Etter en omfattende konkurranseprosess har Markedsplassen for skytjenester (MPS) i Direktoratet for forvaltning og økonomistyring (DFØ) signert rammeavtale om måling av virksomhetens risiko fra eksponering på internett. Kontrakten er inngått med KPMG AS som leverer skytjenester fra RiskRecon by Mastercard. Tjenesten gjør det bl.a. mulig å prioritere tiltak ved å identifisere de mest kritiske sårbarhetene som for eksempel servere som ikke er oppdatert med de nyeste sikkerhetsoppdateringene, slik at disse kan adresseres raskt og effektivt.
Avtalen markerer et betydelig skritt i arbeidet med å styrke informasjonssikkerhet for offentlige virksomheter i Norge, heter det fra Markedsplassen for skytjenester i DFØ. Kontrakten gjelder for en periode på to år fra 1. september 2024, med mulighet for forlengelse i ytterligere to år. Den er ikke eksklusiv og er frivillig å bruke for virksomheter i sivil sektor som omfattes av DFØs fullmakt, samt 135 kommuner og fylkeskommuner som er tilsluttet avtalen som opsjon. Totalrammen er på 50 MNOK. Opsjonen vil utsløses så snart nødvendige avklaringer foreligger.
Leverandøren tilbyr en gratis prøveperiode på tre måneder. Prøveperioden starter fra virksomhetens første innlogging på administratorkontoen.
Retningslinjer for bruk av avtalen finner du her.
Det dreier seg om Cyber Risk Score
Cyber Risk Score er en metode for å kvantifisere og vurdere en virksomhets eksponering for cybertrusler sett fra internett. Det er numeriske verdier som reflekterer risikoen for en virksomhet basert på ulike faktorer, for eksempel sårbarheter i infrastrukturen, historiske data om sikkerhetsbrudd og organisasjonens evne til å håndtere sikkerhetshendelser.
Potensielle gevinster
Cyber Risk Score bidrar til en bedre strategisk risikoforståelse ved å synliggjøre indikatorer for CVE-score (Common Vulnerability Scoring System) i en grafisk fremstilling/dashboard. Denne informasjonen støtter ledelsen i å ta informerte beslutninger om sikkerhet i egen virksomhet, skriver Markedsplassen for skytjenester i DFØ. Tjenesten gjør det videre mulig å prioritere tiltak ved å identifisere de mest kritiske sårbarhetene som for eksempel servere som ikke er oppdatert med de nyeste sikkerhetsoppdateringene, slik at disse kan adresseres raskt og effektivt.
Cyber Risk Score-tjenesten tilrettelegger også for oppfølging av tredjepartsleverandører og etterlevelse av sikkerhetsstandarder i leverandørkjeden. Ved å måle virksomhetens sårbarheter på internett over tid kan man også følge med på om operasjonelle tiltak fungerer og at virksomheten når sine strategiske målsettinger for bedre informasjonssikkerhet. Siden måling av informasjonssikkerhet på internett med CVE score er en anerkjent og åpen industristandard, er et slikt verktøy, ifølge Markedsplassen for skytjenester i DFØ, godt egnet til sammenlikning av sårbarhetsnivå på internett mellom ulike virksomheter og sektorer.
Også overordnet situasjonsforståelse
For overordnet nasjonal situasjonsforståelse vil denne tjenesten bidra til en helhetlig innsikt for det nasjonale risikobildet for norsk offentlig forvaltning gjennom aggregering og sammenstilling av målte data til et helhetlig dashboard. DFØ-markedsplassen opplyser at ved å tilgjengeliggjøre sårbarheter med en grafisk fremstilling i et dashboard, vil verktøyet også bidra til kommunikasjon internt i virksomheten mellom sikkerhetseksperter, IT ledelse og virksomhetens ledelse.
Bli den første til å kommentere på "DFØ-avtale: Måler og avslører sårbarhetsrisiko på nett"