Inštitúcie verejnej správy podobne ako firmy a organizácie zo súkromného sektora využívajú outsourcing ako jednu zo stratégií boja s chýbajúcimi profesionálmi a nedostatkom finančných prostriedkov pre oblasť informačných a komunikačných technológií. Je ale nákup IT služieb pre zabezpečenie kritických procesov a bezpečnosti organizácie u dodávateľa vždy správnou voľbou?
Outsourcing je v súčasnosti obľúbeným spôsobom optimalizácie nákladov prostredníctvom nákupu služieb, ktorými sa zabezpečujú činnosti nepredstavujúce hlavnú činnosť organizácie. Existuje množstvo funkcií, ktoré je možné zabezpečiť outsourcingom. Organizácia môže takýmto spôsobom obstarávať služby personalistiky, dopravy, upratovacie služby, ale aj IT služby a infraštruktúru. Napriek tomu, že využívanie outsourcingu môže byť veľmi výhodné, môže so sebou priniesť aj množstvo netriviálnych rizík.
Predovšetkým nadmerné outsourcovanie IT služieb či zabezpečovanie informačnej bezpečnosti týmto spôsobom môže pre organizáciu predstavovať novú hrozbu. Odhliadnuc od nutnosti umožnenia prístupu k citlivým a dôležitým informáciám organizácie tretej strane.
Ide o hrozbu zvnútra organizácie, pretože dodávateľ sa de facto stáva súčasťou organizačnej štruktúry. Je preto potrebné vykonávať analýzu rizík spojených s dodávateľmi a implementovať opatrenia na ich minimalizáciu. Predovšetkým umožniť prístup len k takým informáciám, ktoré dodávateľ nevyhnutne potrebuje na vykonávanie obstaraných činností a vykonávať ich monitorovanie a pravidelne preskúmavať prístupové práva na predchádzanie bezpečnostným incidentom, akým je napr. únik informácií.
Hoci je možné outsourcovať prevádzku organizácie, neznamená to ale zbavenie sa zodpovednosti za chod organizácie a ochranu jej dobrého mena prostredníctvom outsourcovania. Tá ostáva vždy na pleciach vedenia.
Outsourcovať je možné používanie a prevádzku hardvéru, softvéru alebo aj samotných služieb. Typickými príkladmi sú prevádzka dátového centra, aplikácie, webovej stránky a služby spojené s bezpečnosťou. V prípade outsourcingu bezpečnosti hovoríme o MSS (Managed Security Services), ktorý predstavuje napr. prevádzku firewallov, monitorovanie sieťovej prevádzky, ochranu pred škodlivým kódom alebo prevádzku virtuálnych privátnych sietí. Existuje viacero dôvodov, prečo sa organizácia rozhodne pre outsourcing. Často nimi sú snaha zamerať sa predovšetkým na hlavný predmet činnosti organizácie a podporné služby outsourcovať, snaha znižovať náklady, prístup k špecializovaným znalostiam, schopnostiam a zdrojom, získanie konkurenčnej výhody a pod.
Úzke prepojenie medzi poskytovateľom a odberateľom outsourcovaných služieb a závislosť na kvalite týchto služieb sú dôvodom, prečo je potrebné posúdiť riziká na technickej, fyzickej či personálnej úrovni, ktoré z takejto spolupráce vyplývajú.
Keďže dodávateľ bude mať prístup do vnútra organizácie, získa tak znalosti o zamestnancoch, infraštruktúre, procesoch, ale aj o zraniteľnostiach v systémoch a opatreniach, ktoré má organizácia implementované. Dodávateľ môže spracúvať a narábať s citlivými informáciami, informačnými systémami a inými aktívami, môže mať prístup k používateľským menám a heslám a tak možnosť pristupovať k veľmi citlivým alebo chráneným informáciám. K takýmto informáciám môžu patriť finančné informácie, firemné e-maily v prípade outsourcovanej správy emailového systému, vyvíjaný špecializovaný softvér, obchodné tajomstvo, duševné vlastníctvo, know-how alebo personálne informácie o zamestnancoch. Útočníci môžu mať snahu získať tieto informácie a použiť ich pre svoj finančný zisk, prípadne ich využiť ako nástroje pre ďalšie útoky, napr. pomocou sociálneho inžinierstva. V kombinácií so zraniteľnosťami v nástrojoch na prácu na diaľku, ktoré sa pri IT outsourcingu často používajú, starými a nepoužívanými používateľskými alebo administrátorskými účtami a chýbajúcim alebo nedostatočným logovaním sa bezpečnostné riziká nutne zvyšujú. Je preto potrebné týmto rizikám pristupovať zodpovedne a bezpečnosť outsourcingu riadiť.
