...38
5.4 FÖRSLAG TILL FORTSATTA STUDIER...39
6 REFERENSLISTA......41
BILAGA A Intervjusammanställning IT-säkerhetschef... BILAGA B Intervjusammanställning användare... BILAGA C Lagen om Kvalificerade elektroniska signaturer... BILAGA D Systemöversikt LVN... Figurförteckning Figur 1: Infrastruktur för elektronisk signatur………. 16
Figur 2: Asymmetrisk kryptering………...………...18
Figur 3: Resultatmatris... ………35
1
1 INLEDNING
1.1 BAKGRUND
Inom det område som vår utbildning specialiserar sig mot, nämligen Interorga- nisatoriska nättjänster, så finns det ett område som vi tycker är viktigt och intressant, nämligen säkerhet. För att människor ska kunna utbyta varor och tjänster elektroniskt, så måste man kunna förlita sig på en hög säkerhet.
En av de nyaste teknikerna för att åstadkomma säkra överföringar, är att använda PKI. Det har varit intressant att studera en så pass ny teknik som PKI är och det har gett oss värdefull kunskap. Spridningen av PKI är ännu inte så stor i Sverige, men av datatidningarna att döma så kommer det starkt. Vi tror att detta system kan få stor användning inom framför allt stora, ekonomiskt stabila företag och myndig- heter. För de företag/myndigheter som har behov av hög säkerhet och har pengar att satsa, så är detta definitivt något att överväga.
1.2 PROBLEMOMRÅDE
Spridningen av information på elektronisk väg har ökat de sista åren. I takt med denna ökning uppmärksammas också hoten. Olika hot kräver olika skyddsåtgärder och det gäller att vara förutseende om man vill undgå att drabbas. Internt inom företag är det lättare att skydda sig eftersom man oftast känner varandra, men vid informationsöverföring på oskyddade nät som exempelvis Internet kan man aldrig vara säker på att den man kommunicerar med är den han/hon utger sig för att vara.
Exempel på sätt att skydda sig mot dessa hot, är användning av ett elektroniskt ID-kort för att identifiera sig eller att kryptera informationen innan den sänds.
Elektroniska affärer är ett område som utvecklats mycket under de sista åren och då framför allt de affärer som görs mellan företag/myndigheter. I en artikel i Computer Sweden (nr 32, 2001), berättades nyligen att utvecklingen för företag inom detta område går dåligt. Bedrägerier slår hårt mot företagens vinst. Tom Carthy (refererad i SIG Security, 1999) har gjort en undersökning som visar att många företag upplever att ett av de största hindren för att göra elektronisk affärssamverkan på Internet, är att säkerhetsfrågorna inte är lösta.
INLEDNING
2
Olika system kan användas för att göra överföringar säkra. Under de sista åren har en helt ny typ av lösningar utvecklats. Samlingsnamnet för dessa är PKI, vilket står för Public Key Infrastructure. Inom dessa system använder man sig av asymmetrisk kryptering i kombination med ett stort regelverk. Detta leder till att man på ett helt annat sätt än tidigare kan förlita sig på andras identitet. Den nya lagen om kvalifi- cerade elektroniska signaturer ger dessutom en juridisk giltighet, vilket bör kunna underlätta dessa transaktioner. I boken ”Elektroniska signaturer” av Andreas Halvarsson och Tommy Morin (2000) kan man läsa att analytiker tror att mark- naden för dessa system är mycket lovande på grund av fyra faktorer: juridik,
teknik, standard och Internet. Systemen tros även kunna förbättra företagens säker- het och effektivisera rutiner åtskilligt. Men gör de verkligen det? I Västernorrlands läns landsting pågår sedan 1999 ett pilotprojekt kring PKI. Har deras säkerhet blivit högre och rutinerna blivit förbättrade sedan de införde ett PKI-system? Det är detta som vi vill undersöka.
1.3 SYFTE
Vi avser med denna rapport att:
Undersöka hur ett systeminförande med PKI kan påverka vissa rutiner rörande IT-säkerhet.
Med ”vissa rutiner” avser vi de rutiner som kräver ett säkert handhavande. De rutiner vi kommer att undersöka är sådana som respondenterna upplevt blivit för- ändrade.
1.4 HYPOTES MED DEFINITIONER
Den frågeställning vi vill undersöka är:
Kan ett systeminförande med PKI medföra någon förbättring av vissa rutiner rörande IT-säkerhet?
Definitioner
För att en rutin ska få kallas rutin behöver den inte vara dokumenterad. Därför bedömer vi att även en rutin som inte finns dokumenterad i en rutinbeskrivning ingår i denna grupp.
Under förutsättning att syftet för rutinförändringen är att underlätta arbetet för användaren, kan en förbättring av en rutin enligt vår definition innebära:
INLEDNING
3
• En övergång från en manuell rutin, till en IT-stödd rutin.
• Att rutinen åstadkommer en tidsbesparing för den som utför rutinen.
1.5 VARIABLER
För att kunna undersöka rutinernas förändring, har vi tittat på fem variabler. Dessa beskrivs överskådligt nedan. I kapitel 4 beskrivs de tydligare och kopplingen mot teori, samt tolkningen förklaras.
• Rutinsteg. Utifrån beskrivningen av hur rutinen utförs delar vi in rutinen i rutinsteg. Dessa ställs i analysen mot varandra för att vi ska se vilken föränd- ring som inträffat. Vi räknar även stegen för att se om antalet minskat.
• Övergång från manuell till IT-stödd rutin. Detta är en av våra definitioner för förbättrade rutiner. Vi vill se om denna övergång skett i och med system- bytet.
• Tidsbesparing. Denna variabel kommer också från vår definition av för- bättrade rutiner. Vi avser att undersöka om systembytet lett till någon form av tidsbesparing för berörda parter, i utförandet av rutinen.
• Säkerhet. Eftersom säkerhet är den största anledningen till att göra ett systembyte till PKI, så vill vi få bekräftat att systemet fortfarande är säkert.
• Orsak till förändring. Om rutinen har förändrats är det viktigt att se vad som är orsaken till förändringen, PKI eller systeminförandet.
1.6 AVGRÄNSNINGAR
Vi kommer att redogöra teoretiskt för grunderna till ett systeminförande i form av syfte och vinster. Beträffande rutiner kommer vi att redogöra för varför rutiner är viktigt, samt koppla rutiner till säkerhet och PKI.
Inom området säkerhet kommer vi endast att ta upp de bitar som behövs för för- ståelsen för PKI, nämligen IT-säkerhet. Vi kommer inte att redogöra för den administrativa säkerheten. Inom områdena hot, risk och skyddsåtgärder, kommer vi endast att ta upp de bitar som berör grundkraven inom säkerhet. Vi kommer att redogöra för syftet och grunderna för informationsklassificering, utan att gå in på hur klassindelningen ska göras.
Inom området PKI kommer vi att redogöra för grunderna till elektroniska signa- turer, identifiering, kryptering och signering, och sådant som behövs för att skapa en helhetsbild över detta. Rapportens tekniska bitar ska endast ge en grundför- ståelse, och är därför inte djupt beskrivna. Inom området kryptering kommer vi att redogöra för grunderna för asymmetrisk kryptering.
INLEDNING
4 INLEDNING
Vi kommer däremot inte att gå in i själva krypteringsalgoritmerna, eftersom de ej är nödvändiga för förståelsen av området. Vi kommer ej heller att förklara eventu- ella protokoll som nämns i rapporten. Vi avser ej att mäta i vilken utsträckning rutinen har förbättrats, utan hur den har förbättrats. I vår analys kommer vi inte att undersöka tekniska faktorer.
1.6 MÅLGRUPP OCH FÖRKUNSKAPSKRAV
Med denna rapport vänder vi oss främst till personer som arbetar med eller är intresserade av säkerhet vid elektroniska transaktioner. Exempel på personer som rapporten lämpar sig för är:
• dataansvariga inom företag
• IT-säkerhetsansvariga inom företag
Det är även tänkbart att en användare med goda datakunskaper, kan ta del av vissa delar av rapporten.
