I dag leser vi om enda en IT leverandør som er utsatt for kryptering. Denne kommer inn på listen sammen med Abacus IT AS, Inventum Øst AS, Nordlo Group Norge og nå altså Nettdrift AS.
Rundt 30 selskaper skal være berørt
Sikre deg bedre med disse leverandørkontrollene.
Du MÅ anta at leverandøren din blir kryptert
Veldig mange kjøper IT som en tjeneste av mange gode årsaker. Dette gjøres av både store og små.
Ikke la tjenesteutsetting bli en sovepute
Alle burde utføre minimum risikovurdering på sine aller viktigste digitaliserte verdier. I dette arbeidet MÅ man anta at tjenesteleverandøren blir utsatt for en slik skadelig hendelse.
Vær veldig bevisst på delt ansvar.
«Gjenoppretting vil ta lang tid, sier daglig leder.»
Med Nordlo rettssaken friskt i minne, der 3 skadelidende selskaper gikk til rettssak grunnet store tap, må selskaper forstå at det er de som blir skadelidende NÅR hendelsen er et faktum.
I Nordlo saken tapte saksøkerne, og måtte i tillegg betale 800.000,- i saksomkostninger. Kunder MÅ forstå alvoret i dette.
Tenk ringvirkningene av en slik hendelse, både for tjenesteleverandøren, men også kundene. Her går det tid og penger til rettssak, saksøkerne taper i tillegg enda mer for dekning av saksomkostninger til saksøkte. Kostnader til gjenoppretting for alle parter er ikke tatt med i disse tallene.
Vil kundene fortsette med samme leverandør etter en slik hendelse og rettssak?
Det er mange SMB bedrifter som kjøper IT tjenester. Det er enkelt å si at de må gjøre risikovurdering og tiltak, men det er som regel gode grunner for at de kjøper nettopp IT tjenester, og det er manglende kompetanse.
ENISA og Ransomware
The European Union Agency for Cybersecurity (ENISA)
ENISA Threat Landscape 2023
Den største digitale trusselen er Ransomware/krypteringsvirus:
Objektive kilder som ENISA viser dette basert på fakta, og alle ser nå at tjenesteleverandørene ikke er noe unntak.
Tjenesteleverandørene MÅ skjerpe seg
I situasjoner som oppstår hos tjenesteleverandørene er det bare tapere. Alle taper business.
Kunder antar at alt er på stell, for bestillerkompetansen kan man som regel ikke anta at er der. Skulle en hendelse skje blir de allikevel skadelidende.
Det må stilles krav til tjenesteleverandørene
ISO 27001 er vel pt det eneste anerkjente, og kjente, rammeverket man kan sertifisere seg på.
ISMS, Information Security Management System. ISO 27001 er todelt, der selve ISO 27001 er for ledelse, mens appendiks A (ISO 27002) er tekniske kontroller. Dette er til dels et stort, omfattende og kostbart rammeverk.
Vi trenger et mindre rammeverk
Selv om ISO 27001 er anerkjent, er det samtidig uoppnåelig for de aller fleste, inkludert tjenesteleverandørene. Derfor må vi jobbe for å etablere et nytt og mindre sett med kontroller for å kunne oppnå en anerkjent sertifisering. Med denne på plass, sammen med bevisstgjøring om denne for alle kunder, vil kravet i markedet presse leverandørene til å adressere dette da det blir en del av konkurransen. Kall det gjerne en ISO 27001 light.
Konklusjon
Alle MÅ anta krypteringsvirus, både kunder og leverandører. Man må bygge sikkerhet for å redusere sannsynlighet (Assume Breach, segmentering, Least Privilege), samtidig som man forbereder seg på at hendelsen blir et faktum. Man må forberede seg på hendelseshåndtering og evne til å gjenopprette raskt. Dette er et ledelsesansvar hos alle foretak, spesielt hos tjenesteleverandørene.
Start med krav til leverandøren
Denne kravlisten kan brukes på eksisterende og potensielle leverandører. Den har til hensikt å kartlegge kvaliteten og sikkerheten, og er brukt i flere tilfeller. Svarene har ofte vært meget bekymringsfulle.
Leave a Reply