Le autorità, gli uffici e le aziende supervisionate dai servizi segreti trasmettono informazioni altamente sensibili. Pertanto, la sicurezza delle connessioni VPN gioca un ruolo importante. NCP ha sviluppato un software che soddisfa i requisiti della BSI.
"Classified - For official use only": per le autorità e gli uffici, un alto livello di protezione dei dati è prescritto dallo stato. Il cosiddetto VS-NfD è il più basso di un totale di quattro livelli di segretezza per le autorità tedesche. Le informazioni contrassegnate da questa abbreviazione possono essere visualizzate solo da persone autorizzate. Le informazioni classificate sono quelle che devono essere tenute segrete per ragioni di interesse statale.
Come controparte a livello UE, c'è la marcatura "Restreint UE/EU Restricted" e la marcatura di segretezza della NATO è "NATO Restricted".
Il prerequisito per il funzionamento dei livelli di segretezza sono prodotti hardware e software sicuri. Affinché siano considerati sicuri e le autorità possano utilizzarli, l'Ufficio federale per la sicurezza delle informazioni (BSI) deve approvarli.
L'UE assegna livelli di classificazione in base alla gravità dell'impatto se persone non autorizzate dovessero visualizzare i dati. Di conseguenza, ci sono quattro livelli di classificazione, a partire dal più alto:
Très secret UE/EU Top Secret: La divulgazione non autorizzata potrebbe causare danni estremamente gravi agli interessi essenziali dell'UE o degli Stati membri. Segreto UE/EU Secret: la divulgazione non autorizzata potrebbe causare gravi danni agli interessi essenziali dell'UE o degli Stati membri. Confidentiel UE/EU Confidential: la divulgazione non autorizzata potrebbe causare danni agli interessi essenziali dell'UE o degli Stati membri. Restreint UE/EU Restricted: La divulgazione non autorizzata potrebbe essere dannosa per gli interessi dell'UE o degli Stati membri.
Soluzione approvata da BSI per le autorità pubbliche
Politici, funzionari governativi e impiegati ufficiali devono poter accedere alle risorse di rete e ai dati in modo rapido e sicuro. Il produttore di software NCP Engineering ha nella sua gamma prodotti che hanno l'approvazione BSI e sono quindi adatti per la trasmissione dei dati nelle autorità pubbliche.
Il VS GovNet Connector stabilisce connessioni di dati sicure al Secure VPN GovNet Server tramite il client sulla base dello standard IPsec. Gli utenti e gli amministratori IT beneficiano di molte funzioni e di un'elevata sicurezza. Le funzioni includono la gestione centrale dei diritti e della configurazione, l'autenticazione degli utenti, il controllo dell'accesso alla rete e VPN Path Finder.
La controparte del Connector è la soluzione VPN GovNet Server, che ha anche l'approvazione BSI. Ciò significa che le autorità pubbliche sono autorizzate a usarlo per il trattamento dei dati classificati VS-NfD. Il software viene installato su un server Fujitsu per mezzo di un'immagine completa.
L'amministrazione degli utenti viene effettuata tramite sistemi backend come Radius, LDAP, MS Active Directory o direttamente sul gateway VPN. Inoltre, NCP utilizza un sistema operativo di base Linux indurito per motivi di sicurezza, così come la separazione dei privilegi.
Con l'aggiornamento del VS GovNet Connector alla versione 2.0, le autorità ricevono la funzione Self Check. Questo è un servizio di integrità progettato per aumentare la sicurezza. A tal fine, il client VPN esegue degli autotest delle funzioni rilevanti per la sicurezza all'avvio e regolarmente durante il funzionamento. I test includono la verifica dell'autenticità e dell'integrità del software VPN e la corretta esecuzione degli algoritmi di crittografia. Se un autotest fallisce, il client VPN assume uno stato sicuro e il computer della workstation non è più autorizzato a comunicare con altri sistemi.
Inoltre, la soluzione offre un'autenticazione biometrica prima del dial-in VPN tramite impronta digitale o riconoscimento facciale. L'autenticazione avviene direttamente dopo aver fatto clic sul pulsante Connect nella GUI del connettore. La connessione non sarà stabilita finché l'autenticazione biometrica non sarà stata completata con successo. Se il computer non ha l'hardware per l'autenticazione biometrica o se non è attivato, l'utente può anche autenticarsi tramite la sua password.
Un'altra alternativa all'autenticazione è un certificato utente. Questo si trova su una smart card approvata dal BSI. Per questo, gli utenti hanno bisogno del lettore di carte appropriato e devono inserire il PIN della smart card. Il certificato utente rilasciato per l'uso è attivamente coinvolto nell'impostazione della crittografia VPN. Il tunnel VPN viene stabilito solo con un'autenticazione riuscita.
Generalmente, ogni azienda può presentare un'approvazione per i livelli di segretezza al BSI per qualsiasi prodotto. Se il BSI concede l'approvazione è un'altra questione. Come spiega Swen Baumann, responsabile della gestione dei prodotti presso NCP, i produttori che richiedono l'approvazione dovrebbero già avere una posizione elevata con il BSI in termini di fiducia. Inoltre, il produttore deve fornire prove dettagliate di come la soluzione funziona e perché può essere considerata sicura.
Per soddisfare i requisiti del livello di classificazione VS-NfD, NCP ha adattato il VS GovNet Connector alle esigenze delle autorità pubbliche. Il software è basato sull'Enterprise Client, che NCP utilizza già da molti anni con aziende di tutte le dimensioni. Per le autorità pubbliche, il produttore ha posto un'attenzione particolare sul funzionamento più semplice e comprensibile possibile, nonché su un alto livello di trasparenza.