Anskaffe skytjenester

Leverandøren har en mangelfull prosess for identifisering, vurdering og håndtering av risiko (for eksempel grunnet mangelfull oppfølging av trusler, sårbarheter eller tiltak). Prosessen må blant annet være gjentakende fordi risiko er dynamisk og endrer seg kontinuerlig. Mangelfull håndtering av risiko kan føre til utilstrekkelig beskyttelse av kundens data og brudd på krav til konfidensialitet, integritet eller tilgjengelighet.

Mangelfull planlegging for avslutning (exit) av avtaleforhold (f.eks. grunnet skifte av leverandør), kan føre til sterke avhengigheter slik at kunden blir "låst" til en leverandør (lock-in). Avslutning av avtaleforhold kan derfor bli svært ressurs- og tidkrevende for kunden, og kan medføre datatap.

Leverandøren har ikke etablert tilstrekkelige kontroller for å sikre nettverket (f.eks. kryptering av nettverkstrafikk, brannmurer, segmentering og tilgangskontroll i nettverket). Derfor kan kundedata som overføres via nettverk tappes/avlyttes og endres. Dette gjelder både data som overføres til og fra tjenesten, internt i tjenesten og data som utveksles med andre tjenester f.eks. ved bruk av programmeringsgrensesnitt (API – Application Programming Interface).

Leverandørens datasentre har mangelfulle fysiske sikkerhetstiltak. Dette medfører at uvedkommende får fysisk tilgang til data og systemer, eller at systemer feiler ved en uønsket hendelse (f. eks. naturfenomen, strømbrudd, brann eller lignende). Som et resultat kan kundedata komme på avveie, bli utsatt for uautoriserte endringer eller bli utilgjengelige.

Leverandøren har ikke etablert tilstrekkelige kontroller for kryptering av informasjon som er lagret. Det finnes svakheter knyttet til tekniske krypteringsmekanismer som benyttes, eller svake rutiner/prosesser for sikker administrasjon og håndtering av slike mekanismer. Dette kan føre til uautorisert tilgang til kundedata i lagring.

Skytjenester har en leveransemodell der kunder deler infrastrukturen til leverandøren. Dersom leverandøren ikke har etablert tilstrekkelig separasjon mellom kunder kan dette føre til sikkerhetsbrudd. Dette kan for eksempel skje ved at angripere misbruker svake mekanismer for å separere kunder eller at leverandør utfører mangelfull drift av systemene sine. Slike hendelser kan føre til at kundedata kommer på avveie.

Leverandør sletter ikke kundedata på en tilstrekkelig måte. Dette kan gjelde både kundedata som er lagret i tjenesten og kundedata som er lagret på fysisk utstyr som er knyttet til tjenesten. Ved skifte av utstyr eller flytting av kundedata til nytt utstyr kan kundedata være tilgjengelig på gammelt utstyr. Usikker eller ufullstendig sletting av kundedata kan føre til at den kommer på avveie eller gjenskapes av uvedkommende.

Leverandøren har ikke etablert tilstrekkelige kontroller og mekanismer for å sikre nødvendig robusthet i tjenesten. Dette fører til at uønskede hendelser som ondsinnede angrep, tekniske feil, menneskelige feil og naturfenomener kan forårsake at tjenesten blir utilgjengelig for kunden.

Leverandør har en mangelfull endringsprosess. Dette fører til at det oppstår utilsiktede uønskede hendelser ved endringer på tjenesten. Slike hendelser kan oppstå under utvikling, ved nyanskaffelser eller ved utskiftning av applikasjoner, infrastruktur, nettverk og systemkomponenter. Dette kan føre til en rekke sikkerhetsbrudd som får negative konsekvenser for kunden (for eksempel at kundedata kommer på avveie).

Leverandøren kan overlagt eller uforvarende utføre handlinger som skader integriteten til kundens data eller eksponere data for uvedkommende. Dette kan f.eks. skje grunnet inkonsistente databasedumper, tilbakeføring av backup uten å ta hensyn til mellomliggende endringer, kopiering til mindre sikret infrastruktur eller snoking. Dersom leverandøren ikke har etablert tilstrekkelig logging, er ikke leverandøren i stand til å identifisere, analysere, håndtere og forhindre slike hendelser. Dette kan føre til brudd på kundens krav til sikkerhet.

Tilgangskontrollen for tjenesten er mangelfull eller har svakheter. Dette kan for eksempel skyldes mangelfull administrasjonsløsning av kundens brukere og deres tilganger, for vide tilgangsrettigheter, eller manglende bruk av flerfaktor-autentisering (ofte forkortet MFA), single sign-on, eksterne identitetstilbydere eller eksterne identhåndteringsløsninger (IdM). Resultatet er uautorisert tilgang til informasjon eller funksjonalitet, som igjen kan medføre brudd på kundens krav til konfidensialitet, integritet eller tilgjengelighet.

