handdator

Visa fullständig version : Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster [avslagen]


Mötespresidiet
2013-10-04, 15:53
Avslöjandena om att utländska säkerhetstjänster har bakdörrar i internettjänster som ligger i deras länder gör att det finns idag ett starkt och omedelbart behov av att få vetskap vilka tjänster man kan lita på. Dels så behövs det för samhället då offentliga sektor behandlar känsliga personuppgifter om oss men även för oss svenskar då är det viktig att vi vet om hur våra data behandlas.




För offentliga sektorns så är det många mydigheter som outsourcar eller flytta sina tjänster till molnen och där sparar känsliga data. Det behövs att det finns någon som då kan kontrollera att dessa företag som levererar tjänsterna faktiskt följer sina avtal och inte skickar data vidare till utländska spiontjänster som kan använda det för att avslöja statshemligheter eller industrispionage.


Nyligen avslöjades att USA hållt på med industrispionage mot Brasilien och frågan är om de inte gjort det mot många andra länder. Kina och USA har båda avslöjats hålla på med rent spioneri och nu tänker även England satsa på detta.



Olika data är olika känsliga så därför behövs olika höga grader av säkerhetsklassning. Allt ifrån hemliga militära data till känsliga personuppgifter som sjukhusjournaler, vanliga personuppgifter och allmänna data som får spridas fritt. Säkerhetsklassning i flera nivåerna behövs.


För att säkerställa att inte varje offentlig myndighet måste göra en egen säkerhetsbedömning av varje säkerhetstjänst och med kravet att spara data på ett säkert sätt så finns behov av en samordning av säkerhetsundersökningar av molntjänster och andra webbtjänster. Kostnaden att gå igenom en tjänst och garantera att den verklighen uppfyller kraven är kostsam och det blir inte billigare bättre om 100 olika kommuner tvingas göra 100 oberoende kontroller av exakt samma tjänst.


Datainspektionen (DI) eller annan myndighet bör få i uppgift att ta fram ett system för kunna säkerhetsklasa och att säkerhetsklassa molntjänster och andra onlinetjänster som säljer sina produkter till svenska offentliga sektorn. Offentlig sektor kan då kräva säkerhetsklassning vid offentliga upphandlingar av tjänster. Företag som vill bli klassade för att kunna sälja tjänster kan då begära att bli säkerhetsklassade av myndigheten. Inom offentliga sektorn skall det då krävas att de säkerhetsklassar sina tjänster och de data de behandlar så de uppfyller lagens mål.




Jag yrkar att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.




Anders S Lindbäck

Henrik Brändén
2013-10-07, 22:03
Vi beslöt på höstmötet 2011 behandla sakpolitik så att medlemsmötet antar ställningstaganden, som sedan ställs samman i en lista, och används av styrelsen för att skriva sakpolitiska program. De ställningstaganden som tagits under de senaste tre mötena har alla skett genom yrkanden på formen

att medlemsmötet antar ställningstagandet: "Staten ska ge datainspektionen eller annan myndighet i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster."

Så länge yrkanden ser ut på det sättet blir det tydligt exakt vilken text som ska föras in i listan över ställningstaganden, och den som upprättar listan behöver inte göra några egna tolkningar av saken. Jag skulle därför vädja till motionären att justera sitt yrkande till den formen.

Rasmus Haglund
2013-10-08, 19:24
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.

AndersLindbäck
2013-10-08, 20:29
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.

Den kommer göra den på samma sätt som idag. Dvs de undersökningar som de gör gällande att offentliga sektorn uppfyller PUL. För du vet väl redan idag exakt hur detta går till ?

Eller kanske det bara magiskt fungerar utan att du behöver känna till det ? Jag är ingen expert på detta men jag vet att det sker och överlåter åt andra att grubbla på detaljerna för att se till att det görs helt korrekt.

