Download
upphandlingssystem och it s kerhet n.
Skip this Video
Loading SlideShow in 5 Seconds..
Upphandlingssystem och IT-säkerhet PowerPoint Presentation
Download Presentation
Upphandlingssystem och IT-säkerhet

Upphandlingssystem och IT-säkerhet

255 Views Download Presentation
Download Presentation

Upphandlingssystem och IT-säkerhet

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Upphandlingssystem och IT-säkerhet Upphandlingsstödsdagen 2013-11-08

  2. Vem vill finnas tre dar i rad på förstasidan i DN?

  3. 2 timmar om IT-säkerhet i upphandlingssystem ? • Presentera talarna • Magnus Matts, Kammarkollegiet, upphandlingsstöd • Britta Johansson, Sentensia, vägledning • Deltagare presenterar sig för varandra • Myndighet, företag, organisation • Upphandlare, leverantör av upphandlingssystem, övrigt • Erfarenhet av elektronisk upphandling Vem ärdu?

  4. Kammarkollegiets upphandlingsstöd • Kammarkollegiet har regeringens uppdrag att utveckla och förvalta ett nationellt upphandlings-stöd samt att driva utvecklingen av elektronisk upphandling • Vägledning: IT-säkerhet i system för elektronisk upphandling, utgiven 2013

  5. System för elektronisk upphandling ? • Visma TendSign • Mercell • Opic Dibus • Primona • EU-supply CTM • E-avrop • Avantra Webbaserade molntjänster, används av upphandlare och anbudsgivare Vem har erfarenhet?

  6. Grundläggande säkerhetsfunktioner • Insynsskydd och sekretess • Identifiering och autentisering • Behörighet • Äkthet, undertecknande och förändringsskydd • Spårbarhet

  7. Upphandlingsprocessen

  8. Stegen i upphandlingsprocessen • Annonsera • Hämta handlingar • Frågor och svar • Lämna in anbud • Öppna • Utvärdera • Tilldelningsbeslut • Kontrakt I vilka skeden är de grundläggande säkerhetsfunktionerna viktiga? Vilka funktioner är viktigast? I vilka skeden.

  9. Vad säger lagen • Anbud skriftligt • Elektroniska medel allmänt tillgängliga • Krav på systemen: säkert, behörighet, spårbarhet • Får kräva elektronisk signatur • Bevara säkert • Öppna inte före tidsfristen • Två personer öppnar • Ingen uppgift lämnas ut innan beslut fattats

  10. De grundläggande säkerhetsfunktionerna

  11. Insynsskydd • Vid datalagring • Vid lagring • Identifiering av behörig

  12. Identifiering och autentisering • Identifiering av företag och myndighet • Behörighet • Tillgång till insynsskyddad information • Behörighet att lämna anbud och teckna kontrakt • Identifiering av personer - vem är behörig

  13. Identifiering i elektronisk miljö • Elektronisk identitet • Kopplas till verklig person

  14. Äkthet, undertecknande och förändringsskydd • Förvanskningsskydd - är rätt information överförd och på plats? • Behöver dokumenten vara undertecknade - signerade • Förfrågningsunderlag • Anbud • Öppningsprotokoll • Kontrakt • Finns det spårbarhet • Håll reda på tiden

  15. Spårbarhet och tid • Om något oförutsett händer är det viktigt att i efterhand kunna kontrollera vem som har gjort vad, och när • Tid är en väsentlig parameter i upphandlings-sammanhang. Ett för sent inkommet anbud förkastas

  16. Hur mycket säkerhet behövs • Gör en riskanalys! • Vad står på spel? • Vilka erfarenheter finns • Vad händer om en oönskad händelse inträffa, vilka konsekvenser blir det? • Vilken sannolikhet är det att en oönskad händelse inträffar? • Skydd ska stå i proportion till risken

  17. ? Riskanalys Hur ser du på risker? • Välj ut två exempel på upphandlingar av olika karaktär och gör en riskanalys • Vilka konsekvenser får vi om säkerhetsfunktioner brister? • Hur stor är sannolikheten att säkerhetsfunktioner brister?

