- Av Nils Roald, norgessjef i Trend Micro
Nyhetene hagler for tiden om PRISM-varsleren Edward Snowden, IT-sikkerhetsteknikeren som forlot jobben sin hos den amerikanske forsvarsentreprenøren Booz Allen Hamilton med "tusenvis" av topphemmelige amerikanske offentlige dokumenter.
For noen er han en helt som avdekker tyrannisk maktmisbruk hos National Security Agency, for andre en forrædersk opprører som har satt sitt lands sikkerhet i fare med sine lekkasjer.
Worst case
Uansett politisk ståsted, når det kommer til datainnbrudd kan det vanskelig bli verre enn dette. Derfor er det på sin plass å minne om sikkerhetsriskene forbundet med å involvere tredjepartsleverandører.
Dagens virksomheter prøver stadig å bli mer fleksible og strømlinjet. Eierne vil ha høyere fortjeneste, skattebetalerne mer for skattepengene, og det betyr ofte at arbeid outsources til spesialiserte tjenesteleverandører eller entreprenører.
Problemet med det er at sensitive kundedata eller bedriftens IP må deles med en tredjepart, og det føyer til et ekstra element av risiko og kompleksitet i bildet.
Ved å utvide egne sikkerhetsrutiner og kontrollere leverandørens, kan man minimere risikoen for datalekkasje, enten det gjelder en utro tjener som i tilfellet Snowden, eller en utilsiktet utlevering eller eksternt databrudd hos en tredjepartsleverandør.
De beste organisasjonene sørger for at både IT-sikkerhetsansvarlige og toppledere i organisasjonen er involvert fra start til slutt når de skal vurdere potensielle eksterne leverandører.
Les også: Den ultimate oppskriften på IT-sikkerhet
Forholdsregler
Det sier seg selv at en ekstern leverandør med tilgang til sensitive data hos kunden sin må ta ekstra forholdsregler for å sikre at alle data lagres forsvarlig på et trygt sted.
De viktigste trinnene for å hindre en innsidejobb à la Snowden er å bestemme nøyaktig hvilket tilgangsnivå en tredjepartsleverandør skal ha, i forhold til den jobben de skal gjøre, og sørge for at de som skal ha oppsyn med kontraktøren har tilstrekkelig kunnskap selv.
Innhenting av vandelsattester fra politiet kan noen ganger være med og avgjøre graden av risiko man utsetter seg for.
Det kan være vanskelig å hindre at IT-administratorer som Snowden forsvinner med bøttevis av sensitive data lagret på minnepinner, men det er mulig å lage regler for eller flagge når store mengder data lastes over på slike enheter.
Ansvar
Selvsagt er en avtale nødvendig, og her må man påse at leverandørens rettigheter og juridiske ansvar kommer klart frem, slik at de både forstår IT-sikkerhetsrutinene og de disiplinære tiltakene som kommer til anvendelse ved datainnbrudd.
Noe av dette er beskrevet i punkt 8 i ISO 17799/27002-standarden. I organisasjoner der man jobber mye med konfidensielle data bør for eksempel fysiske sikkerhetskontroller vurderes som standard for tredjepartsleverandører.
Skulle du allikevel ende opp med en på innsiden som i likhet med Edward Snowden er fast bestemt på å stjele eller lekke data, kan trolig ingen teknisk eller menneskelig kontroll stoppe dem.
Likevel – som sikkerhetsansvarlig kan du stort sett redusere risiko til akseptabelt nivå ved å evaluere kontraktører og tredjepartsleverandører grundig, og deretter underlegge dem streng, policybasert sikkerhetskontroll i samsvar med den privilegerte tilgangen de tross alt får til dine data.
Les også:
SAS lagret ukryptert kredittkortinfo