Rapporter
Ytterligere informasjon
Dette kapittelet underbygger rapporten med kompetanse som NSM ønsker å dele ut over det som allerede er skrevet i rapporten.
Kort om lagdelingen i alle moderne datasentre
Moderne sky-plattformer og kundenes egne moderne datasentre kan forenkles etter følgende generelle lag-oppdeling:
- Lag 6 - Programvare: Selve tjenestene (applikasjonene)
- Lag 5 - Programvare: Kontainertjenester, databasetjenester, mm.
- Lag 4 - Programvare: Virtuelle datamaskiner og/eller kontainere, mm.
- Lag 3 - Programvare: Hypervisorer, kontainer-plattform, mm.
- Lag 2 - Maskinvare: Fysiske servere, fysisk nettverk og fysisk lagring
- Lag 1 - Datarom: Rom med tilgang til strøm, nett, kjøling, mm.
Modellen med lagene over er gyldig for alle moderne datasentre, både leverandørers datasentre og virksomheters egne datasentre.
Begrepene IaaS, PaaS og SaaS er godt kjent. Litt forenklet kan man si at lag 1-3 representerer det som tilbys av en IaaS-tjeneste (hvis kunden utfører det meste selv med hensyn til de virtuelle maskinene i lag 4), lag 1-5 representerer det som tilbys av en PaaS-tjeneste og lag 1-6 representere det som tilbys av en SaaS-tjeneste. Det kan det være variasjon i hvordan leverandører tilbyr dette eller hvordan deres kunder benytter de ulike tilbudene.
Vanlige misforståelser om skytjenester
Det er flere vanlige misforståelser i forbindelse med dagens populære skytjenester, disse har relevans enten for nasjonal kontroll og for vanlig IKT-sikkerhet:
- Det medfører ikke riktighet at man har norsk kontroll på data bare fordi det leveres fra et datasenter i Norge. Man har heller ikke norsk kontroll fordi applikasjonslaget driftes av noen i Norge. Ved de fleste skytjenester vil i praksis noe av driften foregå i ulike land. Dette gjelder for eksempel programvaren i lag 3 og 4 i modellen over. Et annet eksempel er systemovervåkning. Da er norsk data og metadata teknisk sett kontrollert og tilgjengeliggjort av en eller flere utenlandske selskaper som må følge andre lands lover, inkludert andre lands etterretningslover.
- Mange tror at kryptering av data med egne kundenøkler kan løse utfordringen med forrige punkt. Dette er en utbredt misforståelse. Med dagens teknologier er det dessverre umulig å teknisk sett hindre skytjenesteleverandør innsyn i kundedata, uansett hva slags kryptering som benyttes. Les mer om dette på [11]. En ofte spissformulert «definisjon» av skytjenester er at «sky kun er noen andres datamaskiner». I andres datamaskiner er det umulig å følge med på alt som skjer. Det betyr at det ikke er realistisk at en kunde kan oppdage slik uønsket avlesning av data.
- Det er riktig at en del sårbarheter fjernes av skytjenesteleverandøren når man flytter til en skytjeneste. Ikke minst er profesjonelle leverandører raskere på å innføre sikkerhetsoppdatering av programvare. Men vesentlig sikkerhetsgevinst oppnås ved å fjerne sårbarheter som for eksempel i) lett gjettbare passord til bruk og drift, ii) svak styring og manglende segmentering av nettverk, iii) svak styring av systemrettigheter, iv) med mer. Dette vil i mange tilfeller fortsatt være en del av kundenes oppgaver. De mest vanlige dataangrep kommer gjerne via «toppen» av infrastrukturen (se lagdeling tidligere i teksten). Hvis ikke nevnte og andre sårbarheter også fjernes/reduseres, da kan sikkerhetsgevinsten ved å flytte til en skytjeneste i mange tilfeller bli marginal. God sikkerhet er fremdeles også avhengig av kundens eget sikkerhetsarbeid.
Kort om ulike trusler mot IKT-tjenester
Man bør vurdere ulike trussel scenarier. Disse truslene kan gjelde både egne tjenester i egne datasentre og innkjøpte skytjenester (nr. 5 er kun relevant for innkjøpte skytjenester). Det kan være
- Trussel scenario 1 - datakriminalitet: dataangrep fra individer og kriminelle som for eksempel skader (digital utpressing - løsepengeangrep) og stjeler konfidensiell informasjon.
- Trussel scenario 2 – avtapping: faren for at uvedkommende kan lese innholdet av data som transporteres blant annet mellom kundens og skytjenesteleverandørens datasenter.
- Trussel scenario 3 - insider: faren for utro tjenere i alle deler av leverandørkjedene i skytjenestene.
- Trussel scenario 4 - etterretning1: etterretning fra stater som ikke også er hjemlandet til skytjenesteleverandøren.
- Trussel scenario 5 - etterretning2: etterretning fra samme stat som også er skytjenesteleverandørens hjemland (for eksempel Schrems 2 – scenariet).
- Trussel scenario 6 - krisespekteret: manglende sikkerhet/beredskap i ulike deler av krisespekteret.
- Trussel scenario 7 – konfigurasjons-utnyttelse: manglende/svak sikkerhetskonfigurasjon av tjenesten gir angripere ekstra muligheter.
- Trussel scenario 8 – verdikjede: angripere utnytter svakheter hos underleverandører av skyleverandør eller svakheter i leveransekjeder av tjenester. Dette kan også være relevant for underleverandør benyttet til egne tjenester driftet selv i eget datasenter.
