Information är en kritisk tillgång för allt fler verksamheter och beroendet till informations­systemen ökar samtidigt i rask takt. Komplexiteten och den globala spridningen som informations­systemen skapar medför allt större risker för verksamheten.

Lösningen är inte att införa ett lapptäcke av säkerhets­produkter med en brandvägg här och ett anti­virus­program där. Lösningen är att ta ett helhets­grepp, identifiera riskerna och avväga rätt skydds­nivå genom ett metodiskt säkerhets­arbete. Insikten att säkerhet är mycket mer än teknik är ett viktigt steg på vägen. Rätt säkerhets­nivå är en lönsam investering som ger möjlighet att fokusera på kärn­verksamheten och affären.

Med utgångspunkt i akademiska, analytiska och effektiva arbets­metoder och med verksamhets­förståelse arbetar Kirei främst med tre olika huvud­områden inom informations­säkerhet:

  • Ledningssystem för Informationssäkerhet
  • Säkerhetsanalys, kravställning och systemarkitektur
  • Säkerhet i kommunikationsinfrastruktur
  • Standardisering och utveckling

Ledningssystem för Informationssäkerhet

Inom området Ledningssystem för Informations­säkerhet (LIS) arbetar vi med att säkerställa att våra kunder får ett skarpt verktyg att på ett konsekvent, korrekt och repeterbart sätt bedöma risker, vidta skydds­åtgärder samt utvärdera vidtagna åtgärder, så att rätt balans mellan skydd och risk införs i verksamheten.

Verksamheter ska ha det informations­säkerhets­skydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. En risk­analys utgör grunden för ett väl anpassat sådant information­säkerhets­skydd och är dels en aktivitet som syftar till att kartlägga vad som är skyddsvärt i en verksamhet, dels en handling som dokumenterar de resonemang som leder fram till vad som är skyddsvärt. Risk­analysen ska också relatera det skydds­värda till de hot som verksamheten kan utsättas för och de sårbarheter som verksamheten kan vara behäftad med. I förlängningen syftar risk­analysen till att ta fram ett besluts­underlag för skydds­åtgärder samt att skapa spårbarhet för detta underlag.

Inom området för ledning och styrning av informatons­säkerhets­arbetet har Kirei även fört våra kunder genom certifierings­förfarande inom såväl den internationella lednings­system­standarden ISO/IEC 27001:2013 som IT-säkerhets­ramverket SysTrust.

Säkerhetsanalys, kravställning och systemarkitektur

Vid införande av nya eller ändring av befintliga system är det av avgörande betydelse att säkerhets- och kvalitets­aspekterna tas tillvara redan från början, och att system­säkerheten kan upprätt­hållas även efter att införande­projektet har avslutats. Vi stödjer därför i införande­projektets alla faser genom definition av säkerhetskrav, utformning av system­arkitektur, upphandlings­stöd, samt validering och kvalitets­säkring och säkerhets­granskning.

Våra uppdrag kan också vara av karaktären att anta rollen som kontroll­instans. Vi granskar då mot relevanta säkerhets­standarder, regulatoriska- eller affärs­mässiga krav, särskilda identifierade risker eller en kombination av dessa. I andra sammanhang evaluerar vi säkerheten i specifika komponenter på en mer teknisk nivå, ofta baserat på CC/CEM eller en färdig skydds­profil, ner till implementations­nivå.

Säkerhet i kommunikations­infrastruktur

Idag vilar så gott som alla informations­system på öppna, robusta och hög­presterande kommunikations­tjänster. Vi använder våra erfarenheter från stora operatörs­nät, stads­nät och företags­nät för att krav­ställa, dimensionera och kvalitets­säkra tillgången till kritiska informations­resurser.

Vi konstruerar och inför robusta kommunikations­lösningar anpassade för den enskilda verksamheten, ibland dimensionerade för att möta även de mest stringenta kraven på kapacitet, svarstider, feltolerans och motstånds­kraft mot tillgänglighets­angrepp. Vi arbetar också med infrastrukturella kommunikations­tjänster där vi inom ett par områden har en unik kompetens, till exempel inom säkerhet och robusthet i domän­namn­systemet och i att säkerställa att nöd­samtal kan förmedlas och tas emot via IP enligt ECRIT-principerna.

Standardisering och utveckling

Kirei har varit drivande vid standard­isering inom ett antal olika områden med stor tyngd­punkt på säkerhet. I över 15 år har vi arbetat med standard­isering av DNSSEC, det vill säga krypto­grafiska funktioner i det globala domän­namns­systemet (DNS). Genom DNSSEC går det inte bara att avgöra att de uppgifter som förmedlas via domän­namns­systemet är korrekta, det går även att nyttja infra­strukturen för säkert nyckel­utbyte så att två eller flera parter på Internet kan kommunicera säkert utan insyn. Kirei har också medverkat till att införa dessa säkerhets­funktioner i den så kallade domän­namns­roten som drivs av ICANN, samt ett flertal av både nationella och generiska topp­domäner.

Ett annat område där Kirei arbetar lång­siktigt är inom elektronisk identi­fiering. Vi ingick i utredningen E-legi­timations­nämnden och Svensk e-legi­timation (SOU 2010:104), som arbetade fram modellen för Svensk e-legi­timation och lade grunden för myndig­heten E-legitimations­nämndens bildande. Sedan dess har Kirei tagit fram och förankrat det tillits­ramverk som utgör den normerande säkerhets­skydds­krav­ställning som omfattar alla utfärdare av svensk e-legi­timation. Genom arbetet med den nationella strukturen kunde vi även till­sammans med främst brittiska och danska bidrag författa stora delar av den europeiska genom­förande­för­ordningen (EU) 2015/1502 om fast­ställande av tillit­snivåer för gräns­överskridande identifiering.

Ytterligare ett område där Kirei bidrar med betydande utvecklings- och standardiserings­insatser är inom kollektiv­trafik­branschen i Sverige. Kirei ansvarar där för att i Samtrafikens regi ta fram de tekniska specifikationer som ska gälla för säkra elektroniska biljetter och säkert information­utbyte mellan såväl offentligt finansierade som kommersiella aktörer i branschen.