TLP 2.0 lanceret

Et af de bedste trafiksystemer er blevet bedre.

Cybersikkerhedsverdenen er overbefolket med forkortelser. Det samme gælder sikkert for andre fagområder, men for en fagnørd som jeg, strøer jeg om mig med forkortelsesfagudtryk, som uden for min verden mødes med undren og tomme blikke.

Et af de mere simple fagudtryk, som ovenikøbet låner terminologien fra den analoge verden, er det såkaldte TLP-system. Også kaldet Traffic Light Protocol. Den er relativt nem at forstå, og nu er den blevet nemmere.

TLP – en metode fra FIRST

TLP-metoden bruges til en slags klassificering af informationer. Eller rettere: Protokollen blev i sin tid skabt for at lette sikkerhedsprofessionelles deling af informationer, der potentielt kunne være følsomme. Med dette ville samarbejdet også kunne lettes, eftersom alle med indsigt i protokollen vidste, hvordan man skulle forholde sig til et givent stykke information, som var blevet overbragt fra en person til en anden. Var det følsomt og i givet fald hvor meget? Hvilke begrænsninger kunne en afsender af information sætte på evt. videreformidling af information fra modtageren?  

TLP blev oprindeligt skabt til anvendelse i den offentlige og private sektor i UK, men fik hurtig bred anvendelse blandt sikkerhedsprofessionelle i resten af verden og derigennem de facto status som international standard.

Siden hen overtog FIRST-fællesskabet (The Forum of Incident and Security Teams, vores globale fællesskab) ejerskabet over protokollen ved i samråd med andre fællesskaber at etablere en såkaldt TLP Special Interest Group. Denne SIG blev etableret for at sikre styring af TLP, at fortolkningerne af metoden var konsistente, og at TLP blev anvendt korrekt.

Ud fra denne tilgang blev den første internationale standard for deling af informationer, TLP 1.0, etableret i 2017.

Hvad er nyt i TLP version 2.0?

Den gamle TLP-protokel bestod af fire farver: TLP:RED, TLP:AMBER, TLP:GREEN og TLP:WHITE, hvor farven hvid var et udtryk for ingen restriktioner ift. viderebringelse af informationer, mens TLP:RED var stærkt begrænsende. TLP:AMBER og TLF:GREEN lå imellem de to.

I den nye er der to væsentlige ændringer. TLP:WHITE er ændret til TLP:CLEAR. Det giver god mening, selv om der her bliver set bort fra farveterminologien. Men betegnelsen CLEAR er nemmere og hurtigere at forstå end WHITE. CLEAR betyder, at information frit kan deles uden begrænsninger. Informationen er ’clearet’. Klart og tydeligt.  

Den anden forskel er en tilføjelse til den næsthøjeste klassifikation TLP:AMBER. Mens prædikatet TLP:AMBER betyder, at man må viderebringe information på need-to-knowbasis inden for en organisation og til organisationens kunder og interessenter (’clients’), så betyder TLP:AMBER+STRICT, at information kun må deles inden for organisationen.

Amber = gul

Hvis der er nogen, der undrer sig over, hvorfor man ikke bruger farvebetegnelsen ’yellow’ eller ’orange’, skyldes det, at man i den engelsksprogede verden anvender ’amber’ som betegnelse for trafiklysenes gule farve. ’Amber’ betyder ’rav’ og i naturens verden ved vi, at rav kan have mange smukke farver, lige fra den mørkebrune til den meget gulligt lyse. Men inden for farveskalaen, som fx anvendes til tryksager, er der behov for en klokkeklar definition. Denne er også blevet præciseret, så det ikke kan diskuteres, hvilken CMYK, RGB eller HEX-nummer AMBER (RED og GREEN for den sags skyld) skal have. Endelig har SIG-gruppen gjort sit for at fjerne evt. tvetydigheder for at gøre det forståeligt for det bredest mulige publikum.

Det handler med andre ord om formidling, og i den kontekst kan mange andre inden for cybersikkerhedsverdenen godt lære noget af FIRSTs arbejdsgruppe. Ingen nævnt, ingen glemt.

Det er såmænd også defineret, hvordan og hvor TLP-betegnelsen skal stå, så der ikke er overladt noget til tilfældighederne.

Her er definitionerne:

  • TLP:RED = For the eyes and ears of individual recipients only, no further disclosure. In the context of a meeting, for example, TLP:RED information is limited to those present at the meeting.
  • TLP:AMBER = Limited disclosure, recipients can only spread this on a need-to-know basis within their organization and its clients.
  • TLP:AMBER+STRICT restricts sharing to the organization only.
  • TLP:GREEN = Limited disclosure, recipients can spread this within their community, but not via publicly accessible channels. TLP:GREEN information may not be shared outside of the community.
  • TLP:CLEAR  = Recipients can spread this to the world, there is no limit on disclosure.

Spred budskabet

I DKCERT-regi anvender vi også TLP, når vi deler information med og modtager information fra vores samarbejdspartnere. Til din orientering har denne klumme klasifikationen TLP:CLEAR. Det betyder, at du kan ’spread the word’. 

Faktisk vil jeg tillade mig for denne ene gangs skyld at udvide fortolkningen af TLP:CLEAR og opfordre dig til decideret at sprede budskabet om den nye TLP-protokol, så så mange som muligt anvender den.

Det kan du bl.a. gøre ved at ’like’ klummen på Linkedin, retweete den på Twitter eller blot henvise til den, når du taler med eller på anden måde overbringer information til dine samarbejdspartnere, kolleger og ’clients’. Altså modtagere af din eventuelle fortrolige information.

TLP 2.0 blev i øvrigt introduceret på FIRSTs årskonference i juni, hvor jeg havde æren af at moderere en paneldiskussion mellem de tre medlemmer af TLP-SIGs formandskab og ”the community”. Den er gældende her fra august 2022. Den gamle TLP-protokol kan stadig anvendes frem til årets udgang.

Link:

https://www.first.org/tlp/

 

Henrik Larsen, chef for DKCERT

Henrik Larsen skriver med jævne mellemrum en klumme om aktuelle spørgsmål om informationssikkerhed.

Keywords: