Skyreisen

Risikoer

Vi har utarbeidet en oversikt over typiske risikoer som man må tenke på ved anskaffelse av skytjenester. Denne oversikten kalles Risikobanken og kan brukes som utgangspunkt når du skal vurdere risiko.

Risikobanken dekker ikke alle relevante risikoer for en virksomhet fordi risiko er individuelt og kontekstuelt. I risikobanken kan det også være risikoer som er uaktuelle for din virksomhet. Hvilke risikoer som egner seg i risikovurderingen, avhenger for eksempel av anskaffelsen, verdivurderingen og trusselbildet til virksomheten.

Risikobanken inneholder 20 risikoer (R1-R20). Den inneholder også forslag til tiltak og krav, men foreløpig kun for enkelte av risikoene. Tiltak og krav er omtalt senere i krav til informasjonssikkerhet.

Risiko_og_kravbank_1.0
xlsx 31.34 KB

Last ned risikobanken eller se trekkspillene nedenfor.

R1 Mangelfull risikostyring av leverandør

Leverandøren har en mangelfull prosess for identifisering, vurdering og håndtering av risiko (for eksempel grunnet mangelfull oppfølging av trusler, sårbarheter eller tiltak). Prosessen må blant annet være gjentakende fordi risiko er dynamisk og endrer seg kontinuerlig. Mangelfull håndtering av risiko kan føre til utilstrekkelig beskyttelse av kundens data og brudd på krav til konfidensialitet, integritet eller tilgjengelighet.

R2 Lock-in

Mangelfull planlegging for avslutning (exit) av avtaleforhold (f.eks. grunnet skifte av leverandør), kan føre til sterke avhengigheter slik at kunden blir "låst" til en leverandør (lock-in). Avslutning av avtaleforhold kan derfor bli svært ressurs- og tidkrevende for kunden, og kan medføre datatap.

R3 Svak nettverkssikkerhet hos leverandør

Leverandøren har ikke etablert tilstrekkelige kontroller for å sikre nettverket (f.eks. kryptering av nettverkstrafikk, brannmurer, segmentering og tilgangskontroll i nettverket). Derfor kan kundedata som overføres via nettverk tappes/avlyttes og endres. Dette gjelder både data som overføres til og fra tjenesten, internt i tjenesten og data som utveksles med andre tjenester f.eks. ved bruk av programmeringsgrensesnitt (API – Application Programming Interface).

R4 Datasentersikkerhet

Leverandørens datasentre har mangelfulle fysiske sikkerhetstiltak. Dette medfører at uvedkommende får fysisk tilgang til data og systemer, eller at systemer feiler ved en uønsket hendelse (f. eks. naturfenomen, strømbrudd, brann eller lignende). Som et resultat kan kundedata komme på avveie, bli utsatt for uautoriserte endringer eller bli utilgjengelige.

R5 Mangelfull beskyttelse av lagret informasjon

Leverandøren har ikke etablert tilstrekkelige kontroller for kryptering av informasjon som er lagret. Det finnes svakheter knyttet til tekniske krypteringsmekanismer som benyttes, eller svake rutiner/prosesser for sikker administrasjon og håndtering av slike mekanismer. Dette kan føre til uautorisert tilgang til kundedata i lagring.

R6 Utilstrekkelig seperasjon mellom kunder

Skytjenester har en leveransemodell der kunder deler infrastrukturen til leverandøren. Dersom leverandøren ikke har etablert tilstrekkelig separasjon mellom kunder kan dette føre til sikkerhetsbrudd. Dette kan for eksempel skje ved at angripere misbruker svake mekanismer for å separere kunder eller at leverandør utfører mangelfull drift av systemene sine. Slike hendelser kan føre til at kundedata kommer på avveie.

R7 Mangelfull sletting av leverandør

Leverandør sletter ikke kundedata på en tilstrekkelig måte. Dette kan gjelde både kundedata som er lagret i tjenesten og kundedata som er lagret på fysisk utstyr som er knyttet til tjenesten. Ved skifte av utstyr eller flytting av kundedata til nytt utstyr kan kundedata være tilgjengelig på gammelt utstyr. Usikker eller ufullstendig sletting av kundedata kan føre til at den kommer på avveie eller gjenskapes av uvedkommende.

R8 Utilgjengelighet grunnet mangler hos leverandør

Leverandøren har ikke etablert tilstrekkelige kontroller og mekanismer for å sikre nødvendig robusthet i tjenesten. Dette fører til at uønskede hendelser som ondsinnede angrep, tekniske feil, menneskelige feil og naturfenomener kan forårsake at tjenesten blir utilgjengelig for kunden.

R9 Leverandørens endringshåndtering

Leverandør har en mangelfull endringsprosess. Dette fører til at det oppstår utilsiktede uønskede hendelser ved endringer på tjenesten. Slike hendelser kan oppstå under utvikling, ved nyanskaffelser eller ved utskiftning av applikasjoner, infrastruktur, nettverk og systemkomponenter. Dette kan føre til en rekke sikkerhetsbrudd som får negative konsekvenser for kunden (for eksempel at kundedata kommer på avveie).

R10 Logging av leverandørens handlinger

Leverandøren kan overlagt eller uforvarende utføre handlinger som skader integriteten til kundens data eller eksponere data for uvedkommende. Dette kan f.eks. skje grunnet inkonsistente databasedumper, tilbakeføring av backup uten å ta hensyn til mellomliggende endringer, kopiering til mindre sikret infrastruktur eller snoking. Dersom leverandøren ikke har etablert tilstrekkelig logging, er ikke leverandøren i stand til å identifisere, analysere, håndtere og forhindre slike hendelser. Dette kan føre til brudd på kundens krav til sikkerhet.

