”…den registeransvarige och registerföraren vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på risken, inbegripet, när det är lämpligt:
b) Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter…”
När en säkerhetslösning är implementerad så är den ofta som allra säkrast. Konfigurationen är entydig och lättförståelig, lösningen är testad, inga komponenter har kända sårbarheter etc.
Tyvärr håller inte säkerheten över tid. Nya krav tillkommer alltid, vilket leder till att den konfiguration som faktiskt används inte är konsekvent testad och stegvis blir mindre och mindre entydig och lättförståelig. Dessutom upptäcks sårbarheter i komponenter över tid, varför en lösning utan kända sårbarheter vid leverans inte behöver vara utan kända sårbarheter några månader senare.
Det finns flera sätt att hantera detta beroende på värdet och känsligheten i den information som skyddas. Ett sätt är att genomföra regelbundna sårbarhetsanalyser eller penetrationstester för att på ett övergripande plan verifiera att lösningen fortfarande är tillräckligt säker. Ett annat sätt är att låta experter på IT-säkerhet i allmänhet och plattformens komponenter i synnerhet verifiera plattformen regelbundet. Är den konfigurerad enligt kraven? Är systemkomponenterna fortfarande tillförlitliga?
Certezza hälsocheckar är just en uppsättning sådana tjänster. Arbetsgången för hälsocheckarna är alltid desamma: En eller flera experter på de relevanta områdena undersöker konfigurationen och intervjuar medarbetare och kravställare angående de krav som finns, och sedan produceras en rapport innehållande styrkor och kanske framför allt svagheter i befintlig konfiguration och befintliga komponenter.
Nedan beskrivs vilka typer av komponenter Certezza i nuläget undersöker, och vilka tillverkare Certezza för tillfället har expertis på.
Federeringslösningar är ofta kritiska för att tillgängliggöra information antingen för organisationens egna medarbetare eller för medborgare/kunder. Om inte federationslösningen är uppe så går det inte att nå tjänsterna. Dessutom innehåller tjänsterna ofta känslig information, varför det är mycket viktigt att federationen fungerar så att inte fel användare får tillgång till informationen.
Vidare göras utfästelser om säkerhetsarbetet i samband med tillitsdeklarationen som görs vid federationsanslutning (till Skolfederation, Sambi eller EID2/eIDAS) och dessa måste givetvis följas oavsett om organisationen är föremål för revision eller inte.
Certezza ser en risk för successiv degenerering av dessa lösningar, i takt med att fler tjänster släpps på, accessregler blir oklara, system för lösenordsåterställning införs etc. Över tid är det vanligt att ingen riktigt kan förklara hur skyddet ser ut och hur användarnas livscykel hanteras, även om det ofta är ett krav för att verka i federationen.
Produkter: Shibboleth, Hybrid Access Gateway
Utan ett fungerande perimeterskydd spelar autentisering ingen roll. En angripare kan ändå komma åt den information som finns på de servrar som har det bristfälliga skyddet. Samtidigt som perimeterskyddet måste hindra angripare så har det även höga krav på tillgänglighet, dvs det måste alltid släppa igenom behörig trafik för att organisationens medarbetare ska kunna utföra sitt arbete.
Konfiguration av brandväggar och annat perimeterskydd är också i ständig förändring, eftersom nya krav och system inom organisationen hela tiden kräver åtkomst för nya protokoll på nya servrar under nya förutsättningar. Det innebär att det är svårt att över tid ha kontroll över att den övergripande säkerheten i perimeterskyddet bibehålls, samtidigt som redundanta och inaktuella regler gör konfigurationen svårare och svårare över tid.
Certezza erbjuder expertis på både produktkonfiguration och säkerhetsarkitektur, och kan därför analysera kundens nätverk inte bara gällande brandväggar och liknande komponenter utan även från perspektivet nätsegmentering,
Produkter: Clavister, CheckPoint
I de flesta organisationer är PKI:et den mest kritiska infrastrukturen efter katalogtjänsten. Detta eftersom PKI:et styr åtkomst till organisationens resurser. Sårbarheter i lösningen riskerar att göra att obehöriga får åtkomst till känslig information, även om övriga skyddsåtgärder är korrekt implementerade.
Samtidigt har PKI-lösningen höga krav på tillgänglighet. Inloggningar, WIFI och VPN kräver fungerande PKI, för utgivning av nya konton men även ofta för själva inloggningen. Därför kan organisationen inte arbeta normalt om inte PKI fungerar.
Exempel på produkter: Microsoft PKI, Nexus CM, Primekey, men även andra PKI-lösningar kan hälsocheckas.
Relaterade paket: Certezza monitorering: CRLChecker
Antivirusprogramvara är inte så i ropet som det var för några decennier sedan, men e-postmeddelanden är fortfarande den vanligaste vägen att angripa känsliga system, samtidigt som e-postinfrastrukturen har höga krav på tillgänglighet. Därför är det självklart att e-postsäkerheten behöver ses över med jämna mellanrum.
Produkter: Halon
För mer information, kontakta Certezza via sales@certezza.net