Leverandøren har ikke etablert tilstrekkelig sikkerhetsovervåkning av tjenesten. Derfor er ikke leverandøren i stand til å oppdage og forhindre angrep. Tjenester som eksponeres mot Internett vil være utsatt for angrep og mulige sikkerhetsbrudd. I tillegg vil utro ansatte hos kunden og tjenesteleverandører med de rette tilganger kunne medføre sikkerhetsbrudd. Som et resultat kan mangelfull sikkerhetsovervåkning føre til brudd på kundens krav til konfidensialitet, integritet eller tilgjengelighet.

Mangelfulle krav til geografisk lokalisering av utstyr og driftspersonale til leverandøren kan føre til brudd på kundens krav til sikkerhet. Nasjonale forhold kan påvirke leverandørens tjenesteleveranse negativt. Eksempler:

• vertslandet kan ha regler som gir myndigheter tilgang til kundedata
• nedetid på tjenesten kan forårsakes av lav kvalitet på nasjonal infrastruktur (f.eks. IKT infrastruktur, strøm, transportsystemer)
• vertslandet kan være spesielt utsatt for angrep på grunn av politisk ustabilitiet eller lav cybersikkerhetstilstand

NSM tilbyr veiledning i vurdering av landrisiko.

Mangelfull kompetanse hos kunden fører til feil. Behov for ny kompetanse vil blant annet avhenge av tjenestemodell. IaaS- og PaaS-tjenester stiller f.eks. større krav til kompetanse enn SaaS-tjenester. Feil kan føre til en rekke hendelser som forårsaker brudd på krav til konfidensialitet, integritet eller tilgjengelighet.

Sikkerheten er ikke sterkere enn det svakeste leddet i en leverandørkjede. Mangelfull leverandøroppfølging av kunden kan medføre at mangler i leveransen ikke oppdages. Slike mangler kan forårsake sikkerhetsbrudd som påvirker kunden negativt. Derfor kan det være viktig at kunden:

• stiller krav til underleverandører
• har rett og mulighet til å gjennomføre revisjon av leverandøren
• får tilgang til relevant sikkerhetsdokumentasjon (f.eks. tredjepartsrevisjoner, styringsdokumenter, penetrasjonstester, sårbarhetskanning, logger og avvik)
• blir varslet ved hendelser og endringer

Tjenesten tillater ikke kunden å gjennomføre nødvendige sikkerhetskopier av data og/eller egen programvare. Dette kan føre til tap av data. I tilfeller der kunden har behov for egne kopier av data for å møte høye krav til tilgjengelighet, er det viktig at kunden har mulighet til å ta egne sikkerhetskopier. Leverandøren sitt ansvar knyttet til sikkerhetskopi varierer, og derfor er det viktig at kunden vurderer hvem som er ansvarlig for sikkerhetskopi. I noen tilfeller kan ansvaret være delt der leverandøren tar sikkerhetskopi av programvare, mens kunden må ta sikkerhetskopi av data.

Tjenester som driftes lokalt er ofte integrert med hverandre. Dersom en eller flere av disse tjenesten flyttes til "skyen" er det ikke sikkert integrasjonene virker slik som de skal. Dette kan f.eks. oppstå på grunn av mangelfull informasjon fra leverandør om endringer av tjenesten. Som et resultat kan tjenesten eller kundedata bli utilgjengelig, og brukerne kan miste tillit til tjenesten.

Skytjenester er ofte lisensiert slik at kunden må betale for de ressursene som til enhver tid er i bruk. Det kan oppstå hendelser (f.eks. feilkonfigurasjon eller at kunden glemmer å nedskalere kapasitet) som forårsaker uønsket stort ressursbruk. Dette kan føre til økonomiske tap for kunden.

Leverandøren har ikke implementert tilstrekkelig logging av kundens brukeraktivitet i tjenesten. Det kan hende at tjenesten ikke logger nødvendig brukeraktivitet, at kunden ikke kan få innsyn i slike logger eller at loggene ikke kan sendes til kundens sentrale loggsystem.

Leverandøren er alltid ansvarlige for å monitorere den fysiske infrastrukturen til tjenesten, mens kunden ofte er ansvarlig for monitorering av brukeraktivitet i tjenesten. Dette innebærer for eksempel monitorering av pålogging, tildeling av administratorrettigheter, nedlasting av sensitiv informasjon, slettet data, osv. Mangelfull monitorering av brukeraktivitet kan for eksempel føre til at sikkerhetsbrudd ikke oppdages eller at hendelser ikke kan følges tilstrekkelig opp. Dersom tjenesten ikke kan integreres mot kundens sentrale loggsystem (se R19), er dette en utfordrende risiko å håndtere.