Flere og flere virksomheter velger å sette ut drift av IT og sikkerhet til eksterne leverandører og lever da i den troen om at virksomhetens digitale verdier er i trygge hender. Spesielt gjelder dette om de har valgt en av store nasjonale eller internasjonale aktørene. Men er de trygge? Våre sikkerhetstester viser et sikkerhetsnivå langt under forventning hos flere driftsleverandører.
Når du bruker en driftsleverandør, skal du i utgangspunktet kunne forvente at sikkerheten er ivaretatt på en god måte – det er tross alt noe av det du betaler for.
Likevel – og heldigvis for denne saken – er det flere virksomheter som ber oss om å gjøre en sikkerhetstest (også kjent som penetrasjonstest) av sine driftsleverandører. Våre etiske hackere bruker da samme angrepsteknikk som de ondsinnede hackerne, bare uten å gjøre skade. På den måten avdekker vi sårbarheter og håndterer disse før angriperne gjør det.
Gjentatte ganger finner vi store sikkerhetshull i systemer der driftsleverandørene har ansvar, med full blottlegging av kundens infrastruktur som resultat. Gjennom testene våre har vi også klart å gå fra kundens infrastruktur og videre inn i driftsleverandørens egne systemer. Herfra har vi da sett at vi ville kunnet hacket alle de andre kundene som var driftet fra samme løsning. Så sårbare er systemene.
Det ser ikke ut til å være noen sammenheng mellom type driftsleverandør og hvor flinke de er til å sikre kundenes verdier. Slike funn har vært gjort hos mange driftsleverandører både nasjonalt og internasjonalt, også blant de store aktørene som ellers har stor tillit i det norske markedet. Dette gjelder også de globale skyleverandørene.
En ting er de leverandørene vi får tilgang til. Men i mange tilfeller begrenser driftsleverandøren muligheten for å gjøre uavhengig testing av sikkerhet opp mot dem. Enkelte leverandører reagerer svært negativt når kundene forespør dette, og i noen tilfeller truet med anmeldelse. Kunden har da ikke noe annet valg enn å ta driftsleverandøren på ordet, eller finne en annen leverandør.
De største driftsleverandørene i Norge har tusenvis av kunder. I praksis betyr dette at du som kunde er eksponert for alle de andre kundene sine sårbarheter. Da hjelper det ikke om man selv har gjort alt riktig - angriperen når frem via driftsleverandøren, som må ha tilgang til systemene dine for å levere tjenesten.
Det er mange nylige eksempler på at hackere bruker det svakeste leddet i leverandørkjedene for å nå frem til store virksomheter som ellers har god kontroll på cybersikkerhet. Solarwinds-angrepet i 2020 eksponerte store teknologileverandører og statlige virksomheter via en oppdatering av Solarwinds-produkter. Denne trusselen er også beskrevet som økende i NSMs risikorapport for 2021.
Resultatet kan for eksempel være digital utpressing av hundrevis av hjørnesteinsbedrifter i norsk næringsliv, og igjen utilgjengelige tjenester for deres kunder. Store samfunnsmessige konsekvenser, i tillegg til krise for den enkelte bedrift, med andre ord.
Det er vanskelig å si noe direkte om årsaken til disse utfordringene hos driftsleverandørene. Det er selvfølgelig et kostnadselement. Jo mer segmentering av miljøene til de enkelte kundene, jo mer kompleks blir infrastruktur å drifte for leverandøren med medfølgende økte driftskostnader.
Det som bekymrer oss mest, er at i de tilfeller vi kommer i dialog med driftsleverandørene om resultatet fra testene, viser det seg ofte at driftsleverandørene ikke har vurdert problemstillingen eller ikke har tilstrekkelig kompetanse om sikring av teknologien de benytter.
Ofte vil driftsleverandørene sette søkelys på å tette hullene vi har avdekket i våre tester, i stedet for å vurdere om det finnes svakheter i design og driftsprosedyrer. Resultatet er at våre testere ved neste forsøk finner ett nytt hull.
I skrekkeksempelet ble driftsleverandøren nærmest fornærmet over rapporten vår, og arrogant ba oss om å prøve igjen - “Dette klarer dere ikke to ganger”. Før lunsj dagen etter hadde vi funnet et nytt hull og kunne tatt full kontroll over driftsleverandøren hvis vi ville.
For ordens skyld – vi møter også driftsleverandører som tar sikkerhet svært alvorlig, som er takknemlige for å få konstruktive tilbakemeldinger og utbedrer sårbarheter på en god og effektiv måte. Det er igjen ingen sammenheng mellom leverandørens størrelse og holdningene på dette punktet.
Vår erfaring tilsier altså at det ikke er sammenheng mellom størrelse og anerkjennelsen til driftsleverandøren og deres sikkerhet. Hos mange selskaper ser vi en holdning om at “vi har valgt en anerkjent leverandør, så vi er trygge”. Dette er en farlig strategi.
Situasjonen er heldigvis ikke helsvart. Det er definitivt gode leverandører som oppriktig gjør en god innsats på sikkerhet. Utfordringen er å finne dem.
John-André Bjørkhaug & Vegard Vaage
Netsecurity Red Team
Trenger du bistand til hvordan du best kan vurdere driftsleverandørene dine?