Sikkerhetstester

Beskrivelse av oppdraget/bistanden

Oppdragsgiver ønsker å anskaffe sikkerhetstesting av to systemer som oppdragsgiver selv drifter. Formålet er å identifisere sårbarheter, svakheter og sikkerhetsrisiko som kan utnyttes av eksterne eller interne aktører, samt å motta anbefalinger og tiltak for risikoreduserende forbedringer.

Oppdragsgiver ønsker tilbud på flere nivåer av sikkerhetstesting, da endelig omfang ikke er besluttet. Leverandøren bes derfor levere pris og beskrivelse for tre definerte.

Oppdraget omfatter systemer og informasjon som kan være underlagt sikkerhetsloven og/eller innebære skjermingsverdige forhold. Oppdragsgiver vil derfor ikke inkludere systemspesifikke sikkerhetsopplysninger i dette konkurransegrunnlaget. Nærmere teknisk scope vil bli delt til aktuelle leverandører.

Formålet med oppdraget er å gjennomføre sikkerhetstesting som:

• Identifiserer sårbarheter, svakheter og risiko i systemene

• Vurderer utnyttbarhet og konsekvens

• Gir konkrete, prioriterte tiltak for risikoredusering

• Kan gi et realistisk bilde av deteksjons- og beredskapsevne der dette er relevant.

Det er ikke avgjort omfanget/hvilket nivå av sikkerhetstesting som faktisk trengs. Leverandøren skal derfor levere tilbud med pris og beskrivelse på hver av de 4 følgende sikkerhetstesting nivåene:

Basis sikkerhetstesting

Formål: Rask kartlegging av eksponering og sårbarheter med verifisering av sentrale funn.

Minimum innhold:

• Oppstartsmøte og planlegging

• Rekognosering og overordnet kartlegging

• Automatisert sårbarhetsskanning (ekstern og/eller autentisert der relevant)

• Verifisering av funn (falske positiver fjernes)

• Rapport med funn, risikovurdering og anbefalte tiltak

• Kort muntlig gjennomgang

Utvidet penetrasjonstest

Formål: Manuell testing for å avdekke sårbarheter og svakheter som ikke fanges av scanning.

Minimum innhold: Alt i basis sikkerhetstesting, samt:

• Penetrasjonstest av applikasjon og relevante grensesnitt/API

• Test av autentisering/autorisasjon (inkl. tilgangsstyring/rollemodeller)

• Testing mot relevante deler av OWASP Top 10 / OWASP ASVS (eller tilsvarende metodikk)

• Prioritert tiltaksplan (quick wins + strukturelle tiltak)

• Gjennomgang av resultater med relevante fagressurser

Dette skal kunne gjennomføres som uvarslet test overfor drift/operasjonsmiljø.

Avansert sikkerhetstesting (uvarslet/“realistisk aktør”)

Formål: Realistisk simulering av angriper/aktør, med fokus på kjedede angrep, modenhet og evne til deteksjon/håndtering.

Minimum innhold: Alt i utvidet penetrasjonstest, samt:

• Risiko- og scenariobasert tilnærming (abuse cases)

• Test av kjedede angrep (der det er relevant)

• Verifisering av sikkerhetskontroller (f.eks. logging/deteksjon/varsling der relevant)

• Leveranse som inkluderer anbefalinger for styrking av sikkerhetsmodenhet og videre program

Uvarslet test

Uvarslet test gjennomføres overfor relevante drifts- og operasjonsmiljøer. Det innebærer at personell som til daglig drifter systemene i utgangspunktet ikke skal informeres om tidspunkt og metode.

Kontrollgruppe (“White Cell”) og kontaktpunkt

Oppdragsgiver etablerer en begrenset kontrollgruppe (“White Cell”) som er informert om testen og autorisert til å:

• Godkjenne testgrenser og testvindu,

• Håndtere eskalering,

• Stoppe testingen ved behov.

Leverandøren skal forholde seg til White Cell som eneste kontaktpunkt under testperioden.

Leverandøren skal før oppstart utarbeide et Rules of Engagement (RoE)-dokument som minimum omfatter:

• Testomfang og avgrensninger

• Testvindu, varighet og tidsbegrensninger

• Forbudte handlinger (minst: DoS/DDoS, datadestruksjon, endring i produksjonsdata, masseeksfiltrasjon)

• Eskaleringsrutiner og stop-mekanisme (“kill switch”)

• Håndtering av funn med umiddelbar kritikalitet

• Logging og dokumentasjon av testaktivitet

RoE skal godkjennes skriftlig av White Cell før gjennomføring.

Dersom testaktiviteten utløser sikkerhetsalarmer eller hendelseshåndtering, skal leverandøren umiddelbart varsle White Cell. White Cell er ansvarlig for intern håndtering og avklaringer.

Begrensninger

Oppdraget er systemorientert. Aktiviteter som innebærer målretting eller testing av enkeltansatte, herunder sosial manipulering, phishing, spear phishing eller tilsvarende, inngår ikke, med mindre dette bestilles særskilt og reguleres i egne vilkår.

Leverandøren skal ikke samle inn eller behandle personopplysninger utover det som er nødvendig for sikkerhetstesting, og rapportering skal som hovedregel ikke utformes slik at den gir grunnlag for vurdering av enkeltansattes prestasjoner.

Forventet leveranse

Rapport per system med:

· Scope og forutsetninger

· Metode og testtilnærming

· Funn med alvorlighet/risiko (faglig vurdering)

· Anbefalte tiltak og prioritering

Tiltaksplan (tabellformat: funn → tiltak → prioritet → estimert innsats)

· Executive summary egnet for ledelse

· Muntlig gjennomgang

Varighet: Tentativt fra mars (Q1/Q2). Oppstart og lengde vil avtales nærmere i dialog med leverandør ut ifra omfanget på oppdraget.

Arbeidssted: Oslo/omegn

Intern søknadsfrist: 6 februar