Året nærmer seg slutten, og beretningen om sikkerhetsåret 2021 skal skrives. For de fleste innen informasjonssikkerhet, så vil 2021 assosieres med Solarwinds-angrepet. Men hvilke endringer førte angrepet med seg? Basert på hva vi i Mnemonic har observert av norske organisasjoners fokusområder, ønsker jeg her å dele noen erfaringer.
Angrepet, som riktignok ble oppdaget på tampen av 2020, er et av de største globale hackerangrepet man har sett med over 100 norske virksomheter rammet. Angrepet belyste hvilken angrepsvektor tredjepartssoftware kan utgjøre, og etter at den innledende stormen hadde roet seg, begynte arbeidet med å forhindre slike tilfeller i fremtiden. For hvordan skal en beskytte seg mot tredjeparter som man ønsker å dele data og tilganger med?
Nærmest over natten opplevde vi et større fokus på kontraktsfesting av sikkerhetstiltak og tilhørende revisjoner. Vi ble møtt med spørsmål om hvordan en skal bedrive effektiv leverandørstyring innen sikkerhet, og hvilke tekniske sikkerhetskrav man bør stille til sine tredjeparter.
Økt modenhet?
Med dette så har man også sett en vridning i leverandøroppfølgingen. Et fast sikkerhetskrav i mange tredjepartskontrakter har vært ISO27001-sertifisering uten å spesifiserer ytterligere sikkerhetskrav. Et økt behov for kontroll på tredjeparter førte også til et økt behov for tilleggskrav, og en oppblomstring av støtteverktøy som i større grad er rettet mot tjenesten som skal leveres.
Rammeverk som er verdt å nevne her er Cloud Security Alliance sin CAIQ, ISAE 3000 og 3402, samt SOC2-revisjoner. Med en slik bukett av ulike rammeverk og tilhørende mulighet for å kunne skreddersy etter egne behov, blir et enkelt krav om ISO27001-sertifisering ofte veid for lett. Et interessant moment i dette er hvor mye enklere det er å være kravstiller enn å være motparten som blir møtt med kravene. Der hvor kravstiller kan liste opp en rekke rammeverk og standarder blir motparten nødt til å bruke en rekke ressursers for å etterleve disse kravene.
En positiv konsekvens av denne dynamikken er at vi ser en fremtvingelse av økt modenhet hos tredjeparter. Dessverre kan dette fort bli en meningsløs øvelse hvis ikke kravene blir ettergått gjennom påfølgende intern- og eksternrevisjoner. Oppfølging av slike revisjoner stiller høyere krav til leverandøroppfølgingen, men sørger også for at man får det sikkerhetsnivået man ønsker.
En ny arvtager?
Når man først snakker utviklingen av sikkerhetsrammeverk i 2021, så er det vanskelig å komme unna NIST 800-53 sitt inntog i Norge. Et flertall av norske virksomheter som har eller ønsker internasjonal ekspansjon, benytter seg stadig oftere av NIST 800-53. Rammeverket har sin største utbredelse i USA, hvor også rammeverket har sin opprinnelse.
Med over 1,100 kontrollere mot ISO27001 sine 114, åpner NIST 800-53 opp for en helt annen skreddersøm enn hva ISO27001 kan tilby. Ulempen NIST800-53 har ved å ikke kunne ha på plass en offisiell sertifiseringsordning erstattes ved at en av de tidligere nevnte rammeverkene benyttes som et komplementær rammeverk for ekstern bruk. Før man begynner å erklære ISO27001 som passé, er det verdt å merke seg at ISO27001 kommer i oppdatert utgave på starten av neste år.
Innenfor sikkerhetsmiljøet har man lenge snakket om at en trenger et storskalaangrep à la Pearl Harbor for å øke sikkerhetsfokuset betraktelig. Om ikke Solarwinds-angrepet kan sammenlignes med Pearl Harbor, så medførte det i hvert fall til et større sikkerhetsfokus.