Hva går tjenesten ut på?

Inntrengingstesting i virksomheter og informasjonssystemer er en planlagt og forhåndsbestilt operasjon for å avdekke fysiske, logiske, tekniske, menneskelige og administrative sårbarheter ved et informasjonssystem og for å teste sikkerheten i systemet. Gjennom et kontrollert angrep tester vi motstandskraften i informasjonssystemet. I ettertid lages det en rapport til virksomheten med testens resultater. Basert på dette kan virksomheten forbedre sikkerheten i systemene før hendelser inntreffer. 

Hvilke virksomheter er tjenesten for?

Virksomheter som er underlagt sikkerhetsloven. Dette gjelder i hovedsak virksomheter som behandler sikkerhetsgradert informasjon eller er av avgjørende betydning for grunnleggende nasjonale funksjoner. Slike virksomheter kan anmode NSM om å gjennomføre inntrengingstester av egne, eller underlagte virksomheters informasjonssystemer. Planlegging og utarbeiding av testplaner gjøres i nært samarbeid med virksomheten.

Hvorfor tilbyr vi denne tjenesten?

For å avdekke sårbarheter og svakheter som kan utnyttes av trusselaktører. 

Hvilken gevinst gir tjenesten?

Gi klare og konkrete indikasjoner på hvor sikkerheten må utbedres og oppgraderes. En inntrengningstest er en god og effektiv metode å teste den digitale sikkerheten i virksomheten på.

Gebyr for tjenesten

Inntrengingstesting er et nasjonalt forebyggende sikkerhetstiltak og er ikke belagt med gebyr. Anmodende virksomhet må imidlertid dekke kostnader knyttet til reise, kost og losji der det er relevant, samt utgifter knyttet til eventuell anskaffelse av spesialutstyr og forbruksmateriell.

SIKKERHETSLOVEN:

§ 6-5.Inntrengingstesting av skjermingsverdige informasjonssystemer.

Virksomheten kan be sikkerhetsmyndigheten om å forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer. Formålet skal være å kontrollere om sikkerhetstiltakene er tilstrekkelige. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.

 

§ 7-4.Testing av sikkerhetstiltak

Virksomheten kan be sikkerhetsmyndigheten om å forsøke å forsere etablerte sikkerhetstiltak for å få tilgang til skjermingsverdige objekter eller infrastruktur. Formålet skal være å kontrollere om sikkerhetstiltakene er tilstrekkelige. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.

 

VIRKSOMHETSIKKERHETSFORSKRIFTEN:

§ 61. Fellesregler for inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Ofte stilte spørsmål

Q: Hvordan behandler dere personopplysninger?
A: Inntrengningstester er kun rettet mot virksomheten og ikke privatpersoner, men alle data fra testene blir forskriftsmessig oppbevart for inspeksjon av EOS-utvalget. I etterkant blir dataene slettet.

Q: Hvor lenge varer en inntrengningstest?
A: Feltarbeidet tar vanligvis en til tre uker, men større tester kan vare lenger. I tillegg kommer for- og etterarbeid over en lengre periode.

Q: Kan en inntrengningstest forstyrre vår evne til å levere tjenester?
A: Dataangrep og fysisk forsering vil kunne medføre en risiko for forstyrrelser hos virksomheten. Gjennom god planlegging, utførelse og kommunikasjon med oppdragsgiver holdes denne risikoen på et svært lavt nivå.

Q: Hvilke ressurser må vi sette av for å legge til rette for en inntrengningstest?
A: Virksomheten må utpeke en bemyndiget kontakt som kan ta prinsipielle beslutninger og en teknisk kontaktperson som kan håndtere eventuelle tekniske behov eller svare på spørsmål. Arbeidslokaler og liknende må gjøres tilgjengelig for NSMs personell for de delene av testen som foregår hos virksomheten. Virksomheten er også pålagt å informere sine ansatte om testen.

For mer informasjon, kontakt pentest@nsm.no.