Sikkerhet i leverandørkjeder - Avstand betyr ingenting, tillit betyr alt!

De nylige cyberangrepene mot Stortinget og NBIM (oljefondet), er eksempler på risiko i leverandørkjeder. Dette var også et gjennomgående tema på NSMs sikkerhetskonferanse 11. mars. I denne artikkelen forklarer vi litt mer om problemstillingen, og gir noen råd om hvordan du kan gå i dialog med dine leverandører for å sikre deg best mulig.

Knut Håkon Tolleshaug Mørch

Enten man prøver å finne den beste kompetansen, de nyeste ideene eller de rimeligste alternativene, kan leverandører, tjenester eller programvare leveres fra hele verden. Slike leverandørkjeder kan utgjøre en stor risiko for virksomheter.

Et av de mest kjente eksemplene den siste tiden, er Solarwinds. Dette var en løsning som ble brukt til å oppdatere IT-systemer for forsvaret i ulike land og annen samfunnskritisk infrastruktur, og tusenvis av andre virksomheter. Minst to stater brøt seg inn hos Solarwinds, og utnyttet denne leverandørkjeden til å legge inn en «bakdør» som gjorde at de kom seg inn hos et stort antall virksomheter. Når de først var inne kunne de overta samfunnskritiske IT-systemer, og få tilgang på konfidensiell informasjon. I Norge er det kjent at NBIM (oljefondet) benyttet denne løsningen for noen av sine systemer.

Ikke lenge etter ble det oppdaget en alvorlig sårbarhet i en e-postserver levert av Microsoft. Denne sårbarheten ble utnyttet av minst en aktør som antas å være relatert til en stat. I Norge ble bl.a. Stortinget angrepet, sammen med mange andre virksomheter. Det er kjent at e-post tilhørende stortingsrepresentanter ble hentet ut av e-postserveren.

Det er nesten umulig å sikre seg 100% mot at en leverandørkjede kan utgjøre en risiko. Men som oftest er det mulig for virksomheten selv å redusere risikoen. Noen ganger er en del av ansvaret tydelig plassert hos virksomheten selv, f.eks. dersom man kjøper en e-postserver og installerer den i sitt eget datasenter. Andre ganger er det mer uklart hva man kan forvente av sikkerhetsnivå fra leverandøren.

Dersom man skal lykkes med å sikre det man selv har ansvaret for, er det helt avgjørende å forstå hva man får levert fra leverandøren, og hvordan grensesnitt for både teknologi og prosesser fungerer. Selve kontrakten blir derfor helt avgjørende. Hvis man hverken vet hva man får eller hvordan man får det levert, blir det svært utfordrende å oppnå et godt nok sikkerhetsnivå.

I eksemplene med Solarwinds og Microsoft, var avstanden i leverandørkjeden lang fra de som utviklet løsningene, til de som hadde ansvaret for å driften av dem. Spørsmålet er hvilken grad av tillit det er behov for, og hvordan den bør etableres. For IT-leveranser har ofte leverandøren store muligheter for å utnytte kunden. Og kanskje særlig for ikke-funksjonelle krav, altså det man ikke umiddelbart ser eller kan måle når man bruker en IT-løsning. Hvordan vet man at koden har god kvalitet, eller at sikringstiltakene er tilstrekkelige? IT er som mye annet i livet. Selv om noe høres veldig bra ut og man håper det går bra, så må man også planlegge for det man håper å unngå.

Behovet for å formalisere sikkerhetsnivået i leverandørkjeder er ikke nytt. Forsvaret i USA har etablert en sertifiseringsordning for å vurdere modenhetsnivået for cybersikkerhet for leverandører av uklassifiserte systemer. Dette er en omfattende ordning som kan være relevant for de med et høyt beskyttelsesbehov. Men alle virksomheter bør ha et bevisst forhold til hva kontrakten bør formalisere av krav til sikkerhetsnivået for hva som skal leveres, og hvordan det skal leveres.

Nasjonal sikkerhetsmyndighet har utgitt noen råd for hva som bør inngå i avtaler med leverandører. Nedenfor har vi tatt utgangspunkt i disse, og i tillegg utviklet dem videre med våre egne erfaringer. Disse punktene bør alltid vurderes ved avtaleinngåelser med leverandører. De er med vilje holdt på et overordnet nivå for å enklere kunne inkluderes i en hovedavtale. De må tilpasses ulike virksomheter, og ved behov kan de detaljeres med ytterligere krav i ulike avrop.

Oppfyllelse av disse kravene vil som oftest komme med en kostnad fra leverandøren. Derfor er det nødvendig med en risikovurdering for å avgjøre om det er lønnsomt å få alle kravene med i en kontrakt. Dersom man velger å ikke ta med disse kravene, kan i verste tilfelle hele investeringen gå tapt. Dette kan f.eks. skje dersom regulatorisk krav endres slik at det ikke lenger er mulig å levere fra tredjeland (utenfor EU), og mange av de utførende aktivitetene er basert på arbeid utført fra tredjeland.

