Uppdragbeskrivning

Vi söker en Säkerhetstekniker inom API-säkerhet.

Omfattning uppskattas till cirka sextio timmar över cirka sex veckor med möjlighet till förlängning i ytterligare sextio timmar under en totalt avtalstid om fyra månader.

SKA-KRAV:

• Kompetensnivå 5
• Du har minst 5 års erfarenhet av IT-säkerhet där de tre perspektiven prevention, detektion och respons ingått. Varav minst 2 år inom API-säkerhet i reglerade sektorer (t.ex. vård, offentlig sektor, finans eller telekommunikation).
• Du har erfarenhet av och kunskap om OWASP API Security Top 10 och hot som till exempel injection-attacker, bruten autentisering, bot-attacker, DDoS-attacker, zero-day-attacker.
• Du har minst 2 års erfarenhet av arbete med att utforma arkitektur eller lösning för API-säkerhet, inklusive design av helhetslösningar, inbegripet integration med nätverkssäkerhet för holistiskt skydd, för att skydda API:er mot hot som OWASP API Security Top 10 (t.ex. injection-attacker, botar, DDoS, zero-day-attacker, bruten authentisering).
• Du har erfarenhet, inom ett eller flera uppdrag, av arbete med att konfigurera on-premise-säkerhetslösningar, såsom API-gateways (t.ex. NGINX, Kong), WAF:er (t.ex. ModSecurity), och SIEM-verktyg (t.ex. ELK Stack, Splunk).
• Du har erfarenhet av arbete där GDPR och dataskydd varit en väsentlig faktor.
• Du har erfarenhet, inom ett eller flera uppdrag, av att producera tydliga dokument (t.ex. vägledningar på 10–20 sidor) för tekniska intressenter.
• Du har kunskap om federerade autentiseringssystem (t.ex. SAML, OAuth), samt förmåga att snabbt sätta sig in i SITHS (Säker IT för Hälsa och Sjukvård).
• Du har kunskap om REST-API:er, med förmåga att lära sig FHIR (Fast Healthcare Interoperability Resources) med stöd från regionarkitekter.
• Du har erfarenhet av att använda testverktyg för API-säkerhet (t.ex. OWASP ZAP, WhatWaf).

Krav på referensuppdrag:

Anbudsgivaren ska redovisa att offererad konsult uppfyller kraven på referensuppdragen nedan genom att bifoga ifylld bilaga 1- referensuppdrag. Offererad konsult ska inkomma med två referensuppdrag som uppfyller nedan ställda krav på referensuppdragen.

Referensuppdragen får vara pågående och inte äldre än tre år räknat från sista anbudsdag.

Båda redovisade referensuppdragen ska ha omfattat följande punkt:

Arkitektur för API-säkerhet:

Utformade en arkitektur eller lösning för API-säkerhet, med fokus på skydd mot OWASP-hot (t.ex. injection-attacker, botar, DDoS, zero-day-attacker, bruten authentisering). Exempel: Design av en säkerhetsarkitektur med API-gateway (t.ex. NGINX, F5 BIG-IP) och WAF (t.ex. ModSecurity, F5 NG-WAF) för känsliga data.

Anbudsgivaren ska beskriva referensuppdraget samt de tekniker, verktyg och metoder som användes samt vilken roll de hade i arkitekturen/lösningen.

Minst ett av de två redovisade referensuppdragen ska ha omfattat följande punkter (punkt 2 och punkt 3):

Konfiguration av on-premise-säkerhetslösningar:

Konfigurerade och anpassade on-premise-säkerhetslösningar. Exempel: Implementering av säkerhetsverktyg i en miljö med datalokaliseringskrav, utan molntjänster.

Arkitektur för API-säkerhet i reglerad sektor:

Utformade en arkitektur eller lösning för API-säkerhet i en reglerad miljö (t.ex. offentlig sektor, finans, vård, telekom).