NKSC pataria, kaip užtikrinti tinklų ir informacinių sistemų saugumą (TIS) toms organizacijoms, kurios dirba su trečiųjų šalių tiekėjais 

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos, siekdamas padėti įmonėms didinti atsparumą, skelbia rekomendacijas, skirtas organizacijoms, naudojančioms trečiųjų šalių teikiamas informacinių ir ryšių technologijų (IRT) paslaugas. Tokios organizacijos išlieka itin pažeidžiamos, todėl norint apsaugoti tinklų ir informacinių sistemų saugumą (TIS), būtina laikytis aiškiai apibrėžtų vidinių procesų ir teisiškai sutarti dėl paslaugų tiekimo, valdymo bei nutraukimo sąlygų.  

Europos Sąjungos kibernetinio saugumo agentūros (ENISA) metinė ataskaita rodo, kad tiekimo grandinės pažeidžiamumai, susiję su trečiosiomis šalimis ir išorės tiekėjais, išlieka viena didžiausių kibernetinio saugumo grėsmių. Trečiųjų šalių paslaugų tiekėjai dažnai pasižymi žemesne kibernetinio saugumo branda ir atveria galimybes piktavaliams per jų ar subtiekėjų infrastruktūrą įsilaužti net į stipriausią IT infrastruktūrą turinčias organizacijas. 

Siekiant suvaldyti tokias rizikas, būtina taikyti nuoseklius rizikų valdymo procesus ir priemones. Tai apima atidžią partnerių atranką, teisines sutartis, kuriose nustatyti aiškūs saugumo reikalavimai, prieigos prie IT sistemų stebėseną ir kitas kontrolės priemones. 

Pagrindinės NKSC rekomendacijos apima tiekėjų inventorizaciją ir reguliarią jų stebėseną – būtina sudaryti ir nuolat atnaujinti IRT paslaugų tiekėjų bei subtiekėjų sąrašus, prižiūrėti naudojamų technologijų saugumą, procesus ir informacijos apsaugos praktikas, tikrinant jų atitiktį Lietuvos Kibernetinio saugumo įstatymui ir tarptautiniams standartams, tokiems kaip ISO/IEC 27001. 

Sudarant sutartis su tiekėjais, svarbu aiškiai nustatyti kibernetinio saugumo sąlygas: paslaugų kokybės lygį (SLA), incidentų valdymo, reagavimo ir koordinavimo tvarką. Tiekėjai privalo nedelsdami pranešti apie incidentus, pateikti saugumo būklės ataskaitas, sertifikatus bei sudaryti sąlygas auditui. Sutartyse taip pat turi būti numatyti konfidencialumo įsipareigojimai, atsakomybės pasidalijimas ir galimybė nutraukti sutartį esant pažeidimams. 

Griežtai kontroliuojant prieigas, trečiųjų šalių darbuotojams turi būti suteikiamos tik minimalios, laikinos teisės, taikoma daugiafaktorinė autentifikacija (MFA), VPN ir „Zero Trust“ principai, o visi prisijungimai stebimi ir registruojami. Rekomenduojama naudoti SIEM, IDS/IPS, EDR sistemas bei tokius įrankius kaip SecurityScorecard ar BitSight, kurie padeda įvertinti tiekėjų saugumo reputaciją. 

NKSC ragina bent kartą per metus atlikti trečiųjų šalių programinės įrangos saugumo testavimus (SAST/DAST), simuliuoti incidentus ir tikrinti veiklos tęstinumo planus. Pasibaigus bendradarbiavimui, būtina užtikrinti, kad organizacijos duomenys būtų saugiai grąžinti ar sunaikinti, o prieigos panaikintos; svarbu turėti parengtą paslaugų perdavimo planą, fiksuoti išmoktas pamokas ir bent 90 dienų saugoti tiekėjų veiksmų žurnalų įrašus. 

NKSC atkreipia dėmesį, kad trečiųjų šalių kibernetinio saugumo valdymas yra nuolatinis procesas. Šių rekomendacijų taikymas padės organizacijoms iš anksto sumažinti tiekimo grandinės rizikas, sustiprinti atsparumą kibernetinėms grėsmėms bei pasirengti KSRA ir KSĮ reikalavimų laikymuisi.  

Visa  rekomendacijos medžiaga skelbiama NKSC interneto svetainėje čia. 

Bendrai finansuojama Europos Sąjungos lėšomis. Išsakytos nuomonės ir požiūriai yra tik autoriaus (-ių) ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijų centro (ECCC) požiūrį. Europos Sąjunga ir dotaciją teikianti institucija nėra atsakingos už šią informaciją.