Biztonsági ajánlások kiszervezett informatikai szolgáltatás esetén

A Canadian Cyber Incident Response Centre (CCIRC) által készített ajánlások az informatikai szolgáltatásokat nyújtó cégek (továbbiakban szolgáltatók) két típusára vonatkoznak, az információmenedzsment és információtechnológiai szolgáltatásokat (beleértve a fizikai és virtuális infrastruktúrát) nyújtó MSP-kre (managed service providers), valamint az adatokat elsősorban virtuális környezetben kezelő 'felhő-alapú' (cloud service providers - CSP) szolgáltatókra.

Mielőtt a megrendelők elköteleznék magukat valamely külső IT szolgáltatást nyújtó vállalat és megoldás mellett, célszerű az igénybe vevő szervezetek (továbbiakban: bérlők) számára részletes kockázatelemzést végezniük. Ennek során ajánlott azonosítaniuk a tárolandó adatok érzékenységének és kritikusságának szintjét – biztonsági kategóriákba sorolással –, illetve érdemes figyelembe venni azt is, hogy a választott szolgáltatás(ok) esetében az adatok biztonságát milyen módon biztosítja a szolgáltató, és pontosan ki rendelkezik azokhoz hozzáféréssel. Ezen túlmenően fogalmazzák meg mindazon problémákat, amelyek egy incidens esetén akadályozó tényezőként potenciálisan felmerülhetnek (pl. a szolgáltató munkaidőn kívüli elérhetősége).

A soron következő legjobb gyakorlatok (best practice) követése javasolt a vállalat üzleti érdekeivel összhangban:

  1. Tartsák a szoftvereket naprakészen.
  2. Biztosítsák, hogy a választott MSP/CSP szolgáltatás megfeleljen a vállalat biztonsági, adatvédelmi és jogi követelményeinek.
  3. Fordítsanak figyelmet arra, hogy a választott szolgáltató milyen biztonságmenedzsment keretrendszert implementál, és azt milyen mértékben.
  4. A felhő-alapú szolgáltatások menedzseléséhez követeljék ki az erős jelszavak, titkosított kommunikáció és a többfaktoros autentikáció használatát, valamint alkalmazzák a legkisebb jogosultság elvét.
  5. Fontolják meg a kétfaktoros autentikáció bevezetését és erős jelszavak használatát a teljes szervezetre vonatkozóan, kezdve az admin és kiemelt felhasználói fiókokkal.
  6. Szigorúan csak a felelősségi körön belül adjanak hozzáférést a vállalati rendszerekhez a szolgáltató számára.
  7. Vezessenek be kriptográfiai kontrollokat a bérlő és a szolgáltató rendszerei közötti adatmozgatásokhoz.
  8. Fontolják meg a kritikus információk teljes titkosítását a titkosító kulcsok karbantartásának idejére.
  9. Alkalmazzanak hardware szintű titkosítást az éppen nem használt adatok védelme érdekében.
  10. Rendszeresen monitorozzák a hálózatot gyanús fájlok, kódok, könyvtárak felderítése érdekében. Tervezett időközönként végezzenek auditálást, abban az esetben is, ha ezt a tevékenységet éppen a szolgáltatótól veszik igénybe. 
  11. Auditálják a hálózati működés/szignatúra alapú detektáló eszközök használatát (pl. NeoPI, Yara).
  12. Vizsgálják felül a vállalati asset-eken használt biztonsági szoftvereket. Olyan programokat részesítsenek előnyben, amelyek nem csak a detektálásban, de a helyreállításban is segítségül szolgálnak. Rendszeresen frissítsék az anti-malware programokat és minden letöltésre került futtatható fájlt szkenneljenek.
  13. Biztosítsák, hogy a szolgáltató szabályos időközönként ellenőrzéseket hajtson végre a hálózati és rendszer logokon gyanús nyomok után kutatva, majd ennek eredményéről számoljon is be.
  14. Hozzanak létre adatmentési és helyreállítási tervet, ami legyen elvárás a szolgáltató felé is. Annak érdekében, hogy redukálják az incidensek során esetlegesen fellépő adatvesztésből származó károkat, rendszeresen végezzenek visszaállítási teszteket. A mentéseket lehetőleg tárolják offline módon.
  15. Szerződésben szabályozzák a bérlő adatainak tulajdonjogi helyzetét. A kockázatelemzés részeként el kell végezni a szolgáltatói szerződés és a pénzügyi megvalósíthatóság megfelelő gondosságú felülvizsgálatát a jogi kockázatok és a magántitok sérülékenységének megállapítása érdekében.
  16. Szerződésben kössék ki, hogy bármely kompromittálódott virtuális szerverről másolatot kapjanak annak érdekében, hogy azt forensic vizsgálat alá vethessék.
  17. Derítsék ki, hogy a szolgáltató földrajzilag hol tárolja az adatokat és vizsgálják meg, hogy felmerülhetnek-e jogi akadályok ezzel kapcsolatban.

Az eredeti ajánlás az alábbi hivatkozáson érhető el:
https://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2017/in17-003-en.aspx

További referenciák:

Government of Canada Security Control Profile for Cloud-based GC IT Services
http://www.canada.ca/en/treasury-board-secretariat/services/information-technology/cloud-computing/government-canada-security-control-profile-cloud-based-it-services.html

CSE Information Technology Security Guidance (ITSG) 33 on IT security risk
https://www.cse-cst.gc.ca/en/node/265/html/22814

Contracting Clauses for Telecommunications Equipment and Services 
https://www.cse-cst.gc.ca/en/node/299/html/25729

Australian Signals Directorate: Cloud Computing Security for Tenants
http://asd.gov.au/publications/protect/cloud-security-tenants.htm

NIST Special Publication 800-145: NIST Definition of Cloud Computing
http://dx.doi.org/10.6028/NIST.SP.800-145