De typer av problem du tar upp är sådant som kommer påverka säkerhetsklassningen. T.ex. så tror jag då inte att moln i USA kommer
ha minst chans att få hög säkerhetsklass pga alla de lagar om att NSA
har rätt att läsa alla data.

Företag som då inte uppfyller sin säkerhetsklassning och då ljuger vid offentlig upphandling kan man då självklart ge stora bötesbelopp till som säkerhetsklausuler i upphandlingen.

JorgenL
2013-10-11, 21:24
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Den säkerhetsklassningen kan jag göra här och nu, det behövs knappast ett speciellt uppdrag.

"Molntjänster är osäkra och det går inte att lita på att vare sig att data inte kommer på drift eller att man kommer att kunna komma åt sin data när man behöver den"

Så, klart...

Man allvarligt talat, en klassning av molntjänster är mera en fråga om att utvärdera leverantörer, inte tjänster, eftersom själva konceptet innebär att köparen inte ska bry sig om vilken teknisk lösning som används i molnet, och det är ett sisyfosarbete att göra detta på ett generell plan utan att göra det utifrån ett specifikt behov.

Detta görs lämpligen i en normal analys inför en upphandling där man granskar baserat på en specifik användning, och behöver offentlig sektor hjälp med detta så är det isåfall sannolikt effektivare att förstärka tex statskontoret med expertis på området för den statliga sidan för att stödja statliga myndigheter i analys inför upphandlig. På den kommunala sidan borde kanske snarare Sveriges Kommuner och Landsting ha motsvarande stödfunktion.

Jag tror helt enkelt inte på iden att det går att göra en generell säkerhetsklassning i motionens mening, det finns för många tjänster, de förändras hela tiden, och en klassning måste ta hänsyn till hur man avser att använda tjänsten.

Peter Johansson
2013-10-12, 16:23
Anser inte att det är datainspektionensuppgift att klassa eller utveckla system.
Använder inte de flesta iphååne?
är inte då icloud amerikanskt och går under deras lagstiftning?

varför ska svenska skattepengar gå till detta?
yrkar avslag

Spam
2013-10-13, 08:31
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Ogillar yrkandet i sin nuvarande form.

DI är inte moget för att skapa en genell säkerhetsklassning som ska användas av andra myndigheter eller företag.

Det är visserligen väldigt viktigt att vara säker på hur information används. Som motförslag bör vi kräva att molntjänster INTE får användas av myndigheter som hanterar känslig information. Exempelvis använder både DI, FK och andra Google Analytics eller liknande för att spåra sina användare - även på deras säkra sidor.

JorgenL
2013-10-14, 01:32
Anser inte att det är datainspektionensuppgift att klassa eller utveckla system.
Använder inte de flesta iphååne?
är inte då icloud amerikanskt och går under deras lagstiftning?

varför ska svenska skattepengar gå till detta?
yrkar avslag

Peter, jag skulle gissa på att förslagsställaren mera menar förvaltningssystem, personalsystem, inköpssystem etc. som ligger i molnet, inte iCloud...

Mattias Lennartsson
2013-10-16, 13:13
Jag gillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Det är är en mycket bra idé. Man kan exempelvis ställa krav på att leverantören inte har tillgång till klartext. Det är fullt möjligt redan idag. Det går också att ställa krav på att lagring sker i Sverige och följer svensk lag (PUL).

Datainspektionein är en passande myndighet för detta. Jag har pratat långa samtal med deras datasäkerhetsexperter som gång på gång upprepat att de inte får rekommendera olika lösningar. De vet vad som är bra, men får bara granska redan existerande installationer för att se om lagen efterlevs i ett specifikt fall. Skulle de få rekommendera leverantörer skulle detta skapa en efterfrågan för säkrare lösningar där andra underrättelsetjänster ej har insyn.

Som det är idag måste man lite på leverantörens ord, ingen myndighet ser över hur uppgifter hanteras i praktiken.

