1 / 58

Upphandlingssystem och IT-säkerhet

Upphandlingssystem och IT-säkerhet. Upphandlingsstödsdagen 2013-11-08. Vem vill finnas tre dar i rad på förstasidan i DN?. 2 timmar om IT-säkerhet i upphandlingssystem. ?. Presentera talarna Magnus Matts, Kammarkollegiet, upphandlingsstöd Britta Johansson, Sentensia, vägledning

etenia
Download Presentation

Upphandlingssystem och IT-säkerhet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Upphandlingssystem och IT-säkerhet Upphandlingsstödsdagen 2013-11-08

  2. Vem vill finnas tre dar i rad på förstasidan i DN?

  3. 2 timmar om IT-säkerhet i upphandlingssystem ? • Presentera talarna • Magnus Matts, Kammarkollegiet, upphandlingsstöd • Britta Johansson, Sentensia, vägledning • Deltagare presenterar sig för varandra • Myndighet, företag, organisation • Upphandlare, leverantör av upphandlingssystem, övrigt • Erfarenhet av elektronisk upphandling Vem ärdu?

  4. Kammarkollegiets upphandlingsstöd • Kammarkollegiet har regeringens uppdrag att utveckla och förvalta ett nationellt upphandlings-stöd samt att driva utvecklingen av elektronisk upphandling • Vägledning: IT-säkerhet i system för elektronisk upphandling, utgiven 2013

  5. System för elektronisk upphandling ? • Visma TendSign • Mercell • Opic Dibus • Primona • EU-supply CTM • E-avrop • Avantra Webbaserade molntjänster, används av upphandlare och anbudsgivare Vem har erfarenhet?

  6. Grundläggande säkerhetsfunktioner • Insynsskydd och sekretess • Identifiering och autentisering • Behörighet • Äkthet, undertecknande och förändringsskydd • Spårbarhet

  7. Upphandlingsprocessen

  8. Stegen i upphandlingsprocessen • Annonsera • Hämta handlingar • Frågor och svar • Lämna in anbud • Öppna • Utvärdera • Tilldelningsbeslut • Kontrakt I vilka skeden är de grundläggande säkerhetsfunktionerna viktiga? Vilka funktioner är viktigast? I vilka skeden.

  9. Vad säger lagen • Anbud skriftligt • Elektroniska medel allmänt tillgängliga • Krav på systemen: säkert, behörighet, spårbarhet • Får kräva elektronisk signatur • Bevara säkert • Öppna inte före tidsfristen • Två personer öppnar • Ingen uppgift lämnas ut innan beslut fattats

  10. De grundläggande säkerhetsfunktionerna

  11. Insynsskydd • Vid datalagring • Vid lagring • Identifiering av behörig

  12. Identifiering och autentisering • Identifiering av företag och myndighet • Behörighet • Tillgång till insynsskyddad information • Behörighet att lämna anbud och teckna kontrakt • Identifiering av personer - vem är behörig

  13. Identifiering i elektronisk miljö • Elektronisk identitet • Kopplas till verklig person

  14. Äkthet, undertecknande och förändringsskydd • Förvanskningsskydd - är rätt information överförd och på plats? • Behöver dokumenten vara undertecknade - signerade • Förfrågningsunderlag • Anbud • Öppningsprotokoll • Kontrakt • Finns det spårbarhet • Håll reda på tiden

  15. Spårbarhet och tid • Om något oförutsett händer är det viktigt att i efterhand kunna kontrollera vem som har gjort vad, och när • Tid är en väsentlig parameter i upphandlings-sammanhang. Ett för sent inkommet anbud förkastas

  16. Hur mycket säkerhet behövs • Gör en riskanalys! • Vad står på spel? • Vilka erfarenheter finns • Vad händer om en oönskad händelse inträffa, vilka konsekvenser blir det? • Vilken sannolikhet är det att en oönskad händelse inträffar? • Skydd ska stå i proportion till risken

  17. ? Riskanalys Hur ser du på risker? • Välj ut två exempel på upphandlingar av olika karaktär och gör en riskanalys • Vilka konsekvenser får vi om säkerhetsfunktioner brister? • Hur stor är sannolikheten att säkerhetsfunktioner brister?

