Krajobraz współczesnych zagrożeń cybernetycznych uległ drastycznej zmianie, a spektakularne incydenty z ostatnich lat brutalnie obnażyły słabość, o której wielu wolało nie myśleć. Ataki na łańcuch dostaw, takie jak kompromitacja oprogramowania SolarWinds czy Kaseya, udowodniły ponad wszelką wątpliwość, że cyberprzestępcy nie muszą już forsować potężnych murów obronnych Twojej korporacji. Znacznie łatwiej jest im wejść tylnymi drzwiami, wykorzystując luki w zabezpieczeniach Twoich partnerów biznesowych, dostawców chmury czy twórców oprogramowania. W erze powszechnego outsourcingu, Twoja organizacja jest dokładnie tak bezpieczna, jak najsłabsze ogniwo w jej łańcuchu dostaw.
Jako menedżerowie odpowiedzialni za bezpieczeństwo stajemy przed potężnym wyzwaniem. Tradycyjne audyty fizyczne (on-site), podczas których można było wejść do serwerowni dostawcy, przejrzeć segregatory z politykami i porozmawiać twarzą w twarz z administratorami, stają się pieśnią przeszłości. Globalizacja usług, praca hybrydowa oraz rosnące koszty delegacji sprawiają, że audyty zdalne stały się nowym standardem branżowym. Jak jednak upewnić się, że to, co dostawca deklaruje po drugiej stronie ekranu lub w kwestionariuszu Excel, pokrywa się z rzeczywistością? Zdalny audyt bezpieczeństwa wymaga zupełnie nowego podejścia, sprytu oraz odpowiedniego przygotowania.
Wszystko zaczyna się na długo przed pierwszym spotkaniem online, a fundamentem całego procesu są solidne ramy prawne i kontraktowe. Największym błędem, jaki można popełnić na początku relacji z dostawcą IT, jest pominięcie w umowie klauzuli „Right to Audit” (prawa do audytu). Bez tego zapisu Twoje możliwości weryfikacji będą zależały wyłącznie od dobrej woli partnera. Dobrze skonstruowana umowa powinna precyzować, jak często możesz przeprowadzać audyty zdalne, w jakim trybie, a także jakie dowody dostawca ma obowiązek przedstawić na Twoje żądanie. Równie istotne jest podpisanie rygorystycznej umowy o zachowaniu poufności (NDA), ponieważ w trakcie weryfikacji będziesz prosić o dostęp do bardzo wrażliwych informacji dotyczących architektury i słabych punktów zewnętrznej firmy.
Kolejnym krokiem w fazie przygotowawczej jest zebranie wstępnych deklaracji. Większość organizacji rozsyła w tym celu opasłe kwestionariusze bezpieczeństwa. Zamiast jednak tworzyć własne, często chaotyczne listy pytań, znacznie mądrzej jest sięgnąć po uznane standardy rynkowe. Dokumenty takie jak Consensus Assessments Initiative Questionnaire (CAIQ) opracowany przez Cloud Security Alliance czy standardowe formaty udostępniane przez organizację Shared Assessments, pozwalają na ustrukturyzowane podejście do tematu. Należy jednak pamiętać o jednej, absolutnie kluczowej zasadzie: wypełniony przez dostawcę kwestionariusz nie jest wynikiem audytu. To zaledwie jego punkt startowy. Traktuj te deklaracje jako obietnice, które w kolejnych krokach poddasz bezlitosnej weryfikacji.
Kiedy masz już w ręku odpowiedzi dostawcy, przechodzisz do fazy białego wywiadu technicznego (OSINT) oraz weryfikacji zewnętrznej powierzchni ataku (External Attack Surface). To fascynujący etap, w którym wcielasz się w rolę cyberprzestępcy szukającego drogi wejścia do infrastruktury Twojego partnera. Zanim w ogóle połączysz się z nim na telekonferencji, wykorzystaj ogólnodostępne narzędzia do prześwietlenia jego domen, certyfikatów SSL oraz otwartych portów. Sprawdź, czy adresy IP należące do dostawcy nie znajdują się na czarnych listach antyspamowych, oraz poszukaj wzmianek o firmie na forach w dark webie. Często okazuje się, że dostawca deklarujący w kwestionariuszu wdrożenie zasady „Zero Trust”, posiada jednocześnie wystawione publicznie do internetu panele logowania do systemów wewnętrznych bez wymuszonego uwierzytelniania wieloskładnikowego (MFA). Wiedza zdobyta w ten sposób będzie Twoją najsilniejszą bronią podczas rozmowy weryfikacyjnej.
