Bruker «lilla team» mot trusler mot helsedata

Norsk helsenett bruker ikke rene blå og røde lag for å teste sikkerhet i en urolig verden, men en miks som arbeidsmetode. – Det er «oss mot problemet»-kultur. 

Pentester Hasan Qaq og sikkerhetsanalytiker Fabian Hauge Sandvik i Norsk helsenett.
Silje Rognsvåg
Silje Rognsvåg journalist, kode24
Publisert

– Det startet med at vi snek oss inn i en ny tjeneste og ikke ble oppdaget, sier Hasan Qaq til kode24. 

Han er sikkerhets- og penetrasjonstester i det interne sikkerhetsteamet (CAT) til Norsk helsenett (NHN). 

Statsforetaket har som jobb å lage felles infrastruktur og nasjonale e-helseløsninger på en trygg og sikker måte. 

Da må de også forhindre at nordmenns helseinformasjon kommer på avveier, ikke minst i en stadig mer utfordrende sikkerhetssituasjon internasjonalt. 

– Likte ikke hverandre

En vanlig metode for å teste at de interne systemene fungerer, er at et rødt lag kjører penetrasjonstesting mot webapplikasjoner, API-er og IT-infrastruktur. 

Et blått, defensivt lag ved sikkerhetsoperasjonssenteret (SOC) overvåker systemer, vurderer alarmer og hendelser og undersøker sårbarheter i programvare. Målet er å hindre at rødt lag bryter seg inn. Konkurransen er stor. 

Slik holdt da også Norsk helsenett på i flere år. 

– Vi likte ikke hverandre, spøker Qaq. 

Hassan Qaq på det røde CAT-laget var lenge i konkurranse mot Fabian Hauge Sandvik og det blå SOC-laget i Norsk helsenett. Her presenterer de metoden på Helsesikkerhetsdagen i Oslo 9. april.

Kjedet seg - fant hull

Men de siste tre årene har Norsk helsenett drevet med kontinuerlig Purple Teaming. 

Torsdag fortalte Qaq om metoden på Helsesikkerhetsdagen i Oslo sentrum, som arrangeres av EHiN (E-Helse i Norge). Blant temaene var bruk av helsedata, internasjonal politikk og digital suverenitet.

Der stilte han sammen med kollega Fabian Hauge Sandvik, som er sikkerhetsanalytiker ved NHNs sikkerhetsoperasjonssenter (SOC). 

Det hele begynte med at Qaq kjedet seg. Han fant ut at han ville teste å omgå sikkerhetsmekanismer i en av de nye tjenestene til Norsk helsenett. 

Og det fikk han til. 

– Jeg mistenkte at SOC ikke fikk en alarm på dette, og sendte dem en meme. 

Sikkerhetsteamet sjekket opp funnene. Og det stemte: de hadde ikke fått alarm om hackingen. 

– Vi tenkte at her må vi jobbe sammen, sier Qaq. 

Dette satte i gang en større sikkerhetsworkshop på tre dager for den nye tjenesten, der blått og rødt team sammen fant flere sårbarheter. 

Det ble rett og slett en lilla øvelse – en kombinasjonsøvelse mellom rødt og blått lag .

Rødt og blått blir lilla.

Fra planlagt til adhoc

– Under øvelsen kjørte det røde laget inntrengingstester, og vi på det blå laget sjekket om vi fikk alarmer på aktiviteten eller om vi så det i loggene, sier Fabian Hauge Sandvik, som er sikkerhetsanalytiker ved NHNs sikkerhetsoperasjonssenter (SOC). 

Dette gjentok de flere ganger. De planla nøye på forhånd hvilke tjenester som skulle testes og om de skulle teste en server eller en applikasjon. 

Utbyttet ble som regel også godt. Men det tok mye ressurser på samme tid og var ikke alltid så effektivt, påpeker Sandvik. 

Så da begynte de med det de kaller Kontinuerlig Purple Teaming: regelmessig, adhoc sikkerhetstesting. 

– Slik får pentest en friere rolle. Vi kan proaktivt teste hele tjenesten. Vi dyrker et kontinuerlig samarbeid i sikkerhetsorganisasjonen, sier Qaq.

Kontinuerlig Purple Teaming

  • Kontinuerlig Purple Teaming er en arbeidsmetodikk som fremmer en kollaborativ kultur hvor sikkerhet ikke er en konkurranse, men en felles oppgave. 
  • Det er adhoc-testing som ikke nødvendigvis blir forhåndsvarslet. Teamene må ikke jobbe samtidig, men kan ta tak i ting når de har mulighet til det. 
  • Gjennom tett faglig og sosialt samarbeid mellom offensive og defensive cybersikkerhetsteam styrkes sikkerhetsmiljøet, samtidig som begge disipliner utvikler seg gjennom delt kunnskap og kontinuerlige tilbakemeldinger.
  • Metoden handler om åpenhet og samarbeid, framfor tette skott og konkurranse som ved blått og rødt lag-metoden. 

Kilde: Norsk helsenett og KPMG

Deler kompetanse

Og slik har de fortsatt. Nå er fokuset ikke på konkurranse mellom to lag, men på samarbeid og sikkerhetskultur. 

– Vi har et veldig godt samarbeid med sikkerhetsoperasjonssenteret. Vi emulerer trusselaktører og har verktøy for å kontinuerlig skappe nye API-er, URL-er og IP-er, sier Qaq. 

– Det er kompetansedeling mellom teamene, legger Sandvik til.

Han peker på at han ikke er så kompetent på hacking som Qaq er, samtidig som Qaq ikke vet helt hvordan sikkerhetssystemene fungerer i NHN. 

– Hvis jeg lager en deteksjon, spør jeg gjerne Hassan om hva han kan teste der, om han kan hacke tjenesten jeg har laget og se om alarmene mine fungerer. Så kan Hassan enten gjøre det, eller forklare for meg hvordan jeg kan gjøre det selv. Det samme gjelder andre veier, forklarer Sandvik. 

En workshop i Norsk helsenett på tvers av rødt og blått team.

– Handler om mennesker

– Hvordan skiller lilla lag seg fra rødt og blått lag? 

– Man må ha en kultur der det er «oss mot problemet»-kultur, i stedet for «oss mot dem», sier Sandvik. 

For å få til god Kontinuerlig Purple Teaming, eller KPT, peker de på tre viktige ting for sin del: 

Godt samarbeid, kompetanseheving på tvers av team, og sosiale aktiviteter for å styrke relasjoner. 

– KPT handler om mennesker, understreker Qaq. 

Ved å sitte rygg i rygg på kontoret, og ha hverandre som favoritter på Slack og Teams på hjemmekontoret, har de lav terskel til å kontakte hverandre på tvers av team. 

– Vi drar ut og spiser når vi har mulighet, eller har lunsj på kontoret. Det er viktig at det skjer i arbeidstiden, siden vi dyrker et arbeidsforhold, sier Sandvik. 

arbeidsmetodikk sikkerhet samarbeid helse hacking utviklere artikkel arbeidsmiljø sikkerhetshull tverrfaglig samarbeid
Powered by Labrador CMS