För tillfället finns det två företag i Sverige som utför granskning av IT-säkerhetsprodukter, Atsec Information Security och Combitech. Övervakningen och kontrollen av dessa två granskningsföretag sköts av Sveriges Certifieringsorgan för IT-säkerhet, CSEC, som erkändes internationellt för drygt ett år sedan och som verkar inom Försvarets Materielverk.– Vi har två olika uppgifter. Dels delar vi ut licenser till privata företag som får rätt att granska IT-säkerheten i produkter. Dels övervakar vi de granskande företagens arbete, så att de utför sina granskningsuppgifter på ett korrekt sätt, säger Dag Ströman som är verksamhetschef på CSEC.De flesta produkter som granskas i Sverige i dag är IT-produkter som används av myndigheter, främst av Försvarsmakten. Eftersom granskningen numera sker i Sverige blir processen mycket smidigare. Man slipper till exempel kostnader för resor och översättningar av manualer.I många andra länder granskar och certifierar man redan flertalet produkter som innehåller väsentliga IT-säkerhetsfunktioner som operativsystem, brandväggar, krypteringslösningar och smarta kort som används av myndigheter. Enligt Dag Ströman kan detta även bli aktuellt i Sverige i framtiden.I processindustrin är det viktigt att kontroll- och styrsystemen som används är pålitliga. Systemet i sin helhet måste skyddas för attacker från utomstående.– I alla lägen där IT-säkerhet är av betydelse, där man upplever att det finns en hotbild mot de programvaror som används för att styra och kontrollera processer, kan den internationella standarden Common Criteria (ISO/IEC 15408) användas för att säkerställa att produkterna verkligen håller vad de lovar, säger Dag Ströman.För att förhindra obehörig åtkomst kan man till exempel tillämpa kryptering. Då kan man stoppa andra än behöriga att skicka data in i systemet. Men det finns alternativ till kryptering. Man kan upprätta säkerhetsdomäner bestående av brandväggar och så kallade datadioder som utestänger obehöriga personer. – Brandväggar och datadioder är inte krypteringsbaserade lösningar, utan en lösning som bygger på att man bara släpper igenom en viss tillåten trafik in i sitt system. Det förutsätter att man måste granska både brandväggar och datadioder noggrant för att försäkra sig om att bara tillåten trafik släpps in eller ut.Det finns olika nivåer inom certifieringen. Dessa skiljer sig åt beroende på om produkten ska motstå mindre avancerade angrepp eller ett kvalificerat angrepp.EAL1 är den lägsta nivån och innebär att produkten kan klara av angrepp från en nyfiken användare, men inte så mycket mer. EAL7 är den högsta nivån och används i stort sett bara på militär utrustning.Kostnaderna för certifieringen beror på hur komplex produkten är. Om källkodskontroller ingår blir det dyrare. Vill man ha en hög EAL-nivå blir kostnaderna högre. Kontrollerna blir fler och mer omfattande och det får företagen betala för.– Kostnaden för en evaluering kan skifta mycket. För en brandvägg som granskas på EAL4-nivån blir kostnaden mellan 700 000 och upp till två miljoner kronor. En granskning av en välstrukturerad produkt är billigare än en granskning av en mer komplex och dåligt strukturerad produkt, säger Dag Ströman.Text Rainer Saxén