Tyngdpunkten i teoridelen i vår rapport ligger inom områdena systeminförande, säkerhet och PKI. För att aktivt kunna ta del av innehållet i rapporten bör man behärska centrala begrepp inom säkerhet, data- och datorkommunikation.
5
2 METOD
I detta kapitel beskriver vi arbetsprocessen, som lett fram till det färdiga arbetet, vår undersökningsansats, forskningsansats och datainsamlingsmetod.
2.1 ARBETSPROCESS
Vår studie påbörjades med litteraturstudier inom vårt tilltänkta problemområde.
Utifrån litteraturen identifierade vi problemområdet som vi skulle arbeta inom.
Problemområdet, syftet och hypotesen formulerades i skrift. Huvudområdet för studien beslutades tidigt, men den specifika inriktningen och hypotesen har vi redigerat.
Litteraturstudier och nertecknande av teoriavsnittet inom området har pågått under hela vårterminen, parallellt med arbetet att hitta den exakta inriktningen. Eftersom antalet fallstudieföretag inom vårt område var få, så fattade vi beslut om lämpligt företag innan den exakta hypotesen var klar. Efter att ha diskuterat med en person på företaget, kunde vi med litteraturen som grund hitta en lämplig frågeställning att undersöka.
Datainsamlingen utfördes på företaget och därefter påbörjades analysen av det insamlade materialet. Analys och tolkningar av resultat, återspeglar teori- bakgrunden som finns i rapporten.
Det hela avslutades med att slutsatsen fastställdes och sammanställdes i rapporten.
2.2 UNDERSÖKNINGS- OCH FORSKNINGSANSATS
Avsikten med denna rapport var att undersöka hur ett systeminförande med PKI påverkar ett företag. Vi ville då specifikt se om detta kunde medföra en förbättring av vissa rutiner rörande IT-säkerhet.
Vi valde fallstudien som metod för att verifiera, alternativt falsifiera vår fråge- ställning.
METOD
6
2.2.1 Metod – Fallstudie
För att pröva vår hypotes valde vi att göra en beskrivande fallstudie, eftersom vi ville få fram hur ett företag förändrat sina rutiner i och med ett systeminförande med PKI.
”A case study is an empirical inquiry that investigates a contemporary phenomenon within its real-life context, especially when the boundaries between phenomenon and context are not clearly evident”
(Yin, 1994, sid. 13).
Vi insåg att med tanke på våra begränsade kunskaper inom detta nya område som PKI är, så skulle en fallstudie kunna ge oss de data som vi var intresserade av att samla in. Eftersom tekniken är relativt ny så fanns det inte så många lämpliga företag att välja bland. Vi ansåg att det skulle räcka med ett företag som infört PKI, om vi valde ett där användare hade hög kunskap om säkerhet och relativt stor erfarenhet av att använda datorer.
Vårt problemområde består av faktorer som ska beskrivas och av personliga hand- lingssätt. Därför har vi använt en metod som ger kvalitativa resultat.
I den kvalitativa metoden använder man sig inte av siffror eller tal, utan istället verbalaformuleringar, enligt Jarl Backman (1998).
2.3 DATAINSAMLINGSMETOD
För att samla in data valde vi att göra litteraturstudier och intervjuer.
Litteraturstudierna har omfattat teorier kring systeminförande, rutiner, säkerhet och PKI. Med dessa som grund har vi arbetat med problemformulering, datainsamling genom fallstudie, sammanställning av data och analys av denna. Litteraturen till studierna har huvudsakligen varit böcker, och till viss del artiklar. Vi har haft vissa svårigheter att hitta generell litteratur avseende systeminförande, men Andersen (1994) och Flensburg m. fl. (1999) beskriver relativt enkelt detta område, varför vi i huvudsak har refererat till dem. Inom området säkerhet har det funnits ett stort antal böcker att välja mellan, medan det inom området PKI har varit svårare att hitta litteratur som ger en helhetsbild över ämnet. Eftersom detta område är mycket viktigt för myndigheter, så har Statskontoret gett ut ett antal rapporter rörande PKI och säkerhet vid elektroniska överföringar. I huvudsak har vi använt oss av
Halvarsson & Morin (2000), och kompletterat med Statskontorets rapporter.
Litteratur avseende rutiner har varit ett stort problem och vi har därför använt oss av ett antal böcker.
METOD
7
Eftersom antalet respondenter var få, bedömde vi att fallstudien skulle genomföras med hjälp av personliga intervjuer. Detta för att ge oss ett tydligt resultat. Att välja enkät som intervjumetod ansåg vi olämpligt, då det kräver större antal respon- denter för att ge den typen av undersökning giltighet. Enkät utesluter oftast möjlig- heten att få fram de svar av beskrivande karaktär, som vi var intresserade av att analysera.
2.3.1 Intervjuer
Vi ville göra en jämförelse mellan de faktorer vi hittat i litteraturen, och i verklig- heten. Detta möjliggjorde vi genom formuleringen av våra intervjufrågor.
Rutinernas förändring tydliggjordes genom att respondenterna fick beskriva vad rutinen bestod av och hur den utfördes. Detta gjordes så utförligt som möjligt, för att vi skulle kunna räkna de steg rutinen bestod av. Vi ville dessutom få fram
infomation om eventuell tidsbesparing, övergång till IT-stödd rutin, om säkerheten upplevdes förbättrad, samt orsaken till förändringen. Detta analyserades sedan kvalitativt och sammanställdes i form av en matris.
Intervjuerna har gjorts med två yrkeskategorier inom företaget, IT-säkerhetschef och användare. Detta för att få ett bredare perspektiv över den påverkan införandet kunde ha. Eftersom den data vi ville få fram var av beskrivande karaktär, så
försökte vi att inte styra frågorna för respondenterna. Där vi såg att respondentens kunskaper i ämnet var stora, så lät vi han/hon berätta relativt fritt.
Intervjuerna utfördes på plats hos respondenterna, för att vi skulle ha möjlighet att studera denna nya teknik. Intervjuerna berörde ämnen i teoriavsnittet, men utformades lite olika beroende på respondenternas kunskaper.
2.4 URVAL
Målet med vår datainsamling var att få veta vilka effekter ett systeminförandet med PKI haft på vissa rutiner i ett företag.
Vid valet av företag att studera var urvalet ej speciellt stort, eftersom tekniken vi valt att studera inte är spridd i Norrbotten. Den existerar i övre Norrland endast i form av pilotprojekt på några orter. När vi med hjälp av en konsult inom området fått information om vilka tillgängliga företag som fanns, så var valet ganska lätt.
Den huvudsakliga anledningen till att vi valde landstinget, var att organisationen här är hierarkisk och att kunskaperna inom säkerhet här var höga. Inom en hierarki har olika yrkeskategorier olika behållning från ett datasystem och även olika typer av rutiner som kan förbättras.
METOD
8
Detta borde ge oss ett bredare perspektiv över problemet. Beträffande kunskaper hade vi av den vidtalade konsulten fått veta att detta företag hade de mest kunniga användarna.
Vi kontaktade landstinget och förvissade oss om att de uppfyllde våra kriterier, nämligen att de testat PKI under en period och att de dessutom var intresserade av att ställa upp på vår undersökning. Kravet vid val av respondenter var att perso- nerna i fråga varit med innan det nya systemet infördes, eftersom vi ville göra en jämförelse mellan det gamla och det nya systemet.
För att få en förståelse för vad PKI innebar beträffande teknik och säkerhet, valde vi att först utföra en intervju med IT-säkerhetschefen på landstinget. Eftersom han dessutom varit projektledare under hela projektet, så satt han inne med mycket kunskap och förstod vilken påverkan detta införande hade i organisationen. För att ytterligare få mer djup i insamlad data, kändes det viktigt att intervjua någon som använder denna teknik och vet hur användare påverkas av systeminförandet.