Nedenfor har vi listet opp kravene som bør inngå ved avtaleinngåelser med leverandører. De er spesielt relevante for deg som jobber med innkjøp av IT, f.eks. som IT-spesialist eller jurist.

  1. Leverandøren skal til enhver tid sørge for at alle tjenester og produkter leveres i samsvar med alle sikkerhetsrelaterte krav i lover og forskrifter i de landene som omfattes av leveransen. Lovverket i land tjenesten leveres til Kunden skal ha forrang, hvilket betyr at om nødvendig må produksjon av tjenesten flyttes til landet der tjenesten leveres.
     
  2. Leverandøren skal ha etablert et styringssystem for informasjonssikkerhet, som følger god praksis (f.eks. ISO 27001). Styringssystemet skal revideres minst årlig for å verifisere at sikringstiltakene fungerer som forventet, og at risikonivået er akseptabelt. En oppsummering av revisjonen eller tilsvarende gjennomganger skal være tilgjengelig for Kunden, og utleveres ved forespørsel fra Kunden. Denne oppsummeringen skal inkludere hvilke risikoer som ikke har et akseptabelt nivå, og alvorlige hendelser siden siste rapport.
     
  3. Leverandøren skal ha tilgjengelig, og utlevere ved forespørsel fra Kunden, en overordnet oversikt over IT-arkitekturen som inngår i leveransen, med fokus på sikkerhetsaspekter. Denne skal være detaljert nok til at Kunden kan identifisere risikoer ved IT-arkitekturen, inkludert etterlevelse av regulatoriske krav.
     
  4. Tjenester og teknologi som tilbys og brukes av Leverandøren skal kontinuerlig forbedres for å redusere risiko, ved å utnytte nye teknologiske muligheter, og tilpasses endringer i trusselbildet.
     
  5. Leverandøren skal ha en oppdatert oversikt over hvem som har tilgang til Kundens informasjon, inkludert deres rolle, hvordan og fra hvor informasjonen behandles og lagres, og hvilke mekanismer som sikrer at Kundens informasjon holdes atskilt fra andre kunder og brukere.
     
  6. Tilgangsstyring skal være etablert for å sikre at kun autoriserte personer får tilgang til Kundens informasjon, og kun for den informasjonen og med de rettighetene de er autorisert for. Leverandøren skal ha tilgjengelig, og utlevere ved forespørsel fra Kunden, en beskrivelse av hvordan tilgangsstyringen er implementert. Dette inkluderer, men er ikke begrenset til, bruk av kryptering, løsninger for identitet og tilgangsstyring, aktivitetslogging, og andre relevante fysiske og logiske sikringstiltak.
     
  7. Det skal etableres overvåkning tilpasset Leverandørens trusselbilde, for å oppdage hendelser relatert til informasjonssikkerhet, eller andre uønskede hendelser eller handlinger på IT-systemer. Leverandøren skal ha tilgjengelig, og utlevere ved forespørsel fra Kunden, en oversikt over implementasjonen, inkludert men ikke begrenset til bruk av logginnsamling og -analyse, og andre teknikker for å støtte overvåkningen.
     
  8. Prosedyrer skal være etablert for å håndtere hendelser og andre avvik relatert til informasjonssikkerhet. Disse skal være dokumentert, implementert, testet, og tilgjengelig for gjennomgang av Kunden, ved forespørsel fra Kunden. Det skal tilbys en mulighet for å koble Leverandørens prosedyrer mot Kundens prosedyrer og rapporteringsstruktur.
     
  9. Prosedyrer for kontinuitet og katastrofeberedskap skal være utarbeidet, implementert og testet. De skal være tilgjengelig for gjennomgang av Kunden, ved forespørsel fra Kunden. Det skal tilbys en mulighet for å koble Leverandørens prosedyrer mot Kundens prosedyrer og rapporteringsstruktur.
     
  10. Bruk av underleverandører eller innleid personell som har direkte tilgang til Kundens informasjon skal godkjennes av Kunden før slike ressurser kan benyttes.
     
  11. Leverandøren skal støtte integrasjon mot andre leverandører ved å bruke anerkjente grensesnitt og protokoller, og ved forespørsel fra Kunden kunne tilby ressurser for å støtte en slik integrasjon. Dette omfatter gjenoppretting, overføring eller sletting av informasjon, under kontraktens løpetid eller ved utløpet av avtaleperioden eller heving av kontrakten.
     
  12. Informasjon som er utarbeidet på oppdrag fra Kunden skal overleveres fra Leverandøren ved forespørsel fra Kunden under kontraktens løpetid, eller ved utløpet av avtaleperioden eller heving av kontrakten. Slik informasjon inkluderer, men er ikke begrenset til kode, driftsdokumentasjon, utredninger og analyser, og data generert av Kundens systemer.