Hva skal vi være redde for? Olav Lysne

Størrelse: px

Begynne med side:

Download "Hva skal vi være redde for? Olav Lysne"

Aron Aase
7 år siden
Visninger:

1 Hva skal vi være redde for? Olav Lysne Professor Robuste Nett Senteret Simula Research Laboratory AS

2 Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver

3 Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering

Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør -> Drift outsourcet? Regional nettleverandør-> Drift outsourcet?

4 Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør -> Drift outsourcet? Regional nettleverandør-> Drift outsourcet? Kjærnenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver > Verdikjede for autentisering Bankserver Outsourcet? Regional nettleverandør-> Drift outsourcet? Kjærnenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver -> Verdikjede for autentisering Bankserver Outsourcet?

5 Kjernenett Mobil tjenesteleverandør Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver Regional nettleverandør Mobiltelefon Bank...

6 Kjennetegn digitale verdikjeder Feil propagerer momentant og noen ganger på uforutsigbare måter. Tjenestene som inngår i verdikjedene spenner gjerne flere sektorer, og de er underlagt forskjellige lovverk og tilsynsregimer. For de som utvikler en tjeneste på toppen av slike verdikjeder er det svært utfordrende å skaffe seg oversikt over hvilke sårbarheter tjenesten er eksponert for lenger ned i verdikjeden. Enkelte tjenester befinner seg i bunnen av svært mange slike verdikjeder.

7 Digital sårbarhet og nasjonal autonomi Vi er fullstendig avhengige av internasjonale utstyrsleverandører Vi er i noen sammenhenger styrt ikke bare påvirket av andre lands beslutninger Vi er i noen sammenhenger styrt ikke bare påvirket av internasjonale trender og internasjonal produktutvikling

8 Hva kan vi gjøre dersom vi ikke stoler 100% på de som leverer utstyret vårt?

9 What is electronic equipment? Application source Compiler+ libraries Application OS/Driver Source Compiler+ libraries OS HAL Source Compiler+ libraries HAL VHL SOURCE RTL Gate-level description Integrated Cirquits Synthesis tool Logic synthesis tool Hardware production line 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp Huawei offers access to source code and equipment.

10 Where can backdoors be introduced? Application source Compiler+ libraries Application OS/Driver Source Compiler+ libraries OS HAL Source Compiler+ libraries HAL VHL SOURCE RTL Gate-level description Integrated Cirquits Synthesis tool Logic synthesis tool Hardware production line 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp Huawei offers access to source code and equipment.

$print("value of x : " + x ); x++; System.out.print("\n"); } Compiler 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp. 761-763 2.$

11 Yes, but at what points may a backdoor get introduced? public class Test { public static void main(string args[]) { int x = 10; } } while( x < 20 ) { System.out.print("value of x : " + x ); x++; System.out.print("\n"); } Compiler 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp Huawei offers access to source code and equipment.

12 Where can backdoors be introduced? Application source Compiler+ libraries Application OS/Driver Source Compiler+ libraries OS HAL Source Compiler+ libraries HAL VHL SOURCE RTL Gate-level description Integrated Cirquits Synthesis tool Logic synthesis tool Hardware production line 1. K.Thompson: Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp Huawei offers access to source code and equipment.

13 The questions Is the problem decidable in the Church/Turing sense? Can software quality management help us (models management, metrics, standards)? Can existing malware detection techniques help us? Can decompilation and reverse engineering help? How does the war between code obfuscation and deobfuscation look? Can Formal Methods help? Dynamic methods/sandboxing? Can we contain untrusted modules architecturally?

14 Lysneutvalget: Sikre mangfold blant leverandørene til kritisk infrastruktur Vi må ha en håndterbar situasjon selv om vi som nasjon skulle miste tillit til en enkeltleverandør.