Det är inte alla på varje arbetsplats som använder PKI utan endast ett fåtal. PKI- användarna på alla tandkliniker utför däremot samma arbetsuppgifter och vi ansåg därför att det skulle räcka att intervjua en användare. Efter att ha utfört intervjun med användaren, har vi sedan vänt oss till IT-säkerhetschefen för att från honom få mer information om rutinernas koppling till systeminförandet/PKI.
METOD
9
3 TEORI
Vi kommer i detta kapitel att redogöra för sådant som gäller generellt vid system- införande. Vidare kommer vi att redogöra för de krav som ställs på ett system för elektroniska transaktioner, hur detta kan uppfyllas, samt teorier och begrepp som finns inom områdena säkerhet och hot. Vi kommer också att beskriva grunderna för PKI, samt koppla säkerhet och PKI till rutiner.
Avsikten med vårt teoriavsnitt är att ge en helhetsförståelse för dessa områden.
3.1 SYSTEMINFÖRANDE
Ett införande av ett nytt system i ett företag påverkar hela företaget. Vi kommer därför under denna rubrik att redogöra för syftet med ett systeminförande och vilka vinster som kan uppnås med systeminförandet.
3.1.1 Syfte med informationssystem
Det finns enligt Flensburg och Friis (1999) tre syften med att införa ett informa- tionssystem. Dessa är rutin, kontroll och styrning, samt stöd.
Det första syftet rutin, innebär att vissa rutiner i arbetet kommer att effektiviseras när datasystemet införs, det blir både snabbare och säkrare än om rutinen skulle ha utförts av människor. Flensburg m.fl. (1999) menar att när de rutinbetonade arbets- uppgifter införs i ett datasystem kommer den mänskliga kapaciteten frigöras.
Kontroll och styrning innebär att upplysningar i datorn kan användas i andra sammanhang. Exempelvis så kan affärsstatistik användas av ledningen till besluts- stöd. Problemet var förut att begränsa informationsmängden. Behov av att kunna göra rapporter som inte innehöll överflödig information uppkom.
För att hantera problemet med informationsöverflöd finns det två lösningar. Den ena innebär att man försöker styra informationsresurserna, så att beslutsfattaren får den information han/hon behöver. Den andra är att underlätta framtagandet av ad-hoc rapporter. Detta har lett till att 4GL-verktyg har utvecklats. Personerna som använde dessa lösningar upptäckte att det gick att använda dem till annat. De kunde göra individuella system som användes till att stödja den personliga databehand- lingen. Dessa system kallas stödsystem.
Inget system har enligt Flensburg m.fl. (1999) enbart ett av dessa syften, utan de innehåller en liten del av alla tre dimensionerna.
TEORI
10
3.1.2 Vinster vid systeminförande
Andersen (1994) beskriver fyra olika vinster som kan uppnås vid systeminförande.
Dessa beskrivs nedan.
Rationaliseringsvinster
Meningen med system som vill uppnå rationaliseringsvinster är att man vill göra kostnadsbesparingar. Manuella rutiner överförs till datorstödda rutiner. På det sättet får man snabbare och mer korrekta resultat, en mindre personalinsats kan också utföra arbetsuppgifterna. En typisk rationaliseringsvinst är de administrativa hjälp- funktionerna, såsom bokföring och lönehantering.
Styrningsvinster
Styrningsvinster innebär att man använder datorstöd för att få den information som hjälper personalen med att fatta bättre beslut. Dessa beslut ska ge intäktsökningar eller kostnadsreduktioner. Ett exempel på styrningsvinster är informationssystem för material- och produktionsstyrning.
Organisationsvinster
För att uppnå en organisationsvinst i företaget, måste ledningen först beskriva hur verksamheten ska fungera. Då datorstöd används på ett sådant sätt att ledningens önskemål uppfylls internt i verksamheten, kan man säga att en organisationsvinst har uppnåtts.
Marknadsvinster
Då datorstöd används till att ge företaget en positiv profilering, som i sin tur kan leda till att verksamheten kan få en fördel i förhållande till konkurrenterna på marknaden, talar man om marknadsvinst. Ett exempel på en marknadsvinst är då datorstöd leder till att man kan utveckla nya produkter och tjänster, som exempel- vis bankomater med självbetjäning för kunder.
TEORI
11
3.2 SÄKERHET – BEGREPP OCH DEFINITIONER
För att kunna utföra säkra elektronisk transaktioner krävs att säkerhetsproblemen löses. Dessa är idag de största hindren för tillväxten inom den elektroniska
handeln enligt Tom Carthy (SIG Security, 1999). Deltagarna i elektroniska transak- tioner måste få vissa försäkringar om att information överförs säkert.
Under denna rubrik kommer vi att redogöra för några begrepp som finns inom området IT-säkerhet, nämligen datasäkerhet och kommunikationssäkerhet. Vi kommer att klargöra vad som menas med hot, sårbarhet och risker. Vi tar även upp informationsklassificering samt redogör för begreppet skyddsåtgärder och dess basstrategier.
3.2.1 IT - säkerhet
Informationssäkerhet relateras både till traditionell datasäkerhet och till säkerhet som hanterar information. Om inte informationen hanteras på rätt sätt kan enligt Statskontoret (1997:29a) verksamheters framtida fortlevnad äventyras. Både öppen och känslig eller hemlig information måste skyddas från obehörig förändring.
Begreppet IT-säkerhet innehåller skyddsåtgärder av teknisk karaktär och inkluderar både kommunikationssäkerhet och datasäkerhet. För att komplettera helhetsbilden tillkommer förutom dessa två även den administrativa säkerheten. Den administra- tiva säkerheten beskriver och definierar regler och rutiner för styrning och kontroll av IT-resurserna. (Statskontoret 1997:29a)
Datasäkerhet
”Med ADB-säkerhet eller ibland bara datasäkerhet menas säkerhet som rör själva behandlingen och/eller lagringen av data (program och information)”.
(Statskontoret 1997:29a sid. 7)
I ett säkert datasystem upprätthålls enligt Pfleeger (2000) tre karakteristiska faktorer som är absolut nödvändiga:
• Konfidentialitet skyddar tillgängligt datasystem så det bara är tillgängligt för behöriga parter. Tillgängligheten gäller bland annat läsning, granskning och utskrift av data.
• Integritet ser till att mottagen information är densamma information som
skickades, det vill säga integriteten skyddar informationen så inget har lagts till, tagits bort eller ändrats. I modifikationen inkluderas skrivning, ändring, ändring av status, borttagande eller skapande.
TEORI
12
• Tillgänglighet verifierar identiteten hos en entitet (användare eller service) så att en behörig part kommer åt det data den har rätt att komma åt.
Kommunikationssäkerhet
”Kommunikationssäkerhet avser säkerhet vid överföring av data via något kommunikationsmedium.” (Statskontoret, 1997:29a sid. 7-8)
National Computer Security Association (NCSA) har enligt Turban m.fl. (1999) identifierat fyra huvudpunkter för säkra transaktioner, dessa är:
• Autenticitet skyddar mottagaren av ett meddelande. Autenticiteten garanterar att sändande part av ett meddelande är den han utger sig för att vara.
• Avskildhet/sekretess skyddar meddelandets innehåll så det bara är känt för sändaren och mottagaren. Brott mot sekretessen kan uppstå både under själva transaktionen och efter det att transaktionen är utförd. När ett meddelande är mottaget, måste sändaren vara säker på att innehållet förblir hemligt.
• Integritet skyddar meddelandet så det inte ändras under transaktionen. Detta kan vara medvetet eller omedvetet.
• Icke förnekande betyder att en sändare inte ska kunna förneka att han sänt ett meddelande, likaså ska inte en mottagare kunna förneka att han har tagit emot ett meddelande. Lösningen till icke förnekande är en ”signatur” som gör det svårt för någon part (sändare och mottagare) att förneka att de är involverade i utbytet av ett meddelande.
