Pööra tähelepanu tarneahelale
Tarneahela turvariskid ja nende maandamine IT-teenuste ning tarkvara kasutamisel.
Kujutame ette, et sama IT-teenuse tarkvara kasutavad korraga advokaadibüroo, poekett ja ehitusfirma. Selle asemel, et neid eraldi rünnata, võib ründajal olla lihtsam murda sisse tarkvarasse, mida nad kõik kasutavad – ja sealtkaudu saada ligipääs kõigi nende süsteemidele. Seda nimetatakse tarneahelaründeks.
Sellised ründed võivad halvata süsteemide töö, rikkuda andmeid ja lekkida tundlikku infot. Sageli toovad need kaasa nii rahalist kahju kui ka maine kahjustamist.
Kui kasutad mõne teise ettevõtte (ehk kolmanda osapoole) tark- või riistvara, tuleb arvestada, et sellega kaasnevad ka tarneahela turvariskid.
Et riske vähendada, tasub:
- kontrollida, kas teenusepakkujal on tehtud turvaauditid ja kas need katavad ka sinu ettevõtte jaoks olulised teemad;
- sõlmida leping, kus on kirjas näiteks logide haldus, võrkude järelevalve, ligipääsuõiguste jagamine ning võrkude eraldamine (segmenteerimine);
- määrata teenustele ja toodetele konkreetsed turvanõuded ja lisada need lepingusse;
- leppida kokku, kes on kontaktisikud ja kuidas toimib suhtlus probleemide korral;
- kokku leppida, mida tehakse teenusekatkestuse või muu turvajuhtumi puhul;
- küsida regulaarselt teenusepakkujalt ülevaateid süsteemide seire kohta.
Pea meeles!
Kontrolli, kas lepingus sätestatud küberturbenõuetest peetakse kinni ja tee kindlaks, kuidas teenusepakkuja intsidente, haavatavusi, turvapaikasid ja turvanõudeid käsitleb.
Eraldi tähelepanu tasub pöörata tarneahela turvalisusega seotud riskihaldusele. Näiteks tuleb dokumenteerida teenusepakkujad ja määratleda, millised riskid võivad kaasneda kolmanda osapoole tarkvara või riistvara kasutamisega. Riskide vähendamiseks tasub tutvuda Eesti infoturbestandardi (E-ITS) riskihaldusjuhendiga, aga ka standardi rakendamisega laiemalt.