15 Digitalt grenseforsvar Lysne II - utvalget

16 Digitalt grenseforsvar (DGF) Innretning og virksomhet som gir Etterretningstjenesten tilgang til digital informasjon som krysser landegrensen i kabel Hovedmengden av datatrafikken ut av og inn i Norge går i disse kablene DGF-lignende installasjoner finnes i flere sammenlignbare land Sverige, Tyskland, Frankrike, Storbritannia, USA og Canada Sveits har vedtatt lovgivning positiv folkeavstemning Under vurdering i Nederland og Finland E-tjenesten har argumentert for nødvendigheten av DGF i Norge Lysne I-utvalget foreslo en utredning om temaet

17 Hva har aktualisert DGF? Endring i trusselbildet Internasjonale cyberangrep eskalerer i omfang og kompleksitet Nettbasert koordinering av internasjonal terrorvirksomhet Teknologiske endringer Tidligere tiders kommunikasjonskanaler erstattes av Internett-baserte løsninger Eldre etterretningskapasiteter må erstattes med nye for å gi E-tjenesten tilstrekkelige verktøy

18 Hvorfor er dette vanskelig?

19 Personvern Hva vil være mulig om 20 år? Hva vil være kompromitterende om 20 år? Er det mulig å tillate, og deretter forby innsamling, lagring og sammenstilling av store datamengder? Burde vi legge oss på en linje som er robust ved et regimeskifte? Nedkjølingseffekten hvor kraftig er den?

20 DGF kan kun anbefales dersom det finnes en løsning som er Teknologisk gjennomførbar, på trygg juridisk grunn, ikke skader tillitsforholdet mellom E-tjenesten og befolkningen og gir tilstrekkelig etterretningsmessig verdi.

21 Etterretningsmessig verdi metadata og innholdsdata DGF Metadata lagres over tid for å kunne avgjøre Tidspunkt for første infiltrasjon Hvem andre er angrepet? Innholdsdata lagres når angrepet er kjent for å kunne studere angrepets art og utvikling av skadebegrensende tiltak.

22 Teknologisk gjennomførbar Det er umulig å filtrere datastrømmene slik at kun informasjon som er innenfor E-tjenesten sitt ansvarsområde slipper gjennom En etterretningsmessig effektiv implementasjon av DGF vil måtte lagre overskuddsinformasjon I en eventuell implementasjon av DGF må det være tekniske begrensninger og menneskelge kontrollmekanismer som kontrollerer hvordan data benyttes.

23 Juridisk holdbar Bestemmelser og konvensjoner Grunnloven, Personopplysningsloven, Lov og instruks om Etterretningstjenesten, EMK, FN-konvensjonen om sivile og politiske rettigheter, Europarådets personvernkonvensjon, Personvernsdirektivet/Personvernsforordningen... Tolkninger Datalagringsdirektivet sin sjebne Safe Harbour/Privacy Shield Tele2-saken fra EU-domstolen i desember EOS-utvalgets særskilte melding En eventuell innføring av DGF bør ikke stå i fare for å bli underkjent i en rettslig prøving

24 og DGF vil sannsynligvis bli rettslig prøvet

25 Bevare tillit i befolkningen I noen grad støttet av juridisk holdbarhet Åpenhet og transparens som tillitsskapende virkemidler er ikke egnet i etterretningssammenheng Sikkerhetsklarerte kontrollinstanser som på befolkningens vegne har innsyn i DGFinstallasjonen

27 Viktige spørsmål Tør vi å fortsette med å gi E-tjenesten oppgaver å løse i det digitale rom? Om vi gjør det, finnes det steder hvor de kan ha tilgang hvor vi ikke trenger å engste oss for hva de får tak i, og i såfall hvor? Dersom slike steder ikke finnes, hvilke kontrollmekanismer må vi få på plass, og hvordan sikrer vi oss at de kommer på plass?

Like dokumenter

Digitalt Grenseforsvar

Digitalt Grenseforsvar Professor Olav Lysne Digitalt grenseforsvar (DGF) Innretning og virksomhet som gir Etterretningstjenesten tilgang til digital informasjon som krysser landegrensen i kabel Hovedmengden