Nasjonalt beskyttelsesprogram (NBP)

HelseCERT skanner kontinuerlig etter kjente sårbarheter og rapporter funn ved jevne intervaller avhengig av alvorlighetsgraden.

Vi rangerer, og rapporterer i følgende intervaller.

Varslingsfrekvens avhenger av den mest kritiske sårbarheten som er oppdaget.

På internett skanner vi basert på IP-adresser som er meldt inn til oss.

På Helsenettet skanner vi alt, og rapporterer funn til eier av IPen.

For å ta i bruk tjenesten:

• Meld inn hvilke IPer du har på internett
• Meld inn helsenett-IPer
• Meld inn domener.

Vi deler informasjon om aktuelle sårbarheter og trusler og kommer med råd og anbefalinger om hvordan disse kan håndteres. Vi har et omfattende samarbeid med andre sikkerhetsmiljøer, både nasjonalt og internasjonalt. Via dette nettverket mottar vi informasjon som deles med resten av helse- og omsorgssektoren. HelseCERT arrangerer også forum og webinarer med fokus på erfarings- og kompetansedeling på tvers av fagmiljøene innenfor informasjonssikkerhet i sektoren.

For å ta i bruk tjenesten:

• Meld inn hvilke e-postadresser som skal stå på de forskjellige e-postlistene vi tilbyr. Dere kan gjerne bruke rollebaserte adresser, men dette er ikke noe krav.

Vi bruker følgende e-postlister.

HelseCERT bistår med håndtering av alvorlige hendelser. Sammen med virksomhetene i sektoren jobber HelseCERT også for å styrke virksomhetenes egen kapasitet til å håndtere slike hendelser. Ved hendelser som angår flere virksomheter fungerer HelseCERT som et nav som koordinerer innsats og informasjonsdeling på tvers. Ved akutte og alvorlige hendelser er det mulig å kontakte HelseCERT gjennom Norsk helsenetts kundesenter.

Vi vil stort sett kunne bidra inn i hendelser, men selve håndteringen må enten gjøres internt, eller av innleid tredjepart.

For å ta i bruk tjenesten:

• Ta kontakt og fortell hvilken hendelse du har.

Vi tilbyr lister med indikatorer, herunder IP-adresser, domener og URLer som er observert i angrepskampanjer.

Indikatorene er enten observert brukt til angrep direkte av oss, eller mottatt gjennom kilder vi stoler på.

Disse listene er tilgjengelige for NBP-medlemmer i forskjellige format og kan importeres direkte inn i brannmurer for blokkering.

De samme listene brukes også av Norsk helsenett for kunder med internett gjennom NHN.

For å ta i bruk tjenesten:

• IP-adresse(r) som skal hente ned blokkeringslister.
• E-post og telefonnummer til kontaktperson

Vi mottar gjennom samarbeidspartnere jevnlig varsler om brukernavn og passord som er på avveie. Disse matches med deltakere i NBP. Om vi finner brukernavnet jan.johansen@hemit.no med passord: passord123, vil vi varsle Hemit om at bruker Jan.Johansen@hemit.no har passordpassord123på avveie slik at de kan varsle ham om dette. Dette gir også hemit muligheten til å resette passordet hans.

Varsler sendes på e-post. Brukernavn og passord krypteres før utsending for å sikre mot at uvedkommende får tilgang. Dette gjøres enten med PGP, eller med krypterte zip-arkiv og passord sendt på SMS. Vi foretrekker PGP.

For å ta i bruk tjenesten:

• E-postadresse som skal ta imot varsler

• PGP-nøkkel vi skal kryptere varsler med ELLER telefonnummer som skal motta passord til kryptert zip-arkiv.

• Meld inn alle domener vi skal monitorere

Vi skanner jevnlig for å se sjekke e-postoppsettet ditt.

Vi ser etter TLS, STARTTLS, DNSSEC, SPF og DMARC.

Resultatet fra skann sendes ut kvartalsvis.

For å ta i bruk tjenesten:

• Meld inn domenene dine
• Meld inn e-postresultatet ønskes sendt til (vi bruker samme e-postliste her som for vanlig sårbarhetsskanning)

Vi har gjennom mange år tilbydd IRC-servere for samarbeid med oss, og andre deltakere i NBP.
Vi er i prosess med å flytte dette over til MS Teams.

Dette er et sted hvor det skal være lav terskel for å stille spørsmål til NBP, eller direkte til oss i HelseCERT.

Mer info blir sendt ut på NBP-info.