Kundecase
NAV har en stor applikasjonsportefølje som strekker seg over 40 år. Mange av systemene inneholder personopplysninger, inkludert særlige kategorier av personopplysninger (tidligere kalt sensitive opplysninger).
For å imøtekomme nye reguleringer, og oppdaterte sikkerhet- og personvernlover, er det viktig for NAV å hele tiden ha god oversikt over sitt eget trusselbilde.
twoday har levert flere risikoanalyser på applikasjonsnivå for at NAV skal kunne ha tilstrekkelig med sikkerhetskontroller på plass og kjennskap til sine sårbarheter. Det ble benyttet anerkjente metodikker som NIST Risk Managment Framework. Under prosessen ble det utført trusselmodelleringer sammen med applikasjonenes arkitekter og lead-utviklere.
I tillegg til risikovurderinger har twoday bistått med konsultering på hvordan man på best mulig måte kan ivareta sikkerheten for NAV sine data og brukere. NAV er i sterk endring, blant annet gjennom overgang til DevOps, større frihet knyttet til valg av utstyr og arbeidssted, samt tilgjengeliggjøring av programvare i offentlig sky. I tillegg jobbes det med modernisering på flere steder innenfor IT. Dette krever nytenkning og ny kompetanse for å forstå hvordan endringene påvirker trusselbildet og risikostyring.
twoday har også bidratt på flere Personvernkonsekvensutredninger (PVK) for å imøtekomme nye krav fra GDPR. Dette er hva GDPR kaller Data Impact Assessment (DPIA) som alle dataeiere er pålagt å utføre når de har systemer som behandler persondata.
Vår rolle har vært både som fasilitator for hele prosessen og som aktiv bidragsyter spesielt knyttet til risikovurderinger og identifisering av tiltak. I dette arbeidet har twoday samarbeidet tett med produkteiere og NAVs Personvernombud.
twoday har også levert kurs innenfor generell sikkerhet. Fokuset her var å øke NAVs utviklere sin forståelse for sikker utvikling og hvilke trusler systemene deres står ovenfor. Kurset gikk igjennom OWASP Topp 10 sårbarhetene, OWASP Application Security Verification Standard og OWASP Testing Guide. På siste kursdag fikk utviklerne prøve seg som angripere på en sårbar web-applikasjon og se hva som kan skje hvis man ikke bygger sikkerheten inn som en del av designet til løsningen.