3.2.2 Hot
När man inför effektiv IT-säkerhet, är det nödvändigt att känna till vilka hot som finns mot systemet. Den här kunskapen är enligt Statskontoret (1997:29b) nöd- vändig för att kunna välja de mest kostnadseffektiva säkerhetsåtgärderna.
”Ett hot kan i korthet sägas vara en möjlig, oönskad ändelse som, om den inträffade, skulle få negativa följder”. (Statskontoret 1997:29b sid. 15)
Huvudtillgångarna i ett datasystem är enligt Pfleeger (2000) hårdvaran, mjukvaran och data. Det finns fyra typer av hot mot säkerheten i ett datasystem. Alla fyra hoten exploaterar sårbarheten hos tillgångarna i datasystemet:
• Avbrott är där någon resurs i ett datasystem blir okontaktbar, otillgänglig eller oanvändbar. Till exempel kan ett program eller en datafil ha blivit raderad.
TEORI
13
• I ett Intrång har en obehörig part fått access till en resurs i systemet. Den obehörige parten kan vara en person, ett program eller ett annat datasystem.
Exempel på detta är avlyssning av nätverkstrafik och kopiering av filer för att komma åt data.
• Modifikation betyder att en obehörig part inte bara har fått access till en resurs utan även manipulerar denna resurs. Exempel kan vara någon som ändrar
värden i en databas eller modifierar funktionaliteten i ett program så programmet skickar data till obehöriga.
• Tillverkning betyder att en obehörig part kan förfalska och införa objekt i ett datasystem. Exempel är tillägg av poster i en databas eller tillägg av icke önskvärda transaktioner i ett nätverk.
Sårbarhet
”Sårbarhet är en punkt där ett hot kan skada systemet. Sårbarhet är således en svaghet som ett hot kan utnyttja för att åstadkomma skada”.
(Statskontoret 1997:29a sid. 19)
Enligt Summers (1997) är sårbarhet en brist i ett system som kan orsaka att säker- heten kan missbrukas. Pfleeger menar att det finns tre kategorier av systemresurser som kan påverkas av sårbarheten. Dessa tre är hårdvara, mjukvara och data.
Risk
”Risk är sannolikheten för att hotet ska realiseras.”
(Statskontoret 1997:29a sid. 19)
Statskontoret (1997:29c) skriver i sin rapport att det är viktigt för verksamheten att inte underskatta olika risker, både oavsiktliga och avsiktliga. De oavsiktliga
riskerna är oftast den egna personalen som förorsakar att händelser inträffar, detta på grund av bristande utbildning eller stress. För att undvika både oavsiktliga och avsiktliga hot krävs att administrativa säkerhetsrutiner tillsammans med skydds- åtgärder tillämpas.
3.2.3 Skyddsåtgärder
Skyddsåtgärder används för att möta speciella hot. För att hoten ska kunna bekäm- pas effektivare kan skyddsåtgärderna enligt Statskontoret (1997:29b) behöva sam- verka med varandra. När det gäller IT-säkerhet är det svårt att välja en kombination av skyddsåtgärder som både är kostnadseffektiv, användbar, effektiv, kompatibel och samtidigt kan möta de förväntade hoten i önskad grad.
TEORI
14
För att öka säkerheten kan enligt Summers (1997) skyddsstrategier sättas in på olika sätt. Hon menar att det finns fyra skyddsstrategier:
• Undvikande betyder att man inte exponerar tillgångarna mot hoten. Man för- söker organisera uppgifterna så hoten kan undvikas. Istället för att exempel skriva ut känsliga uppgifter på en skrivare kopplad till ett nätverk, skriver man ut uppgifterna på utrustning som inte är kopplade till ett nätverk.
• Förebyggande av hot är den bästa strategin. Att förebygga hot innefattar att ut- arbeta och upprätthålla en säkerhetspolicy. Säkerhetspolicyn inkluderar både säkerheten mot hårdvaran och säkerheten mot mjukvaran.
• Upptäckande betyder att man försöker upptäcka missbruk eller felaktig användning samtidigt eller omedelbart efter det att skadan har skett. Det finns några syften till varför man använder strategin upptäckande. Den ska avskräcka missbruk. Den ska upptäcka olika hot i tid för att minska skadan. Den ska identifiera inkräktare och åtala denne, och den ska avslöja sårbarheter.
• Återställande följer en säkerhetsbrytning. Återställande innefattar att återställa skadade resurser och försöka minimera sårbarheten som tillåter säkerhets- brytningen.
Informationsklassificering
Statskontoret (1997:29b) menar att det är viktigt att fastställa en säkerhetsnivå för att kunna tillgodose olika intressenters krav. Flera brister i IT-verksamheten beror på att bearbetad information inte har klassificerats.
En informationsklassificering görs enligt Statskontoret (1997:29b) för att man ska kunna fastställa i vilken omfattning informationen behöver skyddas. Man försöker bestämma vilka skydd som behövs, d.v.s. skyddsnivån.
Det finns olika krav till varför information måste skyddas enligt Statskontoret (1997:29b). Man måste ta hänsyn till lagar såsom datalagen och sekretesslagen, olika säkerhetskrav och övriga krav som exempelvis ekonomiska krav. Utgångs- punkten vid informationsklassificering är att olika information ska relateras till lagstiftningen, gruppers intressen och verksamhetens krav. Bedömningen sker utifrån riktigheten i informationen, hur tillgänglig informationen är för behöriga parter, hur informationen är skyddad från obehöriga (sekretess) och hur
spårbarheten till individer/program går att härleda.
TEORI
15
3.3 PKI
Under denna rubrik försöker vi ge en helhetsförståelse för begreppet PKI. Vi
kommer här att redogöra för de viktiga funktionerna i ett PKI-system, elektroniska signaturer och dess grunder i form av identifiering, kryptering och signering. Vi kommer även att ta upp lite kring den praktiska biten med implementation, samt de för- och nackdelar som ses med detta system.
3.3.1 Vad är PKI?
PKI som står för Public Key Infrastructure, är inte ett specifikt system utan ett samlingsnamn för flertalet lösningar där kryptering används. Enligt författarna Halvarsson och Morin (2000), åstadkommer dessa lösningar ett system där identi- fiering, kryptering, kontroll av integritet kan ske, och stödjer på så sätt använd- ningen av elektroniska signaturer. PKI är inte enbart ett tekniskt system, utan det är en kombination av teknik, juridik och standard. Det är denna kombination som gör det så speciellt.
Det är framför allt tre viktiga funktioner, som en PKI innehåller. Dessa är:
• Certifiering - att skapa ett certifikat.
• Verifiering - att kontrollera ett certifikat för att se giltigheten, och att det ej är indraget.
• Revokering - att återta ett certifikat. Görs exempelvis om en anställd slutar och inte längre får använda sina gamla tjänsteverktyg.
3.3.2 Elektroniska signaturer
Det går inte att ge någon entydig definition på begreppet elektroniska signaturer, enligt Statskontoret (2000:7). EG-direktivets ramverk för elektroniska signaturer är visserligen en definition, men det är inte infört ännu. På detta sätt förklarar de be- greppet elektronisk signatur:
”Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för
autenticering”.(Statskontoret, 2000:7, sid. 20).
Så här förklarar Halvarsson m.fl. (2000, sid. 19) begreppet:
TEORI
16
”Elektroniska signaturer är den lösning som ska kunna vara en digital ersättning för en juridiskt bindande namnteckning, t.ex. på ett kontrakt eller annan avtalshandling”.
Ibland talas det om digitala signaturer, men detta begrepp avser en teknik. EU vill att ”elektronisk signatur” ska vara det begrepp som används, och det avser mer den juridiska biten. När man talar om kvalificerade elektroniska signaturer, så är det ännu mer regler som styr.
Grunden till en elektronisk signatur är:
• Identifiering – ska visa mottagarens/sändarens identitet.
• Kryptering – gör informationen säker.
• Signering – ger ett dokument en laglig status.
Figur 1. Infrastruktur för elektronisk signatur (enligt Halvarsson m.fl.).
Dessa grundstenar i kombination med PKI (se figur 2) kommer enligt Halvarsson m.fl. (2000) att göra e-handeln säker.
Signering
Vid signeringen skapar enligt Statskontoret (2000:7) användarens program en checksumma (hash) av dokumentet eller meddelandet som man tänkt skicka.
Kryptering sker av checksumman med hjälp av en privat nyckel. Detta resultat är den digitala signaturen. När mottagaren har fått meddelandet, så kan han/hon i sin tur kontrollera signaturen. Detta görs genom en dekryptering med den publika nyckeln, så att checksummorna kan jämföras.
TEORI
17
3.3.3 Identifiering
När man talar om identifiering så finns det två viktiga termer att redogöra för, nämligen CA och Certifikat.
CA
Enligt Statskontoret (2000:7) är CA en central part i PKI. CA står för certification authority, och är den administrativa enhet som sköter om den infrastruktur som krävs för att hantera privata och publika krypteringsnycklar, dvs. hantera den publika nyckelinfrastrukturen (PKI). CA har ansvar för att utfärda certifikat för publika nycklar, samt att handha dessa under kortets hela giltighetstid. CA beskrivs även av Halvarsson m.fl., som en betrodd part som flertalet användare litar på.
Exempel på CA är Telia och Posten.
Processen kring utlämnandet av certifikaten är noggrann enligt Statskontoret (2000:40). Personen som ska få certifikatet måste någon gång infinna sig
personligen, så att identitet kan fastställas. Detta kan exempelvis göras ”genom att ett aktivt kort eller lösenord till ett certifikat kvitteras ut i en bank, eller på posten med ett rekommenderat brev. Identifiering med arbetsgivares hjälp kan också förekomma” (sid. 15).
Certifikat Ett certifikat är:
”en signerad digital handling utfärdad av en betrodd tredje part, en s.k. CA”.
(Halvarsson, 2000, sid. 37)
Det finns enligt Halvarsson m.fl. två typer av certifikat, nämligen mjuka och hårda certifikat. Båda innehåller samma säkerhetsfunktioner, men den mjuka lagras i en fil på diskett eller på en hårddisk, medan den hårda är ett elektroniskt identitetskort. Rent tekniskt är det elektroniska ID-kortet ett aktivt kort, eller så kallat smart kort, som innehåller ett chips där ett digitalt certifikat och användarens privata nyckel lagras. För att man ska kunna använda elektroniska ID-kort som identifikation, krävs dessutom att användaren kan använda rätt privat nyckel. Den skyddas genom en personlig kod, vanligtvis en PIN-kod, men det kan även röra sig om biometriska metoder som exempelvis fingeravtryck.
Det är väl standardiserat vilka uppgifter ett certifikat ska innehålla. En vanlig standard för detta är ISO-standarden X509v3 (Halvarsson m.fl., 2000).
TEORI
18 TEORI
3.3.4 Kryptering
Halvarsson m.fl. (2000, sid. 46) definierar begreppet kryptering som:
”att kryptera, att överföra information till hemlig kod”.
Detta görs för att man ska kunna manipulera information i exempelvis en blankett på ett kontrollerat och väldefinierat sätt, så att ingen obehörig kommer åt informa- tionen. De komponenter som man använder vid själva krypteringen är en matema- tisk krypteringsalgoritm och en krypteringsnyckel. Med hjälp av dessa får en blankett ett helt nytt utseende.
Det finns enligt Halvarsson m.fl. två huvudtyper av kryptering, symmetrisk och asymmetrisk kryptering. Det är endast den asymmetriska krypteringen som påver- kas av PKI, eftersom PKI som namnet anger handlar om en infrastruktur för publika nycklar. I den symmetriska krypteringen används endast privata nycklar.
Asymmetrisk kryptering
I detta system får varje användare ett så kallat nyckelpar, vilket alltså består av två nycklar, en publik och en privat. Den publika nyckeln kommer att vara tillgänglig för alla via elektroniska kataloger, och den privata hålls hemlig på exempelvis en skyddad hårddisk eller ett aktivt/smart kort. De kan endast användas tillsammans.
Krypteringen sker med den publika nyckeln, medan dekrypteringen sker med mot- tagarens privata nyckel. Det positiva med denna kryptering är att nyckel-
hanteringen blir enklare, eftersom vem som helst kan använda nyckelkatalogerna.
Man behöver därför inte känna sin affärspartner. Denna kryptering kräver däremot mer datorkraft. Se figur 2.
Figur 2. Asymmetrisk kryptering (enligt Halvarsson m.fl.).
TEORI 19
3.3.5 Användningsområden för PKI
Eftersom en PKI är skalbar så kan PKI införas på försök i liten skala, och sedan utökas när tiden är mogen. Detta är möjligt eftersom säkerhetsfunktionerna i systemet är likformiga oavsett på vilket sätt infrastrukturen ska användas.
Halvarsson m.fl. (2000) ger dessa exempel på vad PKI kan användas till.
• E-blanketter – elektroniska signaturer kan användas till signering av fakturor, tidrapporter, reseräkningar, avtal och inköpsorder. Dessa blanketter, som
exempelvis hämtas från ett företags hemsida, är ”intelligenta” och kan själv ut- nyttja säkerhetsfunktioner som baseras på PKI. När blanketten är ifylld kan den signeras och skickas tillbaka. Här rekommenderas användning av MS Word som blankettformat, eftersom det är en mjukvara som är väl spridd och känd av de flesta.
• Elektronisk handel – existerande säkerhetssystem som bygger på att motparten är känd, kan bytas ut mot en PKI-lösning i och med lagen om kvalificerade elektroniska signaturer.
• E-bank – flertalet banker har idag någon Internettjänst, som underlättar för kunderna att göra affärer dygnet runt.
• ”Mobile business” – användning av handdatorer, mobiltelefoner eller bärbara datorer för att göra affärer, dvs. trådlös elektronisk handel.
Det protokoll som används av standardprogramvaror för e-post och webbläsare är SSL och S/MIME. (Statskontoret 2000:40)
Införandet av en PKI i ett företag kan variera från företag till företag. SIG Security (1999) jämför etableringen av ett PKI-projekt med andra tekniska infrastruktur- projekt. De faser som man måste gå igenom är ungefär de samma som i ett vanligt IT-projekt, nämligen:
• förstudie
• kravsammanställning
• framtagning av förfrågningsunderlag
• utvärdering av anbud
• implementering
• uppföljning
Den tyngsta fasen är implementationsfasen, vilken innefattar både teoretiskt och praktiskt arbete med att utveckla och införa/uppdatera riktlinjer, policy och rutiner.
Även utbildningsbehovet för användare måste ses över, samt underhållsrutiner och tekniska miljöer.
20 TEORI
En av de viktigaste punkterna att titta på under förstudien, är frågan om vem som ska ansvara för den publika nyckelinfrastrukturen. De valmöjligheter som finns är att göra det i egen regi eller via outsourcing till någon leverantör av PKI-tjänster.
3.3.6 Fördelar och nackdelar
Vid en implementation av en PKI, är kostnadsfrågan naturligtvis viktig. Initial- kostnaderna kan upplevas som stora. Exempelvis uppger Statskontoret (2000:40) att ett kort kostar ca 500 - 700 kronor och kortläsare inklusive drivrutiner kostar ca 400 - 600 kronor per användare. En totallösning går att köpa i vissa fall för ca 1 300 kronor per användare. Om man ser på hur verksamheten utvecklas, så kan det ändå bli en ren vinst. De vinster man kan göra enligt Halvarsson m.fl. (2000) är att:
• säkerhetsökningen underlättar informationshanteringen
• organisationens inre effektivitet ökar
• man kommer att få stora samordningsvinster
• säkerheten gör att man kan ta bort kostsamma manuella rutiner och ersätta dem med effektivare IT-rutiner
• trovärdig relation med bl.a. kund och användare 3.3.7 Rutiner
Rutiner är en viktig del i vår undersökning. Därför kommer vi kort att redogöra för vikten av att ha rutiner, och sedan koppla det till säkerhet och PKI.