Utfyllende om støtte (support)
Vær oppmerksom på at:
- Å gi systemrettigheter til personell utenfor Norge gir størst risiko. De som har slike rettigheter kan beordres til å lese data, endre data, opprette ny data, slette data eller stoppe tjenesten. Rettighetsmessig er dette i praksis drift. Støtten er primært for de som skal drifte tjenesten.
- Å gi skriverettigheter til data til personell utenfor Norge gir også risiko. De som har slike rettigheter kan beordres til å lese data, endre data, opprette ny data eller slette data.
- Å gi leserettigheter til data til personell utenfor Norge kan og gi risiko. De som har slike rettigheter, kan beordres til å lese data.
Den tekniske muligheten for slike operasjoner (som er ulovlig etter norsk lov, men ikke nødvendigvis etter andre lands lover) kan redusere tillit til den norske tjenesten.
Merk også at uavhengig av både mulig beordring og geografi, så kan personell med rettighetene i listen over naturligvis også bli hacket/kompromittert.
Hvis man likevel velger å benytte personell i andre land til støttetjenester, så bør man sikre seg god sporbarhet mht. hva personell har utført. Sporbarhet kan etableres ved bruk av logging av transaksjoner. Slik logging må naturligvis ikke kunne manipuleres av noen utenfor norsk kontroll. Med transaksjoner menes alle operasjonene på tjenesten (drift og alle operasjoner på data eller metadata). Loggingen må regelmessig inspiseres (automatisert, med manuell oppfølging av varsler) av personell i Norge for å kontrollere at det ikke er utført uønsket brudd på behovet for norsk kontroll av tjenesten.
Norsk støttepersonell må gjerne dele skjerm i digitale møter med støttepersonell utenfor Norge. Sistnevnte får da selv ikke tilgang til data eller system, men kan veilede personell i Norge. Personell i Norge er ansvarlig for at sensitive data ikke vises. Bruk gjerne norsk møteprogramvare (de utenfor Norge trenger vanligvis ikke samme programvare – de kan gjennomføre møtet i en nettleser). Opptak bør deaktiveres eller være under kontroll av personell i Norge.
Kort om mulige bakdører i maskinvare, programvare eller IKT-tjenester
NSM viser her kun til offentlig kjent informasjon. Følgende er en generell/akademisk gjennomgang.
«Bakdører» er et begrep som angir en «bakvei» inn for uvedkommende, og som er ukjent for kundene. Bakdører kan være a) i maskinvare, programvare eller tjenester, b) være beordring av leverandør eller uten kjennskap fra leverandøren (for eksempel sårbarhetsutnyttelse), c) innføres i ulike deler av leverandørkjeden (utvikling, produksjon, transport, oppbevaring, bruk), d) være permanent til stede siden produksjon eller temporære (ved tjenester med hyppige oppdateringer) og e) ramme alle kundene eller være kundespesifikke. Sist, men ikke minst så er det f) det er lite sannsynlig at virksomheter kan selv oppdage slikt, det blir eventuelt ved (sjeldne) publiserte lekkasjer/varslinger at slikt blir kjent.
Sårbarhetsutnyttelse: all IKT (maskinvare, programvare og tjenester) har nesten uten unntak sårbarheter. Med rett kompetanse, kursing i avansert penetrasjonstesting, god økonomi og litt tålmodighet så finner man gjerne til slutt de sårbarhetene man trenger for å finne og utnytte en bakdør. Det er sannsynlig at noen land har gode fagmiljøer på slike oppgaver. Slikt arbeid er antagelig relevant i forbindelse med populære IKT-produkter (maskinvare og programvare) som benyttes i datasentre, skytjenester, IT-avdelinger, mm.
Det blir ofte en spekulasjon om man kan regne med eller ikke regne med slike bakdører. Som de fleste nasjonalstater må også norske myndigheter likevel ta slike muligheter med i betraktning for å best mulig beskytte både nasjonalstaten og innbyggernes rettigheter.
Kort om mulighet for etterretning i forbindelse med IKT-tjenester
NSM viser her kun til offentlig kjent informasjon. Følgende er en generell/akademisk gjennomgang.
Rent akademisk kan etterretning forekomme flere steder ifm. IKT-tjenester. Disse stedene kan være: 1) Brukerens terminal, 2) kundens eget datasenter, 3) ved landegrenser med statspålagt overvåkning, 4) kommunikasjonskabler (på land og under vann), 5) kommunikasjons-hubber og 6) datasenter til tjenesteleverandør.
Rent akademisk, for alle disse 6 stedene kan gjelde: a) Både masseinnhenting eller mer målrettet innhenting, b) både innhenting ved beordring av leverandør eller uten kjennskap fra leverandør (sårbarhetsutnyttelse), c) både avlesning av data og avlesning av metadata, d) både kapasitet for dataavlesning, kapasitet for dataforfalskning og kapasitet for sabotasje av tjenesten, og e) etterretning utført både av vennligsinnede og ikke så vennligsinnede stater.
Man kan se for seg ulike kombinasjoner med disse to listene. Det finnes en rekke offentliggjorte eksempler, så dette er ikke teoretisk.
Det blir ofte en spekulasjon om man kan regne med eller ikke regne med etterretning i forbindelse med IKT-tjenester. Som alle stater må også norske myndigheter likevel ta slike muligheter med i betraktning for å best mulig beskytte både nasjonalstaten og innbyggernes rettigheter.