4 phương pháp hay nhất cho các mối đe dọa của bên thứ ba

Source: https://luatthanhdo.com/tu-van-thu-tuc-cap-giay-chung-nhan-dau-tu

4 phương pháp hay nhất cho các mối đe dọa của bên thứ ba

Đối với tất cả các tài khoản, năm 2020 là một năm đầy thách thức và nó không kém phần thú vị từ góc độ mạng và quyền riêng tư. Nó bắt đầu với lo ngại về một cuộc xâm nhập mạng lớn vào các cơ sở hạ tầng quan trọng của chúng ta. Nhưng điều đó nhanh chóng mờ đi khi đại dịch COVID-19 trở thành tâm điểm. Sự chuyển đổi trên toàn quốc sang làm việc từ xa đã dẫn đến sự gia tăng theo cấp số nhân của các cuộc tấn công lừa đảo và ransomware, cũng như sự gia tăng đáng kể các cuộc xâm nhập quốc gia-nhà nước nhắm vào các tổ chức học thuật, chính phủ và khu vực tư nhân nhằm tìm kiếm thông tin tình báo về các nỗ lực phát triển vắc-xin. Và tất nhiên, ai có thể quên được đêm chung kết không gian mạng của Nga trong năm, hay còn được gọi là vụ hack SolarWinds.

Năm 2020 cũng là năm mà các nhà cung cấp bên thứ ba có một vị trí nổi bật hơn trong ý thức tập thể của chúng tôi. Chúng tôi đã nghe cảnh báo về các lỗ hổng trong chuỗi cung ứng của bên thứ ba kể từ năm 2013 khi một cuộc tấn công xâm nhập nhà thầu điện lạnh bên thứ ba của Target và cho phép những kẻ tấn công tải phần mềm độc hại vào gần như tất cả các máy bán hàng tại Hoa Kỳ của Target, lấy cắp hàng triệu tín dụng. và số thẻ ghi nợ.

Trong một ví dụ khác về lỗ hổng bên thứ ba, người dân và công dân Trung Quốc gần đây đã bị Bộ Tư pháp (DOJ) truy tố vì hành vi hack chuỗi cung ứng thay mặt cho chính phủ Trung Quốc. Theo DOJ, “các tin tặc đã xâm nhập các nhà cung cấp phần mềm và sau đó sửa đổi mã của các nhà cung cấp để tạo điều kiện cho các cuộc xâm nhập sâu hơn nhằm vào khách hàng của các nhà cung cấp phần mềm”. Gần đây hơn, vụ vi phạm SolarWinds đã làm nổi bật sự nguy hiểm của các lỗ hổng trong chuỗi cung ứng của bên thứ ba, khi những kẻ xâm nhập thâm nhập vào hệ thống SolarWinds, đưa “mã độc vào các bản vá của sản phẩm Orion của SolarWinds”.

Tờ Financial Times báo cáo rằng “khi khoảng 18.000 khách hàng của SolarWinds cập nhật phần mềm của họ, họ đã vô tình giới thiệu một cửa sau ẩn”, điều này đã không được phát hiện trong sáu đến chín tháng. Và mặc dù đúng là SolarWinds được cho là đại diện cho sự thất bại của các cơ quan tình báo của chúng tôi trong việc xác định cuộc tấn công, nhưng nguyên nhân gần nhất của cuộc tấn công là một lỗ hổng do việc sử dụng bên thứ ba trong chuỗi cung ứng.

Các nhà cung cấp bên thứ ba

ngày nay đã trở thành một phần không thể thiếu trong nhiều

quy trình kinh doanh của chúng tôi .

Nhưng năm 2020 cũng chứng kiến ​​rất nhiều lỗ hổng bảo mật của bên thứ ba từ góc độ quyền riêng tư. Ví dụ, General Electric (GE) bị vi phạm vào tháng 2 năm 2020 thông qua nhà thầu bên thứ ba là Canon Business Process Services (CBPS), chuyên về các nhiệm vụ nhân sự thuê ngoài như các khoản phải trả, được báo cáo là lộ tiền gửi trực tiếp và các biểu mẫu thuế, bản quét khai sinh giấy chứng nhận và hộ chiếu, lệnh của tòa án và ảnh của bằng lái xe. Và vào tháng 11 năm 2020, nhà cung cấp bên thứ ba có trụ sở tại Tây Ban Nha là Prestige Software, có phần mềm kết nối các trang web đặt phòng trực tuyến như Expedia và Booking.com với các khách sạn, đã rò rỉ nhiều năm Thông tin nhận dạng cá nhân (PII) nhạy cảm về khách của khách sạn và đại lý du lịch.

