Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Når du tjenesteutsetter til en IT leverandør som leverer IT…..

Hva pokkern skal den der overskriften bety?

Når leverandøren leverer svak IT sikkerhet…… Når noe skjer, vil leverandøren som regel gå fri (les. Nordlo), mens man som sluttkunde sitter med svarteper. Det er derfor meget viktig å kjenne sitt ansvar og ta action.

Her er noen blogger relatert til temaet:

Poenget er at vi i dag er i 2025, og IT omhandler mye mer enn bare IT, da man er koblet til et internett som utgjør stor fare for business. Derfor må sikkerhet være høyt på agendaen, enten man drifter IT løsningene sine selv, eller om man kjøper dette som en tjeneste. Og en tjenesteleverandør må også ha dette høyt på sin agenda.

Alle MÅ anta innbrudd, både dere som kunde, men også dere som er leverandør. Som kunde må man anta at leverandøren får innbrudd, og deretter stille spørsmål relatert til dette, samt kjøre kontroller for å verifisere om ting er på stell.

Hva står i avtale og kontrakt?

Dette er det store spørsmålet. Ofte nevnes ikke sikkerhet i særlig grad, og leveransen vil da typisk handle om en IT leveranse med Tilgjengelighet som hovedtema.

Opplevelser med kunder av samme leverandør

I forbindelse med jobbing sammen med kunder, der 2 av dem er kunde av samme IT leverandør, blir man oppgitt. Det er opprettet egen tenant for hver kunde i Azure, og det er bra. Foran hver løsning er det satt opp egen Next Generation Firewall for økt sikkerhet utover det Microsoft Azure kan tilby. Veldig bra. Det er til og med aktivert dekryptering, også for servere. Veldig bra. Men….

Leverandøren er ikke velvillig til å gi innsyn

Ettersom det er definert en egen brannmur foran kundens tenant, og det er kundens systemer og data som er bak der, etterspurte vi innsyn i brannmuren for å verifisere oppsett, kvalitet og sikkerhet, for kundens del. Sikkerhet er kundens ansvar, så dette var en naturlig ting å spørre om med et oppsett som dette.

Det viste seg å være vanskelig å få tilgang da dette ikke var noe andre etterspurte, og vi fikk først nei, deretter fikk vi beskjed om at det ikke var mulig, og så etter litt forklaring til dem om hvordan dette kunne gjøres fikk vi endelig leserettigheter.

Oppsettet på brannmuren var bra, og legg merke til var…

Oppsettet på brannmuren var overraskende bra, så det ble bare noen få tilbakemeldinger om utbedring. Vi kunne se at reglene nylig var oppdatert, så vi er ganske sikre på at dette hadde blitt optimalisert nettopp i forbindelse med at vi ba om innsyn. Anyway, det ga resultater.

Kunde nummer 2 har enda ikke fått tilgang

Kunde nummer 2 av samme leverandør som jeg jobber med har enda ikke fått tilgang, selv om den ene brannmuren faktisk tilhører kunden selv, men er driftet av leverandøren. De har også servere i Azure på egen tenant hos leverandøren. Det eneste vi har spurt om er leserettigheter for å revidere. Her jobbes det fortsatt med å få tilgang, da man her både snakker om servere med applikasjon og data i Azure, men også en brannmur foran et OT miljø. Det er meget kritikkverdig og alvorlig at leverandøren er problematisk mtp å gi lesetilgang. Det tyder på manglende sikkerhetsforståelse.

Ny revisjon av kunde 1 var frustrerende

I dag gjorde vi ny revisjon av config hos kunde 1, og alt som er satt opp etter første revisjon i november er ille. Her er det tydelig at ting ikke er forberedt for en revisjon, og jeg anbefalte kunden at vi reviderer config minst en gang i måneden for å finne eventuelle svakheter.

Kunden noterte masse saker som skal tas opp med leverandør, som:

  • Utgående regelsett er helt åpent for nye tjenester, og et Assume Breach tankesett er ikke på plass, og en VG test vil feile.
    • Tradisjonelt så tillater en del port 443 mot internett, men her har man konfigurert at servere skal få lov til å kommunisere mot internett på 5000 applikasjoner…. Alldeles krise, og et soleklart bevis på at de ikke kan god sikkerhet.
  • Leverandøren har tatt en sjefsavgjørelse på unntak for dekryptering for flere URL kategorier uten å avstemme dette med kunden.
    • Dette er nå på notatblokka til kunden som vil kreve dette endret.

Oppfordring til alle der ute mtp tjenesteutsetting

Å tjenesteutsette er så mangt.

Man kan kjøpe en SaaS, og man kan kjøpe en “SaaS”, for SaaS er ikke SaaS. Det er forskjell på SaaS og “SaaS”, da noen kaller en gammel ASP løsning fra 90 tallet som nå kjører på en Windows server i Azure for SaaS, fordi nå er det i “skyen”….

Å eie egen IT infrastruktur som man tjenesteutsetter driften av er en annen type tjenesteutsetting.

Å inngå en avtale om at en leverandør flytter alle servere fra eget datasenter til leverandørens skyløsning (gjerne Microsoft Azure) er en annen tjenesteutsetting.

Alle variantene vil kreve forskjellig oppfølging og tiltak. Det er i sistnevnte kategori man i dag har blitt frustrert og ønsker å rope varsku. IKKE ta for gitt at ting blir bra selv om dere tjenesteutsetter. Det man før kunne finjustere og optimalisere er nå i hendene på noen som IKKE jobber for dere, men med dere…

Jeg skal forsette å pushe kunde 2 om å få tilgang slik at vi kan gjøre en revisjon for deres egen sikkerhets del.

, , , , , ,

Posted by:

Gøran Tømte

One response to “Når du tjenesteutsetter til en IT leverandør som leverer IT…..”

  1. Når IT-driftsleverandøren blir som det lukkede restaurantkjøkkenet på 80 tallet. Dere MÅ revidere leverandørene! Her har dere et gratis Excel ark for risikovurdering. – Zero Trust Soldier

    […] https://zerotrustsoldier.com/2025/03/29/nar-du-tjenesteutsetter-til-en-it-leverandor-som-leverer-it/ […]

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading