En kort presentasjon av forslag til kontrolltiltak hentet fra risikovurderingen til smittesporingsappen.
I februar holdt IT-nettverket i IIA et introduksjonskurs i IT-revisjon; Hvordan ta grep på It-revisjoner»? Som en del av introduksjonskurset fikk kursdeltakerne delt ut en case-oppgave. Case-oppgaven handlet om et selskap som utviklet en smittesporings-app hvor både personopplysninger og geodata behandles.
Kursdeltakerne ble presentert for tre ulike trussel-scenarier som kunne oppstå ved utvikling av smittesporings-appen hvor de skulle identifisere mulige kontrolltiltak;
- Scenario en representerte en intern trussel hvor en ansatt utnytter sine tilganger til å korrumpere data.
- Scenario to representerte en ekstern trussel ved innbrudd i datasenteret for å få tilgang til/ødelegge verifiseringsløsningen til smittesporings-appen.
- Scenario tre omhandlet manglende due diligence-undersøkelser av utviklerselskapets metodikk for sikker utvikling.
Kursdeltakerne kom med mange gode innspill til kontrolltiltak. Her kommer en kort presentasjon av noen av forslagene til kontrolltiltak hentet fra risikovurderingen til den ekte smittesporingsappen, knyttet til hvert enkelt av de tre scenariene:
Scenario 1: En ansatt utnytter sine tilganger til å korrumpere data
Aktuelle kontrolltiltak her kan være:
- Sikre gode prosesser for tilgangsstyring og jevnlig gjennomgang av tilganger. Etablere tekniske, menneskelige og organisatoriske barrierer.
- Prosedyrer for sikker utvikling og gjennomgang og jevnlig revidering av at prosedyrene følges.
- Logge hendelser og innlogginger for å detektere indikatorer på ikke-normal aktivitet.
- Etablere mulighet for å ta ned hele Smittestopp-løsningen dersom man oppdager at backend er kompromittert.
Scenario 2: En ekstern trussel-aktør forsøker å bryte seg inn i datasenteret for å få tilgang til/ødelegge verifiseringsløsningen til smittesporings-appen
- Gjennomføre risikovurdering av datasenteret som lagrer verifiseringsløsningen.
- Utarbeidelse- og kontinuerlig gjennomføring av scenariotrening og forbedring av respons- og beredskapsplaner for å sikre effektiv håndtering av hendelser som innbrudd på datasenteret.
- Etablere prosesser for bruk av trussemodellering og trusseletterretning for å forutse angrep.
- Etablere monoterering/videovervåking av innganger og tilganger til datasenteret.
- Etablere monitorering av diskusjonsforum for å fange opp mulige trusler.
Scenario 3: En ekstern evaluering konkluderer med at det ikke er gjennomført en vurdering av utviklerselskapet og deres metodikk for sikker utvikling, samt at flere feil er begått i utviklingsløpet.
- Gjennomføre trening og øvelser på viktige sikkerhetsområder som omfatter sikker koding.
- Bruke sikkerhetseksperter til å sørge for at sikkerhetsaktiviteter blir integrert i utviklingsprosessen.
- Kontinuerlig vurdere sikkerhetsarbeidet og diskutere mulige angrepsmodeller underveis i utviklingsarbeidet.
- Kontinuerlig monitorere og vurdere utviklingsprosessen for å detektere mangler knyttet til sikker koding.
- Implementere standardiserte prosesser for arkitekturanalyse, koderevisjon og sikkerhetstesting.
- Utnevne ansvarlige i utviklingsteamet til å overse at sårbarheter i kildekode avdekkes.
- Gjennomføre rutinemessige automatiske og manuelle koderevisjoner og sikkerhetstestinger gjennom hele utviklingsløpet.
- Benytte åpne kildekode og oppfordre innbyggere til å finne feil.
- Utarbeide en responsplan som dekker prosesser rundt gjennomføring av tiltak og kommunikasjon utad dersom sårbarheter i kildekoden avdekkes.
- Medietrening som et ledd i å kunne håndtere medieoppslag som følge av at risiko inntreffer.
For alle scenariene er det sentralt med forebygging og håndtering av skadelige hendelser. Skadelige hendelser kan handle om bygg, hardware og software, mennesker og data. ROS-analyser (risikovurdering)/scenarier, internkontroll og beredskaps- og kontinuitetsopplegg og -planer står sentralt. Det samme gjør kontinuerlig fokus/utvikling, innebygd sikkerhet i IT-systemer, sjekk av etterlevelse og øvelser for å ta ned risikoer.
Så da er det bare å sette i gang med IT-revisjoner….