Bestillerkompetanse for IT-løsninger omfatter kompetanse innen programvaresikkerhet. En uønsket hendelse knyttet til en mobilapplikasjon Hafslunds kunder bruker har fått medieomtale denne uken, og andre virksomheter kan lære noe av denne hendelsen. Difi ønsker å heve kompetansen innen programvaresikkerhet i offentlig sektor og planlegger blant annet kurs i programvaresikkerhet høsten 2015.

Av seniorrådgiver Caroline Ringstad Schultz og seniorrådgiver Håkon Styri

Difi publiserte nylig en modenhetsstudie om programvaresikkerhet i offentlige virksomheter (BSIMM-studie). Studien er gjennomført blant 20 offentlige virksomheter. Studien konkluderte med at norske offentlige virksomheter er bedre enn det offisielle gjennomsnittet på noen områder (etterlevelse av lover, regler og retningslinjer), men dårligere innenfor andre områder (f.eks. strategi og måling, angrepsmodeller og penetreringstester). I tillegg var inntrykket at virksomhetene også hadde for dårlige rutiner innen opplæring i programvaresikkerhet. 

I lys av siste ukes medieoppslag om Hafslunds app som lagret kundenes SMS lokalt på kundens telefon får vi bekreftet vår mistanke om at vi trenger å vie mer oppmerksomhet til området programvaresikkerhet. Dette gjelder både i privat og offentlig sektor, og det er en stor fordel om vi kan lære av hverandres feil.

Hafslund-saken er interessant på flere måter. En interessant side av saken er den unødvendige behandlingen og lagring av personopplysninger på telefonen. Selv om appen ikke sender disse opplysningene ut fra telefonen er opplysningene kopiert til et lagringsområde med andre tilgangsbegrensninger enn det som er satt opp for tekstmeldinger. Kontrollen med hvilke apper som har tilgang til tekstmeldinger opphører og når brukeren tror at meldinger er slettet så eksisterer fremdeles kopiene. Dette skaper nye sårbarheter og informasjonssikkerheten svekkes.

Gjennomgående er det viktig å ha et bevist forhold til bruk av personopplysninger. Et grunnleggende personvernprinsipp er at enhver behandling av personopplysninger skal være basert på et behov. I Hafslund-saken uttalte informasjonssjef Katarina Finneng til Digi at «denne typen informasjonslagring har ingen hensikt, og er ikke ønsket i våre app-er.» 

Under utvikling og testing kan det oppstå behov for å legge til funksjonalitet som kan verifisere enkelte programfunksjoner, men som ikke har noe formål ut over test og verifikasjon. For test og verifikasjon kan det også være nødvendig å legge inn testdata i systemet. Testdata skal fjernes før et system settes i produksjon, og det er viktig å vurdere om ren testfunksjonalitet skal beholdes eller fjernes fra systemet. Udokumentert testfunksjonalitet vitner om dårlige rutiner i utviklingsarbeidet, og slik funksjonalitet kan bli alvorlige sårbarheter om utvikler glemmer å fjerne koden.

Hafslund har selv tatt grep for å unngå lignende hendelser. Hva kan så den enkelte gjøre for å unngå slike feil i fremtiden, når utviklingen av tjenesten er satt ut til en leverandør?

Det er viktig at virksomheter som bestiller IT-løsninger stiller krav til informasjonssikkerhet overfor leverandør. Som bestiller er det du som sitter igjen med ansvaret for behandling av personopplysninger når f.eks. appen tas i bruk. Vet du som bestiller egentlig nok om sikkerhet til å kunne stille de riktige kravene? Hvordan kan du sikre deg at underleverandør faktisk leverer en god løsning? Jo, gjennom å stille krav ved bestilling. Still krav til selve løsningen. Still krav til at leverandører bruker et styringssystem for informasjonssikkerhet i utviklingsarbeidet. Følg opp underveis i prosessen så du vet at leverandøren etterlever kravene. Sjekk hvordan personopplysninger behandles i løsningen.  Og lag tydelige krav for overtagelse og aksept av ferdig utviklet programvare.

Bestiller må ha kompetanse til å vite hvilke krav som er relevante og hvordan kravene skal utformes så de kan verifiseres under gjennomføringen av anskaffelsesprosjektet. Kravene må ikke bare gjelde systemets funksjonalitet og kapasitet, men også omfatte personvern og informasjonssikkerhet. Tenk derfor på informasjonssikkerhet i hele anskaffelsesprosessen – fra planlegging via bestilling til drift, bruk og avvikling. Og kravene må kunne verifiseres for å sikre at de faktisk er oppfylt.

Hva gjør Difi? Modenhetsstudiet om programvaresikkerhet i offentlige virksomheter (BSIMM-studien) springer ut av vår økte oppmerksomhet på innebygd informasjonssikkerhet. Seksjon for informasjonssikkerhet vil i forbindelse med sikkerhetsmåneden (oktober) 2015 følge opp med kurs i programvaresikkerhet.

Forfatter

Caroline Ringstad Schultz
Caroline Ringstad Schultz
Fungerende seksjonssjef Caroline Ringstad Schultz, avdeling for digital forvaltning, seksjon for informasjonssikkerhet og datadeling, m. 970 98 560 carolineringstad.schultz@difi.no

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut