Nasjonalt beskyttelsesprogram (NBP)
Nasjonalt beskyttelsesprogram for helse- og omsorgssektoren (NBP) er en gratis tjeneste for virksomheter i sektoren. Formålet med tjenesten er å gi deltakere informasjon om aktuelle trusler, sårbarheter og hendelser. Det er også mulig å be HelseCERT om bistand til håndtering av hendelser.
Om NBP
NBP inkluderer en rekke tjenester. Krav for tilgang til de forskjellige tjenestene står beskrevet under den enkelte.
Deltagelse i NBP krever at man som virksomhet har undertegnet en avtale. Gjennom avtalen forplikter man seg til å følge trafikklysprotokollen (TLP). TLP er et sett med regler som regulerer hvordan mottatt informasjon kan deles videre.
Vi bruker primært e-post for kommunikasjon. Mottakere kan melde seg på ulike e-postlister basert på hvilke som er relevante.
Bli medlem
For å melde din virksomhet inn i NBP bruk følgende skjema.
Alle som tilbyr helsetjenester i Norge kan bli medlem. Dette gjelder også virksomheter tilknyttet helsenettet, eller drifter infrastruktur for helsetilbydere. Er du usikker på om din virksomhet er dekket, ta kontakt på post@helsecert.no
Tjenester i NBP:
Sårbarhetsskanning
HelseCERT skanner kontinuerlig etter kjente sårbarheter og rapporter funn ved jevne intervaller avhengig av alvorlighetsgraden.
Varslingsintervall
Vi rangerer, og rapporterer i følgende intervaller.
| Kritikalitet | Rapporteringsfrekvens |
| Kritisk | 1 uke |
| Høy | 2 uker |
| Medium | 4 uker |
| Lav | 8 uker |
Varslingsfrekvens avhenger av den mest kritiske sårbarheten som er oppdaget.
På internett skanner vi basert på IP-adresser som er meldt inn til oss.
På Helsenettet skanner vi alt, og rapporterer funn til eier av IPen.
For å ta i bruk tjenesten:
- Meld inn hvilke IPer du har på internett
- Meld inn helsenett-IPer
- Meld inn domener.
- Kontaktpunkt (e-postadresse) for varsling av sårbarheter.
- Vi anbefaler at dere hvitelister våre IP-adresser.
IP-adresser det skannes fra
| Scanner | IPv4 det scannes fra | IPv6 det scannes fra |
|---|---|---|
| Helsenett-scanner | 172.31.124.66 | 2a05:ec0:1015::2 |
| Internett-scanner | 83.118.176.122 | 2a05:ec0:1014:2::2 |
| Test-scanner (Internett) | 83.118.176.114 | 2a05:ec0:1014::2 |
Informasjonsdeling og forebygging
Vi deler informasjon om aktuelle sårbarheter og trusler og kommer med råd og anbefalinger om hvordan disse kan håndteres. Vi har et omfattende samarbeid med andre sikkerhetsmiljøer, både nasjonalt og internasjonalt. Via dette nettverket mottar vi informasjon som deles med resten av helse- og omsorgssektoren. HelseCERT arrangerer også forum og webinarer med fokus på erfarings- og kompetansedeling på tvers av fagmiljøene innenfor informasjonssikkerhet i sektoren.
For å ta i bruk tjenesten:
- Meld inn hvilke e-postadresser som skal stå på de forskjellige e-postlistene vi tilbyr. Dere kan gjerne bruke rollebaserte adresser, men dette er ikke noe krav.
Vi bruker følgende e-postlister.
| NBP-info | Brukes til å sende ut informasjon om nye tjenester og endringer i eksisterende tjenester i NBP. |
| NBP-trussel | Her sender vi ut informasjon om angrepskampanjer og om trusselgrupper som vi anser som ekstra relevante for norsk helsesektor. |
| NBP-saarbarhet-patch | Brukes for utsending av informasjon om sårbarheter i programvare. |
| Medtek-info | Denne e-postlisten brukes for å varsle om sårbarheter i medisinskteknisk utstyr. |
| <virksomhetsnavn>-info_request | Denne listen brukes om vi har spørsmål til din virksomhet. |
| <virksomhetsnavn>-saarbarhet | Brukes for å varsle sårbarheter vi finner gjennom sårbarhetsskanning. Varslingsfrekvens er beskrevet under. |
| <virksomhetsnavn>-hendelse | Denne listen kan brukes for å varsle oss at du har en hendelse. Vi bruker den om vi gjennom sensornettverk, eller andre kanaler finner ut at du har en hendelse. Den brukes også for koordinering og håndtering av slike hendelser. |
| <virksomhetsnavn>-deploy | Dette er en liste som settes opp hos virksomheter hvor vi setter opp en sensor. Vi opererer både med nettverkssensorer som ser etter ondsinnet trafikk og angrepsforsøk, og interne sensorer. Sensorer er en ressurskrevende del av det vi gjør, og settes derfor primært opp hos store og sentrale aktører som ønsker det. |
De tre listene som starter med NBP vil tittel på utsendinger merkes med hhv [NBP-info], [NBP-trussel] og [NBP-saarbarhet-patch]. Dette så mottakere skal kunne filtrere mottatte e-poster.