Vad är en rutin och varför skapar man rutiner? Andersen (1994) skriver att ”en rutin är en sammanhängande kedja av arbetsuppgifter”. Man upprättar en rutin om man vill lösa en uppgift som verksamheten har blivit ställd inför. SAOL beskriver det som ”vanemässigt arbets- eller tillvägagångssätt”.
Lindström-Myrgård (1997) skriver detta om rutiner (sid. 87):
”Att intressera sig för rutiner är inte lika tjusigt som att syssla med mål och strategier. Men - man bör komma ihåg att rutinerna är ett företags livsnerv.
Att skapa rutiner som fungerar på alla nivåer i organisationen är därför en utmaning. Löser man det problemet har man kommit en bra bit på väg i riktning mot en effektiv organisation”.
Det är alltså viktigt att ha rutiner för arbetsuppgifter man utför. Dataföreningen i Sverige (1997) ger följande exempel som pekar på vikten av att ha rutiner avseende säkerhet.
TEORI 21
Att fax hamnar fel är mycket vanligt. Fel nummer kan leda till allvarliga konse- kvenser. ”Skickar du känsliga fax, kontrollera alltid att faxet kommer fram till rätt adress”.(sid. 63) Man kan inte betrakta ett faxat dokument som original annat än om telefaxet är försett med en digital signatur.
E-postsystemet måste jämföras med vanlig posthantering. Administrativa rutiner måste utformas kring detta, så att den stora mängd e-post som förväntas, kan hanteras.
Rutiner bör finnas inom många områden. Statskontoret (1997:29c) tar bland annat upp följande exempel:
• administration av behörighet bör kunna ske centralt
• definition av rutiner för hur krypteringsnycklar ska handhas
• rutiner för hantering av aktiva kort bör göras
• eventuella kryptossystem bör godkännas av IT-säkerhetschef
• rutiner bör finnas för hur man ser till att personal som slutat anställning tas ur systemen
Freese (1993, sid. 62) skriver att det är viktigt att ”skyddsåtgärder blir en del av den dagliga rutinen”, och att de ”upplevs som meningsfulla”.
Han skriver även att:
”Säkerhetsrutiner i form av administrativa åtgärder, både väl synliga och mindre märkbara är ett viktigt rättesnöre i det dagliga arbetet inom flertalet verksamheter. När administrativa rutiner utarbetas, måste de sörja för att säkerhetsaspekterna tas tillvara” . (sid. 93f)
Halvarsson m.fl. (2000) menar att säkerheten gör det möjligt att använda IT efter- som man har en garanterad säkerhetsnivå. Säkerhetsnivån gör det lättare att byta ut kostamma och ineffektiva rutiner mot en IT-lösning. Näringsdepartementet (2001) skriver i sin redogörelse att den offentliga förvaltningen får möjlighet att införa effektivare rutiner och öka tillgängligheten i och med den nya lagen om kvalifi- cerade elektroniska signaturer. Syftet med lagen är att ge en ökad tillit till de elektroniska signaturerna och även öka användandet av de elektroniska kommunika-tionerna.
22 TEORI
EMPIRI 23
4 EMPIRI
I detta kapitel kommer vi att redogöra för hur delar av datasystemet i vårt fall- studieföretag var uppbyggt tidigare. Vi kommer även att förklara anledningarna till systembytet, och hur PKI används idag. Därefter kommer vi att redogöra för hur analysen är upplagd och vilka resultat vi har kommit fram till i undersökningen.
Uppgifterna kring landstinget som finns beskrivna i nedanstående kapitel har vi fått från IT-säkerhetschefen för Västernorrlands läns landsting.
4.1 VÄSTERNORRLANDS LÄNS LANDSTING
Västernorrlands läns landsting (LVN) är ett typiskt norrländskt landsting, där stora delar av sjukvårdsenheterna ligger utanför centralorten. I detta landsting ingår bl.a.
16 tandvårdskliniker, samt ett antal vårdcentraler och distriktssköterskmottag- ningar, som ligger utanför de centrala enheterna. Det finns på dessa kliniker ett behov av att komma åt information, som finns lagrad centralt.
4.1.1 Från ”Closed User Group” till PKI
Tidigare var tandklinikerna uppkopplade till dessa centrala resurser via ISDN. Man hade en ”Closed User Group” med en egen modempool för ISDN. Denna hette Maxpro. En sluten användargrupp innebär att ingen utomstående ska kunna ta sig in i systemet. Man var här beroende av hur Telias spärrar för systemet var satta, och det visade sig att de inte alltid fungerade. Det hände att utomstående kunde ta sig in. Inloggningen till systemet var en standardinloggning och ingen kryptering användes. En sluten användargrupp var inte en perfekt lösning i detta fall, och det fanns ett visst missnöje hos systemets användare. Missnöjet rörde både säkerhet och tillgänglighet, eftersom dessa behov hade förändrats.
I samband med att man närmade sig år 2000, slutade leverantören av systemet att ge support på detta, eftersom det inte höll för millennieskiftet. Landstinget var i det läget tvungen att ge sig ut och leta efter en annan typ av system som uppfyllde dess krav. Redan 1996 hade IT-säkerhetschefen för landstinget under en konferens i Frankfurt kommit i kontakt med smarta kort. Eftersom han upplevde det mycket intressant, så bevakade han utvecklingen i Sverige avseende dessa kort. Under 1999 fick han så kontakt med ett konsultföretag, som hade en expert inom området och detta ledde till att man beslutade sig för att satsa på PKI.
24 EMPIRI
4.1.2 Pilotprojektet för PKI inom landstinget
I september 1999 startades ett pilotprojekt inom landstinget. För att möjliggöra en säker överföring av information mellan enheterna inom landstinget beslutade man att införa PKI. Denna överföring skulle dessutom bli snabbare än den tidigare. IT- säkerhetschefen på Västernorrlands läns landsting har varit projektledare för detta projekt.
Från början togs tre alternativa tekniker för PKI tillämpning fram. Säker e-post, mobil sjukvård (VPN-lösning = Virtual Private Network) och LVN Extranet (se även bilaga D). Därefter gällde det att hitta tillämpningar och användarprojekt för att utveckla nya arbetssätt och rutiner.
• Säker e-post. Här används Novells e-post Groupwise och krypterings protokollet S/MIME (Secure Multipurpose Internet Mail Extension).
Certifikatet med den privata nyckeln lagras i personens stationära dator. Den publika nyckeln hämtas från Posten ABs server i Stockholm.
• Mobil sjukvård. Distriktssköterskor och tandkliniker använder detta. Man har nu VPN tunnling till de centrala resurserna via Internet med ISDN som bärare.
Authenticeringen av användare och tunnel görs med PKI och elektroniskt ID- kort från Posten och med deras CA-funktioner. IP Security används för att förse Internetprotokollet med vissa säkerhetsmekanismer.
• LVN Extranet. Extranet är ett sätt att utifrån nå resurser via webbgränssnittet.
Det finns webbapplikationer som kan användas tex. hjälpmedelssystem som är intressant för kommunernas ordinatörer. Man använder protokollet SSL (Secure sockets layer), för att autenticera och etablera en krypterad förbindelse. Till detta kan inloggning ske på tre sätt. Valet avgör vilken säkerhetsnivå användaren får.
• Användarnamn och lösenord, vilket ger en relativt låg säkerhet.
• Användarnamn och lösenord i kombination med engångskod via mobil telefon (SMS). Detta ger en ganska hög säkerhet.