  18. Dagens säkerhetslösningar

  19. Kryptering för insynsskydd • Insynsskydd åstadkoms genom kryptering. Krypterat data vid överföring, kryptering vid lagring av data • SSL vanligast för webbtjänster • Garanterar rätt webbplats • Insynsskydd i kommunikation • Nyckellängd bör vara 128 eller 256 bitar för säker transport • Krypterad e-post

  20. Elektronisk identifiering • Hur vet vi att det är rätt person som uppges ha behörighet • Hur vet vi att det krypterade dokumentet kan läsas av tilltänkt mottagare? • Elektronisk identitet är centralt begrepp

  21. Elektronisk identifiering • Användarnamn och lösenord • skapas ofta av användaren själv • visar att samma person återkommer • lösenord ska inte lagras klartext • komplexiteten står för säkerheten • Engångslösenord • Tvåfaktorautentisering, t.ex. dosa, sms, papper • Certifikat • kan ha utgivare som knyter person till certifikat • avancerad teknisk lösning, PKI • Identitetsintyg • Inom en federation där deltagarna litar på varandra

  22. Elektronisk identifiering Säkerheten beror på • Den tekniska lösningen, hur säker är den • Hur går identitetskontrollen till • Utfärdarna av identiteter med hög säkerhet använder metoder för utlämning som liknar dem för körkort, pass och id-kort - hög nivå på identitetskontroll. Personligt möte kravs i något skede • Standardiserade metoder för att ange säkerhetsnivåer, viktigt för att kunna ha tillit till andra aktörer

  23. Säkerheten i den tekniska lösningen för e-identifiering • Den tekniska lösningen • Styrka i lösenord • Att lösenord inte lagras i klartext • Att lösenord är tillräckligt långa och komplexa • Att lösenord byts ut tillräckligt ofta • Att de enheter som ger engångslösenord hanteras som värdehandlingar • Att lösningar som bygger på certifikat och kryptering har tillräckligt långa nycklar och att certifikat inte är spärrat • Att medlemmar i en federation iakttar samma regler

  24. Säkerhet i identifieringen • Identifieringen när en elektronisk identitet utfärdas står för att ge tillit till sambandet mellan personen och dennes elektroniska identitet • Exempel: • hämta ut dosa på bankkontor • skicka lösenord till folkbokföringsadressen • hämta ut lösenord med rekommenderat brev • använd tidigare person-till-person-identifiering för att få ny elektronisk identitet

  25. Elektroniska identiteter i Sverige • E-legitimation • SITHS - inom vårdsektorn • Steria tjänstecertifikat • STORK - för europiska medborgare • Svensk e-legitimation

  26. Identifiering av myndighet och företag • Är det rätt företag som lämnar anbud • Är det verkligen den upphandlande myndigheten som anbudet skickas till? • SSL-protokollet identifierar webbplatser

  27. Behörighet och åtkomstkontroll • Vem är behörig att lämna anbud • Vem är behörig att teckna kontrakt • Alla upphandlingssystem innehåller behörighetskontroller • Olika behörigheter för olika roller • Olika behörighet vid olika tidpunkter • Behörighetssystem kräver elektronisk identifiering • Hur behörig behöver man vara för att få ut ett förfrågningsunderlag

  28. Äkthet och förändringsskydd • ChecksummaEn matematisk metod att verifiera äkthet i en datamängd, t.ex. ett dokument • Förändring av data leder till annan checksumma • Data kan inte återskapas ur checksumman • I praktiken leder olika data alltid till olika checksummor • En bra metod för att upptäcka förändringar, avsiktliga eller oavsiktliga

  29. Exempel på användning av checksummor • Manuell kontroll av anbud, överför checksumma på överenskommet vis • Lösenord bör lagras som checksummor, inte i klartext • Elektronisk signatur består av krypterad checksumma

  30. Tid • Tid är en väsentlig faktor i upphandlingssystem • Systemen bör hämta tid från central server på internet • Loggning med tidsangivelser ska göras • Det finns fristående tjänster för tidsstämpling elektroniskt

  31. Spårbarhet • Loggning av alla händelser ger möjlighet till spårbarhet • Elektronisk signatur ger också god spårbarhet

  32. Tillit till upphandlingssystemet • Det upphandlingssystem som en myndighet anlitar måste myndigheten ha tillit till • Ett bra sätt är att begära att leverantören använder ett ledningssystem för informationssäkerhet • Följ standarden ISO 27 000 • Eventuell certifiering är bra, men inte nödvändig