Hendelseshåndtering
HelseCERT bistår med håndtering av alvorlige hendelser. Sammen med virksomhetene i sektoren jobber HelseCERT også for å styrke virksomhetenes egen kapasitet til å håndtere slike hendelser. Ved hendelser som angår flere virksomheter fungerer HelseCERT som et nav som koordinerer innsats og informasjonsdeling på tvers. Ved akutte og alvorlige hendelser er det mulig å kontakte HelseCERT gjennom Norsk helsenetts kundesenter.
Vi vil stort sett kunne bidra inn i hendelser, men selve håndteringen må enten gjøres internt, eller av innleid tredjepart.
For å ta i bruk tjenesten:
- Ta kontakt og fortell hvilken hendelse du har.
Blokkeringslister
Vi tilbyr lister med indikatorer, herunder IP-adresser, domener og URLer som er observert i angrepskampanjer.
Indikatorene er enten observert brukt til angrep direkte av oss, eller mottatt gjennom kilder vi stoler på.
Disse listene er tilgjengelige for NBP-medlemmer i forskjellige format og kan importeres direkte inn i brannmurer for blokkering.
De samme listene brukes også av Norsk helsenett for kunder med internett gjennom NHN.
For å ta i bruk tjenesten:
- IP-adresse(r) som skal hente ned blokkeringslister.
- E-post og telefonnummer til kontaktperson
Brukernavn og passord på avveie
Vi mottar gjennom samarbeidspartnere jevnlig varsler om brukernavn og passord som er på avveie. Disse matches med deltakere i NBP. Om vi finner brukernavnet jan.johansen@hemit.no med passord: passord123, vil vi varsle Hemit om at bruker Jan.Johansen@hemit.no har passordpassord123på avveie slik at de kan varsle ham om dette. Dette gir også hemit muligheten til å resette passordet hans.
Varsler sendes på e-post. Brukernavn og passord krypteres før utsending for å sikre mot at uvedkommende får tilgang. Dette gjøres enten med PGP, eller med krypterte zip-arkiv og passord sendt på SMS. Vi foretrekker PGP.
For å ta i bruk tjenesten:
-
E-postadresse som skal ta imot varsler
-
PGP-nøkkel vi skal kryptere varsler med ELLER telefonnummer som skal motta passord til kryptert zip-arkiv.
-
Meld inn alle domener vi skal monitorere
Statusrapport e-postsikkerhet
Vi skanner jevnlig for å se sjekke e-postoppsettet ditt.
Vi ser etter TLS, STARTTLS, DNSSEC, SPF og DMARC.
Resultatet fra skann sendes ut kvartalsvis.
For å ta i bruk tjenesten:
- Meld inn domenene dine
- Meld inn e-postresultatet ønskes sendt til (vi bruker samme e-postliste her som for vanlig sårbarhetsskanning)
Samarbeidsplattform
Vi har gjennom mange år tilbydd IRC-servere for samarbeid med oss, og andre deltakere i NBP.
Vi er i prosess med å flytte dette over til MS Teams.
Dette er et sted hvor det skal være lav terskel for å stille spørsmål til NBP, eller direkte til oss i HelseCERT.
Mer info blir sendt ut på NBP-info.
Webinarer
HelseCERT holder webinarer med tema vi anser som interessante og nyttige for medlemmer i Nasjonalt beskyttelsesprogram for helse- og omsorgssektoren(NBP).
Webinarene gjennomføres andre fredag i måneden. Unntaket er sommermånedene, juli og august og førjulstiden, desember.
De starter 09:00 og varer omtrent 20 minutter etterfulgt av en spørsmålsdel, til sammen maks 30 minutter.
Informasjon om kommende webinarer sendes ut til e-postlisten NBP-info. Lysbilder og opptak av webinaret deles til NBP-info i etterkant.
Spørsmålsdelen er ikke en del av opptaket så deltakere trenger ikke å bekymre seg for dette om de stiller spørsmål.
Webinarer blir gjennomført så lenge vi har tema vi ønsker å dekke, og det er interesse blant medlemmer i NBP.
Om det er store sikkerhetshendelser eller sårbarheter vi mener trenger ekstra oppmerksomhet kan det komme egne webinarer om disse. Dette vil i så fall annonseres.
Har du et tema du ønsker at vi dekker send oss en e-post til; post@helsecert.no.
Portskanning
Tjenestebeskrivelse
HelseCERT gjennomfører portskanning og utarbeider en oversikt over alle åpne porter for virksomheter tilknyttet NBP. Resultatet kan brukes til å få oversikt over eksponerte IP-adresser, hoster og porter som er åpne fra Internett, redusere tilgjengeligangrepsflate på Internett samt kontrollere endringer for tjenester eksponert mot Internett.