Năm 2020 lên đến đỉnh điểm với thỏa thuận được đề xuất của FTC với công ty phân tích thế chấp Ascension Data & Analytics có trụ sở tại Texas, phạt Ascension vì đã không giám sát đúng cách các nhà cung cấp bên thứ ba của mình do không đảm bảo rằng họ đã triển khai và duy trì “các biện pháp bảo vệ thích hợp cho thông tin khách hàng”. và không thực hiện các yêu cầu đó theo hợp đồng.

Điểm mấu chốt là các nhà cung cấp bên thứ ba ngày nay đã trở thành một phần không thể thiếu trong nhiều quy trình kinh doanh của chúng tôi. Nhưng với sự phụ thuộc đó, các bên thứ ba này ngày càng gây ra rủi ro từ cả khía cạnh an ninh mạng và quyền riêng tư. Thật vậy, để ghi nhận thực tế này, NIST đã thêm một bộ các biện pháp kiểm soát “Quản lý rủi ro chuỗi cung ứng” vào Khung an ninh mạng của mình vào năm 2018. Và Khung quyền riêng tư của NIST, được ban hành vào tháng 1 năm 2020, cũng giải quyết các rủi ro của bên thứ ba như một phần của rủi ro doanh nghiệp tổng thể. cách tiếp cận quản lý.

Xem xét các cuộc tấn công ransomware. Theo truyền thống, các cuộc tấn công ransomware chỉ giới hạn ở việc lây nhiễm hệ thống, mã hóa dữ liệu và giữ khóa giải mã để đòi tiền chuộc. Đó là một sự cố an ninh mạng. Nhưng vào năm 2020, ransomware đã chuyển đổi sang hình thức khai thác hỗn hợp, với thủ phạm nhúng hai lần, giữ cả khóa giải mã và PII và thông tin độc quyền để đòi tiền chuộc. Nói cách khác, giờ đây nó vừa là một sự cố an ninh mạng vừa là một vi phạm quyền riêng tư. Và trong khi chúng tôi vẫn đang cố gắng xác định chính xác những gì đã được thực hiện trong vụ hack SolarWinds, có nhiều khả năng PII đã bị đánh cắp.

Yêu cầu chắp vá

Ngày nay, các bên thứ ba gây ra các mối nguy hiểm về an ninh mạng và quyền riêng tư càng làm trầm trọng thêm các hướng dẫn rõ ràng và nhất quán quản lý việc giám sát của họ, với một loạt các yêu cầu được đưa ra trong một loạt luật, quy định và khuôn khổ. Ví dụ: có các yêu cầu theo ngành cụ thể đối với các nhà cung cấp bên thứ ba, chẳng hạn như các yêu cầu GLB được đề cập đến trong hành động của FTC chống lại Ascension. Và tất nhiên sau đó là Quy tắc bảo mật và quyền riêng tư theo Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPAA), thông qua Đạo luật HITECH, áp dụng cho các nhà cung cấp bên thứ ba (Hiệp hội kinh doanh) được sử dụng bởi các tổ chức được HIPAA bảo hiểm. Ngoài ra còn có các luật dành riêng cho từng tiểu bang, chẳng hạn như Luật Ngăn chặn Hack và Cải thiện Bảo mật Dữ liệu Điện tử của New York (Đạo luật SHIELD), yêu cầu các tổ chức được bảo hiểm phải chọn “các nhà cung cấp dịch vụ có khả năng duy trì các biện pháp bảo vệ thích hợp và yêu cầu các biện pháp bảo vệ đó theo hợp đồng.”

Tương tự, thời gian gần đây thông qua California Privacy Rights Act (CPRA), được thiết kế để mở rộng trên California Đạo luật Bảo mật Người Tiêu Dùng (CCPA), nhiệm vụ tăng sự tích cực của bên thứ ba - các hoạt động xử lý bên trong nhằm nâng cao chuỗi cung ứng dữ liệu thông qua tăng cường giám sát. Đáng buồn thay, việc vắng mặt có chủ đích trong các yêu cầu mới này là bất kỳ khuyến nghị nào về “ngôn ngữ hợp đồng cụ thể” có thể đảm bảo hành vi có trách nhiệm của các bên thứ ba.

