Sommeren og høsten 2024 ønsker Digdir å få gjennomført sårbarhetsanalyser og penetrasjonstesting av følgende løsninger:
For eInnsyn:
Sårbarhetsanalyse av hele tjenesten:
Import (både med eFormidling og nytt API)
Innsynskravforsendelse (både eFormidling og API)
Frontend inkludert api og admin-api
Postgres (managed tjeneste levert av TE)
Elasticsearch (egne poder)
Penetrasjonstest:
Nytt API (publisering og innsynskravhenting)
Frontend (med api og admin-api)
For ID-porten:
Penetrasjonstest av norsk eIDAS Node:
ID-porten blir koblet til den europeiske eIDAS-infrastrukturen for autentisering på tvers av landegrenser; dette muliggjør at norske borgere kan logge på europeiske tjenester, og vice-versa at europeiske borgere kan logge på norske tjenster. For hver innloggingsretning består utvidelsen av 2 komponenter:
En eIDAS Node basert på en referenseimplementasjon fra EU-kommisjonen. Denne tilbyr SAML2-grensenitt mot EU og et EU-proprietært grensenitt mot nasjonal infrastruktur.
En nasjonal «proxy»-komponent som oversetter fra det EU-propritære grensesnittet til ID-portens standard grensesnitt (OIDC). Denne komponenten er også integrert mot Folkeregisteret for å hente persondata knyttet til innlogget bruker, samt utføre gjenkjenning av utenlandsk identitet.
Det skal utføres penetrasjonstesting mot endepunktene til de to komponentene, i hver retning. Spesielt fokus skal være på det EU-propritære grensesnittet (LightProtocol) og vår proxy-komponent sin bruk av denne, for sårbarheter relatert til sesjonssamenblanding eller integritetsmanipulasjon av persondata.
Systembruker for virksomhet:
Funksjonaliteten lar leverandører definere sine Maskinporten-integrasjoner som fagsystemer i Altinn, som leverandørens kunder i sin tur kan tildele bare de rettighetene som fagsystemet trenger for å kunne opptre på vegne av kunden for bestemte formål. Funksjonaliteten er nærmere beskrevet her: https://docs.digdir.no/docs/Maskinporten/maskinporten_func_systembruker og her: https://docs.altinn.studio/authentication/systemauthentication/
Det skal utføres sårbarhetesanalyse av arkitekturen for å finne sårbarheter som gir en angriper tilganger den ikke har rettighet til. Det skal også utføres enkel penetrasjonstesting mot Maskinportens token-endepunkt for å forsøke tilsvarende angrep.
For MinID:
Sårbarhetsanalyse og penetrasjonstest av brukeradministrasjonsløsninger for utstedelse av MinID i skolen:
Ny webapplikasjon for skoleadministrators autorisasjon av lokale registreringsautoriteter (lærere) og forhåndsprovisjonering av MinID til elever. Integrasjon med Ansattporten, FEIDE og Folkeregisteret.
Ny webapplikasjon for lærers utstedelse av MinID. Integrasjoner med Ansattporten og FEIDE.
Penetrasjonstest av ny MinID brukerprofil: Selvbetjeningsløsning for brukeradministrasjon for MinID. Funksjonalitet er bl.a. registrering av TOTP som 2-faktor og endring av 2-faktor-metoder.
Penetrasjonstest av ny selvregistrert MinID – «MinID lav»: Ny autentiseringsløsning for personer uten norsk folkeregistrert identitet, med selvregistrert ID-grunnlag. Formålet med tjenesten er først og fremst gjenkjenning, og i mindre grad identifikasjon.
Kundens krav til sluttresultatet av oppdraget:
Rapporten som foreligger ved endt oppdrag vil opplyse om tiltak for å forbedre eventuelle avvik, og de anbefalte tiltakene skal komme i prioritert rekkefølge etter kritikalitet.
Kunden ønsker 3 sluttrapporter – en for hver av fellesløsningene (ID-porten, eInnsyn og MinID). Rapportene blir levert fortløpende, så snart de respektive test- og analyseaktivitetene er avsluttet. Kunden ønsker elles at funn blir kommunisert fortløpende til oss i avtalt kanal.
Bruk av standarder/metoder
Konsulenten skal benytte følgende standarder og/eller metoder ved utførelsen av Oppdraget:
Dette kan for eksempel relatere seg til utviklingsmetodikk eller prosjektmetodikk.
Varighet: Oppdraget skal gjennomføres i perioden 17. juni til 31. desember.
Søknadsfrist: 28.05