HelseCERT utarbeider fra før av en egen sårbarhetsoversikt for deres virksomhet (omtalt over). Sårbarhetsoversikten gir en oversikt over kjente sårbarheter vi har avdekket i deres eksponerte tjenester. Portskanningen vil gi en oversikt over alle porter som svarer på vår portskanning.
Portskanning og sårbarhetsskanning er velkjente teknikker som brukes av angripere for å kartlegge tjenester de kan forsøke å bryte seg inn i.Angripere bruker både kjente og ukjente sårbarheter for å angripe våre systemer. Det siste kalles også "nulldagssårbarheter", altså en sårbarhet som ikke er kjent for leverandøren av programvaren og som det ikke finnes noen sikkerhetsoppdatering til.
For å redusere risiko for datainnbrudd er det ønskelig å redusere angrepsflaten så mye som mulig ved å ikke ha flere åpne porter og tjenester enn nødvendig på Internett. Dette er god sikkerhetspraksis.Ved å fjerne tjenester og porter som ikke trenger å være åpne vil man også unngå at framtidige sårbarheter som blir avdekket i disse applikasjonene kan utnyttes fra Internett.
Hvordan bruke portskanningsresultatene
Start med å gå igjennom den fullstendige oversikten som inneholder informasjon om alle porter som svarte på vår skanning. Bruk denne til å identifisere om det er porter som ikke trenger å være eksponert på Internett og sperr disse i brannmur. Oversikten kan også brukes til å rydde i eksisterende brannmurregler og verifisere at ting er som tiltenkt.
Oversikten over nye og avviklede porter siste periode kan deretter brukes til å verifisere og få kontroll på endringer som er gjort i brannmur siden forrige rapport.
Vår anbefaling:
- Gå gjennom oversikten "Alle porter" i rapporten og kartlegg hvilke tjenester dette er og
- Lukk porter som ikker trenger å være åpne
- Flytt tjenester bak en VPN om mulig.
- Gå deretter gjennom nye og avviklede porter i de neste portskannrapportene og pass på at endringene stemmer.
Ved å minimere deres angrepsflate på Internett til kun høyst nødvendig tjenester vil dere også redusere risikoen for å bli rammet av datainnbrudd.
Metoder og risiko
Åpne porter identifiseres gjennom automatisk skanning og feil kan forekomme. Vi ønsker tilbakemelding ved mistanke om feil i vår oversikt.
I denne e-posten er det 3 vedlegg:
- ny.csv - oversikt over nye tjenester identifisert de siste 30 dagene.
- avviklet.csv - oversikt over tjenester som har forsvunnet 14-30 dager siden.
- full.csv - fullstendig oversikt over alle porter identifisert de siste 30 dagene.
Varsling
Oversikt over alle åpne porter som blir identifisert rapporteres til e-postlisten sarbarhet-<navn> (Beskrevet under Informasjonsdeling og forebygging). Varslingen foregår automatisk.
Oversikten viser følgende:
- ny.csv - oversikt over nye tjenester identifisert de siste 30 dagene.
- avviklet.csv - oversikt over tjenester som har forsvunnet 14-30 dager siden.
- full.csv - fullstendig oversikt over alle porter identifisert de siste 30 dagene.
Varslingsintervall
Oversikt sendes ut månedlig.
For å ta i bruk tjenesten:
- Meld inn hvilke IPer du har på internett
- Meld inn helsenett-IPer
- Meld inn domener.
- Kontaktpunkt (e-postadresse) for varsling av sårbarheter.
- Vi anbefaler at dere hvitelister våre IP-adresser.
Hvis dere har domener som ligger hos eksterne/skyleverandører som dere ønsker at vi skanner ber vi om at dere innhenter tillatelse om skanning fra deres leverandør og informerer om hvilke IP'er vi skanner fra.
IP-adresser det skannes fra
| Scanner | IPv4 det scannes fra | IPv6 det scannes fra |
|---|---|---|
| Helsenett-scanner | 172.31.124.66 | 2a05:ec0:1015::2 |
| Internett-scanner | 83.118.176.122 | 2a05:ec0:1014:2::2 |
| Test-scanner (Internett) | 83.118.176.114 | 2a05:ec0:1014::2 |
Hurtigtest
Hurtigtest er en automatisert sikkerhetstest som tar for seg de mest grunnleggende svakhetene våre pentestere normalt finner ute hos virksomhetene. Utviklingen og testene som er inkludert er basert på erfaringer vi har gjort oss over mange år med sikkerhetstesting, og vi håper den kan brukes av så mange som mulig for å avdekke svakheter og fikse dem. Vi anser hurtigtest som første ledd i en sikkerhetstest, og kan like gjerne kjøres av kundene selv på forhånd.
Nedlasting av hurtigtest krever passord noe deltakere i NBP får ved å ta kontakt med oss via post@helsecert.no.
Nedlasting og mer detaljert informasjon om hurtigtest er tilgjengelig her.