Slik kan penetrasjonstesting brukes til noe mer enn bare en test

Norsk helsenett (NHN) utvikler, drifter og forvalter digitale tjenester og samfunnsviktig infrastruktur til helsesektoren, og spiller dermed en svært viktig rolle i moderniseringen av norsk helsesektor. Tjenestene brukes i hele Norge og de må være robuste og motstandsdyktige mot dataangrep. Et dataangrep kan medføre store kostnader og svekke tilliten fra innbyggerne, derfor er det helt nødvendig å arbeide proaktivt og helhetlig med sikkerhet.

Hos Norsk helsenett gjøres programvareutviklingen av selvstendige utviklerteam som har et helhetlig ansvar for hver sin tjeneste, inkludert sikkerhet. Utviklerteamene følger en smidig utviklingsmetodikk som har mange fordeler. På grunn av fleksibiliteten i metodikken kan krav og estimater ofte endre seg, som igjen påvirker avhengighetene til tjenesten. Dette kan påvirke planlagte penetrasjonstester og føre til forsinkelser i produksjonssetting.

Norsk helsenett har en intern gruppe med penetrasjonstestere som tester tjenestene før produksjonssetting av ny funksjonalitet, som et ledd blir en rekke sikkerhetsaktiviteter gjennomført. Avslutningsvis gjennomføres penetrasjonstesting med en ekstern part for kvalitetssikring, hvor hensikten er å identifisere svakheter og sårbarheter som kan føre til informasjonslekkasje eller kompromittering av tjenestene.

EY vant oppdraget med kvalitetssikring av tjenester for perioden 2023 – 2024. Fra avropet var det tydelig at på grunn av tjenestenes størrelse, kompleksitet og avhengigheter var det risiko at tjenestene ikke var klare til testing i henhold til testplanen.

Hvordan kunne EY legge opp et løp hvor vi klarte å skape mest mulig verdi med penetrasjonstesting av komplekse systemer, samtidig som vi utnyttet tiden godt og fikk gjennomført oppdraget til avtalt tid?

At tjenester ikke var klare for testing var et risikomoment som måtte håndteres kontinuerlig. EY så at det var nødvendig å justere tilnærmingen vår for å komme tettere på hvert enkelt utviklerteam og finne en måte å gjennomføre testingen på. Istedenfor å gjøre mer tradisjonell testing fra Internett hvor man typisk ikke jobber så tett sammen, startet oppdraget med å jobbe tettere mot utviklerteamene og andre relevante parter i organisasjonen ved å være mer fysisk til stede hos Norsk helsenett. Gjennom tett oppfølging av alle parter arbeidet vi som samarbeidspartnere sammen for å skape mest mulig verdi.

Utviklerteamene er veldig travle, men ved å være fysisk til stede er det lettere å snakke sammen fordi man sitter i nærheten av hverandre eller kanskje tilfeldigvis møtes ved kaffemaskinen.

Mindre problemstillinger kunne derfor løses smidig. Det ble også enklere å diskutere testmetodikk og hypoteser til testcaser med Norsk helsenett for å få verdifulle innspill underveis i testingen.

Fysisk tilstedeværelse og tettere samarbeid førte blant annet til:

• Mer relevante testcaser: Norsk helsenett sine tjenester kan være svært komplekse og ha mange avhengigheter. Lavere terskel for samhandling medførte tettere og hyppigere kommunikasjon, som ga testerne dypere og helhetlig forståelse av tjenestene. Dette har ført til bedre testplanlegging og anbefalinger, samt bedre og mer riktige diskusjoner med relevante parter underveis og etter en penetrasjonstest.
• Økt søkelys på sikkerhet tidligere i utviklingsløpet: Vi fant ut at noen ganger er det mulig å teste deler av en tjeneste selv om den ikke er ferdig utviklet. Dermed kan tiden utnyttes bedre og utviklingsteamene får vite om eventuelle sårbarheter tidligere i utviklingsløpet, som er kostnads- og tidsbesparende for utviklerteamet.
• Effektivisering av testmetodikk: Underveis hadde Norsk helsenett og EY mange gode diskusjoner, og i et av tilfellene identifiserte vi en mulighet for å effektivisere testmetodikken. Dette resulterte i at EY utviklet og overleverte et sikkerhetsverktøy til Norsk helsenett sine interne penetrasjonstestere. Verktøyet ble brukt i en av testene og ga svært gode resultater, som Norsk helsenett kan bygge videre på.
• Forbedret deteksjonsevne: EY samarbeidet med Norsk helsenett sitt sikkerhetsmiljø for deteksjon og respons av ondsinnede hendelser og dataangrep (SOC). Vi etablerte et samarbeid hvor vi gjennom penetrasjonstestingen også testet deteksjonsevne. Dermed hjalp vi senteret med kvalitetssikring og i noen tilfeller forbedret vi deteksjonsreglene.

Kompetanseoverføring i forbindelse med sikkerhetstestingen er essensielt for å få mest verdi ut av arbeidet. Underveis i en penetrasjonstest vil det typisk være flere statusmøter og diskusjoner, og rapporten for hver penetrasjonstest presenteres til slutt. Gjennom et tett samarbeid er opplæring, bevissthetsgjøring og kompetanseoverføring i fokus for alle parter. Det tette samarbeidet fører til at det er lettere å skape en mer positiv opplevelse av sikkerhet, fordi sikkerhet adresseres i hele utviklingsløpet og ikke utgjør store problemer som må fikses i etterkant. Dette mener vi er den riktige måten å jobbe med sikkerhet.

Les mer om EY sitt nordiske sikkerhetssenter

Nordic Security Center (NSC) er et ISO27001-sertifisert sikkerhetssenter lokalisert på EY sitt Oslo-kontor. I over 15 år har senteret hjulpet kunder med å beskytte sine data gjennom håndteringen av komplekse tekniske vurderinger som bla. penetrasjonstesting, og utføring av kvalitetssikringsprosjekter som en del av større bedriftsinitiativer som digitale transformasjoner, restruktureringer og utsetting og nyutvikling av digitale tjenester.

I dag består NSC av mer enn 25 tekniske sikkerhetseksperter som daglig leverer tekniske sikkerhetstjenester innenfor hele spekteret av “red”, “"blue” og “purple” teaming. Senteret har gode innarbeidete rutiner for håndtering av kundedata i henhold til ISO-27001 standarden og alle medlemmene kurses og sertifiseres jevnlig for å sikre at ferdigheter og kunnskap innen informasjonssikkerhet er oppdaterte og relevante.

Suksessfaktoren i oppdraget har vært at EY benyttet et dedikert team som har arbeidet tett sammen med Norsk helsenett. Det tette samarbeidet har gjort det mulig å levere mer verdi over tid utover en rapport fra hver enkelt penetrasjonstest fordi teamet ble godt kjent med utfordringer og muligheter.

I perioden har ikke bare EY utført penetrasjonstesting for å kvalitetssikre sikkerhetsarbeidet i flere nasjonale e-helseløsninger og foreslått hensiktsmessige tiltak i en rapport. Teamet har også utvekslet og overført kompetanse til utviklerteamene og interne penetrasjonstestere, utviklet og overlevert sikkerhetsverktøy som Norsk helsenett kan bruke for å effektivisere penetrasjonstesting i fremtiden, og samarbeidet med SOC og bidratt til å øke Norsk helsenett sin evne til å detektere dataangrep. Testcasene i penetrasjonstestene har også vært dypere og bedre.

Den vanligere måten å gjennomføre ekstern penetrasjonstesting på, typisk med kort tidshorisont og mindre innsikt i utfordringer og muligheter for verdiskapning hos kunden, er ikke alltid godt nok dersom man vil hente ut mer verdi ifm. penetrasjonstesting. En penetrasjonstest trenger nemlig ikke bare handle om å gjennomføre en test og levere en rapport. Funn fra en penetrasjonstest er ofte et symptom på noe større. Det å rette en sårbarhet kan ofte gjøres raskt og enkelt, men det å forstå og håndtere rotårsaken kan være mer krevende. Derfor er det helt nødvendig å jobbe tettere på teamene med en helhetlig og dypere forståelse av tjenestene, slik at det er mulig å adressere rotårsaker og hjelpe der hvor det trengs mest og gir størst utbytte.