DigiViken søkte om skjønnsmidler fra Statsforvalteren i Oslo og Viken til et regionalt prosjekt for felles SOC/SIEM. Vi har fått tildelt deler av det søkte beløpet (2 millioner kroner) og kan nå starte et prosjekt. Hvis dere vil være med, vennligst send en e-post til post@digiviken.no.
Prosjektplanen er som følger:
- Kartlegge status og behov i kommunene i Viken
- Mulighetsstudium: Kartlegge løsninger og tilbydere i markedet.
- Utarbeide et felles anbudsdokument hvor DigiViken ber om en rammeavtale med leverandør. Kommunene bør da kunne velge å kjøpe sikkerhetskomponenter fra en tjenestekatalog. Tjenestekatalogen bør som et minimum inneholde:
a. Et system for Sikkerhetsinformasjon og hendelsesadministrasjon (SIEM-løsning). Løsningen må kunne innhente loggdata fra servere, klienter, nettverkskomponenter og skyløsninger og tolke disse. AI-teknologi er ofte sentralt i disse løsningen for å avdekke eventuelle sikkerhetsbrudd.
b. SOC tjeneste som døgnovervåker SIEM-verktøyet og alarmerer ved eventuelle sikkerhetsbrudd og ved unormal aktivitet. Tjenesten bør også kunne isolere infiserte enheter. SOC-tjenesten må kunne betjene kommer som allerede har etablert eget SIEM-verktøy.
c. Responstidsavtale mot et Incident Response Team (IR-team), som kan rykke ut ved hendelser.
d. Kjøp av penetrasjonstester ved behov for å avdekke svakheter i internetteksponerte tjenester og internt i nettverket. - Etablering av tjenesten: Anskaffe nødvendig sikkerhetskomponenter og -tjenester i de kommunene som blir med på prosjektet.
- Pilotfase: Drifte tjenesten i 3 måneder hos 5 kommuner for å etablere et riktig nivå av varsler og intervensjoner fra SOC opp mot de reelle hendelsene som avdekkes. Trene opp algoritmene i varsellogikken med reelle ferske data for å redusere antall falske positive varsler.
Samtidig har KDD bevilget 50 millioner kroner til tilsvarende formål. KS jobber med Nasjonalt program for informasjonssikkerhet (NPISK) som en plan for å bruke (noen av) disse pengene på en god måte. Når denne planen er klar, må vi sikre at vi samkjører oss med og utnytter NPISK-tiltakene på best mulig måte.