  33. Riskbedömning • Vilka krav ska man ställa • På upphandlingssystemet • På anbudsgivarna • Gör en riskbedömning • vilka värden står på spel • hur känslig är marknaden • proportionalitet i kraven • internationell marknad

  34. Fördjupningsområden

  35. E-legitimation och federationer

  36. E-legitimation • En elektronisk identitet i Sverige • Bygger på certifikat som elektronisk identitet • Spärrkontroll görs hos utfärdare för att kontrollera att e-legitimationen inte är spärrad • Utfärdas idag av banker och Telia • Ramavtal har funnits, detta gäller avgifter för att göra spärrkontroller hos utfärdarna

  37. Ny lagstiftning om e-legitimationer 2013 • Valfrihetssystem införs 1 juli 2013 för elektronisk identifiering för myndigheters e-tjänster • Upphandlingssystem kan betraktas som en e-tjänst • Myndigheter och utfärdare av e-legitimationer kan ansluta sig till en federation där ett regelverk anger säkerhetskraven och rutiner • Identitetsintyg enligt standard med olika typer av bakomliggande elektronisk identifiering utgör Svensk e-legitimation

  38. Federationer • Federation: en gruppering som erkänner tillit till varandra och tillämpar samma regelverk • Svensk e-legitimation är en federation för svensk offentlig sektor och utfärdare av e-legitimationer. Administreras av E-legitimationsnämnden • Peppol är ett EU-projekt för elektronisk offentlig upphandling, har en federation för validering av certifikat för upphandling inom EU. Nu Open Peppol • Stork är ett EU-projekt som handlar om europeiskt godkännande av elektroniska identiteter

  39. Elektronisk signatur

  40. Elektronisk signatur • Knyt ett dokument till en person på ett säkert sätt • Vanligtvis krypteras en checksumma • Metoden skyddar mot avsiktlig och oavsiktlig förvanskning • Metoden identifierar den som signerat • En bra metod för att erhålla spårbarhet

  41. Elektronisk signatur i upphandling • Anbud kan signeras • Myndigheter får kräva att anbud ska vara elektroniskt signerade • Kräver att både myndighet och alla anbudsgivare har tillgång till elektroniska signaturer • Kontrakt kan signeras elektroniskt

  42. Elektroniska signaturer på svensk marknad • ChamberSign har tjänst för elektroniska signaturer • Flera typer av elektroniska identiteter kan användas för att skapa signatureren • E-legitimationsnämnden upphandlar tjänst för att skapa elektroniska signaturer baserade på Svensk e-legitimation. Ett avrop på E-förvaltningsstödjande tjänster 2010 • Inte särskilt vanligt ännu i upphandlingssammanhang

  43. Ledningssystem för informationssäkerhet

  44. ISO 27000 ? • I myndighetens säkerhetsarbete • I upphandlingssystemets leverantörs säkerhetsarbete Har duerfarenhetav LIS - ISO 27000?

  45. ISO 27000 • Informationssäkerhetspolicy • Organisation av informationssäkerheten • Hantering av tillgångar • Personalresurser och säkerhet • Fysisk och miljörelaterad säkerhet • Styrning av kommunikation och drift • Styrning av åtkomst • Anskaffning, utveckling och underhåll av informationssystem • Hantering av informationssäkerhetsincidenter • Kontinuitetsplan för verksamheten • Efterlevnad

  46. ISO 27001 Bilaga A Mål och åtgärder • Ca 100 konkreta krav på åtgärder

  47. Fler exempel ur ISO 27001 bil A

  48. Internationella aspekter På gång inom direktiv, förordningar och lagstiftning i EU och i Sverige

  49. Upphandling över gränserna ? • Gränsöverskridande upphandling är ännu litet • En myndighet som annonserar övertröskelvärden och använder elektroniskinlämning av anbud måste angehur utländska anbudsgivare skalämna anbud • Arbetet i EU siktar på gränsöverskridande upphandlingar Har du erfarenhet?

  50. Vad är på gång inom området? • Valfrihetssystem för e-legitimationer • EU-förordning om gränsöverskridande elektronisk identifiering, elektroniska signaturer m.m. • Nytt upphandlingsdirektiv med krav på elektronisk kommunikation • Standarder för upphandlingsprocessen CEN/BII3 • Standarder för elektroniska signaturer • EU-projekt: STORK, PEPPOL, E-SENS