NIFS - 23. april 2014 - Beredskapsøvelse

Seksjon for informasjonssikkerhet avholdt onsdag 23. april en beredskapsøvelse med deltakere fra nettverk for informasjonssikkerhet, NIFS.

Publisert: 15. des 2014, Sist endret: 28. mar 2017

Onsdag 23. april 2014 gjennomførte seksjon for informasjonssikkerhet (SIS) ett av de faste møtene i nettverk for informasjonssikkerhet (NIFS). Møtet ble i sin helhet viet en beredskapsøvelse, hvor vi gikk gjennom et sett scenarier som forsøkte å belyse problemstillinger man møter når man ikke lenger kan stole på en sentral felleskomponent.

Øvelsen ble gjennomført som en skrivebordsøvelse, hvor hvert scenario ble presentert i plenum, før deltakerne gikk sammen i grupper og diskuterte mulige følger og forventet håndtering av hvert scenario. Felleskomponenten som ble brukt som eksempel i øvelsen var ID-porten, og vi spilte ut et fiktivt scenario hvor kriminelle hadde sikret seg kontroll over ID-porten, og blant annet brukte dette til å angripe noen av de mange hundre tjenesteeiere som er tilknyttet ID-porten.

En viktig erkjennelse fra øvelsen var at forvaltere av sentrale felleskomponenter i liten grad kan ha oversikt over hvilke avhengigheter tilknyttede tjenester har, og hvordan feil i felleskomponenten vil påvirke avhengige tjenester. Dette fordrer at man i situasjoner hvor man er usikker på om en sentral felleskomponent er til å stole på eller ikke, fortløpende må gå ut med god informasjon til integrerte tjenester, så man gjør dem i stand til å gjøre sine egne risikovurderinger.

Et annet viktig poeng som ble diskutert underveis var at man ved kriser er helt avhengige av å kunne lene seg på sentrale rådgivningsmiljøer. Her ble Heartbleed-sårbarheten i OpenSSL trukket frem som et eksempel. Man kan argumentere for at OpenSSL er en felleskomponent, og i tilfellet Heartbleed var Difi raskt ute med en veileder med anbefalinger til hvordan offentlige virksomheter skulle gripe håndteringen av sårbarheten an.

Det deltok 23 personer fra 18 offentlige virksomheter på øvelsen, og tilbakemeldingene har så langt vært gode. Vi i SIS har planer om å gjøre øvelsen til en årlig foreteelse, og har ambisjoner om å gjøre den til en stor, årlig øvelse for statsforvaltningen.

Deldette

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut