← Atpakaļ uz Izglītošanos
EDUCATION · SUPPLY CHAIN · TPRM

🔗 Trešo pušu un piegādes ķēžu pārvaldība

Kā pārvaldīt risku, ko ievieš piegādātāji, pakalpojumu sniedzēji un programmatūras atkarības - pēc starptautiskās prakses (ISO 27036, NIST SP 800-161, NIS2, DORA, CRA, SLSA). Piemēri ir izdomāti, paredzēti mācībām.

Kāpēc tas svarīgi

Paplašinātā uzbrukuma virsma - katra trešā puse ievieš risku

Trešo pušu uzbrukuma virsma Organizācija centrā, ap to seši trešo pušu tipi, kuru piekļuve un datu plūsma paplašina riska perimetru. Paplašinātā uzbrukuma virsma Katra puse ar piekļuvi vai datu plūsmu ir daļa no tava riska perimetra TAVA ORGANIZĀCIJA aktīvi · dati · klienti SaaS / mākoņi M365 · CRM · datu glabāšana Atvērtā pirmkoda kods npm · PyPI · atkarības MSP / IT atbalsts attālā privileģēta piekļuve Aparatūra / firmware ražotāji · iekārtas Maksājumi / API partneru integrācijas Apakšuzņēmēji 4th-party (n-tā puse) piekļuve · dati · uzticība Trešās puses risku pārvalda kā SAVU: NIS2 21. panta 2. punkta d) apakšpunkts pieprasa piegādes ķēdes drošību. Ievērojami incidenti: SolarWinds (2020) · Log4Shell (2021) · MOVEit (2023) · XZ Utils backdoor (2024)

Kas ir trešās puses risks

Risks, ko organizācijai rada ārējie piegādātāji, pakalpojumu sniedzēji un programmatūras komponentes ar piekļuvi taviem datiem, sistēmām vai procesiem. Tu paliec atbildīgs par sekām pat tad, ja vainīga ir trešā puse.

Saistītie standarti

ISO/IEC 27036 (piegādātāju attiecību drošība), NIST SP 800-161 (C-SCRM), NIST CSF 2.0 funkcija GOVERN (GV.SC), NIS2 21(2)(d), DORA (finanšu ICT trešās puses), CRA (produktu drošība).

Ceturtās puses risks

Tava piegādātāja piegādātāji (4th/n-tā puse) un koncentrācijas risks (pārāk liela atkarība no viena mākoņa vai pakalpojuma) bieži paliek neredzami, bet var apturēt darbību tāpat kā tiešs incidents.

Trešās puses dzīves cikls

TPRM dzīves cikls ar nepārtrauktu pārvērtēšanu

TPRM dzīves cikls Seši posmi no plānošanas līdz izbeigšanai ar nepārtrauktas pārvērtēšanas cilpu. Trešās puses risku pārvaldības dzīves cikls Shared Assessments / ISO 27036 - riska pārvaldība no iepirkuma līdz izbeigšanai 1 · Plānošana vajadzība, scope kritiskuma tiering kādi dati, kāda piekļuve 2 · Due diligence pirms parakstīšanas SIG, SOC 2, ISO sert. drošības stāvoklis 3 · Līgums DPA (GDPR 28. p.) SLA, right-to-audit incidentu paziņošana 4 · Onboarding least privilege piekļuves provizēšana integrācija, MFA 5 · Monitorings nepārtraukts security ratings periodiska reassess 6 · Izbeigšana piekļuves atsaukšana datu atdošana/dzēšana offboarding periodiska pārvērtēšana (risk-based) Augstāka kritiskuma piegādātājus pārvērtē biežāk; izbeigšana ir tikpat svarīga kā onboarding. Atsauce: Shared Assessments TPRM Framework · ISO/IEC 27036 · NIST SP 800-161

Due diligence pirms līguma

Pirms sadarbības novērtē piegādātāja drošības stāvokli: standartizētas anketas (Shared Assessments SIG), neatkarīgi atzinumi (SOC 2 Type II, ISO 27001 sertifikāts), penetrācijas testu kopsavilkumi un finanšu stabilitāte.

Līguma drošības klauzulas

Datu apstrādes līgums (DPA, GDPR 28. pants), SLA ar drošības mērķiem, tiesības veikt auditu (right-to-audit), incidentu paziņošanas termiņi, apakšapstrādātāju apstiprināšana un datu atdošana/dzēšana izbeidzot.

Nepārtraukts monitorings

Vienreizēja anketa nepietiek - drošības stāvoklis mainās. Lieto security ratings, ievainojamību brīdinājumus, sertifikātu derīguma izsekošanu un risk-based periodisku pārvērtēšanu (jo kritiskāks, jo biežāk).

Tiering un due diligence dziļums

Kritiskuma klasifikācija nosaka pārbaudes dziļumu

Riska klasifikācija Trīs kritiskuma līmeņi (Tier 1-3) ar atbilstošu due diligence dziļumu. Piegādātāju kritiskuma klasifikācija (tiering) Datu jutīgums × piekļuves līmenis × biznesa ietekme → tiers → pārbaudes dziļums LĪMENIS KRITĒRIJI DUE DILIGENCE Tier 1 · Kritisks augsta atkarība grūti aizvietojams · piekļuve sensitīviem/personas datiem · kritiskas sistēmas vai privileģēta piekļuve · dīkstāve apdraud pamatdarbību SOC 2 Type II + on-site audits pen-test kopsavilkums, BCP/DR pārvērtēšana ≥ reizi gadā Tier 2 · Svarīgs ierobežota piekļuve aizvietojams ar pūlēm · ierobežota vai netieša datu piekļuve · svarīgs, bet ne kritisks pakalpojums · mērena biznesa ietekme SIG Core + ISO 27001 sertifikāts security ratings monitorings pārvērtēšana ik 1-2 gadi Tier 3 · Zems nav datu piekļuves viegli aizvietojams · nav piekļuves datiem/sistēmām · standarta, plaši pieejams produkts · minimāla biznesa ietekme SIG Lite / pašnovērtējums pamata līguma klauzulas pārvērtēšana pēc vajadzības

Kāpēc tiering

Visi piegādātāji nav vienlīdz riskanti. Klasifikācija ļauj fokusēt ierobežotos resursus uz kritiskākajiem - dziļa pārbaude tur, kur sekas ir vislielākās, viegla tur, kur risks ir minimāls.

Standartizētas anketas

Shared Assessments SIG (Standardized Information Gathering) - nozares standarta anketa drošības stāvokļa novērtēšanai; SIG Lite zemākam riskam, SIG Core dziļākai pārbaudei. CAIQ (Cloud) mākoņpakalpojumiem.

Neatkarīgi atzinumi

SOC 2 Type II (AICPA) - kontroles efektivitāte laika periodā; ISO/IEC 27001 sertifikāts - ISMS atbilstība; ISAE 3402 starptautiskiem pakalpojumiem. Tie samazina nepieciešamību pēc paša audita.

Software supply chain

Programmatūras piegādes ķēde - uzbrukumi un aizsardzība

Programmatūras piegādes ķēde Izstrādes konveijers ar uzbrukumu punktiem (apakšā) un aizsardzības kontrolēm (augšā). Programmatūras piegādes ķēde Augšā - aizsardzība (SLSA, SBOM); apakšā - uzbrukumu punkti AIZSARDZĪBA SBOM (SPDX/CycloneDX) · SLSA provenance · parakstīšana (Sigstore/cosign) · SCA skenēšana · lockfiles · OpenSSF Scorecard Pirmkods git, izstrādātāji Atkarības npm · PyPI · Maven Build CI/CD konveijers Artefakts attēls · pakotne Deploy reģistrs · prod Kompromitēts uzturētājs / commit (XZ Utils 2024) Typosquatting / dependency confusion ļaunprātīga pakotne Build sistēmas kompromitēšana (SolarWinds 2020) Neparakstīts vai viltots artefakts integritātes trūkums Kompromitēts reģistrs / update (3CX 2023) SLSA (Supply-chain Levels for Software Artifacts) definē build integritātes līmeņus; SBOM dod komponentu caurspīdīgumu (ASV EO 14028).

SBOM - komponentu saraksts

Software Bill of Materials - mašīnlasāms visu programmatūras komponentu un atkarību saraksts (formāti SPDX, CycloneDX). Ļauj ātri noteikt, vai tevi skar jauna ievainojamība (piem., Log4Shell). cyb3r.help: make sbom.

SLSA un parakstīšana

SLSA (OpenSSF) - build integritātes līmeņi ar provenance (izcelsmes pierādījumu). Artefaktu parakstīšana ar Sigstore/cosign ļauj verificēt, ka pakotne nāk no uzticama build un nav viltota.

Atkarību higiēna

Pinning/lockfiles (reproducējami build), SCA skenēšana (OWASP Dependency-Check, pip-audit, Trivy), transitīvo atkarību uzraudzība un OpenSSF Scorecard projekta veselības novērtēšanai pirms ieviešanas.

Standarti un regulējums

Piegādes ķēdes drošības standartu ainava

Standartu ainava Pieci standartu un regulējuma bloki piegādes ķēdes drošībai. Standarti un regulējums Izvēlies pēc mērķa - tie bieži pārklājas un papildina cits citu ISO/IEC 27036 piegādātāju attiecību drošība (4 daļas) 28000 piegādes ķēdes drošības pārvaldība 27001 A.5.19-23 piegādātāju attiecību kontroles NIST SP 800-161 C-SCRM prakses organizācijām CSF 2.0 GV.SC supply chain risk (GOVERN funkcija) SP 800-218 SSDF droša izstrāde (software) ES regulējums NIS2 21(2)(d) piegādes ķēdes drošība (obligāti) DORA ICT trešās puses (finanšu sektors) CRA produktu ar digitālo elementu drošība SW integritāte SLSA build līmeņi + provenance (OpenSSF) SBOM SPDX · CycloneDX (NTIA min. elementi) Scorecard OpenSSF projekta veselības vērtējums Novērtēšana SOC 2 / ISAE 3402 neatkarīgs atzinums Shared Assess. SIG standarta anketa CIS Control 15 service provider management NIS2 prasa piegādes ķēdes drošību kā obligātu pasākumu - pārējie standarti dod tehnisko un metodisko ieviešanu.

NIS2 - juridiskā prasība

NIS2 direktīvas (ES 2022/2555) 21. panta 2. punkta d) apakšpunkts nosaka piegādes ķēdes drošību kā obligātu riska pārvaldības pasākumu, ieskaitot drošības aspektus attiecībās ar tiešajiem piegādātājiem un pakalpojumu sniedzējiem.

ISO 27036 un NIST 800-161

ISO/IEC 27036 dod pārvaldības ietvaru piegādātāju attiecību drošībai; NIST SP 800-161 (C-SCRM) - detalizētas prakses kiberdrošības piegādes ķēdes risku pārvaldībai sistēmu un organizāciju līmenī.

DORA un CRA

DORA reglamentē finanšu sektora ICT trešo pušu risku un kritisko pakalpojumu sniedzēju uzraudzību; Cyber Resilience Act (CRA) uzliek drošības prasības produktu ar digitālo elementu ražotājiem visā ES tirgū.

Praktiskās kontroles

Kontroles trijos slāņos + neredzamie riski

Kontroles slāņi Līgumiskās, tehniskās un organizatoriskās kontroles, kā arī koncentrācijas un ceturtās puses risks. Kontroles un aizsardzība Defense-in-depth: kontroles trijos savstarpēji papildinošos slāņos Līgumiskās pirms un laikā DPA (GDPR 28. p.) SLA + drošības mērķi right-to-audit incidentu paziņošana (termiņi) apakšapstrādātāju apstiprināšana Tehniskās ikdienā least privilege segmentācija MFA + piekļuves žurnāli monitorings SBOM + SCA Zero Trust piekļuvei Organizatoriskās pārvaldība tiering / reģistrs periodiska reassess offboarding process incidentu reaģēšanas plāns 4th-party kartēšana un uzraudzība Neredzamie riski Koncentrācijas risks pārāk liela atkarība no viena mākoņa/pakalpojuma Ceturtās puses risks piegādātāja piegādātāji Gatavība incidentam · piegādātāja incidents = tavs incidents (NIS2 23. p.) · iekļauj piegādātājus IR plānā un mācībās · exit / aizvietošanas plāns Atsauce: CIS Control 15 · ISO 27036 · NIST SP 800-161 · NIS2 21. un 23. pants

Līgums ir pirmā aizsardzības līnija

Drošības prasības jāiestrādā līgumā pirms parakstīšanas - vēlāk tās pievienot ir grūti. Datu apstrādes līgums, SLA ar mērāmiem drošības mērķiem, audita tiesības un skaidri incidentu paziņošanas termiņi.

Tehniskā izolācija

Piešķir piegādātājam tikai nepieciešamo (least privilege), izolē viņa piekļuvi (segmentācija, Zero Trust), pieprasi MFA un žurnalē darbības. Tā ierobežo kaitējumu, ja piegādātājs tiek kompromitēts.

Plāno izeju jau sākumā

Koncentrācijas un ceturtās puses risks prasa exit/aizvietošanas plānu un darbības nepārtrauktības testēšanu. Piegādātāja incidents ir tavs incidents - iekļauj piegādātājus incidentu reaģēšanas plānā un mācībās.