  18. Dagens säkerhetslösningar

  19. Kryptering för insynsskydd • Insynsskydd åstadkoms genom kryptering. Krypterat data vid överföring, kryptering vid lagring av data • SSL vanligast för webbtjänster • Garanterar rätt webbplats • Insynsskydd i kommunikation • Nyckellängd bör vara 128 eller 256 bitar för säker transport • Krypterad e-post

  20. Elektronisk identifiering • Hur vet vi att det är rätt person som uppges ha behörighet • Hur vet vi att det krypterade dokumentet kan läsas av tilltänkt mottagare? • Elektronisk identitet är centralt begrepp

  21. Elektronisk identifiering • Användarnamn och lösenord • skapas ofta av användaren själv • visar att samma person återkommer • lösenord ska inte lagras klartext • komplexiteten står för säkerheten • Engångslösenord • Tvåfaktorautentisering, t.ex. dosa, sms, papper • Certifikat • kan ha utgivare som knyter person till certifikat • avancerad teknisk lösning, PKI • Identitetsintyg • Inom en federation där deltagarna litar på varandra

  22. Elektronisk identifiering Säkerheten beror på • Den tekniska lösningen, hur säker är den • Hur går identitetskontrollen till • Utfärdarna av identiteter med hög säkerhet använder metoder för utlämning som liknar dem för körkort, pass och id-kort - hög nivå på identitetskontroll. Personligt möte kravs i något skede • Standardiserade metoder för att ange säkerhetsnivåer, viktigt för att kunna ha tillit till andra aktörer

  23. Säkerheten i den tekniska lösningen för e-identifiering • Den tekniska lösningen • Styrka i lösenord • Att lösenord inte lagras i klartext • Att lösenord är tillräckligt långa och komplexa • Att lösenord byts ut tillräckligt ofta • Att de enheter som ger engångslösenord hanteras som värdehandlingar • Att lösningar som bygger på certifikat och kryptering har tillräckligt långa nycklar och att certifikat inte är spärrat • Att medlemmar i en federation iakttar samma regler

  24. Säkerhet i identifieringen • Identifieringen när en elektronisk identitet utfärdas står för att ge tillit till sambandet mellan personen och dennes elektroniska identitet • Exempel: • hämta ut dosa på bankkontor • skicka lösenord till folkbokföringsadressen • hämta ut lösenord med rekommenderat brev • använd tidigare person-till-person-identifiering för att få ny elektronisk identitet

  25. Elektroniska identiteter i Sverige • E-legitimation • SITHS - inom vårdsektorn • Steria tjänstecertifikat • STORK - för europiska medborgare • Svensk e-legitimation

  26. Identifiering av myndighet och företag • Är det rätt företag som lämnar anbud • Är det verkligen den upphandlande myndigheten som anbudet skickas till? • SSL-protokollet identifierar webbplatser

  27. Behörighet och åtkomstkontroll • Vem är behörig att lämna anbud • Vem är behörig att teckna kontrakt • Alla upphandlingssystem innehåller behörighetskontroller • Olika behörigheter för olika roller • Olika behörighet vid olika tidpunkter • Behörighetssystem kräver elektronisk identifiering • Hur behörig behöver man vara för att få ut ett förfrågningsunderlag

  28. Äkthet och förändringsskydd • ChecksummaEn matematisk metod att verifiera äkthet i en datamängd, t.ex. ett dokument • Förändring av data leder till annan checksumma • Data kan inte återskapas ur checksumman • I praktiken leder olika data alltid till olika checksummor • En bra metod för att upptäcka förändringar, avsiktliga eller oavsiktliga

  29. Exempel på användning av checksummor • Manuell kontroll av anbud, överför checksumma på överenskommet vis • Lösenord bör lagras som checksummor, inte i klartext • Elektronisk signatur består av krypterad checksumma

  30. Tid • Tid är en väsentlig faktor i upphandlingssystem • Systemen bör hämta tid från central server på internet • Loggning med tidsangivelser ska göras • Det finns fristående tjänster för tidsstämpling elektroniskt

  31. Spårbarhet • Loggning av alla händelser ger möjlighet till spårbarhet • Elektronisk signatur ger också god spårbarhet

  32. Tillit till upphandlingssystemet • Det upphandlingssystem som en myndighet anlitar måste myndigheten ha tillit till • Ett bra sätt är att begära att leverantören använder ett ledningssystem för informationssäkerhet • Följ standarden ISO 27 000 • Eventuell certifiering är bra, men inte nödvändig