Và Khuôn khổ quyền riêng tư của NIST yêu cầu các hợp đồng với bên thứ ba trong “hệ sinh thái xử lý dữ liệu” đảm bảo các biện pháp thích hợp để đáp ứng nhu cầu của chương trình quyền riêng tư của tổ chức và rằng các bên thứ ba này được “đánh giá thường xuyên bằng cách sử dụng kiểm tra, kết quả thử nghiệm hoặc các các hình thức đánh giá để xác nhận rằng họ đang đáp ứng của họ. . . nghĩa vụ. ”

Tuy nhiên, thực tế mà nói, những yêu cầu này thường rất cao, nếu không muốn nói là mang tính khát vọng, không có chi tiết cần thiết để tạo ra sự thay đổi thực sự, chưa kể đến tính nhất quán. Cách hiệu quả hơn để giải quyết các lỗ hổng bảo mật do các bên thứ ba trình bày từ cả góc độ quyền riêng tư và an ninh mạng là ban hành một bộ tiêu chuẩn chung, nhất quán và mạnh mẽ. Khi xem xét các yêu cầu liên quan đến giám sát và quản lý bên thứ ba từ các luật, quy định và khuôn khổ khác nhau, bốn phương pháp hay nhất trở nên rõ ràng:

1. Thẩm định trong suốt mối quan hệ

Cách duy nhất để tự tin dựa vào bên thứ ba là thông qua đánh giá lại thường xuyên (hàng năm, hoặc ít nhất hai năm một lần), sử dụng cùng một quy trình thẩm định mạnh mẽ được sử dụng khi ban đầu lựa chọn nhà cung cấp đó (trái ngược với phương pháp một-và-làm ). Ronald Reagan gọi điều này là "tin tưởng nhưng phải xác minh", nhưng trong thế giới ngày càng kết nối ngày nay, đây chỉ là lẽ thường. Rốt cuộc, nguồn của nhà cung cấp thay đổi (ví dụ: các bộ phận ban đầu được bảo đảm từ Nam Mỹ chuyển sang có nguồn gốc từ Trung Quốc vì nó rẻ hơn), dòng tiền thay đổi (dẫn đến cắt giảm quy trình bảo mật có khả năng quan trọng trong việc trao hợp đồng ban đầu), đối tác thay đổi , các liên kết đối tác trang web mới được nhúng trên một trang web, có khả năng thu thập dữ liệu khách truy cập và đặt cookie mà không cần biết hoặc không có sự đồng ý, v.v.

Tương tự như vậy, bộ xử lý dữ liệu của bên thứ ba có thể thay đổi dịch vụ lưu trữ hoặc vị trí lưu trữ dữ liệu (được điều chỉnh bởi luật mới và mở ra rủi ro mới), các mối quan hệ chia sẻ dữ liệu của họ có thể phát triển, v.v. Cách duy nhất để đảm bảo rằng chuỗi cung ứng vẫn an toàn và điều đó dữ liệu cá nhân vẫn ở chế độ riêng tư, là để thường xuyên đánh giá lại các nguồn và rủi ro của bên thứ ba.

Thậm chí một hoặc hai năm một lần cũng có thể cải thiện đáng kể tâm lý kiểm tra hộp hiện tại. Rốt cuộc, việc thẩm định và kiểm tra các hoạt động bảo mật của SolarWinds có thể đã xác định được các lỗ hổng sớm hơn, đã có người xem xét. Cụ thể, SolarWinds được sở hữu và điều hành bởi một công ty cổ phần tư nhân tập trung vào việc cắt giảm chi phí, bao gồm giảm hoặc loại bỏ các biện pháp phòng ngừa an ninh quan trọng, đã mất giám đốc điều hành bảo mật chính vì phương pháp tiếp cận an ninh nội bộ được mô tả là “ thảm"Và bị cáo buộc có bảo mật lỏng lẻo đến mức bất kỳ ai cũng có thể" truy cập máy chủ cập nhật của SolarWinds bằng cách sử dụng mật khẩu "solarwinds123." "Nhưng vì không khách hàng nào của SolarWinds có nhiệm vụ phải thực hiện thẩm định sau thỏa thuận ban đầu, nên không ai phát hiện ra lỗ hổng này cho đến khi quá muộn.