R11 Svakheter i tjenestens tilgangsstyring

Tilgangskontrollen for tjenesten er mangelfull eller har svakheter. Dette kan for eksempel skyldes mangelfull administrasjonsløsning av kundens brukere og deres tilganger, for vide tilgangsrettigheter, eller manglende bruk av flerfaktor-autentisering (ofte forkortet MFA), single sign-on, eksterne identitetstilbydere eller eksterne identhåndteringsløsninger (IdM). Resultatet er uautorisert tilgang til informasjon eller funksjonalitet, som igjen kan medføre brudd på kundens krav til konfidensialitet, integritet eller tilgjengelighet.

R12 Mangelfull sikkerhetsovervåkning hos leverandør

Leverandøren har ikke etablert tilstrekkelig sikkerhetsovervåkning av tjenesten. Derfor er ikke leverandøren i stand til å oppdage og forhindre angrep. Tjenester som eksponeres mot Internett vil være utsatt for angrep og mulige sikkerhetsbrudd. I tillegg vil utro ansatte hos kunden og tjenesteleverandører med de rette tilganger kunne medføre sikkerhetsbrudd. Som et resultat kan mangelfull sikkerhetsovervåkning føre til brudd på kundens krav til konfidensialitet, integritet eller tilgjengelighet.

R13 Landrisiko

Mangelfulle krav til geografisk lokalisering av utstyr og driftspersonale til leverandøren kan føre til brudd på kundens krav til sikkerhet. Nasjonale forhold kan påvirke leverandørens tjenesteleveranse negativt. Eksempler:

  • vertslandet kan ha regler som gir myndigheter tilgang til kundedata
  • nedetid på tjenesten kan forårsakes av lav kvalitet på nasjonal infrastruktur (f.eks. IKT infrastruktur, strøm, transportsystemer)
  • vertslandet kan være spesielt utsatt for angrep på grunn av politisk ustabilitiet eller lav cybersikkerhetstilstand

NSM tilbyr veiledning i vurdering av landrisiko.

R14 Kompetanse hos kunde

Mangelfull kompetanse hos kunden fører til feil. Behov for ny kompetanse vil blant annet avhenge av tjenestemodell. IaaS- og PaaS-tjenester stiller f.eks. større krav til kompetanse enn SaaS-tjenester. Feil kan føre til en rekke hendelser som forårsaker brudd på krav til konfidensialitet, integritet eller tilgjengelighet.

R15 Leverandørstyring

Sikkerheten er ikke sterkere enn det svakeste leddet i en leverandørkjede. Mangelfull leverandøroppfølging av kunden kan medføre at mangler i leveransen ikke oppdages. Slike mangler kan forårsake sikkerhetsbrudd som påvirker kunden negativt. Derfor kan det være viktig at kunden:

  • stiller krav til underleverandører
  • har rett og mulighet til å gjennomføre revisjon av leverandøren
  • får tilgang til relevant sikkerhetsdokumentasjon (f.eks. tredjepartsrevisjoner, styringsdokumenter, penetrasjonstester, sårbarhetskanning, logger og avvik)
  • blir varslet ved hendelser og endringer
R16 Sikkerhetskopiering

Tjenesten tillater ikke kunden å gjennomføre nødvendige sikkerhetskopier av data og/eller egen programvare. Dette kan føre til tap av data. I tilfeller der kunden har behov for egne kopier av data for å møte høye krav til tilgjengelighet, er det viktig at kunden har mulighet til å ta egne sikkerhetskopier. Leverandøren sitt ansvar knyttet til sikkerhetskopi varierer, og derfor er det viktig at kunden vurderer hvem som er ansvarlig for sikkerhetskopi. I noen tilfeller kan ansvaret være delt der leverandøren tar sikkerhetskopi av programvare, mens kunden må ta sikkerhetskopi av data.

R17 Integrasjoner

Tjenester som driftes lokalt er ofte integrert med hverandre. Dersom en eller flere av disse tjenesten flyttes til "skyen" er det ikke sikkert integrasjonene virker slik som de skal. Dette kan f.eks. oppstå på grunn av mangelfull informasjon fra leverandør om endringer av tjenesten. Som et resultat kan tjenesten eller kundedata bli utilgjengelig, og brukerne kan miste tillit til tjenesten.

R18 Pay-as-you-go

Skytjenester er ofte lisensiert slik at kunden må betale for de ressursene som til enhver tid er i bruk. Det kan oppstå hendelser (f.eks. feilkonfigurasjon eller at kunden glemmer å nedskalere kapasitet) som forårsaker uønsket stort ressursbruk. Dette kan føre til økonomiske tap for kunden.

R19 Logging av kundens brukeraktivitet

Leverandøren har ikke implementert tilstrekkelig logging av kundens brukeraktivitet i tjenesten. Det kan hende at tjenesten ikke logger nødvendig brukeraktivitet, at kunden ikke kan få innsyn i slike logger eller at loggene ikke kan sendes til kundens sentrale loggsystem.

R20 Overvåking av kundens brukeraktivitet

Leverandøren er alltid ansvarlige for å monitorere den fysiske infrastrukturen til tjenesten, mens kunden ofte er ansvarlig for monitorering av brukeraktivitet i tjenesten. Dette innebærer for eksempel monitorering av pålogging, tildeling av administratorrettigheter, nedlasting av sensitiv informasjon, slettet data, osv. Mangelfull monitorering av brukeraktivitet kan for eksempel føre til at sikkerhetsbrudd ikke oppdages eller at hendelser ikke kan følges tilstrekkelig opp. Dersom tjenesten ikke kan integreres mot kundens sentrale loggsystem (se R19), er dette en utfordrende risiko å håndtere.

Oppdatert: 15. desember 2021

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord