Gjennomføre Risiko- og sårbarhetsanalyse (ROS)

Veiledende dokumenter

Digdir har utarbeidet en pakke med veiledningsdokumenter som virksomhetene står fritt til å benytte i sin risikovurdering.

Veiledningspakken består av følgende dokumenter:

• ROS-analyse av kontakt- og reservasjonsregisteret - Digdirs egen analyse fra 2014
• ROS-analyse av digital postkasse til innbyggere - Digdirs egen analyse fra 2014. Analysen ble oppdatert i 2018-2019.
• Veiledning: Risikoanalyse for digital postkasse til innbyggere - Veiledningen gir en trinn for trinn beskrivelse av hvilke aktiviteter som skal gjennomføres. Her beskrives hvordan risikoregisteret (Excel-arket) kan fylles ut og hvordan funnene i registeret kan sammenfattes i en rapport basert på malen i word-dokumentet. Det er henvisninger til begge dokumentene fra veilederen. I rapportmalen er det lagt inn en del merknader. Disse er ment til hjelp under rapportskrivingen og slettes fra den ferdige rapporten.
• Presentasjon: ROS-analyse metodikk - Presentasjonen er bygget over samme lest som veiledningen. Presentasjonen er basert på de workshops Digitaliseringsdirektoratet hadde med oppstartsvirksomhetene, de første virksomhetene som tok i bruk digital postkasse til innbyggere. Presentasjonen kan benyttes i virksomhetenes egne workshops og diskusjoner.
• MAL - ROS-analyse digital postkasse til innbyggere
• MAL – Risikoregister med eksempel - Risikoregisteret inneholder et eksempel på et risikoscenario. I tillegg er det lagt til to scenarier som har kommet fram under Digitaliseringsdirektoratets ROS-arbeid og som virksomhetene bør vurdere. Virksomheten må imidlertid selv finne de relevante risikoscenariene.

Veiledningen og maler er i tråd med standarden ISO/IEC 27005:2011 som er den metodikk Digitaliseringsdirektoratet har benyttet i sitt ROS-arbeid. Virksomhetene kan benytte annen metodikk i sine risikovurderinger.

Rapport - sikkerhetsvurdering av ny transportinfrastruktur

I forbindelse med ny transportinfrastruktur har eksterne ressurser gjennomgått sikkerhetsaspektene. Basert på deres rapport og anbefalinger vil vi gjennomføre penetrasjonstesting og oppdatere relevante deler av vår ROS-dokumentasjonen.

Oppfølging av anbefalinger etter "Sikkerhetsvurdering av ny transportinfrastruktur"

Gjennomført penetrasjonstest

Fra 9. februar 2022 til 21. mars 2022 engasjerte Digitaliseringsdirektoratet Experis AS til å evaluere sikkerheten av DPI (Digital postkasse til innbyggere) ved hjelp av en «grey box» sikkerhetstest. All utført testing ble basert på OWASP ASVS og PTES.

Penetrasjonstestingen besto av følgende faser:
• Planlegging - Målene ble kartlagt, og regler for engasjementet ble satt
• Oppdagelse – Skanning ble utført for å identifisere sårbarheter, svake områder av applikasjonen og sikkerhetshull
• Angrep – Angrep ble gjennomført for å bekrefte potensielle sårbarheter gjennom å utnytte sikkerhetshull og å utføre ytterlige oppdagelser ved bruk av kartlagte tilganger.
• Rapportering – Alle sårbarheter og sikkerhetshull som ble funnet, mislykkede forsøk samt styrker og svakheter ble dokumentert.

Experis fant én sårbarhet kategorisert som kritisk på logg systemet, én sårbarheter kategorisert som høy risikabel, to sårbarheter kategorisert som medium risikabel og to sårbarheter kategorisert som lav i både produksjon og QA miljø.
I testene ble det ikke funnet noen sårbarheter i DPI som kan føre til overtakelse av «hele» DPI-løsningen.

I etterkant av penetrasjonstesten er den kritiske og høye sårbarheten lukket, samt at det er gjort risikoreduserende tiltak på sårbarhetene kategorisert som medium risikable. Det jobbes fortløpende med å lukke sårbarhetene kategorisert som lav.

Kryptering og signeringsalgoritmer

På sikt vil anbefalinger fra rapporten knyttet til kryptering og signeringsalgoritmer etterfølges, men det er vurdert til at løsningen p.t er tilstrekkelig sikret med eksisterende algoritmer.

Meldingsstruktur

Prinsipp om dataminimering er ivaretatt ved at innbyggers personnummer er tatt bort i forretningsmeldingen.