Upphandlingssystem och IT-säkerhet Upphandlingsstödsdagen 2013-11-08 Kort introduktion vad det handlar om. Vi kommer att tillbringa 2 timmar tillsammans kring dessa ämnen.

Vem vill finnas tre dar i rad på förstasidan i DN? Ämnet är högaktuellt! Dataintrång, säkerhet och informationssäkerhet på löpsedlarna dagligen. NSA, Obama, Merkel, Snowden, nu senast Karolinska tre dagar i rad på DN:s förstasida

2 timmar om IT-säkerhet i upphandlingssystem ? Presentera talarna Magnus Matts, Kammarkollegiet, upphandlingsstöd Britta Johansson, Sentensia, vägledning Deltagare presenterar sig för varandra Myndighet, företag, organisation Upphandlare, leverantör av upphandlingssystem, övrigt Erfarenhet av elektronisk upphandling Vem är du? Vi presenterar oss som talare med roll och relevant erfarenhet Därefter bikupa per bord: (finns inte bord gör vi gruppindelning). Gör klart att vi kommer att ha gruppdiskussioner och interaktivitet. Deltagare presenterar sig för varandra, enligt listan. Därefter har vi handuppräckning hur många som är från respektive kategori. Leverantörer kan få presentera vilket företag de kommer ifrån.

Kammarkollegiets upphandlingsstöd Kammarkollegiet har regeringens uppdrag att utveckla och förvalta ett nationellt upphandlings- stöd samt att driva utvecklingen av elektronisk upphandling Vägledning: IT-säkerhet i system för elektronisk upphandling, utgiven 2013

System för elektronisk upphandling ? Visma TendSign Mercell Opic Dibus Primona EU-supply CTM E-avrop Avantra Webbaserade molntjänster, används av upphandlare och anbudsgivare Vem har erfarenhet?

Grundläggande säkerhetsfunktioner Insynsskydd och sekretess Identifiering och autentisering Behörighet Äkthet, undertecknande och förändringsskydd Spårbarhet En kort introduktion till begreppen, för att sedan knyta an till upphandlingsprocessen. Skriv dessa begrepp på tavlan, alternativt på blädderblock!

Upphandlingsprocessen

Stegen i upphandlingsprocessen Annonsera Hämta handlingar Frågor och svar Lämna in anbud Öppna Utvärdera Tilldelningsbeslut Kontrakt I vilka skeden är de grundläggande säkerhetsfunktionerna viktiga? Vilka funktioner är viktigast? I vilka skeden. Gå igenom varje steg. Diskutera vilka av de grundläggande säkerhetfunktionerna som är viktiga. Skriv på skärmen, eller på tavla, eller på blädderblock. Finns i vägledningen. Låt deltagare prioritera, gör bikupa.

Vad säger lagen Anbud skriftligt Elektroniska medel allmänt tillgängliga Krav på systemen: säkert, behörighet, spårbarhet Får kräva elektronisk signatur Bevara säkert Öppna inte före tidsfristen Två personer öppnar Ingen uppgift lämnas ut innan beslut fattats Magnus avsnitt. Gå igenom lagkraven vid upphandling. Definiera vilken lag det är som gäller (LOU och LUF), dvs Klassiska direktivet och Försörjnings direktivet. Koncessions direktiv kommer, men innehåller inte detta. Elektronisk anbudsöppning löses med publika och privata nycklar.

De grundläggande säkerhetsfunktionerna

Insynsskydd Vid datalagring Vid lagring Identifiering av behörig

Identifiering och autentisering Identifiering av företag och myndighet Behörighet Tillgång till insynsskyddad information Behörighet att lämna anbud och teckna kontrakt Identifiering av personer - vem är behörig

Identifiering i elektronisk miljö Elektronisk identitet Kopplas till verklig person

Äkthet, undertecknande och förändringsskydd Förvanskningsskydd - är rätt information överförd och på plats? Behöver dokumenten vara undertecknade - signerade Förfrågningsunderlag Anbud Öppningsprotokoll Kontrakt Finns det spårbarhet Håll reda på tiden

Spårbarhet och tid Om något oförutsett händer är det viktigt att i efterhand kunna kontrollera vem som har gjort vad, och när Tid är en väsentlig parameter i upphandlings- sammanhang. Ett för sent inkommet anbud förkastas

Hur mycket säkerhet behövs Gör en riskanalys! Vad står på spel? Vilka erfarenheter finns Vad händer om en oönskad händelse inträffa, vilka konsekvenser blir det? Vilken sannolikhet är det att en oönskad händelse inträffar? Skydd ska stå i proportion till risken

? Riskanalys Hur ser du på risker? Välj ut två exempel på upphandlingar av olika karaktär och gör en riskanalys Vilka konsekvenser får vi om säkerhetsfunktioner brister? Hur stor är sannolikheten att säkerhetsfunktioner brister?

Dagens säkerhetslösningar Vad kan vi förvänta oss av upphandlingssystemen?

Kryptering för insynsskydd Insynsskydd åstadkoms genom kryptering. Krypterat data vid överföring, kryptering vid lagring av data SSL vanligast för webbtjänster Garanterar rätt webbplats Insynsskydd i kommunikation Nyckellängd bör vara 128 eller 256 bitar för säker transport Krypterad e-post

Elektronisk identifiering Hur vet vi att det är rätt person som uppges ha behörighet Hur vet vi att det krypterade dokumentet kan läsas av tilltänkt mottagare? Elektronisk identitet är centralt begrepp

Elektronisk identifiering Användarnamn och lösenord skapas ofta av användaren själv visar att samma person återkommer lösenord ska inte lagras klartext komplexiteten står för säkerheten Engångslösenord Tvåfaktorautentisering, t.ex. dosa, sms, papper Certifikat kan ha utgivare som knyter person till certifikat avancerad teknisk lösning, PKI Identitetsintyg Inom en federation där deltagarna litar på varandra

Elektronisk identifiering Säkerheten beror på Den tekniska lösningen, hur säker är den Hur går identitetskontrollen till Utfärdarna av identiteter med hög säkerhet använder metoder för utlämning som liknar dem för körkort, pass och id-kort - hög nivå på identitetskontroll. Personligt möte kravs i något skede Standardiserade metoder för att ange säkerhetsnivåer, viktigt för att kunna ha tillit till andra aktörer

Säkerheten i den tekniska lösningen för e-identifiering Styrka i lösenord Att lösenord inte lagras i klartext Att lösenord är tillräckligt långa och komplexa Att lösenord byts ut tillräckligt ofta Att de enheter som ger engångslösenord hanteras som värdehandlingar Att lösningar som bygger på certifikat och kryptering har tillräckligt långa nycklar och att certifikat inte är spärrat Att medlemmar i en federation iakttar samma regler

Säkerhet i identifieringen Identifieringen när en elektronisk identitet utfärdas står för att ge tillit till sambandet mellan personen och dennes elektroniska identitet Exempel: hämta ut dosa på bankkontor skicka lösenord till folkbokföringsadressen hämta ut lösenord med rekommenderat brev använd tidigare person-till-person-identifiering för att få ny elektronisk identitet

Elektroniska identiteter i Sverige E-legitimation SITHS - inom vårdsektorn Steria tjänstecertifikat STORK - för europiska medborgare Svensk e-legitimation

Identifiering av myndighet och företag Är det rätt företag som lämnar anbud Är det verkligen den upphandlande myndigheten som anbudet skickas till? SSL-protokollet identifierar webbplatser

Behörighet och åtkomstkontroll Vem är behörig att lämna anbud Vem är behörig att teckna kontrakt Alla upphandlingssystem innehåller behörighetskontroller Olika behörigheter för olika roller Olika behörighet vid olika tidpunkter Behörighetssystem kräver elektronisk identifiering Hur behörig behöver man vara för att få ut ett förfrågningsunderlag

Äkthet och förändringsskydd Checksumma En matematisk metod att verifiera äkthet i en datamängd, t.ex. ett dokument Förändring av data leder till annan checksumma Data kan inte återskapas ur checksumman I praktiken leder olika data alltid till olika checksummor En bra metod för att upptäcka förändringar, avsiktliga eller oavsiktliga

