Så skyddar du dina outsourcade tillgångar

Idag väljer många företag att lägga ut driften av sina system hos externa leverantörer. Outsourcing i allmänhet, och molntjänster i synnerhet, är attraktiva då dessa i många fall erbjuder en problemfri och kostnadseffektiv drift. Men att lämna ifrån sig data, och i vissa fall hela eller delar av sin kärnverksamhet, till en extern part innebär inte nödvändigtvis att din data är säker. Inte minst har de senaste dagarna påvisat komplexiteten som det innebär att hålla en hög säkerhet genom alla leverantörsled. I det senaste fallet drabbades Coop, Apoteket Hjärtat och hundratals bolag världen över till följd av att angripare utnyttjade en brist i mjukvaran Kaseya VSA, som används av flera Managed Services Providers (MSP) världen över.

Programvaran Kaseya VSA som används för att hantera olika typer av kundsystem behöver betydande privilegier för att fylla sitt syfte för en MSP. Den måste kunna uppdatera maskiner, lägga till användare, lägga till eller ta bort program och säkerhetskopiera all data - men det betyder också att om den har brister, kan utnyttjas för att stjäla information och kryptera data. Det senare har nu skett, vilket bland annat har fått till följd att Coop fått stänga hundratals butiker på obestämd tid.

Det här visar att det är upp till dig att ta ansvar för dina outsourcade tillgångar och säkerställa att de är skyddade i den utsträckning som anses nödvändig. Här är våra tips på förebyggande insatser för att höja säkerheten för din outsourcade information:

Upprätthåll en beredskapsplan

En beredskapsplan underlättar hanteringen av allvarliga säkerhetsbrister och andra incidenter som riskerar att ha påverkan på fortsatt verksamhetsutövande. Dels genom att begränsa skadeverkan, men även genom att utgöra en handlingsplan för att så snabbt som möjligt kunna återgå till normala omständigheter. En sådan plan bör ta höjd för allvarliga säkerhetsbrister i det fall dessa riskerar att påverka upprätthållandet av verksamheten negativt.

Öka kravställningen

Se över dina avtal med dina outsourcingleverantörer i allmänhet och med dina molnleverantörer i synnerhet. Utforma en gemensam långsiktig plan för incidenthantering, revision och policys; Vad händer när en incident inträffar, hur ska den hanteras och vad har leverantören för skyldigheter gentemot dig som kund? Hur ofta ska avtalet följas upp, och vad händer om leverantören har brutit mot det? Är skyldig- respektive rättigheter formaliserade underlättar det hanteringsarbetet om leveransen påverkas av omständigheter som den vi ser i detta nu.

Skapa förutsättningar för flexibla leverantörsbyten

Säkerställ att du kan byta molnleverantör på kort varsel om den råkar ut för intrång eller på något annat sätt inte kan leva upp till de avtalade kraven. Utveckla interna metoder för hur du flyttar dina lösningar till nya servrar så effektivt som möjligt för minimal nedtid. Om avtalet sägs upp är det även viktigt att leverantören inte får behålla någon information. Kravställ att få veta var all information lagras så att du på ett smidigt sätt kan ta bort den om du lämnar leverantören. Säkerställ även att metoderna för borttagning av data är så pass goda att data inte går att återskapas.

Arbeta aktivt med processer för att analysera och hantera risker

Genom att regelbundet analysera risker relaterade till sina tillgångar samt hur de förhåller sig till omvärlden, kan man nå insikt kring vilken riskbild som existerar. Den insikten skapar i sin tur förutsättningar att på ett strukturerat och prioriterat sätt hantera risker. Genom att ha en etablerad struktur för att hantera risker samt sina tillgångar (exempelvis enligt ISO 27001), har man på så vis ett försprång vid omvälvande sårbarheter av det här slaget.

Sammanfattningsvis: ta kontroll över situationen och se till att vara väl förberedd, både inför svallvågor från attacker som den som pågår i skrivande stund, men även inför ännu okända hot.