Gjennom et tett og godt samarbeid har Norsk helsenett og EY vist hvordan man kan skape verdi med penetrasjonstesting. Prosjektet er nominert til Konsulentprisen 2024.
Norsk helsenett (NHN) utvikler, drifter og forvalter digitale tjenester og samfunnsviktig infrastruktur til helsesektoren, og spiller dermed en svært viktig rolle i moderniseringen av norsk helsesektor. Tjenestene brukes i hele Norge og de må være robuste og motstandsdyktige mot dataangrep. Et dataangrep kan medføre store kostnader og svekke tilliten fra innbyggerne, derfor er det helt nødvendig å arbeide proaktivt og helhetlig med sikkerhet.
Hos Norsk helsenett gjøres programvareutviklingen av selvstendige utviklerteam som har et helhetlig ansvar for hver sin tjeneste, inkludert sikkerhet. Utviklerteamene følger en smidig utviklingsmetodikk som har mange fordeler. På grunn av fleksibiliteten i metodikken kan krav og estimater ofte endre seg, som igjen påvirker avhengighetene til tjenesten. Dette kan påvirke planlagte penetrasjonstester og føre til endrede estimater for produksjonssetting.
Norsk helsenett har en intern gruppe med penetrasjonstestere som tester tjenestene før produksjonssetting av ny funksjonalitet, som et ledd blir en rekke sikkerhetsaktiviteter gjennomført. Avslutningsvis gjennomføres penetrasjonstesting med en ekstern part for kvalitetssikring, hvor hensikten er å identifisere svakheter og sårbarheter som kan føre til informasjonslekkasje eller kompromittering av tjenestene.
EY vant oppdraget med kvalitetssikring av tjenester for perioden 2023–2024. Fra avropet var det tydelig at på grunn av tjenestenes størrelse, kompleksitet og avhengigheter var det risiko at tjenestene ikke var klare til testing i henhold til testplanen. Hvordan kunne EY legge opp et løp hvor vi klarte å skape mest mulig verdi med penetrasjonstesting av komplekse systemer, samtidig som vi utnyttet tiden godt og fikk gjennomført oppdraget til avtalt tid?
EY så at det var nødvendig å justere tilnærmingen for å komme tettere på hvert enkelt utviklerteam og finne en måte å gjennomføre testingen på. Istedenfor å gjøre mer tradisjonell testing fra Internett hvor man typisk ikke jobber så tett sammen, jobbet man tettere mot utviklerteamene og andre relevante parter i organisasjonen ved å være mer fysisk til stede hos Norsk helsenett. Gjennom tett oppfølging av alle parter arbeidet vi som samarbeidspartnere sammen for å skape mest mulig verdi.
Utviklerteamene er veldig travle, men ved å være fysisk til stede er det lettere å snakke sammen fordi man sitter i nærheten av hverandre eller kanskje tilfeldigvis møtes ved kaffemaskinen. Mindre problemstillinger kunne derfor løses smidig. Det ble også enklere å diskutere testmetodikk og hypoteser til testcaser med Norsk helsenett for å få verdifulle innspill underveis i testingen.
Fysisk tilstedeværelse og tettere samarbeid førte blant annet til:
- Mer relevante testcaser: Norsk helsenett sine tjenester kan være svært komplekse og ha mange avhengigheter. Lavere terskel for samhandling medførte tettere og hyppigere kommunikasjon, som ga testerne dypere og helhetlig forståelse av tjenestene. Dette har ført til bedre testplanlegging og anbefalinger, samt bedre og mer riktige diskusjoner med relevante parter underveis og etter en penetrasjonstest.
- Økt fokus på sikkerhet tidligere i utviklingsløpet: Vi fant ut at noen ganger er det mulig å teste deler av en tjeneste selv om den ikke er ferdig utviklet. Dermed kan tiden utnyttes bedre og utviklingsteamene får vite om eventuelle sårbarheter tidligere i utviklingsløpet, som er kostnads- og tidsbesparende for utviklerteamet.
- Effektivisering av testmetodikk: Underveis hadde Norsk helsenett og EY mange gode diskusjoner, og i et av tilfellene identifiserte vi en mulighet for å effektivisere testmetodikken. Dette resulterte i at EY utviklet og overleverte et sikkerhetsverktøy til Norsk helsenett sine interne penetrasjonstestere. Verktøyet ble brukt i en av testene og ga svært gode resultater, som Norsk helsenett kan bygge videre på.
