Vedlegg B: Behandling i Standardiseringsrådet, DANE

Like dokumenter
Høring - Anbefalt standard for transportsikring av epost

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Vedlegg A: Behandling i Standardiseringsrådet, HTTPS

Standarder for sikker informasjonsutveksling på Internett

Standardiseringsrådsmøte

Transportsikring av e-post rfc STARTTLS

Høring - Standarder for sikring av epost, kommunikasjon med nettsteder og navneoppslag

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Sak 3/18 Sluttbehandling av Etablere enhetlig arkitekturrammeverk (ST 2.2) Skate-møtet 21.mars 2018

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Sikrere E-post en selvfølgelighet

Nasjonal arbeidsgruppe IPv6

Revisjonsnotat høsten 2014

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Prioritering møte i Standardiseringsrådet Beslutningssak

Standardiseringsrådsmøte #4 i November 2015

STANDARDISERINGSRÅDETS ARBEID

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

Høringsuttalelse - referansekatalog over anbefalte og obligatoriske IKTstandarder

Metodikk for arbeidet i Standardiseringsrådet

Arkivstandarder MODARK hos Arkivverket Arkivverket v/espen Joranger

Nasjonal sikkerhetsmyndighet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

Strategi for metadata i offentlig sektor

Referat fra møtet i Standardiseringsrådet mai 2012

Standardiseringsarbeidet

Veikart Standardiseringsrådet

Referat. Standardiseringsrådet - møte # Agenda. Deltakere. Faste medlemmer. Deltakere i forbindelse med sakene

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Elektronisk informasjonsflyt av dødsdata muligheter og gjenbruk. Åsa Otterstedt, prosjektleder edår

Veien videre med DNSSEC for.no

Prosjektrapport HTTPS for offentlige webtjenester

Tid Sak Tema Ansvarlig. Velkommen og godkjenning av referat og agenda

Grunnleggende tiltak for sikring av e-post

Endringer i arbeidsreglementet ytringsfrihet og varsling

GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

«Standard for begrepsbeskrivelser»

HØRING OM ENDRING I BARNEHAGELOVEN - KORTERE VENTETID PÅ BARNEHAGEPLASS

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Forskrift 25. september 2009 nr om IT-standarder i offentlig forvaltning

Prosjekt Internasjonale standarder

Vestfold Interkommunale Brannvesen IKS

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Referat Standardiseringsrådet - møte #

Høringssvar - Endringer i eforvaltningsforskriften - Digital kommunikasjon som hovedregel

Høring av utkast til ny postlov Fylkesrådmannens innstilling

Standarder for risikostyring av informasjonssikkerhet

Åpne standarder og digitalisering

Eva Håheim Pedersen, klinikkdirektør Kongsberg sykehus Christine Furuholmen, samhandlingssjef Gunn Heidi Wallenius, prosjektleder KHS

Velkommen til Tegnsett seminar

12/ / /JSK 7.

Saksbehandler: Anniken Blichfeldt Muren Arkiv: J77 &13 Arkivsaksnr.: 09/ Dato:

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Bodø kirkelige fellesråd. Budsjett 2013.

Oppsummering av spørreundersøkelse bydelsstyrerepresentantene

Vår ref: Saksbehandler: Dato: 2016/123-2 Wenche Næsvold Høringssvar - Høring om nytt inntektssystem for kommunene

Møteinnkalling. Utvalg: Arbeidsutvalg for Midtre Nordland nasjonalparkstyre Møtested: Telefon Dato: Tidspunkt: 13:00

Orientering fra fylkesråd for økonomi Knut Petter Torgersen om kommuneøkonomiproposisjonen 2017/gjennomgang delkonstnadsnøkler båt og ferje

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Deres ref Vår ref Dato

Tillegg nr. 2 til tildelingsbrev for 2018

Utredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering

Referat. Standardiseringsrådet - møte # Agenda. Deltakere. Faste medlemmer. Standardiseringsrådets møte #2 2019

Utredning av standarder for styring av informasjonssikkerhet

Kunnskapsdepartementet - Høring - Forslag til endringer i opplæringsloven og friskoleloven

Kristian Bergem. Direktoratet for forvaltning og IKT

DNS og DNSSEC. Magni Onsøien

Områdereguleringsplan for sentrum - igangsetting og finansiering

NIFS 16. desember 2015

SAMLET SAKSFRAMSTILLING

Politikk for åpen kildekode Jørund Leknes, politisk rådgiver

Herved følger Kongsberg kommunes høringsuttalelse ang.: til endringer i opplæringsloven og friskoleloven"

Høringsoppsummering om forskrift om endring i forskrift av 19. januar 2004 nr. 298 om førerkort m.m. (førerkortforskriften) 1-2

Klagernes anførsler Direktoratets merknader

Referat fra møtet i Standardiseringsrådet mars 2015

Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november møte i Standardiseringsrådet 22. og 23.

Høring - Forslag til endring i prosjekt til fordypning for videregående trinn 1 og 2, yrkesfaglige utdanningsprogram.

Høringsuttalelse - Utkast til standard for tjenestebasert adressering del 3: Tjenestetyper

Saksframlegg. Høringsuttalelse fra Spydeberg kommune vedrørende gjennomføring av organhandelskonvensjonen i norsk rett

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Saksbehandler: Jarle Stunes Arkiv: 122 N Arkivsaksnr.: 16/310. Formannskapet

Saksnr. Utvalg Møtedato 14/13 Fylkesutvalget

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Saksbehandler: Marianne Støa Arkivsaksnr.: 16/ Dato:

SAKSPROTOKOLL - GODKJENNING AV SKISSEPROSJEKT OG ØKONOMISK RAMME - VEA SYKEHJEM TRINN 2

Høringssvar - Endring av landingsforskriften til også å omfatte landterritoriet på Svalbard

Vår ref Deres ref: Saksbehandler Dato 2010/ /010 10/ TRA Grethe Johannessen

Høring rapport om felles meldingsboks

Samordning av IKT-utviklingen i offentlig sektor Statens dataforum 6. mars Trude Andresen Direktør KS Forskning, Innovasjon og Digitalisering

Saksbehandling bestilling av FR og gjennomgang av rapporter

Nordre Follo kommune Forprosjekt nytt sak-/arkivsystem Rapport Del II Ekstern kartlegging

23. Møte i Standardiseringsrådet

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Saksbehandler: virksomhetsleder Hege Brænna. Digitaliseringsstrategi

Transkript:

Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av 5

Dato: 21.8.2018 Saksnr: 18/00643 Til: Rune Karlsen Kopi: Fra: Saksbehandler: Seksjon for informasjonssikkerhet Håkon Styri Saksframlegg til Standardiseringsrådets møte 21.06.2018 Anbefalt standard for transportsikring av e-post Dette forslaget gjelder endring av en eksisterende anbefaling 1 som ble innført 1.12.2016. Formålet med forslaget Forslaget medfører ingen endring av formålet med gjeldende anbefaling. Begrunnelsen for endringen er at den eksisterende anbefalingen har en kjent sårbarhet hvor det er laget en ny spesifikasjon som inneholder tiltak mot denne sårbarheten. Difi anser at den nye spesifikasjonen har tilstrekkelig modenhet til at den kan vurderes som ny del av anbefalingen. Endring av eksisterende anbefaling Dagens tekst er som følger: «Det anbefales å benytte SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus for transportsikring av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv. Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.» Difi foreslår å endre ordlyden til følgende: «Det anbefales å benytte transportsikring av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv. Som 1 https://www.difi.no/fagomrader-og-tjenester/digitalisering-og-samordning/standarder/referansekatalogen/grunnleggendedatakommunikasjon-0 Side 2 av 5

