Öryggi metið í úttekt á opinberum vefjum
Gerð verður úttekt á opinberum vefjum ráðuneyta, stofnana og sveitarfélaga haustið 2015. Slík úttekt hefur verið gerð fimm sinnum áður, annað hvert ár frá árinu 2005 undir heitinu Hvað er spunnið í opinbera vefi? Að þessu sinni verða 263 opinberir vefir skoðaðir.
Fyrirhugað að halda opinn kynningarfundur um úttektina 25. ágúst nk. og verður stofnunum og sveitarfélögum sendur tölvupóstur með upplýsingum um dagskrá og staðsetningu þegar nær dregur.
Úttektin er mikilvægt tæki til að fylgjast með þróun opinberra vefja með tilliti til innihalds, nytsemi, aðgengis, þjónustu og lýðræðislegrar þátttöku á vefjum. Í ár verður að auki í fyrsta sinn gerð úttekt á öryggi opinberra vefjanna.
Úttekt á innihaldi, nytsemi, aðgengi, þjónustu og lýðræðislegri þátttöku Innanríkisráðuneytið hefur samið við fyrirtækið Sjá ehf. um þennan þátt úttektarinnar. Sem fyrr er annars vegar er um að ræða mat á viðkomandi vefjum samkvæmt fyrirfram ákveðnum gátlista. Það mat mun fara fram 1.-13. september næstkomandi. Hins vegar svara tengiliðir opinberra aðila (ráðuneyta, stofnana og sveitarfélaga) spurningalista. Tengiliðirnir fá einnig tækifæri til að gera athugasemdir við mat á vefjunum. Opið verður fyrir svörun spurningalista og athugasemdir dagana 14.-26. september. Jóhanna Símonardóttir er verkefnisstjóri þessara þátta úttektarinnar, [email protected].
Allar upplýsingar úr fyrri könnunum er að finna hér á vefnum ut.is, einnig hefur Vefhandbókin að geyma fróðleik fyrir þá sem sjá um opinbera vefi og vilja lagfæra þá aður en að úttektinni kemur. Að auki hefur verið sett upp svokallað mælaborð sem sýnir á myndrænan hátt nokkur atriði um þróun opinberra vefja frá árinu 2005.
Úttekt á öryggi
Úttekt á öryggi vefjanna hefst nú í júlímánuði. Innanríkisráðuneytið hefur samið við Svavar Inga Hermannsson upplýsingaöryggissérfræðing, [email protected], um þetta verkefni og verða vefirnir 263 skannaðir með forritum til að finna hvort um er að ræða veikleika í öryggi þeirra. Æskilegt er að tengiliðir vefjanna upplýsi rekstrar- og hýsingaraðila þeirra um fyrirhugaða úttekt hið fyrsta en um er að ræða sérhæfða þætti sem hinn almenni vefstjóri hefur ekki tök á að lagfæra sjálfur á sínum vef. Öryggisúttektin á ekki að hafa nein áhrif á virkni vefjanna. Tengiliðir vefjanna munu svo svara stuttum spurningarlista í heildarúttektinni Hvað er spunnið í opinbera vefi í september.
Auk þessa er fyrirhugað að skoða um 40 vefi ítarlegar, meðal annars með hliðsjón af þekktri aðferðafræði sem lýst er í Vefhandbókinni, sjá umfjöllun um OWASP top 10 og um veflausnir. Þetta verður gert með þeim hætti að það á ekki að valda neinni truflun á virkni viðkomandi vefjar. Athugið að ekki er verið að framkvæma innbrotsprófun, heldur einungis verið að leita eftir öryggisveikleikum.
Sjá útskýringar á framkvæmd öryggisúttektarinnar.
Niðurstöður úttektar kynntar á UT-deginum
Niðurstöður úttektarinnar verða kynntar á UT-deginum í nóvember nk. Fyrirhugað er að veita verðlaun fyrir stigahæstu vefina í almennu úttektinni, eins og undanfarin ár. Samspil af stigafjölda og upplifun notenda/dómnefndar ræður þar úrslitum. Niðurstöður öryggisúttektar verða hins vegar ekki sundurliðaðar eftir vefjum og einungis forstöðumenn og vefstjórar munu fá upplýsingar um öryggi eigin vefjar. Hvorki einstakir vefir né þjónustuaðilar verða tilgreindir í opinberum upplýsingum um niðurstöðum varðandi öryggi. Aðeins er verið að kortleggja heildarstöðuna? með það að markmiði að bæta öryggi opinberra vefja.
Hægt er að hafa samband við Guðbjörgu Sigurðardóttur ([email protected]) varðandi almennar upplýsingar eða athugasemdir við framkvæmd úttektarinnar.