- Forbedret deteksjonsevne: EY samarbeidet med Norsk helsenett sitt sikkerhetsmiljø for deteksjon og respons av ondsinnede hendelser og dataangrep (SOC). Vi etablerte et samarbeid hvor vi gjennom penetrasjonstestingen også testet deteksjonsevne. Dermed hjalp vi senteret med kvalitetssikring og i noen tilfeller forbedret vi deteksjonsreglene.
Kompetanseoverføring i forbindelse med sikkerhetstestingen er essensielt for å få mest verdi ut av arbeidet. Underveis i en penetrasjonstest vil det typisk være flere statusmøter og diskusjoner, og rapporten for hver penetrasjonstest presenteres til slutt. Gjennom et tett samarbeid er opplæring, bevissthetsgjøring og kompetanseoverføring i fokus for alle parter. Det tette samarbeidet fører til at det er lettere å skape en mer positiv opplevelse av sikkerhet, fordi sikkerhet adresseres i hele utviklingsløpet og ikke utgjør store problemer som må fikses i etterkant. Dette mener vi er den riktige måten å jobbe med sikkerhet.
Suksessfaktoren i oppdraget har vært at EY benyttet et dedikert team som har arbeidet tett sammen med Norsk helsenett. Det tette samarbeidet har gjort det mulig å levere mer verdi over tid utover en rapport fra hver enkelt penetrasjonstest fordi teamet ble godt kjent med utfordringer og muligheter.
Et realtivt billig tiltak
–Hvis en tjeneste inneholder sårbarheter som også blir utnyttet av angripere, kan det f.eks. føre til at sensitive data kommer på avveie. Angriperne kan klare å få fotfeste dypt inne i infrastrukturen og så utføre et løsepengevirus-angrep. Konsekvensene vil variere, men kostnadene kan bli høye og omdømmet påvirkes. Hvis sårbarheten som ble utnyttet kunne vært oppdaget og fjernet med en sikkerhetstest, så er en sikkerhetstest et relativt billig tiltak, sier Kim Syversen, Senior Manager, Cybersikkerhet, EY Norge.
Penetrasjonstestingen ble utnyttet til å skape verdi innenfor flere områder. I perioden har ikke bare EY utført penetrasjonstesting for å kvalitetssikre sikkerhetsarbeidet i flere nasjonale e-helseløsninger og foreslått hensiktsmessige tiltak i en rapport. Teamet har også utvekslet og overført kompetanse til utviklerteamene og interne penetrasjonstestere, utviklet og overlevert sikkerhetsverktøy som Norsk helsenett kan bruke for å effektivisere penetrasjonstesting i fremtiden, og samarbeidet med SOC og bidratt til å øke Norsk helsenett sin evne til å detektere dataangrep. Testcasene i penetrasjonstestene har også vært dypere og bedre.
Den vanligere måten å gjennomføre ekstern penetrasjonstesting på, typisk med kort tidshorisont og mindre innsikt i utfordringer og muligheter for verdiskapning hos kunden, er ikke alltid godt nok dersom man vil hente ut mer verdi ifm. penetrasjonstesting. En penetrasjonstest trenger nemlig ikke bare handle om å gjennomføre en test og levere en rapport. Funn fra en penetrasjonstest er ofte et symptom på noe større. Det å rette en sårbarhet kan ofte gjøres raskt og enkelt, men det å forstå og håndtere rotårsaken kan være mer krevende. Derfor er det helt nødvendig å jobbe tettere på teamene med en helhetlig og dypere forståelse av tjenestene, slik at det er mulig å adressere rotårsaker og hjelpe der hvor det trengs mest og gir størst utbytte.
Teamet som har samarbeidet med Norsk helsenett synes oppdraget har vært svært engasjerende og utfordrende. Det var ofte nødvendig å være ekstra kreative i testingen, og i kompleksitet har dette vært noen “hakk opp” sammenlignet med hva vi ofte er vant til, så vi ble virkelig utfordret.
Teamet fra venstre: Kim Syversen, Endre Borgen Egge, Sturla H. Bae, Martin Eide.