• Med hjälp av hårt eller mjukt elektroniskt ID (EID), vilket ger en mycket hög säkerhet.
Virtuellt EID kort är ett mjukt certifikat som har samma klient och installation som med ett smart card. Den hemliga nyckeln och det egna certifikatet lagras på hård- disken. Skillnaden är att man inte behöver kortläsaren (200 - 500 kr ) och EID - kortet som kostar 430 kr. Detta innebär att med mjukt certifikat förberett för EID - kortet blir det 800 - 900 kr billigare per klient. Säkerhetsklassningen avgör vilka kort som används var. De billigare korten kan användas inom lasarettets nät, medan man vid inloggning mot LVN använder smarta kort, vilka har högre säkerhets- klassning.
EMPIRI 25
Under innevarande år uppdateras IT-säkerhetspolicyn från 1995 för att passa för PKI. Många rutiner blir lite ”ad hoc” från början, men man arbetar med att skapa etablerade rutiner och utse särskild personal som har detta som sin ordinarie arbets- uppgift. Man har avvaktat lite med detta eftersom man precis gjort en omorganisa- tion och först under våren 2001 beslutat att gå vidare med PKI.
4.2 ANALYSFÖRFARANDE
I detta avsnitt kommer vi att presentera vårt analysförfarande i form av upplägg, faktorer, intervjuutformning och tolkning.
4.2.1 Analysens upplägg
Rapportens huvudsakliga syfte har varit att undersöka hur ett systeminförande med PKI påverkar vissa rutiner rörande IT-säkerhet. Vi har formulerat en frågeställning där vi vill undersöka om ett systeminförande med PKI kan medföra någon förbätt- ring av vissa rutiner rörande IT-säkerhet.
För att uppfylla vårt syfte har vi:
• bestämt vilka faktorer som påverkar vårt problemområde. Dessa är valda utifrån hypotesens definitioner av förbättring av en rutin, samt från teorin kring säkerhet och PKI, som återges i kapitel 1.4, 3.2 och 3.3.
• kartlagt de faktorer som avsågs att kontrolleras. Kartläggningen har baserats på datainsamlingstekniken intervju.
• tolkat resultaten utifrån datainsamlingen.
Utifrån vår analys kommer resultatet i sin helhet att presenteras under rubriken Resultat (kapitel 4.3).
26 EMPIRI
4.2.2 Faktorer av vikt för datainsamling
Vi har i våra intervjuer bett respondenterna beskriva hur rutinerna utförts i det systemet som fanns före PKI infördes. De har även fått beskriva hur rutinerna utförs i PKI-systemet. Detta har respondenterna gjort så utförligt som möjligt, för att vi ska kunna göra en indelning i rutinsteg. Detta utgör en av grunderna för vår analys:
• Rutinstegen ställs mot varandra för att vi ska se vilken förändring som in- träffat vid övergången från den gamla rutinen till den nya. Vi räknar även stegen för att se om antalet minskat.
Enbart en stegräkning kan inte visa om en rutin förbättrats, eftersom stegen kan ha blivit längre. Utifrån vår hypotesdefinition, samt från teoriavsnittet har vi därför dessutom tagit hänsyn till följande faktorer, som utgör en av grunderna för vår datainsamling.
• Övergång från manuell till IT-stödd rutin. Vi har i teorin funnit att garan- terad säkerhet möjliggör en övergång från manuell till IT-stödd rutin, vilket kan förbättra rutiners utförande. Vi vill i vår undersökning se om detta är fallet även i empirin.
• Tidsbesparing. I teorin har vi även funnit att ett systeminförande kan med föra en effektivisering i form av snabbare och säkrare rutiner. Vi avser därför att undersöka om systembytet lett till någon form av tidsbesparing för berörda parter i utförandet av rutinen.
Eftersom säkerhet är en anledning till att installera ett PKI-system, så analyserar vi även nedanstående punkt:
• Säkerhet. Vi har i teorin funnit att den ökade säkerhet som PKI ger, kan för bättra utförandet av rutiner. I vårt teoriavsnitt har vi beskrivit den säkerhet som gäller vid elektroniska transaktioner. Detta kopplas nu till de rutiner vi undersöker, så att vi ska kunna se om systemet fortfarande är säkert.
Om ovanstående punkter bekräftas, så finns det en punkt som är avgörande. Har förbättringen i rutinen åstadkommits genom PKI, eller är det systeminförandet i sig som åstadkommit detta. Därför analyseras även denna punkt:
• Orsak till förändring. Vad har åstadkommit förbättringen i rutinen? Är det PKI i sig, eller har man i samband med PKI-införandet gjort ett annat system- införande och det är detta som gjort förändringen.
EMPIRI 27
4.2.3 Utformning av intervjuguide
För att uppfylla vårt syfte och verifiera alternativt falsifiera vår hypotes har vi ut- fört två intervju. En har varit med IT-säkerhetschefen i vårt fallstudieföretag, och den andra har varit med en användare i samma företag. Vi har till dessa intervjuer utformat frågor som passat respektive person. Detta för att i det gamla systemet och i det nya värdera de faktorer som vi fastställt. Faktorerna som beskrivs i kapitel 4.2.2 har utgjort grunden för utformningen av våra frågor.
Vi har också utifrån teoribakgrunden utformat frågor rörande säkerhet, hot, informationsklassificering och risker. Därför valde vi att se hur detta ser ut i empirin.
4.2.4 Tolkningsförfarande
Vid tolkningen av resultatet har vi arbetat utifrån en deduktiv ansats.
”Deduktion innebär att man drar en logisk slutsats som betraktas som giltig om den är logiskt sammanhängande. Däremot behöver den inte nödvändigtvis vara sann i den meningen att den överensstämmer med verkligheten.” (Thurén, sid. 23) Under denna rubrik kommer vi att beskriva tolkningen av de faktorer som vi valt att analysera i vår fallstudie.
Rutinsteg – Om de steg vi indelar rutinen i har minskat i antal, så tolkar vi det som att ett av våra krav för förbättring av rutinen har blivit bekräftat.
Övergång från manuell till IT-stödd rutin – Om respondenten beskriver att en rutin har genomgått denna övergång, så tolkar vi det som att denna rutin blivit förbättrad i ett avseende.
Tidsbesparing – Om respondenten beskriver att rutinens förändring har inneburit en tidsbesparing, så tolkar vi detta som att rutinen blivit förbättrad i ett avseende.
Säkerhet – Om respondenten beskriver att säkerheten har blivit bättre, så tolkar vi det som om säkerhetskraven för elektroniska transaktioner är uppfyllda.
Orsak till förändring - Om respondenten uppger att PKI är orsak till förändringen i rutinen, så tolkar vi detta som om PKI åstadkommit förändringen. Om respon- denten beskriver att PKI inte åstadkommit förändringen, så tolkar vi det som att det är systeminförandet i sig som åstadkommit detta.
28 EMPIRI
Om säkerhet har blivit bekräftad enligt beskrivningen av faktorerna, antalet rutin- steg har minskat och vi dessutom kan bekräfta en eller båda övriga faktorer, så tolkar vi detta som att rutinen blivit förbättrad. Därefter tar vi hänsyn till den sista punkten ”orsak till förändring”, för att kunna avgöra om rutinens förändring beror på PKI eller på systeminförandet.
4.3 RESULTAT
Här presenteras resultatet av fallstudien. För att ta del av alla uppgifter från IT- säkerhetschef, se bilaga A. För att ta del av alla uppgifter från användare, se bilaga B. Eftersom IT-säkerhetschefen har kännedom om övriga rutiner och vet hur systemen är upplagda, så redogör vi för hans kommentarer kring alla rutiner under punkt 4.3.1.
4.3.1 Resultat – IT-säkerhetschef
De rutiner vi har tagit fram från denna intervju är administrationen av användare, som görs av systemadministratören. Den analyseras först utifrån stegindelning.