Głównym punktem zdalnego audytu jest spotkanie online, nazywane potocznie wywiadem technicznym. Zamiast przepytywać handlowców lub menedżerów wyższego szczebla, zażądaj obecności inżynierów, architektów systemowych lub lokalnego oficera bezpieczeństwa (CISO/BISO). To właśnie z nimi powinieneś prowadzić dialog. Złotą zasadą zdalnych audytów jest przejście od pytań typu „czy posiadacie zabezpieczenia” do żądań „pokażcie mi, jak to działa”. Zamiast pytać o politykę haseł, poproś o udostępnienie ekranu i zademonstrowanie na żywo reguł wymuszających rotację haseł w ich usłudze katalogowej Active Directory. Jeśli dostawca twierdzi, że jego serwery są regularnie skanowane pod kątem podatności, poproś o pokazanie zanonimizowanego fragmentu najnowszego raportu ze skanera oraz – co jeszcze ważniejsze – zgłoszenia w systemie ticketowym (np. w Jirze), które udowodni, że znaleziona podatność została faktycznie załatana w wymaganym czasie.
W trakcie wideokonferencji warto również zastosować metodę audytowania opartą na scenariuszach. Płaskie pytania z check-listy rzadko dają pełen obraz sytuacji. Zamiast tego przedstaw inżynierom konkretny przypadek. Zapytaj ich, jak dokładnie wyglądałby proces reakcji, gdyby w piątek wieczorem wykryto nietypowy ruch wychodzący z serwera, na którym przetwarzane są dane Twojej firmy. Kto otrzymuje powiadomienie z systemu SIEM? Jaki jest gwarantowany czas reakcji zespołu SOC? Jakie kroki podejmą, aby odizolować zagrożenie i jak szybko Ty, jako klient, zostaniesz o tym fakcie poinformowany? Odpowiedzi na te narracyjne pytania brutalnie obnażą ewentualny brak realnych procedur i pozwolą odróżnić firmy z dojrzałą kulturą bezpieczeństwa od tych, które ochronę traktują wyłącznie jako punkt w materiałach marketingowych.
Audyt zdalny to także przegląd dokumentacji, który można zrealizować asynchronicznie po przeprowadzonych rozmowach. Nie musisz czytać każdej strony wielotomowej polityki bezpieczeństwa, ale powinieneś zażądać wglądu w podsumowania zarządcze (Executive Summary) z zewnętrznych testów penetracyjnych prowadzonych przez niezależne laboratoria. Szczególną uwagę zwróć na raporty z certyfikacji, takie jak SOC 2 Type II czy ISO 27001, oraz na daty ich ważności. Pamiętaj jednak, by przeanalizować zakres (scope) tych dokumentów. Często zdarza się, że firma chwali się certyfikatem ISO na swojej stronie internetowej, podczas gdy dotyczy on jedynie wąskiego wycinka jej działalności, który nie ma nic wspólnego z usługą świadczoną na rzecz Twojej organizacji.
Ostatnim, lecz równie istotnym elementem jest sformalizowanie wyników i wyciągnięcie konsekwencji z przeprowadzonych działań. Zdalny audyt kończy się przygotowaniem raportu rozbieżności i ustaleniem planu naprawczego (Remediation Plan). Jeśli dostawca nie spełnia Twoich wymagań w pewnych obszarach, musicie wspólnie wypracować harmonogram wdrażania poprawek, przypisać im odpowiednie priorytety i ustalić datę ponownej weryfikacji.
Zarządzanie ryzykiem w łańcuchu dostaw to proces ciągły. Jednorazowy audyt to zaledwie zdjęcie zrobione w konkretnym momencie. Prawdziwe bezpieczeństwo rodzi się z ciągłego monitorowania, weryfikowania postępów i budowania transparentnych, opartych na twardych dowodach relacji z Twoimi partnerami biznesowymi.
Comments are closed, but trackbacks and pingbacks are open.