Ikke en uke går uten at man kan lese om at sensitiv personinformasjon kommer på avveie, og det rammer offentlige såvel som private aktører. Hva gjør Stix for å sikre våre egne og kunders data?
Sikkerhetsmåneden som var i oktober er for lengst bak oss og mange har nå gått tilbake til «business as usual». Glemt er mange av de gode tipsene rundt IT-sikkerhet fra NSM, NorSIS, private aktører og andre som tar på alvor å informere både publikum og tjenestetilbydere om viktigheten bak god personlig og operasjonell sikring.
De av oss som jobber med kritiske systemer og forvalter sensitive data må nødvendigvis ha et litt annet forhold til sikkerhet. Det er rett og slett ikke godt nok med «skippertak». Vi må tenke på sikkerhet hver dag og i alt vi gjør. Vurderingene som vi gjør gjelder selvsagt alle løsninger som vi lager selv, men må også dekke ulike ting som våre systemer er avhengig av. Dette er for eksempel både rene systemavhengigheter og eksterne tjenester som våre systemer er knyttet mot og kommuniserer med.
Vi må se på om interne såvel som eksterne systemer kan utnyttes direkte, eller om man ved å manipulere forskjellige systemer i kombinasjon får til en situasjon der man blir sårbar. Det vurderes om vi eksponerer for mange deler av tjenestene våre eller om akkurat nok er eksponert. Informasjon vi publiserer kontrolleres for å avdekke om vi gir fiendtlige aktører for mye informasjon om oss. Trafikkmønster må hele tiden analyseres for å se om noen er i prosess for å samle informasjon om oss eller om det er aktive angrep på gang.
Realiteten er at vi og mange andre er under angrep absolutt hele tiden. Så lenge man vet om og aksepterer dette blir det mye lettere å jobbe konstruktivt med generell IT-sikkerhet, operasjonell sikkerhet og informasjonssikkerhet. Dog, selv om vi tar dette arbeidet på største alvor vil vi som mennesker aldri kunne klare å gjøre denne jobben perfekt. Da er det veldig godt å kunne støtte seg på gode hjelpere.
Som del av det kontinuerlige sikkerhetsarbeidet vårt har vi hentet inn eksterne eksperter som med større faglig tyngde og med et annet verktøysett kan evaluere sikkerheten vår. De flinke folkene i River Security har satt seg i bandittenes sko og kikket oss i kortene fra utsiden. River Security er et selskap med ekstremt dyktige og motiverte sikkerhetsfolk, med et fokus på offensiv sikkerhet eller «Red Team» som det heter på fint. Vi liker bare å kalle dem for snille banditter.
Formålet med øvelsen har vært å finne ut blant annet:
- Har vi angrepsflater vi ikke kjente til?
- Har vi sårbarheter vi ikke kjente til?
- Lekker vi informasjon vi ikke skal?
- Hva kan vi gjøre for å sikre oss enda mer?
Totalt ble 10 ulike domener gjennomgått, 89 subdomener, 87 applikasjoner analysert samt et antall ulike IP-adresser ble probet. Av rapporten deres kan vi lese at vi faktisk ikke hadde gjort en så dårlig jobb med sikkerheten, noe som vi selvsagt er både fornøyd med og glad for. Samtidig er det enkelte ting som har blitt avdekket som vi så absolutt må adressere. Noe visste vi egentlig om, mens andre ting var nye for oss.
De mest vesentlige tingene som ble avdekket var:
- enkelte tredjeparts applikasjoner kjørte for gamle versjoner, så disse må oppgraderes.
- noen av våre interne verktøy er tilgjengelig via internett men trenger ikke være det, så de skal vi låse ned.
- noen applikasjoner er sårbare for «User Enumeration Attack» og må endres slik at dette hindres.
- ikke alle domener har definert CSP, HSTS, SPF, DKIM og DMARC. Disse må få dette etablert.
Det var riktignok ingen kritiske sårbarheter og ingen tilfeller av data eller intern konfigurasjon / logger som lekkes. Ett punkt i rapporten er klassifisert til medium alvorlighetsgrad og løses ved en enkel oppgradering, og resten av punktene er det vi kan kalle for rene «hygiene-punkt» med lav alvorlighetsgrad.
Å la noen utenforstående kikke en i kortene er definitivt nyttig, og samtidig rimelig spennende. Ved å bruke eksterne eksperter til en slik gjennomgang så får vi et tydelig inntrykk av om vi er på riktig spor med det arbeidet som vi gjør for å trygge våre tjenester, og som konsekvens våre brukere.
Virksomheter som oss er helt avhengig av gode partnere på områder der vi selv ikke er eksperter. Vi er veldig fornøyd med arbeidet som River Security gjorde for oss og var fra start til slutt imponert over profesjonaliteten, hvor detaljorientert de er og hvor godt gjennomføringen var lagt opp. Ved å benytte oss av dem har vi fått mer trygghet rundt det gode arbeidet som vi har gjort, men samtidig fått en god påminner om at vi alltid kan bli flinkere.
Sikkerhet er ingen spøk dere. Fiendtlige aktører hviler ikke, så vær så forberedt dere kan.
