Risiko- og Sårbarhetsanalyser hos NAV
Kundecase
NAV har en stor applikasjonsportefølje som strekker seg over 40 år. Mange av systemene inneholder personopplysninger, inkludert særlige kategorier av personopplysninger (tidligere kalt sensitive opplysninger).
For å imøtekomme nye reguleringer, og oppdaterte sikkerhet- og personvernlover, er det viktig for NAV å hele tiden ha god oversikt over sitt eget trusselbilde.
Dette har twoday levert
twoday har levert flere risikoanalyser på applikasjonsnivå for at NAV skal kunne ha tilstrekkelig med sikkerhetskontroller på plass og kjennskap til sine sårbarheter. Det ble benyttet anerkjente metodikker som NIST Risk Managment Framework. Under prosessen ble det utført trusselmodelleringer sammen med applikasjonenes arkitekter og lead-utviklere.
Med fokus på sikkerhet
I tillegg til risikovurderinger har twoday bistått med konsultering på hvordan man på best mulig måte kan ivareta sikkerheten for NAV sine data og brukere. NAV er i sterk endring, blant annet gjennom overgang til DevOps, større frihet knyttet til valg av utstyr og arbeidssted, samt tilgjengeliggjøring av programvare i offentlig sky. I tillegg jobbes det med modernisering på flere steder innenfor IT. Dette krever nytenkning og ny kompetanse for å forstå hvordan endringene påvirker trusselbildet og risikostyring.
Dette har vært svært viktig for at NAV skal kunne tilfredsstille Personvernprinsippene diktert i Personopplysningsloven. Et av NAV sine mange ansvar er at de skal ha full oversikt over sin behandling og oppbevaring av Personopplysninger.
Personvernkonsekvensutredning
twoday har også bidratt på flere Personvernkonsekvensutredninger (PVK) for å imøtekomme nye krav fra GDPR. Dette er hva GDPR kaller Data Impact Assessment (DPIA) som alle dataeiere er pålagt å utføre når de har systemer som behandler persondata.
Vår rolle har vært både som fasilitator for hele prosessen og som aktiv bidragsyter spesielt knyttet til risikovurderinger og identifisering av tiltak. I dette arbeidet har twoday samarbeidet tett med produkteiere og NAVs Personvernombud.
Kursing av ansatte
twoday har også levert kurs innenfor generell sikkerhet. Fokuset her var å øke NAVs utviklere sin forståelse for sikker utvikling og hvilke trusler systemene deres står ovenfor. Kurset gikk igjennom OWASP Topp 10 sårbarhetene, OWASP Application Security Verification Standard og OWASP Testing Guide. På siste kursdag fikk utviklerne prøve seg som angripere på en sårbar web-applikasjon og se hva som kan skje hvis man ikke bygger sikkerheten inn som en del av designet til løsningen.
Oppnådde
resultater
- Synliggjort områder hvor det er behov for økt sikkerhet
- Levert rapporter som grunnlag til strategisk sikkerhetsplanlegging
- Økt sikkerhetsfokuset blandt utviklere og produkteiere
- Kartlagt at all bruk av data er i henhold til lover og regler
- Bistått med metoder for dataminimering ved lagring
- Bistått med mulige løsninger for økt sikring av infrastruktur
- Kartlagt risikoer ved endring i dataflyt ved ny infrastruktur