Begrunnelse prioritert løsning anbefales det å benytte SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (RFC 7672). Dersom motpart i utvekslingen av en e-postmelding ikke støtter denne spesifikasjonen skal SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus brukes. Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.» Den nåværende anbefalingen som viser til spesifikasjonen RFC 3207 medfører at løsninger som er tatt i bruk kan ha sårbarheter for angrep fra mellommann. IETF publiserte i oktober 2015 spesifikasjonen RFC 7672 som reduserer denne risikoen og som kan benyttes sammen med gjeldende anbefaling i referansekatalogen. En alternativ løsning er foreslått og har vært under arbeid hos IETF siden mars 2016, men er ennå ikke ferdigstilt som IETF-spesifikasjon. Det er uheldig å anbefale sikkerhetstiltak med sårbarheter hvor risikoen er betydelig redusert i nyere løsninger uten i det minste å gi veiledning om dette. Et minimum er å gjøre oppmerksom på den nye løsningen, men den nye løsningen vil ha liten effekt dersom kun noen få virksomheter bruker den. Difi foreslår derfor å anbefale spesifikasjonen RFC 7672 for transportsikring av e-post. Den sikkerhetsmessige gevinsten knyttet til denne endringen er redusert risiko for at sikker transport av e-post kan angripes av en trusselaktør. Kostnader Difi antar at den største kostnaden for å ta i bruk RFC 7672 er knyttet til at standarden krever at DNSSEC (RFC 4033 m.fl.) er etablert, men det er nødvendig å kartlegge hvor mange virksomheter som har leverandører av e-post som ikke tilbyr RFC 7672 og som derfor må vurdere å bytte leverandør. Dette ønsker Difi å få tilbakemelding på når endringsforslaget legges ut til høring. Konsekvens dersom gjeldende anbefaling ikke endres Selv om denne anbefalingen ikke endres så forventes det at virksomhetene har gjort en vurdering om risikoen for at sårbarheten som følger av RFC 3207 er akseptabel. Det er likevel fare for at en uendret anbefaling kan gi et utilsiktet signal om at risikoen knyttet til denne sårbarheten er akseptabel. Side 3 av 5

Forslag B DANE Oppsummering av høringssvar Det følgende er en oppsummering av vesentlige merknader fra svarene på høringen med kommentarer fra Difi. Regjeringsadvokaten (RA) uttaler «RFC 3207 anses som ikke akseptabel risiko for RA.» Difi har gjort en tilsvarende vurdering i forkant av forslaget om å endre den eksisterende anbefalingen. Det eksisterer flere initiativer for å løse utfordringen, men foreløpig er det kun RFC 7672 som har fått status som en standard. Statistisk sentralbyrå (SSB) har uttalt følgende: «En uformell sjekk av ulike offentlige instanser, viser at mange ikke støtter dette per i dag, og det er dermed høyst usikkert hvor stor effekt det har å anbefale bruk av DANE på kort sikt.» Passordninja AS har uttalt følgende: «Det er per september 2018 kun en større kommersiell leverandør av dns+epost tjenester i Norge som tilbyr støtte for DNSSEC (RFC 4033 m.fl.) i kombinasjon med DANE (RFC 7672). Imidlertid finnes det en rekke produkter og tjenester internasjonalt som har støtte for DNSSEC, og som enten har eller ventes å snart kunne tilby DANE (RFC 7672) støtte.» Difi har gjennom arbeidet funnet at RFC 7672 har lav aksept i markedet internasjonalt. Selv Nederland som har vært aktive for å etablere bruk av standarden har fremdeles liten utbredelse. Så langt vi kan se er det Tyskland som kommer best ut når det gjelder å ta standarden i bruk. I saksframlegget som ble sendt på høring har Difi nevnt at en alternativ løsning er foreslått og har vært under arbeid hos IETF siden mars 2016. Denne har den foreløpige betegnelsen «SMTP MTA Strict Transport Security» og arbeidet med denne er på nåværende tidspunkt kommet så langt at Difi vurderer det som sannsynlig at den blir publisert som en RFC i nær fremtid. Dette vil påvirke vurderingen av aksept i markedet for RFC 7672. Det er også foreslått en ny spesifikasjon som sannsynligvis vil bli en oppdatering av både RFC 3207 og RFC 7672. Arbeidet med denne har hatt rask fremdrift og det er sannsynlig at også denne standarden vil bli publisert som en RFC i nær framtid. Difi vil foreslå at Standardiseringsrådet utsetter behandlingen av dette forslaget til sitt neste møte. Side 4 av 5

Oppdatert forslag til anbefaling Saksframlegg B DANE Den følgende utgaven av teksten er oppdatert etter behandling av høringssvar. Difi ønsker å utsette behandling av dette saksfremlegget til neste møte i Standardiseringsrådet. Side 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding