Flere og flere virksomheter velger å sette ut drift av IT og sikkerhet til eksterne leverandører og lever da i den troen om at virksomhetens digitale verdier er i trygge hender. Spesielt gjelder dette om de har valgt en av store nasjonale eller internasjonale aktørene. Men er de trygge? Våre sikkerhetstester viser et sikkerhetsnivå langt under forventning hos flere driftsleverandører.
Falsk trygghet
Når du bruker en driftsleverandør, skal du i utgangspunktet kunne forvente at sikkerheten er ivaretatt på en god måte – det er tross alt noe av det du betaler for.
Likevel – og heldigvis for denne saken – er det flere virksomheter som ber oss om å gjøre en sikkerhetstest (også kjent som penetrasjonstest) av sine driftsleverandører. Våre etiske hackere bruker da samme angrepsteknikk som de ondsinnede hackerne, bare uten å gjøre skade. På den måten avdekker vi sårbarheter og håndterer disse før angriperne gjør det.
Store hull hos anerkjente driftsleverandører
Gjentatte ganger finner vi store sikkerhetshull i systemer der driftsleverandørene har ansvar, med full blottlegging av kundens infrastruktur som resultat. Gjennom testene våre har vi også klart å gå fra kundens infrastruktur og videre inn i driftsleverandørens egne systemer. Herfra har vi da sett at vi ville kunnet hacket alle de andre kundene som var driftet fra samme løsning. Så sårbare er systemene.
Det ser ikke ut til å være noen sammenheng mellom type driftsleverandør og hvor flinke de er til å sikre kundenes verdier. Slike funn har vært gjort hos mange driftsleverandører både nasjonalt og internasjonalt, også blant de store aktørene som ellers har stor tillit i det norske markedet. Dette gjelder også de globale skyleverandørene.
Driftsleverandører lar seg ikke sikkerhetsteste
En ting er de leverandørene vi får tilgang til. Men i mange tilfeller begrenser driftsleverandøren muligheten for å gjøre uavhengig testing av sikkerhet opp mot dem. Enkelte leverandører reagerer svært negativt når kundene forespør dette, og i noen tilfeller truet med anmeldelse. Kunden har da ikke noe annet valg enn å ta driftsleverandøren på ordet, eller finne en annen leverandør.
Kunder en del av et nettverk av sårbarheter
De største driftsleverandørene i Norge har tusenvis av kunder. I praksis betyr dette at du som kunde er eksponert for alle de andre kundene sine sårbarheter. Da hjelper det ikke om man selv har gjort alt riktig - angriperen når frem via driftsleverandøren, som må ha tilgang til systemene dine for å levere tjenesten.
Det er mange nylige eksempler på at hackere bruker det svakeste leddet i leverandørkjedene for å nå frem til store virksomheter som ellers har god kontroll på cybersikkerhet. Solarwinds-angrepet i 2020 eksponerte store teknologileverandører og statlige virksomheter via en oppdatering av Solarwinds-produkter. Denne trusselen er også beskrevet som økende i NSMs risikorapport for 2021.
Resultatet kan for eksempel være digital utpressing av hundrevis av hjørnesteinsbedrifter i norsk næringsliv, og igjen utilgjengelige tjenester for deres kunder. Store samfunnsmessige konsekvenser, i tillegg til krise for den enkelte bedrift, med andre ord.
Driftsleverandørene mangler oversikt og kunnskap
Det er vanskelig å si noe direkte om årsaken til disse utfordringene hos driftsleverandørene. Det er selvfølgelig et kostnadselement. Jo mer segmentering av miljøene til de enkelte kundene, jo mer kompleks blir infrastruktur å drifte for leverandøren med medfølgende økte driftskostnader.
Det som bekymrer oss mest, er at i de tilfeller vi kommer i dialog med driftsleverandørene om resultatet fra testene, viser det seg ofte at driftsleverandørene ikke har vurdert problemstillingen eller ikke har tilstrekkelig kompetanse om sikring av teknologien de benytter.
Ofte vil driftsleverandørene sette søkelys på å tette hullene vi har avdekket i våre tester, i stedet for å vurdere om det finnes svakheter i design og driftsprosedyrer. Resultatet er at våre testere ved neste forsøk finner ett nytt hull.
Blir fornærmet over hva vi finner
I skrekkeksempelet ble driftsleverandøren nærmest fornærmet over rapporten vår, og arrogant ba oss om å prøve igjen - “Dette klarer dere ikke to ganger”. Før lunsj dagen etter hadde vi funnet et nytt hull og kunne tatt full kontroll over driftsleverandøren hvis vi ville.
For ordens skyld – vi møter også driftsleverandører som tar sikkerhet svært alvorlig, som er takknemlige for å få konstruktive tilbakemeldinger og utbedrer sårbarheter på en god og effektiv måte. Det er igjen ingen sammenheng mellom leverandørens størrelse og holdningene på dette punktet.
Hvilke spørsmål og krav bør man stille til leverandørene?
Vår erfaring tilsier altså at det ikke er sammenheng mellom størrelse og anerkjennelsen til driftsleverandøren og deres sikkerhet. Hos mange selskaper ser vi en holdning om at “vi har valgt en anerkjent leverandør, så vi er trygge”. Dette er en farlig strategi.
Så hva skal du som kunde gjøre?
- Først og fremst bør sikkerhet være en del av kriteriene når du skal velge driftsleverandør.
- I tillegg anbefaler vi at du ved kontraktsinngåelse stiller direkte krav om sikkerhet i leveransene. Jo mer konkret, jo bedre.
- Spesielt anbefaler vi kontraktsfesting av retten til å gjennomføre sikkerhetstester og sikkerhetsrevisjoner hos driftsleverandøren, samt teknisk infrastruktur som benyttes i leveransen.
- For store driftsleverandører vil det være en utfordring om alle kundene skulle revidere og sikkerhetsteste, så alternativt kan du som kunde kreve at det gjennomføres sikkerhetstester og sikkerhetsrevisjoner av uavhengig tredjepart og at rapporten deles med kunder av leverandøren.
Situasjonen er heldigvis ikke helsvart. Det er definitivt gode leverandører som oppriktig gjør en god innsats på sikkerhet. Utfordringen er å finne dem.
John-André Bjørkhaug & Vegard Vaage
Netsecurity Red Team
Trenger du bistand til hvordan du best kan vurdere driftsleverandørene dine?