Sliter du med å finne ut hvordan din etat eller offentlig virksomhet kan ta i bruk data fra Kontakt- og reservasjonsregisteret? Vi hjelper deg gjerne!
Våre kunder i offentlig sektor har i dag utstrakt bruk av data fra Kontakt- og reservasjonsregisteret. Ikke bare er det en utrolig kjekk kilde for oppdatert kontaktinformasjon, men man er som offentlig virksomhet også pålagt å hente informasjon derfra. Kontakt- og reservasjonsregisteret forteller hva som er riktig kontaktinformasjon for en person, om personen har reservert seg mot digital kommunikasjon fra det offentlige og når personen sist oppdaterte eller bekreftet informasjonen om seg.
Stix sine automatiske tjenester slik som befolkningsvarsling og tilhørende systemer henter selvsagt i sanntid oppdaterte data fra registeret slik at du alltid har riktig varslingsgrunnlag før utsendelse startes. Men, visste du at vi kan hjelpe deg med å få påført kontaktinformasjon også i manuelle lister?
Våre kunder jobber ofte på tvers av fagsystemer og ikke alle disse er koblet opp mot registeret i dag. I tilfeller der man har en liste med personer og gjerne skal kommunisere med disse digitalt så kan vi bistå med å få påført korrekt informasjon. Så lenge formålet med påføringen er i henhold til bruksvilkårene for Kontakt- og reservasjonsregisteret, selvsagt.
Våre løsninger for oppslag er robuste og det spiller ingen rolle om du har 10 000, 100 000 eller 1 000 000 personer i listen din. Vi tar imot det meste av formater og sørger for at tilbakelevering skjer på et format som gjør det enkelt å behandle videre. All behandling er selvsagt strengt konfidensiell og skjer i henhold til bestemmelsene i til enhver tid gjeldende regelverk.
Å komme i gang med slik påføring er ikke vanskelig, og første steg er uansett å ta kontakt med oss, så guider vi deg gjennom prosessen.
Vi har vært flink på brukervennlighet, men tydeligvis ikke universell utforming.
For en tid siden engasjerte en av våre kunder et knippe eksperter på Universell Utforming (UU). Disse skulle gå gjennom noen av vår kundes løsninger og gjøre vurderinger av om god UU var fulgt og om det var noen punkter hvor vår kunde burde forbedre løsningene sine.
Disse konsulentene var åpenbart veldig faglig dyktige, grundige og godt over snittet engasjerte i å gjøre en så god jobb som mulig med gjennomgangen. I arbeidet deres snublet de over en link til den eksterne kundeportalen i Stix Reach, og selv om denne strengt tatt ikke er en del av kundens løsninger fulgte de opp med å kjøre en full gjennomgang av den også. Og glad er vi for det!
Resultatet av gjennomgangen, det vil si den meget omfattende rapporten de leverte, var intet mindre enn en absolutt og total slakt av UU i den eksterne portalen som Stix Reach tilbyr. Det er kanskje lett å tenke at dette må være ganske nedslående for oss, men faktisk var det omvendt. For oss var det litt som å vinne i lotto.
Ikke bare får vi et tydelig signal om at den eksterne portalen er relevant nok til at den fortjener en slik gjennomgang, men samtidig får vi også helt konkrete og ekstremt velbegrunnede tilbakemeldinger på hvorfor forrige løsning på ingen måte holdt mål. I tillegg har vi da plutselig en fullstendig oversikt over hva vi måtte fikse og ikke minst hvordan det skal og må korrigeres for at vi skal kunne gi alle brukere en god opplevelse. Å gi alle brukere en god opplevelse er viktig for oss. Det skal ikke bare være tilrettelagt de som ikke har behov for universell utforming.
Vi er nå i mye større grad observant på elementene som utgjør god UU og tar disse lærdommene med oss videre i vårt arbeid på flere områder. Takk til kunden vår som ikke bare gav oss total slakt på UU, men også delte med oss hvilke grep som burde bli tatt.
Vi sier det i noen sammenhenger, men vi kunne sikkert sagt det oftere: vi har de kuleste kundene.
Enkel og grei henting av hjemmelshaverinformasjon i Stix Reach.
Visste du at man via Stix Reach kan hente ut informasjon om hjemmelshavere? Dette er funksjonalitet som er veldig nyttig for dere som jobber med arealplanlegging, tiltak som påvirker privat grunn og så videre. Utvalg kan gjøres direkte ved å tegne i kartet, eller du kan skrive inn kommune- gårds- og bruksnummer om har dette for hånden. Vi støtter selvsagt oppslag på frittstående enheter, eierseksjoner, hele og deler av borettslag og mer til.
Siden det ofte er ønskelig å få etabler kontakt med hjemmelshavere man søker frem har vi sørget for å knytte data om personene mot Statens Kontakt og reservasjonsregister slik at oppføringer automatisk får påført mobilnummer og epost-adresse.
Alle lister du henter ut i grensesnittet kan eksporteres som Excel- eller CSV-fil for videre bruk i andre fagsystem eller ved formidling til distribusjonspartnere.
Takk til Audun som nylig kom med flere gode innspill til hvordan tjenester kunne forbedres på flere områder. Noe av dette er løst mens andre saker jobber vi videre med.