Risiko- og sårbarhetsanalyse (ROS)

Versjon 1.0 · 6. mai 2026 (sist oppdatert 29. mai med MFA-tillegg) · Ansvarlig: Markus Eriksson (Påvakt AS)

Scope: DigiReq (mobil-app + backend + admin-dashboard) i pilot- og tidlig-produksjonsfase. Vurderings-periode: Frem til neste vurdering (årlig eller ved vesentlige endringer).

1. Formål

Identifisere og vurdere risiko som DigiReq sin behandling av personopplysninger kan påføre brukerne (ansatte i kommuner og kommunale foretak). Dokumentet er en del av leverandørens internkontroll iht. personopplysningsforskriften, og deles med behandlingsansvarlig (kunden) ved forespørsel.

2. Metodikk

2.1 Sannsynlighet

2.2 Konsekvens

2.3 Risiko-nivå

3. Identifiserte trusler

3.1 Uautorisert tilgang via stjålet/kompromittert telefon

3.2 SIM-swap eller OTP-intercept

3.2b Admin-konto kompromittert (phishing, gjenbrukt passord, manglende MFA)

3.3 Skjermbilde-misbruk av godkjent rekvisisjonsnummer

3.4 Insider-misbruk fra admin

3.5 Super_admin (plattform-eier) misbruker tilgang til kundedata

3.6 Sub-prosessor-utfall (Hetzner / Cloudflare / Expo / 46elks)

3.7 DDoS / API-misbruk

3.8 Avhengighets-sårbarhet (CVE i bibliotek)

3.9 Datatap (database-korrupsjon, server-feil, slettings-feil)

3.10 GDPR-brudd ved feil retention eller manglende sletting

3.11 Sikkerhetsbrudd hos behandlingsansvarlig (kunden) som påvirker DigiReq

3.12 Sårbarhet i mobilapp (jailbreak, repackaging)

3.13 Misbruk av super_admin for å opprette firma og klone data

3.14 Mistede push-notiser (leverandør-utfall) gir falsk tillit

3.15 Plattform-konsentrasjon: Påvakt AS som eneste eier

4. Restrisiko-oppsummering

Etter implementerte tiltak er alle identifiserte risikoer på akseptabelt nivå for pilot- og tidlig-produksjonsbruk. Tre områder krever oppmerksomhet i nærmeste framtid:

  1. Avhengighets-skanning — Dependabot aktivert 29. mai 2026, drift dokumenteres på /sikkerhet § 11
  2. MFA på admin-rolle — anbefales via Entra+CA (se /sikkerhet § 4.3); kommunikasjon med kunder pågår
  3. Plattform-bus-faktor — co-founder eller dokumentert beredskap når kundebase vokser

5. Oppfølging

6. Referanser

Dokument-versjon 1.1 · Sist oppdatert 29. mai 2026 (lagt til 3.2b admin-MFA, oppdatert 3.8 etter Dependabot-aktivering, oppdatert 3.11) · sikkerhet@digireq.no