  33. Riskbedömning • Vilka krav ska man ställa • På upphandlingssystemet • På anbudsgivarna • Gör en riskbedömning • vilka värden står på spel • hur känslig är marknaden • proportionalitet i kraven • internationell marknad

  34. Fördjupningsområden

  35. E-legitimation och federationer

  36. E-legitimation • En elektronisk identitet i Sverige • Bygger på certifikat som elektronisk identitet • Spärrkontroll görs hos utfärdare för att kontrollera att e-legitimationen inte är spärrad • Utfärdas idag av banker och Telia • Ramavtal har funnits, detta gäller avgifter för att göra spärrkontroller hos utfärdarna

  37. Ny lagstiftning om e-legitimationer 2013 • Valfrihetssystem införs 1 juli 2013 för elektronisk identifiering för myndigheters e-tjänster • Upphandlingssystem kan betraktas som en e-tjänst • Myndigheter och utfärdare av e-legitimationer kan ansluta sig till en federation där ett regelverk anger säkerhetskraven och rutiner • Identitetsintyg enligt standard med olika typer av bakomliggande elektronisk identifiering utgör Svensk e-legitimation

  38. Federationer • Federation: en gruppering som erkänner tillit till varandra och tillämpar samma regelverk • Svensk e-legitimation är en federation för svensk offentlig sektor och utfärdare av e-legitimationer. Administreras av E-legitimationsnämnden • Peppol är ett EU-projekt för elektronisk offentlig upphandling, har en federation för validering av certifikat för upphandling inom EU. Nu Open Peppol • Stork är ett EU-projekt som handlar om europeiskt godkännande av elektroniska identiteter

  39. Elektronisk signatur

  40. Elektronisk signatur • Knyt ett dokument till en person på ett säkert sätt • Vanligtvis krypteras en checksumma • Metoden skyddar mot avsiktlig och oavsiktlig förvanskning • Metoden identifierar den som signerat • En bra metod för att erhålla spårbarhet

  41. Elektronisk signatur i upphandling • Anbud kan signeras • Myndigheter får kräva att anbud ska vara elektroniskt signerade • Kräver att både myndighet och alla anbudsgivare har tillgång till elektroniska signaturer • Kontrakt kan signeras elektroniskt

  42. Elektroniska signaturer på svensk marknad • ChamberSign har tjänst för elektroniska signaturer • Flera typer av elektroniska identiteter kan användas för att skapa signatureren • E-legitimationsnämnden upphandlar tjänst för att skapa elektroniska signaturer baserade på Svensk e-legitimation. Ett avrop på E-förvaltningsstödjande tjänster 2010 • Inte särskilt vanligt ännu i upphandlingssammanhang

  43. Ledningssystem för informationssäkerhet

  44. ISO 27000 ? • I myndighetens säkerhetsarbete • I upphandlingssystemets leverantörs säkerhetsarbete Har duerfarenhetav LIS - ISO 27000?

  45. ISO 27000 • Informationssäkerhetspolicy • Organisation av informationssäkerheten • Hantering av tillgångar • Personalresurser och säkerhet • Fysisk och miljörelaterad säkerhet • Styrning av kommunikation och drift • Styrning av åtkomst • Anskaffning, utveckling och underhåll av informationssystem • Hantering av informationssäkerhetsincidenter • Kontinuitetsplan för verksamheten • Efterlevnad

  46. ISO 27001 Bilaga A Mål och åtgärder • Ca 100 konkreta krav på åtgärder

  47. Fler exempel ur ISO 27001 bil A

  48. Internationella aspekter På gång inom direktiv, förordningar och lagstiftning i EU och i Sverige

  49. Upphandling över gränserna ? • Gränsöverskridande upphandling är ännu litet • En myndighet som annonserar övertröskelvärden och använder elektroniskinlämning av anbud måste angehur utländska anbudsgivare skalämna anbud • Arbetet i EU siktar på gränsöverskridande upphandlingar Har du erfarenhet?

  50. Vad är på gång inom området? • Valfrihetssystem för e-legitimationer • EU-förordning om gränsöverskridande elektronisk identifiering, elektroniska signaturer m.m. • Nytt upphandlingsdirektiv med krav på elektronisk kommunikation • Standarder för upphandlingsprocessen CEN/BII3 • Standarder för elektroniska signaturer • EU-projekt: STORK, PEPPOL, E-SENS

More Related