9 bud på minimumskrav til cybersikkerhed i IT-kontrakter
Artikelserie ‒ fokus på digitalisering: Tænker du cybersikkerhed ind i dine leverandørkontrakter? I dag er stort set alle forretnings- og samfundsmæssige løsninger drevet af software og forbundet til internettet, og det øger sårbarheden og risikoen for cyberangreb. Derudover er langt de fleste virksomheder og myndigheder afhængige af eksterne leverandører til at levere og håndtere deres IT-løsninger. I denne artikel giver vi dig 9 bud på minimumskrav til cybersikkerhed, der bør indgå i dine IT-kontrakter.
Som led i den nationale cyber- og informationssikkerhedsstrategi indføres der skærpede krav til offentlige myndigheder om sikkerheds- og styringsbestemmelser i kontrakter for samfundskritiske it-systemer. Generelt bør alle kontrakter om levering, drift og vedligehold af software-relaterede produkter (fra IoT-devices over AI-software til cloud-løsninger) indeholde minimumskrav til cybersikkerhed.
Nedenfor giver vi et bud på 9 minimumskrav til cybersikkerhed, der bør indgå i alle (eller langt de fleste) IT-kontrakter. En række af kravene fremgår også af eksisterende vejledninger og anbefalinger på området fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. De øvrige krav er udtryk for udbredt best practice på IT-området.
1. Nyeste beskyttelsesforanstaltninger
Kontrakten bør stille krav om, at leverandøren anvender senest opdaterede versioner af relevante beskyttelsesforanstaltninger mod virus- og hacker-angreb, så disse er i overensstemmelse med god IT-skik og best practice i branchen og respekterede standarder og retningslinjer (f.eks. anbefalinger fra NIST eller respekterede leverandører).
Det kan uddybes gennem specifikke krav til f.eks. scanning af softwareleverancer, der kan forhindre udbredelse af malware, kryptering af mails og harddiske, brug af VPN, automatisk opdateret end-point beskyttelse, protokoller til understøttelse af kryptografiske algoritmer, funktionalitet til godkendelse af brugere, firewalls på alle klienter og lignende.
2. Sikkerhed som del af produktets livscyklus
Kontrakten bør stille krav om, at sikkerhed er tænkt ind som en integreret del af hele produktets livscyklus, herunder i relation til kravspecificering, design, udvikling, test, implementering, træning, drift, vedligehold og videreudvikling.
Der kan f.eks. stilles krav om, at leverandøren anvender nyeste operativsystemer, og udskifter operativsystemer, der ikke længere supporteres af producenten. Grunden er, at ældre operativsystemer typisk ikke modtager sikkerhedsopdateringer, når der opdages nye sårbarheder og exploits.
3. Dokumentation
Kontrakten bør stille krav til den sikkerhedsrelaterede dokumentation, der følger med produktet. Det kan f.eks. være dokumentation for:
- alle bruger- og systemkonti i produktet
- beskrivelse af alle porte, tjenester og software, herunder hvordan de konfigureres, deaktiveres, blokeres eller afinstalleres
- oplysninger om korrekt konfiguration og brug af sikkerhedsrelaterede funktionaliteter i produktet
- vejledning til konfiguration af sikkerhedskontroller (f.eks. sikkerhedslogning)
- information om øvrige sikkerhedskontroller (f.eks. antivirus og white-listing).
4. Adgangskontrol
Kontrakten bør stille krav om, at produktet ikke indeholder programmer, der gør det muligt for en ekstern at logge ind på og eventuelt styre de systemer, hvor produktet er installeret, uden kundens kendskab. Det kan f.eks. udmøntes i krav om, at produktet ikke indeholder hard codede brugernavne og kodeord til konti, eller at der ikke er installeret konti, passwords eller nøgler i produktet, som kunden ikke kan ændre, deaktivere eller fjerne. Som en tommelfingeregel bør brugere ikke have administrationsrettigheder med mindre, der er et forretningsmæssigt behov herfor.
5. Løbende test af sikkerhedsniveau
Kontrakten bør stille krav om, at leverandøren ‒ på eget initiativ ‒ løbende tester sikkerhedsniveauet i overensstemmelse med god IT-skik og best practice i branchen. Det kan f.eks. være krav om, at leverandøren regelmæssigt foretager sårbarhedsscanninger, kvalitetssikring (f.eks. analyse af statisk/binær kode) og sikkerhedstests (f.eks. pen-test, fuzz-test og flooding).
