Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Da Mærsk blev ramt af det skadelige program NotPetya sidste sommer, skyldtes det en sikkerhedsbrist hos en af koncernens leverandører.
Et ukrainsk softwarehus leverede et program til skatteindberetning til Mærsk. Programmet blev automatisk opdateret, når nye versioner blev udviklet.
Angribere hackede sig ind på softwarehusets systemer og inficerede den nyeste version af programmet. Da den blev distribueret, blev alle kunder inficeret med NotPetya via den automatiske opdatering.
Sikkerhedsbristen lå altså ikke hos Mærsk og de andre kunder, men hos softwarehuset.
Historien viser, at en kæde aldrig er stærkere end det svageste led. I dette tilfælde var det svage led en softwareleverandør.
De fleste organisationer har mindst en leverandør af it-tjenester. Derfor er det ikke nok, at organisationen har styr på sin interne sikkerhed. Den skal også kontrollere sikkerhedsniveauet hos leverandørerne.
Til at hjælpe med den opgave har jeg deltaget i en arbejdsgruppe i Rådet for Digital Sikkerhed, hvor vi har udarbejdet et holdningspapir om leverandørsikkerhed.
Vurder risikoen for hver leverandør
I papiret anbefaler vi, at I begynder med at få et overblik over jeres leverandører.
Det lyder måske enkelt. Men for en større virksomhed kan det være en stor opgave. Det kan vise sig, at den har hundredvis, måske flere tusinde leverandører.
Mængden gør, at det ikke er realistisk at sætte ind over for dem alle. Derfor er næste punkt en risikovurdering.
Her vurderer I, hvilken risiko et brud på sikkerheden hos en leverandør indebærer for jeres organisation.
Når alle jeres leverandører er risikovurderet, er det enkelt at udvælge dem, der udgør den højeste risiko: Her skal I begrænse risikoen.
Skriv sikkerhedskrav i kontrakten
Forholdet til en leverandør er et aftaleforhold. I sidste ende kan parterne altid gå tilbage til kontrakten, hvis de er uenige om noget.
Derfor skal I skrive krav til sikkerheden ind i kontrakten.
Formuler dem så præcist, at de ikke kan misforstås.
Det er en god ide at supplere kravene med en oversigt over, hvad der er jeres ansvar, og hvad leverandøren står for. Her kan I med fordel anvende såkaldte RACI-skemaer (Responsible, Accountable, Consulted, Informed).
Fordelen ved RACI-skemaer er, at de giver et entydigt overblik over roller og ansvar. Dermed ved både kunde og leverandør, hvad der forventes af dem.
GDPR (persondataforordningen) stiller også krav, som kontrakten skal tage højde for. I skal fx bestemme, hvem der er dataansvarlig og databehandler for de behandlinger, kontrakten omfatter.
Opbyg et rammeværk
En kontrakt er uundværlig, men den er ikke et dagligt arbejdsredskab. Så hvordan får man sikkerhed ind i samarbejdet med leverandøren?
Vi foreslår, at I opbygger et rammeværk.
Her skriver I ind, hvordan samarbejdet foregår: Hvem rapporterer hvad til hvem hvornår? Hvor ofte mødes I, og hvordan følger I op på aftaler fra møderne?
Som sikkerhedsansvarlig skal du være opmærksom på, at du ikke er den eneste, der har en dialog med leverandøren. Sørg derfor for at inddrage kontraktafdelingen og dem, der anvender leverandørens it-ydelser.
I skal i fællesskab udvikle en intern strategi for leverandørstyring. Den skal inkludere en strategi for sikkerhed.
Strategien skal være forankret på både det operationelle, det taktiske og det strategiske plan.
Det operationelle plan fokuserer på mål og rapportering – det daglige arbejde.
Det taktiske niveau lægger planer for, hvad det operationelle plan skal udføre. Her kan du og de øvrige ledere udvikle planer for samarbejdet og samle op på elementer fra det operationelle plan.
Det omfatter også sager, som det operationelle plan eskalerer til jer, fordi de ikke kan blive enige med leverandøren.
På det strategiske niveau ser topledelsen på de store linjer i aftalerne – herunder økonomien og visionen for det fremtidige samarbejde.
Topledelsen kommer også på banen, når det taktiske niveau eskalerer sager, det ikke selv kan løse.
Mål og overvåg
For at sikre at leverandøren overholder kontrakten, er det en god ide at måle og overvåge præstationen. Det kan fx ske ved hjælp af målbare indikatorer i form af KPI’er (Key Performance Indicator).
Et eksempel på en KPI kan være, hvor lang tid der går, fra en sårbarhed bliver opdaget, til leverandøren har lukket sikkerhedshullet. Eller om der er foretaget det antal sårbarhedsscanninger, I har aftalt med leverandøren.
Kommuniker løbende
En løbende kommunikation med jeres leverandører er vigtig. Og det stiller krav til begge sider.
Måske har I aftalt, at leverandøren sender jer en rapport om sikkerhedshændelser hver måned.
Men hvis ingen hos jer læser den rapport og reagerer på de punkter, der kræver, at I tager stilling, er den intet værd.
Det er et eksempel på noget helt grundlæggende i samarbejdet om sikkerhed: Det kræver en indsats fra begge sider.
Nogle gange får jeg det indtryk, at kunder tænker: Vi har outsourcet driften, så nu er det ikke længere vores ansvar. Leverandøren må have styr på sikkerheden, det betaler vi dem jo for.
Men den går ikke.
Man kan outsource sin drift, men man kan ikke outsource ansvaret for sikkerheden.
Hvis begge parter er indstillet på at yde noget i samarbejdet, kan resultatet blive en øget sikkerhed.
For leverandøren indebærer det desuden den fordel, at der opbygges en erfaring, som kan udnyttes i samarbejdet med andre kunder.
Tag et kig på holdningspapiret fra Rådet for Digital Sikkerhed – måske kan det inspirere jer til at forbedre sikkerheden i samarbejde med jeres leverandører.
Har vi glemt noget? Så hører jeg gerne fra dig.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.