A Canadian Cyber Incident Response Centre (CCIRC) által készített ajánlások az informatikai szolgáltatásokat nyújtó cégek (továbbiakban szolgáltatók) két típusára vonatkoznak, az információmenedzsment és információtechnológiai szolgáltatásokat (beleértve a fizikai és virtuális infrastruktúrát) nyújtó MSP-kre (managed service providers), valamint az adatokat elsősorban virtuális környezetben kezelő ‘felhő-alapú’ (cloud service providers – CSP) szolgáltatókra.
Mielőtt a megrendelők elköteleznék magukat valamely külső IT szolgáltatást nyújtó vállalat és megoldás mellett, célszerű az igénybe vevő szervezetek (továbbiakban: bérlők) számára részletes kockázatelemzést végezniük. Ennek során ajánlott azonosítaniuk a tárolandó adatok érzékenységének és kritikusságának szintjét – biztonsági kategóriákba sorolással –, illetve érdemes figyelembe venni azt is, hogy a választott szolgáltatás(ok) esetében az adatok biztonságát milyen módon biztosítja a szolgáltató, és pontosan ki rendelkezik azokhoz hozzáféréssel. Ezen túlmenően fogalmazzák meg mindazon problémákat, amelyek egy incidens esetén akadályozó tényezőként potenciálisan felmerülhetnek (pl. a szolgáltató munkaidőn kívüli elérhetősége).
A soron következő legjobb gyakorlatok (best practiese) követése javasolt a vállalat üzleti érdekeivel összhangban:
- Tartsák a szoftvereket naprakészen.
- Biztosítsák, hogy a választott MSP/CSP szolgáltatás megfeleljen a vállalat biztonsági, adatvédelmi és jogi követelményeinek.
- Fordítsanak figyelmet arra, hogy a választott szolgáltató milyen biztonságmenedzsment keretrendszert implementál, és azt milyen mértékben.
- A felhő-alapú szolgáltatások menedzseléséhez követeljék ki az erős jelszavak, titkosított kommunikáció és a többfaktoros autentikáció használatát, valamint alkalmazzák a legkisebb jogosultság elvét.
- Fontolják meg a kétfaktoros autentikáció bevezetését és erős jelszavak használatát a teljes szervezetre vonatkozóan, kezdve az admin és kiemelt felhasználói fiókokkal.
- Szigorúan csak a felelősségi körön belül adjanak hozzáférést a vállalati rendszerekhez a szolgáltató számára.
- Vezessenek be kriptográfiai kontrollokat a bérlő és a szolgáltató rendszerei közötti adatmozgatásokhoz.
- Fontolják meg a kritikus információk teljes titkosítását a titkosító kulcsok karbantartásának idejére.
- Alkalmazzanak hardware szintű titkosítást az éppen nem használt adatok védelme érdekében.
- Rendszeresen monitorozzák a hálózatot gyanús fájlok, kódok, könyvtárak felderítése érdekében. Tervezett időközönként végezzenek auditálást, abban az esetben is, ha ezt a tevékenységet éppen a szolgáltatótól veszik igénybe.
- Auditálják a hálózati működés/szignatúra alapú detektáló eszközök használatát (pl. NeoPI, Yara).
- Vizsgálják felül a vállalati asset-eken használt biztonsági szoftvereket. Olyan programokat részesítsenek előnyben, amelyek nem csak a detektálásban, de a helyreállításban is segítségül szolgálnak. Rendszeresen frissítsék az anti-malware programokat és minden letöltésre került futtatható fájlt szkenneljenek.
- Biztosítsák, hogy a szolgáltató szabályos időközönként ellenőrzéseket hajtson végre a hálózati és rendszer logokon gyanús nyomok után kutatva, majd ennek eredményéről számoljon is be.
- Hozzanak létre adatmentési és helyreállítási tervet, ami legyen elvárás a szolgáltató felé is. Annak érdekében, hogy redukálják az incidensek során esetlegesen fellépő adatvesztésből származó károkat, rendszeresen végezzenek visszaállítási teszteket. A mentéseket lehetőleg tárolják offline módon.
- Szerződésben szabályozzák a bérlő adatainak tulajdonjogi helyzetét. A kockázatelemzés részeként el kell végezni a szolgáltatói szerződés és a pénzügyi megvalósíthatóság megfelelő gondosságú felülvizsgálatát a jogi kockázatok és a magántitok sérülékenységének megállapítása érdekében.
- Szerződésben kössék ki, hogy bármely kompromittálódott virtuális szerverről másolatot kapjanak annak érdekében, hogy azt forensic vizsgálat alá vethessék.
- Derítsék ki, hogy a szolgáltató földrajzilag hol tárolja az adatokat és vizsgálják meg, hogy felmerülhetnek-e jogi akadályok ezzel kapcsolatban.
Az eredeti ajánlás az alábbi hivatkozáson érhető el:
https://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2017/in17-003-en.aspx
További referenciák:
Government of Canada Security Control Profile for Cloud-based GC IT Services
http://www.canada.ca/en/treasury-board-secretariat/services/information-technology/cloud-computing/government-canada-security-control-profile-cloud-based-it-services.html
CSE Information Technology Security Guidance (ITSG) 33 on IT security risk
https://www.cse-cst.gc.ca/en/node/265/html/22814
Contracting Clauses for Telecommunications Equipment and Services
https://www.cse-cst.gc.ca/en/node/299/html/25729
Australian Signals Directorate: Cloud Computing Security for Tenants
http://asd.gov.au/publications/protect/cloud-security-tenants.htm
NIST Special Publication 800-145: NIST Definition of Cloud Computing
http://dx.doi.org/10.6028/NIST.SP.800-145