6. Patch management
Drifts- og vedligeholdskontrakter bør indeholde krav om, at leverandøren har en dokumenteret patch management proces for regelmæssig opdatering af hardware, software og netværkskomponenter, herunder applikationer, OS, servere, firmware og netværksudstyr, for at imødekomme svagheder i IT-sikkerheden, så systemet ikke kan udnyttes af offentlige tilgængelige exploits. Afhængig af kontrakten kan det også være relevant, at kravet til patch management omfatter en strategi og en proces for håndtering af sikkerhedsopdateringer i tredjeparts software.
7. Håndtering af sikkerhedshændelser
Kontrakten bør stille krav om bistand i tilfælde af sikkerhedsbrud. Disse krav varierer afhængig af, om leverandøren alene stiller et produkt til rådighed eller også udfører drift og vedligehold. Krav til håndtering af sikkerhedshændelse bør dog i alle tilfælde omfatte:
- pligt til at forestå eller bistå med årsagsanalyse (root cause analysis)
- pligt til at give dokumentation og rådgivning om eventuelle sikkerhedsbrister i produktet
- pligt til øjeblikkelig afhjælpning og implementering af workarounds
- pligt til at dele beskrivelser af implicerede systemer og produkter
- pligt til at dele foreløbige og endelige analyser af trusler, sårbarheder og kritikalitet
- pligt til løbende at informere om tiltag, planer, status og pligt til at føre detaljeret log herom.
8. Ansvar for underleverandører
Kontrakten bør stille krav om, at leverandøren hæfter for sine underleverandørers ydelser og produkter på ganske samme måde som for sine egne forhold, herunder i relation til eventuelle krav til softwareudvikling som f.eks. implementering og test af kode.
9. Oplysninger om dataindsamling
Kontrakten bør stille krav om, at leverandøren oplyser og dokumenterer, hvilke dataindsamlingsaktiviteter, der foretages gennem produktet, hvilken data der indsamles, til hvilket formål, og hvor og hvordan data gemmes, bruges, behandles og transmitteres. En generel bestemmelse om dataindsamling skal ses som et supplement til en eventuel specifik regulering af behandling af persondata i en særskilt databehandleraftale mellem kunden og leverandøren.
Den endelige implementering af krav til cybersikkerhed i den enkelte kontrakt bør selvfølgelig afspejle det konkrete produkt og den type kontrakt, der er tale om (f.eks. udvikling eller drift). Derudover vil detaljerede sikkerhedskrav også afhænge af den sektor, man som kunde befinder sig i (f.eks. energi eller transport) og de regulatoriske krav, der gælder for sektoren. De ovenstående 9 minimumskrav er dog udtryk for et sæt gode "allround-krav", der vil være relevante for langt de fleste produkter, kontrakter og sektorer.
Christel Teglers
Director Christel Teglers har bidraget til denne artikel. Christel er specialiseret inden for IT og outsourcing og fokuserer blandt andet på strategisk rådgivning til bestyrelser og ledelser om håndtering af cyberrisici og cyberresilliens og rådgiver om best practices inden for praktisk håndtering af cyberrisici i væsentlige teknologi- og infrastrukturkontrakter.
Christel er medforfatter på et sæt nye anbefalinger vedrørende temaer i en cyberstrategi og konkrete værktøjer til, hvordan topledelsen kan arbejde med at forstå, vurdere og håndtere cyberrisici i en forretningsmæssig kontekst.
Kroman Reumerts ITO-team giver i denne artikelserie løbende vores perspektiv på de mest centrale teknologier, som får eller allerede har væsentlig betydning for vores dagligdag og for danske virksomheder, herunder muligheder, begrænsninger og risici. De næste emner vi vil berøre er:
-
Blockchain
-
Quantum Computing
-
IoT
-
AI/Machine learning
-
Cloud computing
Artiklerne er udarbejdet af vores team af specialister, som rådgiver både danske og udenlandske virksomheder om IT-løsninger samt indkøb, udvikling og vedligeholdelse af kompleks teknologibaseret infrastruktur.
Kontakt
