Sikkerhetsrevisjonen ble gjennomført i to deler; revisjon av dokumentasjon og infrastruktur, og pentest.
Gjennomføring
Sikkerhetsrevisjonen ble først gjennomført ved å revidere selve implementasjonen (arkitektur) av løsningen. Dette ved gjennomgang av nettverks-design, sårbarhetsscan og enheter (typisk servere) og verifisering opp mot beste praksis. Når dette var gjennomført og gjennomgått med Embriq, ble pentesten utført. Denne ble utført hos Stannum. Under pentesten forsøkte NC-Spectrum å bryte seg inn i ulike deler av systemet.
Resultat
Etter første del av sikkerhetsrevisjonen, var det en del merknader fra NC-Spectrum sine funn som ble gjennomgått med Embriq. Det var i all hovedsak snakk om enkelte tilganger som var unødvendige, og noen patchinger som burde vært gjort. Embriq gjennomførte de anbefalte tiltakene innen kort tid, og alle punkter ble vurdert som gjennomført ved neste oppfølgingsmøte.
Under pentesten ble det tydelig at det var lite de fikk gjort, de kom ikke gjennom systemene til Embriq. Det var et par merknader etter pentesten også, blant annet på antall innloggingsforsøk. Denne ble justert ned av Embriq denne uken.
Gode resultater og godt gjennomførte tiltak!
Nettalliansen er veldig fornøyde med gjennomføring av sikkerhetsrevisjonen, både for arbeidet gjort av NC-Spectrum og tiltakene som er gjennomført fra Embriq sin side. En enkel fremstilling av rapporten er tilgjengelig, og er sendt ut til IT-ansvarlige i Nettalliansen. Hovedrapporten, som er mer inngående, kan fås på forespørsel via Hanne Rodahl Johansen.