Logo til Helse- og KommuneCERTHelse- og KommuneCERT

Om kommunetest

Kommunetest er en en av våre tre pentest-tjenester, i tillegg til Hurtigtest og full-pentest. Tjenesten ble til som et direkte resultat av at vi ble utpekt som sektorvis responsmiljø for kommunene fra desember 2023. Testen er tilgjengelig for alle våre medlemmer uavhengig av sektor.

Våre pentester

Vi tilbyr tre forskjellige pentester; Hurtigtest, Kommunetest og full-pentest. Hver av disse pentestene har forskjellige formål og omfang, og dermed også forskjellige krav for gjennomføring, samt tilgjengelighet for bestilling. Skjematisk ser det slik ut:

Pentest-pyramiden

Hva dekker en Kommunetest?

Kommunetest er en gjennomgang av de mest kritiske systemene til en virksomhet sett fra en angripers perspektiv. Vi har tre utgangspunkt for testen.

Fra internett

  1. Med utgangspunkt i Helse- og KommuneCERTS sårbarhetsrapport for virksomheten, ser vi etter sårbarheter i alle internett-eksponerte tjenester.
  2. Vi sjekker bruken av MFA på alle tjenester med innlogging fra internett.

Fra klientnett

  • Fra innsiden av virksomheten utfører vi en sårbarhets-skann av alle tjenester vi ser fra innsiden.
  • Vi sjekker passordkvalitet av virksomhetens brukere
  • Vi ser etter sensitive data i delte filområder
  • Vi ser etter sårbarheter i Active Directory og andre sentrale systemer

Fra VDI

  • Vi ser etter sårbarheter i fjerntilgangsløsninger som anvendes av virksomheten.

Tilganger og forberedelser

Ved bestilling vil dere få instruksjoner på hva som må legges til rette for å gjennomføre en Kommunetest. I hovedsak trenger vi to til tre tilganger avhengig av omfanget.

Internesystemer

For å få tilgang til interne systemer trenger vi en kobling inn. Vi bruker et dedikert Tailscale-nettverk med signerte noder for dette. Vi trenger at noen i virksomheten setter opp en maskin med operativsystemet Kali, slik at denne maskinen har tilgang til relevant internt nettverk. Denne maskinen kobles så til vårt Tailscale-nettverk.

Konto

For å sjekke de sentrale systemene i virksomheten, trenger vi også en brukerkonto med vanlige tilganger. Hva slags bruker vi blir tildelt avgjøres av dere etter hvilket senario som dere mener er mest relevant eller ønsker å teste.

VDI

Har dere et VDI-system (Horizon, Citrix, AVD eller lignende) så er dette også noe vi ønsker å teste. Vi trenger da at brukeren som vi er blitt tildelt også har tilgang til denne løsningen.

Tilganger skjematisk

Bestilling av test

Bestill kommunetest her

Snarveier

Om kommunetestBestill kommunetestOfte stilte spørsmål

Har du spørsmål?

E-post: post@helsecert.noTelefon: 24 20 00 00