A risk assessment of the Piql Preservation Services : future preservation - future risk

This report is the Norwegian Defence Research Establishment (FFI) deliverable in work package (WP) 1 “Mapping of technologies and regulations” of the project “Preservation: Immune and Authentic” (PreservIA), supported by the Research Council of Norway (RCN). The aim of the PreservIA project is to improve a newly developed technology for long-term preservation of digital data (the Piql Preservation Services) to better ensure the security, immunity and authenticity of the information stored on the storage medium, the piqlFilm. The application of the service is both universal and global, and the components of the service have a life span of 500 years or more. The aim of the risk assessment is to identify the vulnerabilities of and challenges to the service. It was assessed by how well it could maintain the confidentiality, integrity and availability of the information, which are key properties of information security. The assessment uses the scenario-based approach, and the morphological method of scenario development was used to arrive at a set of scenarios covering the risks to the service used in the scenario analysis. Due to the scope of the assessment –a result of the wide application of the service and a long time perspective – simplifications were necessary in order to create suitable scenario descriptions. The scenario classes used were accident, technical error, natural disaster, crime, sabotage, espionage, terrorism, armed conflict and nuclear war. As this is a large number of scenario classes, and as it was necessary to include an even larger number of scenario descriptions, we used a scenario template for this purpose. The final scenario analysis identified several vulnerabilities. Some were severe, such as fire, chemical compounds and the inside threat from theft and sabotage. Some were less severe, such as the effect of electromagnetic pulses and nuclear radiation. Some simply require more testing before FFI can say anything definitive about the effects and consequences for the information stored with the Piql Preservation Services, such as the effects of water, smoke and pressure from overhead weight. The main weakness of the Piql Preservation Services was found to be the vulnerability of the emulsion layer on the piqlFilm, upon which the digital information is written. Robust protective measures surround the service, but the inside threat is still serious, as is sabotage due to the many components which can be affected. Strengths include plastic as the choice of material, automated storage as the storage management method, and relatively strong computer security mechanisms, including the piqlFilm being effectively offline. FFI has made several recommendations to mitigate these risks, which may be implemented in later work packages when requirement and design specifications are revised and new prototypes are developed. FFI will then have an advisory role and be available for discussions on implementations.

Denne rapporten er FFIs leveranse i arbeidspakke (AP) 1 “Mapping of technologies and regulations” i Norges forskningsråd-prosjektet “Preservation: Immune and Authentic” (PreservIA) 2015-2018. Formålet med PreservIA-prosjektet er å forbedre en nyutviklet teknologi for langtidslagring av digital data (the Piql Preservation Services) slik at sikkerheten, immuniteten og autentisiteten til informasjonen som blir lagret, blir bedre ivaretatt. Anvendelsen av tjenesten er både universal og global, og de ulike komponentene som utgjør tjenesten har alle en levetid på 500 år eller mer. Hensikten med risikovurderingen er å identifisere sårbarheter og sikkerhetsutfordringer ved tjenesten. Systemet ble vurdert ut fra hvor godt det ivaretok konfidensialiteten, integriteten og tilgjengeligheten til informasjonen som blir lagret, som er grunnleggende egenskaper ved informasjonssikkerhet. Risikovurderingen har en scenariobasert tilnærming, og morfologisk metode for scenarioutvikling ble brukt til å komme frem til et sett med scenarioer som dekker risikoene tjenesten står overfor. Disse scenariobeskrivelsene ble brukt i scenarioanalysen. Med tanke på vurderingens omfang, grunnet tjenestens brede anvendelse og det lange tidsperspektivet, var det nødvendig å gjøre visse forenklinger for å danne passende scenariobeskrivelser. Scenarioklassene som ble brukt var ulykke, teknisk feil, naturkatastrofe, kriminalitet, sabotasje, spionasje, terrorisme, væpnet konflikt og atomkrig. Fordi dette er et stort antall scenarioklasser, og også fordi analysen gjorde det nødvendig å inkludere enda flere scenariobeskrivelser, måtte vi bruke en scenariomal til dette formålet. Den endelige scenarioanalysen identifiserte flere sårbarheter. Noen var alvorlige, som effektene av brann, kjemiske stoffer og innsidetrusselen for tyveri og sabotasje. Andre var mindre alvorlige, som effekten av elektromagnetiske pulser og radioaktivitet. Andre igjen, som effektene av vann, røyk eller trykk, krever mer testing før FFI kan konkludere når det gjelder effekter på – og konsekvenser for – informasjonen som lagres med the Piql Preservation Services. Den største svakheten ved the Piql Preservation Services ble vurdert til å være sårbarheten til emulsjonslaget på lagringsmediet – piqlFilm – der informasjonen er skrevet. Gode sikkerhetstiltak finnes rundt tjenesten, men innsidetrusselen er fremdeles en alvorlig. Det samme kan sies om sabotasje, da det er flere sårbare komponenter i systemet som kan angripes. Styrker ved tjenesten inkluderer valget av plast som hovedmateriale, automatisk lagring som lagringsmetode og relativt gode informasjonssikkerhetsmekanismer, inkludert at lagringsmediet stort sett er offline. FFI har flere anbefalinger til hvordan disse truslene kan modereres. Anbefalingene kan implementeres i senere arbeidspakker når krav- og designspesifikasjoner skal endres og nye prototyper utvikles. I disse arbeidspakkene vil FFI ha en rådgivende rolle og vil være tilgjengelig for diskusjoner vedrørende implementeringene.