2. Xác thực lại tất cả các quyền truy cập bảo mật đáng tin cậy

Nếu nhà cung cấp bên thứ ba có quyền truy cập chuyên biệt vào các hệ thống của tổ chức bạn, điều quan trọng là phải xác thực lại quyền truy cập đó hàng năm, cho dù dịch vụ được cung cấp là phần mềm hay phần cứng hỗ trợ / bảo trì, một trình cắm thêm API (để đặt hàng, vận chuyển, xử lý thẻ tín dụng, v.v. .), dịch vụ lưu trữ hoặc xử lý dữ liệu, v.v. Trong ngữ cảnh này, “quyền truy cập chuyên biệt” có nghĩa là quyền truy cập phá vỡ bảo mật của tổ chức bạn (tường lửa, IDS, thông tin đăng nhập) hoặc được ủy quyền trước để chuyển qua bảo mật của bạn mà không cần xác minh, chẳng hạn như thông qua cổng nhà cung cấp chuyên biệt, truy cập trực tiếp thông qua ngoại lệ tường lửa hoặc thông qua giao diện API đặc biệt. Năm 2019 chỉ dựa vào đảm bảo về các phương pháp bảo mật “Tốt nhất trong lớp” hoặc “Hàng đầu trong ngành”.

Với tư cách là nhân viên quyền tự do dân sự và quyền riêng tư cho Trung tâm Chống Khủng bố Quốc gia, chúng tôi đã có một tiên đề khi nói đến quyền riêng tư và bảo mật: Nếu bạn không thấy bất kỳ sự cố nào, có nghĩa là bạn đang không kiểm tra hoặc bạn đang kiểm tra những thứ sai .

Nếu bạn không thấy bất kỳ sự cố nào, có nghĩa là bạn đang không kiểm tra hoặc bạn đang kiểm tra những thứ sai.

Do đó, bạn sẽ muốn lấy mẫu nhật ký của mình liên quan đến các quyền truy cập đó để đảm bảo rằng bên thứ ba chỉ chạm vào dữ liệu mà họ nên và không truy cập hoặc xóa dữ liệu mà họ không nên. Một phần của quá trình đánh giá hàng năm này cũng nên kết hợp câu hỏi liệu quyền truy cập đặc quyền có còn phù hợp hay không; Không phải là chưa từng có khi mối quan hệ với bên thứ ba kết thúc, nhưng quyền truy cập đặc quyền được cung cấp cho bên thứ ba đó vẫn còn trong hệ thống, tạo ra một lỗ hổng có khả năng không được giám sát.

Tương tự như vậy, hàng năm bạn nên tìm hiểu sâu về các quy trình riêng của nhà cung cấp để giám sát các quyền truy cập đặc quyền của họ vào hệ thống của bạn. Phần đi sâu này sẽ xem xét kỹ lưỡng các hồ sơ chứng minh các cuộc đánh giá / kiểm tra tại chỗ của bên thứ ba về quyền truy cập của họ vào hệ thống của bạn, các tài liệu liên quan đến bảo mật nội bộ hoặc đánh giá tuân thủ về các sự cố do truy cập và hồ sơ chứng minh sự xác nhận của bên thứ ba đối với các quy trình và giao thức bảo mật của họ liên quan đến quyền truy cập đó (tốt nhất là bởi kiểm toán viên an ninh bên ngoài). Nếu bên thứ ba do dự trong việc tiết lộ thông tin tuân thủ hoặc thiếu bằng chứng tài liệu về việc giám sát và giám sát tuân thủ, bạn có thể muốn suy nghĩ lại về quyền truy cập chuyên biệt của bên thứ ba đó ngay bây giờ, thay vì sau khi vi phạm cuối cùng.

3. Quản lý hợp đồng tích cực

Các yêu cầu / cam kết về bảo mật và quyền riêng tư phải được kết hợp rõ ràng vào hợp đồng nhà cung cấp để đảm bảo rằng bên thứ ba tuân thủ các tiêu chuẩn dẫn đến lựa chọn ban đầu của họ, cũng như bất kỳ biện pháp giảm thiểu nào sau đó được đưa ra để giải quyết các vấn đề được phát hiện trong thời gian đáo hạn đánh giá chuyên cần. Thật không may, thường là trường hợp bộ phận pháp lý bị bỏ qua trong giai đoạn xác thực lại, đặc biệt là khi điều khoản gia hạn tự động có hiệu lực. Nhưng như người ta vẫn nói, điều này là khôn ngoan và ngu ngốc. Mặc dù có thể mất nhiều thời gian hơn và phải chịu thêm chi phí pháp lý (cho dù là tư vấn trong nhà hay bên ngoài), việc tích hợp các hạng mục này vào hợp đồng sẽ chứng tỏ là vô giá trong dài hạn; thật,

Tương tự như vậy, các quy chế như Đạo luật SHIELD của New York cũng yêu cầu rõ ràng các yêu cầu đó phải được tích hợp vào hợp đồng. Nếu sau này nhà cung cấp muốn thực hiện các thay đổi ảnh hưởng đến các đại diện mà bạn đã tin cậy, thì họ sẽ cần thông báo cho bạn theo các điều khoản của hợp đồng và có khả năng sửa đổi hợp đồng để thực hiện thay đổi - trái ngược với việc đơn phương thực hiện thay đổi - cung cấp séc và số dư và giúp bạn luôn chủ động kiểm tra các thay đổi quan trọng của bên thứ ba.

4. Trách nhiệm giải trình của C-suite

Cuối cùng, một người nào đó trong tổ chức phải chịu trách nhiệm cuối cùng trong việc giám sát tất cả các mối quan hệ của bên thứ ba; nhà cung cấp chuỗi cung ứng và bộ xử lý dữ liệu, máy chủ lưu trữ và nhà cung cấp lưu trữ. Người này sẽ tiến hành đánh giá thường xuyên và giám sát tuân thủ, cũng như đảm bảo rằng tất cả các tiêu chí được xác định trong quá trình đánh giá quyền truy cập bảo mật sẽ được đưa vào hợp đồng cuối cùng. Tốt nhất, người này sẽ báo cáo với lãnh đạo cấp cao, đảm bảo khả năng hiển thị và trách nhiệm giải trình từ trên xuống. Có lẽ đã đến lúc thêm một chữ C mới vào C-suite, chẳng hạn như Giám đốc giám sát của bên thứ ba hoặc C3POO (đừng nhầm với droid Star Wars).

Điều thú vị là GAO đã đưa ra kết luận tương tự trong báo cáo tháng 12 năm 2020 trước Quốc hội về rủi ro chuỗi cung ứng, lưu ý rằng một trong những “thực tiễn nền tảng” để quản lý rủi ro chuỗi cung ứng đúng cách là thiết lập “giám sát điều hành các hoạt động ICT, bao gồm chỉ định trách nhiệm các hoạt động SCRM [Quản lý rủi ro chuỗi cung ứng] toàn đại lý. ”

C3POO - không nên nhầm lẫn với droid Star Wars - sẽ chi phối tất cả các hợp đồng của bên thứ ba.

Vào cuối ngày, các phương pháp được thảo luận ở trên là lý tưởng và thực tế mà nói, có thể là thách thức đối với mọi công ty trong việc thực hiện mọi yêu cầu, với mọi bên thứ ba, mọi lúc. Rốt cuộc, nếu nó đơn giản và rẻ tiền để làm, chúng ta đã thấy những thay đổi này được thực hiện từ lâu. Trong trường hợp đó - và như đã thảo luận trong Ban quản lý rủi ro chuỗi cung ứng tại Hội nghị thượng đỉnh không gian mạng gần đây của ACC - ưu tiên nên được chỉ định dựa trên mức độ quan trọng của bên thứ ba đối với doanh nghiệp. Bên thứ ba nào có quyền truy cập số lượng lớn PII hoặc PII đặc biệt nhạy cảm? Những bên nào là quan trọng để giữ cho đèn sáng?

Nói một cách thực tế, các giám đốc kinh doanh sẽ phải tìm ra nhà cung cấp bên thứ ba nào để ưu tiên và xem xét kỹ lưỡng và theo thứ tự nào, một công việc rất phù hợp với C3POO mới của chúng tôi. Nhiều khả năng điều này sẽ dựa trên dịch vụ do bên thứ ba cung cấp, rủi ro mà tham nhũng hoặc lợi dụng của bên thứ ba đó gây ra cho tổ chức và thiệt hại tiềm ẩn có thể xảy ra nếu rủi ro đó xảy ra.

Tuy nhiên, điều đã trở nên khá rõ ràng ngày nay là việc chỉ tiến hành thẩm định sau khi ký kết một thỏa thuận mới của bên thứ ba và sau đó để nó trôi qua trong nhiều năm sẽ không còn hoạt động nữa.

Trước nguy cơ gieo rắc sự nhầm lẫn mà tôi đã tìm cách tránh trước đó, tôi thấy cần phải trích dẫn chính droid Star Wars, như C3PO đã nói với R2D2 một cách khôn ngoan, "Bạn biết tốt hơn là tin tưởng một máy tính lạ." Và thực sự, tất cả chúng ta đều vậy.