Sikkerhet og personvern hos Helsedirektoratet
Kundecase
Helsedirektoratet utvikler og forvalter flere løsninger på forskjellige plattformer, og hadde behov for en strukturert og målbar metodikk for å ivareta sikkerhet og personvern i utviklingsløpet.
I tillegg ønsket de å etablere sikkerhetsprinsipper som skulle gjelde for alle generelle IT-løsninger, samt klare retningslinjer for implementering av sikkerhetskontrollere.
Sikker utviklingsmetodikk
twoday etablerte sammen med Helsedirektoratet en sikker utviklingsmetodikk bygget på OWASP, Microsoft SDL, NIST og Datatilsynets Guide for Innebygd Personvern. Dette var ikke en erstatter, men et supplement til Helsedirektoratets eksisterende utviklingsmetodikk, og som også skulle bidra til enklere overgang til DevSecOps i forhold til teamsammensetting, ansvarsområder og nye oppgaver.
Arbeidet ble realisert stegvis og hadde sterkt fokus på automatisering. twoday har hele tiden arbeidet med å levere ut ifra Helsedirektoratets tilgjengelige ressurser, krav, behov, og risiko. Vi startet med å kartlegge hvor mye av valgte baseline krav til sikkerhet vi kunne automatisere i bygg- og deploy pipelines. Deretter etablerte vi manuelle oppgaver i forskjellige faser av utviklingsmetodikken for å adressere rest-krav fra baseline.
Kurs og community
twoday har bidratt til å starte opp Helsedirektoratets Security Champion program gjennom kurs innen sikker utvikling og flere foredrag innen sikkerhet på pipelines, metodikk og sikkerhetstesting. Programmet drives av ansatte som jobber med sikkerhet på flere områder internt i Helsedirektoratet, sammen med Security-Champions i flere utviklerteams.
Programmet har som mål å bidra til en kulturendring i virksomheten når det kommer til bevissthet rundt sikkerhet og skal drives som et åpent community bygget ut i fra prinsipper om deling og transparentet.
Sikkerhetsrådgivning
Helsedirektoratet hadde behov for rådgivning innenfor teknisk systemarkitektur på flere løsninger for å garantere at de ivaretar sikkerhet på en forsvarlig måte, og enda viktigere, ivaretar personvernet. Dette innebar utveksling av sensitiv informasjon på tvers av tillitssoner, sikring av meldingssystemer og kontekstbytting.
twoday leverte workshop på IAM (Identity and Access Management) / tilgangsstyring hvor man gjorde dypdykk ned i forskjellige Autentisering og Autorisasjonsprotokoller.
Oppnådde
resultater
- Kartlagt og bestemt sikkerhetsprinsipper som ligger til grunn ved utvikling, forvaltning, innkjøp og bruk av IT- løsninger både on-prem og i sky
- Etablert sikkerhetsbaselines for utvikling og forvaltning
- Utviklet retningslinjer for smidige bygg- og deploy pipeliner med automatiserte sikkerhetskontrollere som adresserer sikkerhetskrav og beste-praksis funnet i OWASP ASVS, NIST SP800-53, Normen og GDPR
- Bidratt til oppstart og drivsel av Security-Champion program med faste møter, rolledefinisjoner og ansvarsfordeling
- Utviklet mal for modenhetsmåling på sikkerhet i applikasjonsutvikling
- Holdt kurs i sikker koding
- Holdt kurs i penetrasjonstesting hvor vi demonstrerte angrep på Azure DevOps pipelines
- Utviklet guide for implementering av sikkerhet i moderne REST APIer
- Levert implementasjonsplan for zero-trust.
- Drevet rådgivning innen kryptografi og sikkerhetsarkitektur