Direktoratet for forvaltning og økonomistyring (DFØ) ved Markedsplassen for skytjenester (MPS) har signert rammeavtale om måling av virksomhetens risiko fra eksponering på internett med KPMG AS som leverer skytjenester fra RiskRecon by Mastercard. Denne avtalen markerer et betydelig skritt i arbeidet med å styrke informasjonssikkerhet for offentlige virksomheter i Norge.
Avtalen ble tildelt etter en omfattende konkurranseprosess som ble avsluttet 30. mai 2024. Kontrakten gjelder for en periode på to år, med mulighet for forlengelse i ytterligere to år. Den er ikke eksklusiv og er frivillig å bruke for virksomheter i sivil sektor som omfattes av DFØs fullmakt, samt 135 kommuner og fylkeskommuner som er tilsluttet avtalen som opsjon. Totalrammen er på 50 MNOK. Opsjonen vil utsløses så snart nødvendige avklaringer foreligger.
Hva er Cyber Risk Score?
Cyber Risk Score er en metode for å kvantifisere og vurdere en virksomhets eksponering for cybertrusler sett fra internett. Det er numeriske verdier som reflekterer risikoen for en virksomhet basert på ulike faktorer, for eksempel sårbarheter i infrastrukturen, historiske data om sikkerhetsbrudd og organisasjonens evne til å håndtere sikkerhetshendelser. Tjenesten gir et bilde på virksomhetens sikkerhetshygiene sett fra internett og hjelper virksomheten med å prioritere strategiske og operative tiltak for å beskytte seg mot potensielle trusler.
Potensielle gevinster
Cyber Risk Score bidrar til en bedre strategisk risikoforståelse ved å synliggjøre indikatorer for CVE score (Common Vulnerability Scoring System) i en grafisk fremstilling/dashboard. Denne informasjonen støtter ledelsen i å ta informerte beslutninger om sikkerhet i egen virksomhet. Tjenesten gjør det videre mulig å prioritere tiltak ved å identifisere de mest kritiske sårbarhetene som for eksempel servere som ikke er oppdatert med de nyeste sikkerhetsoppdateringene, slik at disse kan adresseres raskt og effektivt.
Cyber Risk Score tjenesten tilrettelegger også for oppfølging av tredjepartsleverandører og etterlevelse av sikkerhetsstandarder i leverandørkjeden. Ved å måle virksomhetens sårbarheter på internett over tid kan man også følge med på om operasjonelle tiltak fungerer og at virksomheten når sine strategiske målsettinger for bedre informasjonssikkerhet. Siden måling av informasjonssikkerhet på internett med CVE score er en anerkjent og åpen industristandard, er et slikt verktøy godt egnet til sammenlikning av sårbarhetsnivå på internett mellom ulike virksomheter og sektorer.
For overordnet nasjonal situasjonsforståelse, vil denne tjenesten bidra til en helhetlig innsikt for det nasjonale risikobildet for norsk offentlig forvaltning gjennom aggregering og sammenstilling av målte data til et helhetlig dashboard. Ved å tilgjengeliggjøre sårbarheter med en grafisk fremstilling i et dashboard, vil dette verktøyet også bidra til kommunikasjon internt i virksomheten mellom sikkerhetseksperter, IT ledelse og virksomhetens ledelse.
Veien videre
Implementeringsprosessen er i gang. All informasjon om tildelt leverandør, praktisk informasjon og informasjon om hvordan avtalen bør brukes vil bli publisert tirsdag 27/8.
Artikler om CRS fra øvrige kanaler (krever abonnement)
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)