Peter, Chief Information Security Officer (CISO) på Stockholmsregionens Försäkring AB, och Jonas, VD på Secify, är två framstående profiler inom säkerhetsbranschen. Med mångårig erfarenhet av säkerhetsarbete och en djup förståelse för utmaningarna kring leverantörshantering har de båda etablerat sig som nyckelspelare inom sina respektive områden.
I den här artikeln delar de med sig av sina insikter kring dagens säkerhetsutmaningar, hur organisationer kan hantera komplexiteten i leverantörssamarbeten och vilka strategier som behövs för att framtidssäkra arbetet med informationssäkerhet. Deras samlade erfarenheter ger en unik inblick i hur säkerhetsarbetet kan optimeras i en allt mer digitaliserad och komplex värld.
Hur brukar kravställning mot leverantörer se ut?
Peter: Kunder har historiskt sett varit bristfälliga när det kommer till kravställning inom informationssäkerhet, men alltid haft höga förväntningar på det som levererats. Det är en fråga om beställarkompetens och i avsaknad av sådan har leverantörerna av IT-system, webbtjänster och programvara inte behövt uppfylla dessa krav juridiskt sett. Om man ”undviker” att implementera grundläggande säkerhetsfunktioner, så kortas ju leveranstiden… Även om det är sant, så är det väldigt kortsiktigt tänkt. De flesta leverantörer har som avsikt att finnas länge på en marknad och då måste man inkludera alla delar. Många gånger är det dessutom leverantören som har en bättre beställarkompetens och det är därför viktigt att avsaknad av säkerhetskrav framförs till beställaren i ett tidigt skede.
Vilka frågor bör man ställa?
Peter: Internt hos beställaren behöver man fundera på vilka säkerhetskrav som måste uppfyllas och sen tydligt formulera dessa i text. När det gäller uppföljning av säkerhetskraven behöver man ställa sig frågor såsom; Räcker det att vi som beställare endast skickar ut en checklista med säkerhetsfrågor till leverantören för att styrka huruvida de efterlever lagar och specifika krav för systemet/tjänsten som erbjuds? Hur bör denna checklista vara utformad? Kommer leverantören att förstå frågorna och förstår vi som beställare de inkomna svaren? Vilka ”triggers” ska läggas in i frågebatteriet som innebär att svaren måste följas upp med ett samtal, stickprov eller ett platsbesök? Hur mycket ansvar kan läggas på leverantören att säkerställa regelefterlevnad även för sina eventuella underleverantörer, etc
Hur gör man då med kravställning och uppföljning?
Jonas: Först vill jag säga att jag tycker att det är positivt att denna diskussion landat i olika krav vilket innebär att det är något som måste göras och inte bara bra att ha. Det börjas tas med säkerhetskrav i olika inköpsprocesser på ett sätt som inte varit vanligt tidigare i vissa sektorer. Här ser jag också att mindre organisationer/leverantörer riskerar att tappa affärer då större kunder helt enkelt bara skickar vidare kraven rakt av. Detta tror jag inte är en vettig väg att gå eftersom det blir väldigt mycket krav som kanske inte är relevanta för just den tjänsten eller produkten som köps av kunden.
Sedan behöver det ju också följas upp och det är nästa steg i processen. Hur många leverantörer har man resurser att följa upp kontinuerligt? Och vad ska man fokusera på. Idag ser jag att de flesta uppföljningar är mer utifrån ett stickprov som en check i boxen aktivitet. Har ni ett ISO27001, check. Har ni en kontinuitetsplan, check. Har ni övat den senaste månaden, check. Här tycker jag också att den större frågan är vad detta ger. Det kostar också att genomföra detta kontinuerligt så det är viktigt att vi kan argumentera för dess nytta.
Hur kan de här stickproven se ut?
Peter: Med stickprov menas att leverantören behöver ”bevisa” att kravet uppföljs på något sätt. Det kan till exempel göras genom att skicka in delar av de interna säkerhetsregelverken i form av policyer och riktlinjer, men det skulle i de mer tekniska frågorna även kunna efterfrågas konfigurationsfiler för specifika tredjepartsprodukter som används i systemlösningen alternativt loggdata från en driftsatt systemlösning, etcetera.
En vanlig missuppfattning är att alla produkter från en leverantör som har ett ISO 27000-certifikat automatiskt går att lita på. En del leverantörer använder felaktigt detta som det enda argumentet på assurans. Även om en certifiering av organisationens ledningssystem för informationssäkerhet är mycket positiv och ger goda förutsättningar för en bra leverans, så finns det ofta en historik att ta hänsyn till. De produkter som utvecklats och använts av kunder under flera år blir helt plötsligt inte säkra bara för att leverantören valt att certifiera sig.
Vad är problemen med att jobba med de här stickproven?
Jonas: Jag har själv jobbat med olika former av audits och evalueringar och en sak jag tycker att vi missar här är vad en uppföljning egentligen ger eller bör ge. Check i boxen kring exempelvis olika processer, ledningssystem, policys kan ge en bild av hur mogen organisationen är och vilken tilltro vi kan tillskriva organisationen. Detta brukar man benämna assurans och kan vara ett bra sätt att se hur strukturerad och medveten en organisation är. Jag skulle säga att de allra flesta uppföljningar utgår ifrån detta.
Det man missar i detta är hur de hanterar just er information eller hur de funktionellt skyddar densamma. Om man vill dra det lite längre så kan man säga att det innebär att leverantören skulle behöva bevisa att man verkligen skyddar informationen/systemet eller vad det nu är som innefattas över tid. Exempelvis, hur vet jag att min information inte blandas med era andra kunders, hur vet jag att om ni skulle bli drabbade av ett intrång från en annan av era kunder att det inte får negativa konsekvenser för mig.
Är det rimligt att man ber en leverantör att kontinuerligt visa hur de skyddar informationen?
Jonas: Jag skulle säga att det definitivt är rimligt och att det också kommer bli nödvändigt om inte alla som hanterar leverantörer ska öka sin budget kraftigt för all uppföljning. Värt att säga är att det också finns olika möjligheter att följa sina leverantörers digitala fotavtryck över tid och på så viss ligga steget före innan något händer. Vi har exempelvis sett olika fall där en leverantör kan ha många olika certifieringar och check i boxar där vi upptäckt ganska graverande brister i säkerhetsfunktionerna. Sådan information är viktig att förmedla till leverantörer så de kan bli bättre.
Men tillbaka till grundproblemet, kan vi skapa en säker leveranskedja enbart genom att titta på assuransen. Nej, är mitt svar. Vi måste börja kräva av leverantören att de kan bevisa hur de skyddar informationen över tid. Exempelvis kan ett rimligt krav vara att en gång i månaden bevisa hur man funktionellt skyddar denna. Kommer det att gå på en dag att lösa problemen? Såklart inte, men genom att börja att kräva funktionella bevis tillsammans med assurans så kommer vi att kunna skapa en betydligt mer robust försörjningskedja.