Exempel på användning av checksummor Manuell kontroll av anbud, överför checksumma på överenskommet vis Lösenord bör lagras som checksummor, inte i klartext Elektronisk signatur består av krypterad checksumma

Tid Tid är en väsentlig faktor i upphandlingssystem Systemen bör hämta tid från central server på internet Loggning med tidsangivelser ska göras Det finns fristående tjänster för tidsstämpling elektroniskt

Spårbarhet Loggning av alla händelser ger möjlighet till spårbarhet Elektronisk signatur ger också god spårbarhet

Tillit till upphandlingssystemet Det upphandlingssystem som en myndighet anlitar måste myndigheten ha tillit till Ett bra sätt är att begära att leverantören använder ett ledningssystem för informationssäkerhet Följ standarden ISO 27 000 Eventuell certifiering är bra, men inte nödvändig

Riskbedömning Vilka krav ska man ställa Gör en riskbedömning På upphandlingssystemet På anbudsgivarna Gör en riskbedömning vilka värden står på spel hur känslig är marknaden proportionalitet i kraven internationell marknad

Fördjupningsområden

E-legitimation och federationer

E-legitimation En elektronisk identitet i Sverige Bygger på certifikat som elektronisk identitet Spärrkontroll görs hos utfärdare för att kontrollera att e-legitimationen inte är spärrad Utfärdas idag av banker och Telia Ramavtal har funnits, detta gäller avgifter för att göra spärrkontroller hos utfärdarna

Ny lagstiftning om e-legitimationer 2013 Valfrihetssystem införs 1 juli 2013 för elektronisk identifiering för myndigheters e-tjänster Upphandlingssystem kan betraktas som en e-tjänst Myndigheter och utfärdare av e-legitimationer kan ansluta sig till en federation där ett regelverk anger säkerhetskraven och rutiner Identitetsintyg enligt standard med olika typer av bakomliggande elektronisk identifiering utgör Svensk e-legitimation

Federationer Federation: en gruppering som erkänner tillit till varandra och tillämpar samma regelverk Svensk e-legitimation är en federation för svensk offentlig sektor och utfärdare av e-legitimationer. Administreras av E-legitimationsnämnden Peppol är ett EU-projekt för elektronisk offentlig upphandling, har en federation för validering av certifikat för upphandling inom EU. Nu Open Peppol Stork är ett EU-projekt som handlar om europeiskt godkännande av elektroniska identiteter

Elektronisk signatur

Elektronisk signatur Knyt ett dokument till en person på ett säkert sätt Vanligtvis krypteras en checksumma Metoden skyddar mot avsiktlig och oavsiktlig förvanskning Metoden identifierar den som signerat En bra metod för att erhålla spårbarhet

Elektronisk signatur i upphandling Anbud kan signeras Myndigheter får kräva att anbud ska vara elektroniskt signerade Kräver att både myndighet och alla anbudsgivare har tillgång till elektroniska signaturer Kontrakt kan signeras elektroniskt

Elektroniska signaturer på svensk marknad ChamberSign har tjänst för elektroniska signaturer Flera typer av elektroniska identiteter kan användas för att skapa signatureren E-legitimationsnämnden upphandlar tjänst för att skapa elektroniska signaturer baserade på Svensk e- legitimation. Ett avrop på E-förvaltningsstödjande tjänster 2010 Inte särskilt vanligt ännu i upphandlingssammanhang

Ledningssystem för informationssäkerhet

Har du erfarenhet av LIS - ISO 27000? I myndighetens säkerhetsarbete I upphandlingssystemets leverantörs säkerhetsarbete Har du erfarenhet av LIS - ISO 27000?

ISO 27000 Informationssäkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och underhåll av informationssystem Hantering av informationssäkerhetsincidenter Kontinuitetsplan för verksamheten Efterlevnad

ISO 27001 Bilaga A Mål och åtgärder Ca 100 konkreta krav på åtgärder

Fler exempel ur ISO 27001 bil A

Internationella aspekter På gång inom direktiv, förordningar och lagstiftning i EU och i Sverige

Upphandling över gränserna ? Gränsöverskridande upphandling är ännu litet En myndighet som annonserar över tröskelvärden och använder elektronisk inlämning av anbud måste ange hur utländska anbudsgivare ska lämna anbud Arbetet i EU siktar på gränsöverskridande upphandlingar Har du erfarenhet?

Vad är på gång inom området? Valfrihetssystem för e-legitimationer EU-förordning om gränsöverskridande elektronisk identifiering, elektroniska signaturer m.m. Nytt upphandlingsdirektiv med krav på elektronisk kommunikation Standarder för upphandlingsprocessen CEN/BII3 Standarder för elektroniska signaturer EU-projekt: STORK, PEPPOL, E-SENS Magnus - berätta vad som pågår - vad är målet, vilka är de relevanta förändringarna, när kommer de?

Upphandlingsdirektiv Elektronisk upphandling blir obligatoriskt Miniminivå, e-kommunikation Flera moment ska kunna göras elektroniskt: Annonsering Tillgång till förfrågningsunderlag Möjlighet att lämna anbud Kataloger

Elektronisk identifiering Ny reglering av elektronisk identifiering och elektroniska signaturer planeras Motiveras bland annat med kraven på elektronisk upphandling Tekniska krav specificeras av EU-kommissionen

eIDAS State of Play – European Parliament Foreseen adoptions of amendments on 9.07.2013 (IMCO) 18/19.09.2013 (ITRE) ITRE rapporteur -> Marita Ulvskog (S&D, SE) IMCO Draftswoman -> Marielle Gallo (EPP, FR) Rule 50 Procedure with associated committee EU-Parlamentets utskott, Regel 50, ITRE – Utskottet för industrifrågor, Forskning och Energi (Marita Ulvskog). IMCO – EP Committee on Internal Market and Consumer Protection (Anna Maria Corazza Bildt)

EU e-signature plan to make electronic deals safer and easier Information society - 15-10-2013 - 10:29 Committee : Industry, Research and Energy Companies, citizens and public authorities wanting to strike cross-border deals should have access to easy and trustworthy ways to sign and certify documents, said Parliament's Industry Committee on Monday. To this end, it endorsed a draft EU law that would require EU member states to recognise each other's electronic identification systems. "If we strike the right balance, this law will stimulate the digital economy and help create jobs while also enhancing the trustworthiness and security of cross-border trade", said Marita Ulvskog (S&D, SE), who leads Parliament's work on the draft law. ”It will also make it easier for citizens to deal with public authorities when working or studying abroad. An electronic ID should be accepted across Europe, just like a passport or national ID card" she added. "The proposed regulation aims to make it easier and safer for parties in different EU countries to identify themselves, sign documents and check the authenticity of online documents. This would be the first EU law to require EU member states to recognise and accept electronic identifications issued in other member states. The proposal would require member states to mutually recognise each other's national electronic identification systems, provided that these systems have been reported to the European Commission. Existing national systems would not have to change, but would be classified according to their level of security. Next steps The committee gave Ms Ulvskog a mandate to start negotiations with the Council, aiming at a first reading agreement. Once the Council has adopted its position for these negotiations (expected in November), the talks can start. Det sista det viktigaste, dvs att förhandlingarna bör starta i november.

Status, förordningen, e-signaturer Mål att anta förordningen under EP nuvarande mandatperiod Förhandlingarna (trilogerna) måste vara avslutade under februari-2014 Triloger – Informella förhandlingar mellan rådet, parlamentet och kommissionen.

Status, förordningen, e-signaturer Artiklar 1-19 Inledande bestämmelser E-legitimationer Krav på tillhandahållande av betrodda tjänster Tillsyn av betrodda tjänster Övriga artiklar Regler för e-signaturer och sigill, valideringstjänster, bevarandetjänster, tidsmärkningar, e-delivery, webbsideautentisering Elektroniska dokument (ej betrodd tjänst) Viktigt att säkerställa tillförlitlighets nivåerna cross border (hög säkerhet) och lämna frihet på MS-nivå (varje MS kan själva bestämma).

Avslutande checklista

Vad ska man tänka på? Riskanalys Ledningssystem Insynsskydd Informationsklassning Tidsangivelser Identifiering och lösenord Behörighet hos anbudslämnare Behörighet hos utvärderare Elektronisk identifiering Elektronisk signatur Spårbarhet och loggning Allmän IT-säkerhet