Tölvumál - 01.01.2017, Blaðsíða 34

Tölvumál - 01.01.2017, Blaðsíða 34
34 Fyrsta heildarúttektin á gæðum opinberra vefja, Hvað er spunnið í opinbera vefi, var framkvæmd árið 2005 og hafa slíkar úttektir verið gerðar annað hvert ár upp frá því. Í tengslum við úttektina árið 2017 var í annað sinn gerð sérstök úttekt á öryggi opinberra vefja ríkis og sveitarfélaga. Markmiðið er að stuðla að auknu öryggi á opinberum vefjum og er unnið að því með því að afla upplýsinga um öryggi þeirra og koma ábendingum um hvað þurfi að lagfæra til ábyrgðarmanna og vefstjóra einstakra vefja. Í mörgum tilfellum er um að ræða atriði sem auðvelt er að ráða bót á þegar vitneskjan um þau liggur fyrir. Upplýsingar um öryggi einstakra vefja verða ekki birtar opinberlega, þær verða einungis aðgengilegar þeim sem vinna að úttektinni og forsvarsmanni/vefstjóra viðkomandi ráðuneytis, stofnunar eða sveitarfélags. AÐFERÐIN Vefirnir voru skannaðir með forritum sem leita að öryggisveikleikum. Þeir vefir sem taldir eru innihalda sérstaklega viðkvæmar upplýsingar voru skoðaðir ítarlegar, meðal annars með hliðsjón af þekktri aðferðafræði sem lýst er í Vefhandbókinni á vef stjórnarráðsins (m.t.t Open Web Application Security Project (OWASP) top 10 öryggisveikleikum) [1]. Ekki voru framkvæmdar innbrotsprófanir heldur einungis leitað eftir öryggisveikleikum. Sjá útskýringar á framkvæmd öryggisúttektarinnar á vef stjórnarráðsins [2]. Áður en framkvæmd verkefnisins hófst var sendur út tölvupóstur á ábyrgðaraðila opinberra vefja þar sem úttektin var útskýrð og óskað eftir því að ábyrgðaraðilarnir létu þjónustuaðila sína vita af fyrirhugaðri úttekt. Að auki var haldinn kynningarfundur fyrir ábyrgðaraðila og þjónustuaðila þar sem farið var yfir fyrirhugaða úttekt og spurningum svarað. MAT Á VEIKLEIKUM Mat á veikleikum er byggt á svokölluðum CVSS­gildum (e. Common Vulnerability Scoring System) þegar þau eru til. Ef þau eru ekki til er byggt á huglægu mati. Heildarmat á veikleikum vefs tekur mið af „veikasta hlekknum“ sem finnst á vefnum eða með öðrum orðum stærsta öryggisveikleikanum sem finnst. Flokkunin sem stuðst var við í þeim skýrslum sem ábyrgðaraðilar fá í hendur fylgdi eftirfarandi viðmiðum: CVSS-gildi Mat á veikleikum 7 - 10 Alvarlegir veikleikar 0.1 - 6.9 Veikleikar fundust 0 Ekki fundust veikleikar FYRIRVARI Hvort sem veikleikar fundust í öryggisúttektinni eða ekki, er alls ekki tryggt að öryggisveikleikar séu ekki til staðar. Öryggisúttekt sem þessi er bundin við umfang, tíma, útgáfu viðkomandi vefkerfis, vefmiðlara og stýrikerfi á þeim tíma og þeim aðgangi sem prófunaraðili hafði að vefnum. Það er mikilvægt að endurtaka öryggisúttektir reglulega, sérstaklega þegar meiriháttar breytingar eru gerðar á vefkerfi eða þegar nýrri virkni er bætt við eða breytt. HELSTU ÁHÆTTUÞÆTTIR Það er mikilvægt að taka fram að helstu áhættuþættirnir sem snúa að opinberum vefjum eru nákvæmlega sömu áhættuþættir og snúa almennt að vefjum fyrirtækja og einstaklinga. Þó svo að allar tegundir öryggis­ veikleika sem taldir eru upp í OWASP top 10 hafi fundist, þá eru samt sem áður sumir öryggisveikleikar sem eru líklegri til að vera til staðar en aðrir. Það eru helst tveir áhættuþættir sem þarf að huga að. Annars vegar er innsetning á öryggisuppfærslum (fyrir stýrikerfi, vefmiðlara, vefumsjónarkerfi og íhluti vefumsjónarkerfa) og hins vegar að tryggja að viðkvæmar upplýsingar (eins og t.d. notandanafn + lykilorð) séu send yfir dulkóðuð samskipti (HTTPS/TLS). Í mörgum tilfellum eru áhættan fólgin í því að ábyrgðaraðilar vefja gefi sér rangar forsendur. Ábyrgðaraðilar vefja gætu ranglega gert ráð fyrir eftirfarandi þáttum án þess að það sé tekið fram í samningum: • að hýsingaraðili muni sjá um að setja inn öryggisuppfærslur fyrir stýri kerfi, vefmiðlara, vefumsjónarkerfið og íhluti vefumsjónarkerfis. • að framleiðandi vefumsjónarkerfis láti vita ef öryggisveikleikar finnast í viðkomandi útgáfu af vefumsjónarkerfi. • að framleiðandi bjóða upp á öryggisuppfærslur á vefumsjónar­ kerfi kaupanda að kostnaðarlausu. • að vefkerfi sé sett upp á öruggan hátt án þess að viðskiptavinur biðji um það sérstaklega. Eftir að hafa aðstoðað fjölda opinberra aðila við að bregðast við þeim ábendingum sem komu úr öryggisúttektinni 2015 ákvað samgöngu­ og sveitastjórnarráðuneytið (þá innanríkisráðuneytið) að gefa út drög að samningsviðauka vegna upplýsingaöryggis. Þessi drög er hægt að finna á vef stjórnarráðsins [3]. Samningsviðaukinn er átta blaðsíðna skjal sem hugsaður er sem samningsviðauki við núverandi samninga við þjónustuaðila, hýsingaraðila og hugbúnaðarhús sem opinberir aðilar eru nú þegar í viðskiptum við. Þar kemur meðal annars fram krafa á hýsingar­ og þjónustuaðila að setja reglulega inn öryggisuppfærslur og að notast ekki við upplýsingakerfi þar sem framleiðandi er hættur að styðja við þau í formi öryggisuppfærslna. TÆKIFÆRI FRAMUNDAN Með tilliti til nýrra reglna og reglugerða (GDPR, NIS tilskipun, o.fl.) þar sem miklar sektir geta legið við broti gegn ákvæðum í nýju löggjöfinni (t.d. allt að 4% af ársveltu í tilfelli nýju persónuverndarreglugerðarinnar) eru mikil tækifæri fyrir hýsingaraðila, hugbúnaðarhús, þjónustuaðila, opinberaaðila og almenn fyrirtæki að huga að rekstraröryggismálum. Allir geta skoðað samnings viðaukann og tileinkað sér þær stýringar sem taldar eru upp þar auk þess að nota samningsviðaukann eða þætti úr honum í samningum sínum við birgja og aðra ytri aðila. ÚTTEKT Á ÖRYGGI OPINBERRA VEFJA 2017 Svavar Ingi Hermannsson, sérfræðingur í upplýsingaöryggi og Guðbjörg Sigurðardóttir, skrifstofustjóri Samgöngu­ og sveitarstjórnarráðuneytinu

x

Tölvumál

Beinir tenglar

Ef þú vilt tengja á þennan titil, vinsamlegast notaðu þessa tengla:

Tengja á þennan titil: Tölvumál
https://timarit.is/publication/239

Tengja á þetta tölublað:

Tengja á þessa síðu:

Tengja á þessa grein:

Vinsamlegast ekki tengja beint á myndir eða PDF skjöl á Tímarit.is þar sem slíkar slóðir geta breyst án fyrirvara. Notið slóðirnar hér fyrir ofan til að tengja á vefinn.

Aðgerðir: