Сигурност на доставчици и трети страни: как да намалите риска извън вашия периметър

Днес почти няма организация, която да работи сама. SaaS платформи, външни ИТ доставчици, интегратори, счетоводни партньори, call center услуги, логистика, маркетинг системи — всичко това ускорява бизнеса, но разширява и повърхността за атака.

Проблемът е прост: вашата сигурност вече зависи не само от вашите контроли, а и от чуждите.

Защо third-party рискът е труден за управление

Третите страни често имат:

  • достъп до данни;
  • достъп до системи;
  • достъп до интеграции и API;
  • достъп до хора чрез email и процеси;
  • възможност да прехвърлят риска надолу към свои подизпълнители.

Това означава, че инцидент при доставчик може да се превърне във ваш инцидент — технически, правен и репутационен.

Най-честите слабости в управлението на доставчици

1) Всички доставчици се третират еднакво

Не всеки партньор носи еднакъв риск. Фирма за офис консумативи не е същото като доставчик с достъп до CRM, поща или клиентски данни.

Контрол: tiering на доставчиците според достъп, данни и бизнес критичност.

2) Оценката е само при подписване на договора

Рискът не е статичен. Доставчикът може да смени инфраструктура, подизпълнител, процес или контрол.

Контрол: периодичен review, не само onboarding assessment.

3) Липсват минимални договорни изисквания

Без ясни клаузи за сигурност и уведомяване, реакцията при инцидент става трудна и бавна.

Контрол: security requirements, срок за уведомяване при инцидент, право на одит или доказателства за контроли.

4) Не се следят реалните интеграции и достъпи

Понякога организацията има списък на доставчиците, но няма списък кой до какво има достъп.

Контрол: карта на third-party достъпите — акаунти, API ключове, VPN, файлов обмен, данни и среди.

Практична рамка: 5 стъпки за управление на third-party риска

Стъпка 1: Класифицирайте доставчиците по риск

Полезни критерии:

  • имат ли достъп до чувствителни данни;
  • имат ли мрежов или админ достъп;
  • интегрирани ли са с критични системи;
  • спирането им влияе ли на бизнеса;
  • имат ли подизпълнители с достъп до ваши данни.

Примерен модел:

  • Tier 1: критични доставчици с достъп до системи/данни
  • Tier 2: важни доставчици с ограничен достъп
  • Tier 3: нискорискови доставчици без значим достъп

Стъпка 2: Въведете минимални изисквания по tier

За високорисковите доставчици минималният пакет може да включва:

  • MFA за достъп;
  • logging и monitoring;
  • управление на уязвимости;
  • криптиране;
  • сегментация;
  • backup и incident response;
  • процес за управление на подизпълнители.

Стъпка 3: Преглеждайте реалния достъп, не само документите

Важно е не само какво пише в questionnaire-а, а:

  • какви акаунти има доставчикът;
  • има ли shared акаунти;
  • има ли постоянен VPN;
  • има ли API ключове без ротация;
  • има ли достъп до production или само до ограничена среда.

Стъпка 4: Ограничете и контролирайте достъпа

Добри практики:

  • least privilege;
  • временен достъп вместо постоянен;
  • отделни акаунти за доставчици;
  • сегментиране на достъпа;
  • одит на действията;
  • автоматично деактивиране при край на договора или проекта.

Стъпка 5: Подгответе реакция при инцидент на доставчик

Когато доставчик бъде компрометиран, трябва бързо да знаете:

  • какво е засегнато;
  • кои ваши системи и данни са изложени;
  • какви достъпи трябва да се спрат;
  • кой уведомява клиента, ръководството и регулаторите, ако е приложимо.

Въпроси, които си струва да задавате на high-risk доставчици

  • Как защитавате администраторските достъпи?
  • Имате ли MFA и логинг?
  • Как управлявате уязвимости и patching?
  • Какви са сроковете за уведомяване при инцидент?
  • Използвате ли подизпълнители?
  • Как се прекратява достъпът след край на работа?
  • Как доказвате, че контролирате достъпа до клиентски данни?

Чеклист за бърза самооценка

  • Имате ли пълен списък на доставчиците с достъп до системи или данни?
  • Класифицирани ли са по риск?
  • Има ли минимални security изисквания по tier?
  • Картографирани ли са реалните акаунти, API достъпи и интеграции?
  • Ограничен ли е постоянният достъп на доставчици?
  • Има ли формален процес за offboarding?
  • Има ли playbook при инцидент в трета страна?

Заключение

Рискът от трети страни не може да бъде премахнат, но може да бъде управляван много по-добре. Най-важното е да знаете кои доставчици наистина са критични, до какво имат достъп и как ще реагирате, ако точно те станат вход за инцидент.
Inforce Technology може да помогне с third-party risk assessment, класификация на доставчици, преглед на достъпи и интеграции, както и с изграждане на practically usable процес за управление на риска от трети страни.