Las autoridades, oficinas y empresas supervisadas por el Servicio Secreto transmiten información altamente sensible. Por lo tanto, la seguridad de las conexiones VPN desempeña un papel importante. NCP ha desarrollado un software que cumple con los requisitos de la BSI.
"Clasificado - Sólo para uso oficial": Para las autoridades y oficinas, el estado prescribe un alto nivel de protección de datos. El llamado VS-NfD es el más bajo de un total de cuatro niveles de secreto para las autoridades alemanas. La información marcada con esta abreviatura sólo puede ser vista por personas autorizadas. La información clasificada es aquella que debe mantenerse en secreto por razones de interés estatal.
Como contrapartida a nivel de la UE, existe la marca "Restreint UE/EU Restricted" y la marca de secreto de la OTAN es "NATO Restricted".
El requisito previo para que los niveles de secreto funcionen son productos de hardware y software seguros. Para que se consideren seguros y las autoridades puedan utilizarlos, la Oficina Federal de Seguridad de la Información (BSI) debe aprobarlos.
La UE asigna niveles de clasificación según la gravedad del impacto si personas no autorizadas vieran los datos. En consecuencia, hay cuatro niveles de clasificación, empezando por el más alto:
Très secret UE/EU Top Secret: La divulgación no autorizada podría causar un daño extremadamente grave a los intereses esenciales de la UE o de los Estados miembros. Secreto UE/UE: La divulgación no autorizada podría causar un grave perjuicio a los intereses esenciales de la UE o de los Estados miembros. Confidentiel UE/EU Confidential: La divulgación no autorizada podría causar un daño a los intereses esenciales de la UE o de los Estados miembros. Restreint UE/EU Restringido: La divulgación no autorizada podría ser perjudicial para los intereses de la UE o de los Estados miembros.
Solución aprobada por BSI para las autoridades públicas
Los políticos, funcionarios y empleados oficiales necesitan poder acceder a los recursos y datos de la red de forma rápida y segura. El fabricante de software NCP Engineering dispone de productos en su gama que cuentan con la aprobación de la BSI y, por lo tanto, son aptos para la transmisión de datos en las administraciones públicas.
El conector VS GovNet establece conexiones de datos seguras con el servidor VPN GovNet seguro a través del cliente sobre la base del estándar IPsec. Los usuarios y los administradores de TI se benefician de muchas funciones y de una alta seguridad. Las funciones incluyen la gestión centralizada de derechos y configuración, la autenticación de usuarios, el control de acceso a la red y el VPN Path Finder.
La contrapartida del Connector es la solución VPN GovNet Server, que también cuenta con la aprobación de BSI. Esto significa que las autoridades públicas están autorizadas a utilizarlo para el tratamiento de datos clasificados de VS-NfD. El software se instala en un servidor de Fujitsu mediante una imagen completa.
La administración de usuarios se realiza a través de sistemas backend como Radius, LDAP, MS Active Directory o directamente en la pasarela VPN. Además, NCP utiliza un sistema operativo base Linux reforzado por razones de seguridad, así como la separación de privilegios.
Con la actualización del Conector VS GovNet a la versión 2.0, las autoridades reciben la función de autocomprobación. Se trata de un servicio de integridad diseñado para aumentar la seguridad. Para ello, el cliente VPN realiza autocomprobaciones de las funciones relevantes para la seguridad en el momento de la puesta en marcha y regularmente durante el funcionamiento. Las pruebas incluyen la comprobación de la autenticidad e integridad del software VPN, así como la correcta ejecución de los algoritmos de cifrado. Si una autocomprobación falla, el cliente VPN asume un estado seguro y el ordenador de la estación de trabajo ya no puede comunicarse con otros sistemas.
Además, la solución ofrece autenticación biométrica antes de la marcación de la VPN mediante huella dactilar o reconocimiento facial. La autenticación tiene lugar directamente después de hacer clic en el botón Conectar de la interfaz gráfica de usuario de Connector. La conexión no se establecerá hasta que la autenticación biométrica se haya completado con éxito. Si el ordenador no dispone de hardware para la autenticación biométrica o si no está activado, el usuario también puede autenticarse a través de su contraseña.
Otra alternativa a la autenticación es un certificado de usuario. Se encuentra en una tarjeta inteligente aprobada por la BSI. Para ello, los usuarios necesitan el lector de tarjetas adecuado y deben introducir el PIN de la tarjeta inteligente. El certificado de usuario liberado para su uso participa activamente en la configuración del cifrado de la VPN. El túnel VPN sólo se establece con una autenticación exitosa.
En general, cualquier empresa puede presentar una aprobación de los niveles de secreto a la BSI para cualquier producto. Que la BSI conceda la aprobación es otra cuestión. Como explica Swen Baumann, jefe de gestión de productos de NCP, los fabricantes que solicitan la homologación deben tener ya una alta reputación con BSI en términos de confianza. Además, el fabricante debe proporcionar pruebas detalladas de cómo funciona la solución y por qué puede considerarse segura.
Para cumplir los requisitos del nivel de clasificación VS-NfD, NCP ha adaptado el Conector VS GovNet a las necesidades de las autoridades públicas. El software se basa en el Enterprise Client, que NCP lleva utilizando muchos años con empresas de todos los tamaños. Para las autoridades públicas, el fabricante se centró especialmente en un funcionamiento lo más sencillo y comprensible posible, así como en un alto nivel de transparencia.