I det gamla systemet bestod rutinen av dessa steg, som gjordes i alla system som användarna skulle ha behörighet till:
••••• inloggning i systemet
• uppläggning av användare i systemet
• byte av lösenord gjordes en gång per månad
I det nya systemet med PKI, består rutinen av dessa steg:
••••• inloggning i systemet
• uppläggning av användare görs enbart i en katalog Användare ansvarar själv för lösenordsbyte.
Om vi ställer dessa två rutiner mot varandra, kan vi se att det nya PKI-systemet består av färre rutinsteg. Om det enbart gäller ett system blir skillnaden inte så stor.
Den stora skillnaden blir när användarna ska ha behörighet till flera system, vilket händer ibland.
Vad beträffar övergången från manuell till IT-stödd rutin, så finns det ingen sådan enligt respondenten.
EMPIRI 29
Vad beträffar tidsbesparing anser respondenten att det gamla systemets adminis- tration av användare var mycket mer tidsödande. Systemadministratören fick gå in i varje system och lägga upp användare. Det fanns ingen standard för användar-ID och lösenord skulle då bytas varje månad. Många glömde också bort sina lösen- ord. Det gick åt mycket tid till denna administrering och flera tjänster behövdes.
I det nya systemet är detta mycket enklare. Administratören använder Novells e-direct katalogtjänst där användare läggs upp. Man har ett standardiserat
användar-ID och ett lösenord. Det är lättare att minnas, och lösenordet behöver inte bytas varje månad. När systemet är infört fullt ut, så kommer detta att innebära en stor arbetsbesparing för systemadministratören jämfört med det gamla systemet.
Detta är inte fallet ännu. IT-teknikerna i driftsorganisationen kommer också att vinna mycket på administrationen av användare.
Säkerhet i hela systemet
Eftersom säkerhet gäller hela systemet, kommer vi att redogöra speciellt för det.
Vår respondent uppger på frågan om vad datasäkerhet är för honom:
”Att skydda sekretess. Att data är riktigt och kvalitetsmässigt. Tillgänglighet, dvs.
att ett system ska fungera och inte ligga nere i flera veckor”.
De hot han upplever finns mot landstinget i Västernorrland, är vanliga standardhot från Internet, som exempelvis virus. Han uppger att dessa hot ses dagligen. Det skydd man har mot dessa är virussystem som automatiskt uppdateras. Man har mailläsare som är proaktiva för virus som ej är kända sedan förut. De är alltså fördefinierade för kommande virus. Han uppger att det är vanligt att personalen sprider virus via egna disketter, men detta begränsas oftast till en enhet som exempelvis en vårdcentral.
Ett annat hot som han upplever finns är hackers. För att skydda sig mot dem har de s.k. ”intrusion detection”. Denna sniffar på kända attackmönster och slår larm om de upptäcker något sådant. Mönstren finns samlade i en databas.
Han uppger att man även har interna hot. Dessa består exempelvis av personal, som går in och läser otillåten information som patientjournaler, och sedan sprider infor- mationen. Idag går det bra att spåra detta genom loggning, och det finns exempel på personer som blivit fällda för detta, eftersom det dessutom begränsas i lag.
För att kunna besluta vilken säkerhetsnivå man ska ha måste man göra en informationsklassificering. På landstinget klassas informationen i tre klasser:
30 EMPIRI
grund, hög och mycket hög. Detta bestämmer enligt respondenten hur starkt skydd informationen behöver. I grundklassen ingår enligt respondenten öppna intranät, webbsidor med handböcker och annan information. I de två översta klasserna finns tillämpningar som exempelvis journaler, ekonomisystem och e-post. Inom den högre av dessa två klasser finns psykiatri och kuratorer och smittskydd som HIV.
Denna information är enligt respondenten mycket känsligare om den sprids.
Smarta kort, PKI och kryptering behövs som skydd av informationen i de högsta klasserna.
På frågan om intrång (se 3.3.2 Hot) i det gamla och nya systemet (totalt sett) svarade han:
”Visst har vi haft tecken på intrång, men inget allvarligare. Det går inte att säga om det är någon skillnad på detta sedan det nya säkerhetssystemet infördes”.
Beträffande tandvårdsklinikernas gamla system uppger respondenten senare i inter- vjun att man ser en skillnad i säkerheten. I det gamla systemet loggade användare in med användar-ID och lösenord. Ingen kryptering användes då. Man hade en sluten användargrupp, så ingen utomstående skulle kunna ta sig in i systemet. Att det fungerade hängde enligt respondenten på hur Telia lade sina spärrar och det visade sig att det inte alltid var rätt gjort. Utomstående kunde ta sig in. I det nya systemet görs autenticering av användare och tunnel med PKI och elektroniska ID-kort från Posten och med deras CA-funktion. Detta system är enligt respon- denten mycket säkrare. På tandklinikerna använder man hårda certifikat i form av elektroniska ID-kort. Allt detta visar på att säkerheten är högre i detta system.
Beträffande orsak till förändring så uppger respondenten att administrationen av användare orsakas av PKI. Uppläggningen i kataloger är däremot inte fullständig ännu, och detta innebär att en del gamla rutiner finns kvar. Detta leder till att vinsten inte är märkbar ännu. När man har infört SSO (Single Sign On) fullstän- digt, så kommer det att innebära en förbättring både för administratör och använ- dare. Med endast en inloggning kommer man att ha åtkomst till alla applikationer.
Inloggningskatalogen kommer att visa alla rättigheter. Även inloggningsrutinen påverkas helt av PKI. Användning och skapande av elektroniska ID-kort är direkt kopplat till PKI.
Rutinen för beställning av förbrukningsartiklar påverkas av PKI endast vid
inloggningen till systemet. De flesta kör denna rutin utan PKI. Alnö tandklinik fick denna rutin samtidigt som PKI, men det är inte PKI som orsakat denna förbättring.
Inloggningen kan idag göras på tre sätt. För den högsta säkerhetsnivån används ett smart kort med digitalt certifikat på för att en identifiering ska ske innan använda- ren kan komma åt systemet.
31
Rutinen för tidbokning och rådgivning via e-post orsakas inte heller av PKI, för- utom inloggningen till systemet. I en framtid ser respondenten möjligheten till en PKI-baserad lösning för kommunikation med patienter i all vård. Eftersom inga patienter i dag har smarta kort, så är detta inte möjligt nu. I e-postfunktionen inom landstinget har man ett inslag av PKI, genom att man har asymmetrisk kryptering och använder CA-funktionen för att komma åt de publika nycklarna. Denna påverkar däremot inte tidbokningsrutinen, eftersom patienter inte använder detta.
Genom att använda PKI med kryptering och signering, möjliggör man att rutiner som tidigare inte varit lagliga eller säkerhetsmässigt möjliga att utföra på Internet, nu kan utföras. Exempelvis intyg om sjukdomar till försäkringskassan/bolag ska vara underskrivna. Att skicka utdrag från patientjournaler som bilaga till e-post är möjligt om båda parterna använder PKI. Detta är på gång, men inte infört ännu.
Det finns mycket att vinna här både avseende tid och bättre stöd vid patient- behandling. Fler exempel finns, men alla bygger på att båda parterna har PKI.
4.3.2 Resultat – användare
De rutiner vi kan identifiera i denna intervju är:
• inloggning till systemet och utloggning
• beställning av förbrukningsartiklar
• tidsbeställning och avbokning
Vi börjar med att redovisa resultatet av inloggningsrutinen utifrån stegindelning.
Följande steg består den gamla inloggningen och utloggningen av:
• inmatning av användar-ID och lösenord
• inloggning genom ”Enter-tryck”
• standardutloggning via menyn sker
I PKI-systemet består inloggningen och utloggningen av dessa steg:
• kort sätts i kortläsare
• inmatning av användar-ID och lösenord
• inloggning genom ”Enter-tryck”
• verifiering före utloggning
• kort tas ur kortläsare
Här består alltså den nya rutinen av fler steg
EMPIRI