Mattias Lennartsson
2013-10-16, 13:18
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.


Naturligtvis finns gränser för hur mycket granskning som kan göras. Det går inte att säkerställa till 100% att det inte finns bakdörrar eller samarbeten, men jämför det men dagens situation då du enbart har tillgång till leverantörens löften och officiella beskrivning.

TeirdeZ
2013-10-17, 21:07
Jag ogillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Det är inte framför allt Datainspektionen som behöver bättre befogenheter att hantera den här typen av frågor. Vi behöver en europeisk industripolitik och ett tydligt industriellt ledarskap.

Vi har faktiskt redan världsledande forskning och innovation på området säkra, privatlivsskyddande system i EU - problemet är att våra regeringar, landsting, osv inte satsar på upphandling i området. Vi skapar heller ingen lagstiftning som tillåter den privata sektorn att göra sådana satsningar i någon större utsträckning.

Svensk e-förvaltning är ett utmärkt exempel på hur dumskallarnas tyranni kan motverka kanske 10-15 års storskaliga satsningar på privatlivsskyddande, säkra system.

Kristofer Pettersson
2013-10-18, 11:35
Jag gillar yrkande B20-Y01:att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.Jag gillar verkligen statligt subventionerade system för kvalitetsmärkning som instrument för att öka marknadskvalitén!

Grim Schjetne
2013-11-04, 11:38
Man kan inte klassa mjukvara i form av tjänst (i marknadsförningsmaterial kallat molntjänster) som säkert, då tjänsteleverantören är fri att när som helst, utan att meddela användaren, ändra utförandet eller ge obehöriga insyn i datan.

Lösningen på problemet ligger i fri programvara (http://politik.piratpartiet.se/oppen-kallkod-2/), där myndigheten själv får kontroll över mjukvaran, kör den på sin egen hårdvara och själv ansvarar för att den används på ett försvarligt sätt. Känslig mjukvara, t.ex. kryptografisk sådan (http://blog.cryptographyengineering.com/2013/10/lets-audit-truecrypt.html), måste även granskas noga och offentligt, något som är lämpligt att delegera till universitetens forskningsgrupper inom IT-säkerhet.

AndersLindbäck
2013-11-04, 14:46
Man kan inte klassa mjukvara i form av tjänst (i marknadsförningsmaterial kallat molntjänster) som säkert, då tjänsteleverantören är fri att när som helst, utan att meddela användaren, ändra utförandet eller ge obehöriga insyn i datan.

Lösningen på problemet ligger i fri programvara (http://politik.piratpartiet.se/oppen-kallkod-2/), där myndigheten själv får kontroll över mjukvaran, kör den på sin egen hårdvara och själv ansvarar för att den används på ett försvarligt sätt. Känslig mjukvara, t.ex. kryptografisk sådan (http://blog.cryptographyengineering.com/2013/10/lets-audit-truecrypt.html), måste även granskas noga och offentligt, något som är lämpligt att delegera till universitetens forskningsgrupper inom IT-säkerhet.

Självklart kan man klassa molntjänster. En klassificiering som "helt osäker förvara inga data" här är även det en säkerhetsklassifiering. :)

Min förhoppning är då självklart att man genom denna säkerhetsklassifiering skall få myndigheter att förstå att de flesta molntjänster är helt osäkra och därmed inte bör användas och då köra egna moln.

En säker molntjänst vore då en som t.ex. en statlig myndighet drev åt andra mindre myndigheter, som då inte har varken det tekniska kunnande eller orken att själv sätta upp egna server.

Fö så är många molntjänster idag gjorda med öppen källkod. Även Microsoft använder det till en rejäl del av sina molntjänster då Linux kommit att bli defacto standard för molnet. När det gäller myndigherna själva och att driva sin verksamhet med öppen källkod så har redan PP tagit ställningstagandet att all verksamhet skall byta till det till år 2025 så det behöver inte sägas på fler ställen.