Bezpečnosť outsourcingu
Pre adekvátne zaistenie bezpečnosti outsourcingu je potrebné ho strategicky plánovať, keďže väčšinou sa jedná o dlhodobejšie partnerstvo. Plánovanie musí okrem iného brať do úvahy bezpečnostné aspekty, legislatívne aspekty a bezpečnostnú politiku organizácie. Organizácia získava výhodu šetrenia finančných prostriedkov výmenou za stratu plnej kontroly nad vlastnými dátami a aktívami. Rovnako pri prenose dát medzi odberateľom a dodávateľom, ktorý je pre spoluprácu potrebný, existuje viacero rizík, ktoré je potrebné vziať do úvahy. Často opomínanou hrozbou býva konflikt záujmov dodávateľa. Na jednej strane sa dodávateľ snaží poskytovať služby čo najviac ekonomicky, aby maximalizoval svoj zisk. Na druhej strane objednávateľ očakáva maximálnu kvalitu poskytovaných služieb, efektivitu a ústretový prístup od dodávateľa. Je preto potrebné podpísať dohodu o úrovni poskytovaných služieb (SLA – Service Level Agreement), do ktorej je potrebné zahrnúť aj finančné pokuty za nedodržanie dohody a právo na odstúpenie od dohody v prípade, že nie sú naplnené jej podmienky. Pri príprave zmluvy je potrebné jasne definovať bezpečnostné požiadavky na dodávané systémy a služby. Ako ukazuje prax, tak častým javom býva, že sa na bezpečnosť nemyslí pri príprave zmlúv a ani počas úvodných štádií vývoja systémov. Bezpečnosť je žiaľ až na konci akosi priliepaná a netvorí integrálnu súčasť projektu. Pri tvorení zmlúv s dodávateľmi je potrebné myslieť na platnú legislatívu a štandardy, rovnako je potrebné špecifikovať rozsah prístupu, ktorý organizáciu dodávateľovi umožní.
Ako si zodpovedne vybrať dodávateľa a aké požiadavky by mala na nich organizácia klásť?
Veľkosť dodávateľa môže byť dobrým argumentom pre výber. Na jednej strane menšie spoločnosti majú väčšie riziko insolventnosti, na druhej strane tie väčšie majú veľa klientov a projektov a teda existuje riziko, že objednávateľ nebude pre dodávateľa prioritným klientom. Dodávateľ by mal byť schopný poskytnúť referencie na ním realizované podobné projekty v minulosti. Tu je potrebné myslieť na to, či nehrozí konflikt záujmov pri dodávaní konkurenčným spoločnostiam a na nezávislosť od určitých výrobcov. Referencie na projekty z minulosti je dobré preskúmať a kontaktovať zákazníkov dodávateľa a pokúsiť sa získať informácie o kvalite dodávaných služieb z pohľadu samotného klienta. Organizačná forma dodávateľa by mala byť tiež preskúmaná kvôli jeho spoľahlivosti. Odporúčame tiež preveriť jeho vlastníkov, aby bolo možné vopred odhadnúť sféry vplyvu na dodávateľa. Dobrým argumentov pre výber dodávateľa je aj jeho certifikácia podľa medzinárodne uznávaných štandardov ako napr. ISO 9001, ISO 27001, či iných. Nemenej dôležité sú požiadavky na samotných zamestnancov dodávateľa. Prvoradá by mala byť ich kvalifikácia, ktorú je potrebné doložiť príslušnými certifikátmi a skúsenosťami s projektmi podobného zamerania ako ten, ktorý bude implementovaný. Rovnako dôležitý je počet zamestnancov vyhradených pre projekt a ich pracovná doba. Je tiež potrebné preskúmať, či dodávateľ implementoval proces preverovania svojich zamestnancov.
Prijatie rozhodnutia outsourcovať nejakú službu alebo celý informačný systém často podporuje predpoklad šetrenia finančných prostriedkov. Je ale cena za outsourcing daná len výškou faktúry od dodávateľa? Pred samotným podpísaním zmluvy je potrebné spraviť analýzu rizík a posúdiť, či cena za dodatočné bezpečnostné riziká a implementáciu opatrení na ich zmiernenie nakoniec nepredraží projekt. Keď otvoríme svoju sieť zamestnancom dodávateľa, čo je potrebné spraviť vo vnútri našej organizácie, aby sme adekvátne ochránili naše dáta? Dodržiava dodávateľ aspoň také bezpečnostné štandardy ako my? Odporúčame pozrieť sa na aktíva organizácie, ku ktorým budú mať zamestnanci dodávateľa prístup a zhodnotiť, aká je hodnota daného aktíva a aké sú náklady na jeho údržbu. Rovnako je potrebné odhadnúť riziká súvisiace s daným aktívom a náklady spojené so zabezpečením jeho bezpečnosti, náklady spojené s potenciálnym narušením jeho bezpečnosti, jeho funkcie a potrebu redundancie daného aktíva. Až po zarátaní všetkých týchto dodatočných nákladov je možné odhadnúť reálnu cenu outsourcingu.
Outsourcing bezpečnosti
Čo v prípade outsourcovania samotnej bezpečnosti informačných systémov? Ako už bolo spomenuté vyššie, je možné outsourcovať dodávanie služieb a produktov na zaistenie informačnej bezpečnosti. Nie je však možné outsourcovať zodpovednosť za to, že bezpečnostné mechanizmy zlyhajú a organizácia bude prepieraná v médiách za únik osobných údajov či iných citlivých dát a zároveň jej dobré meno utrpí natoľko, že nebude schopná získavať nových zákazníkov a udržať si starých. Nakoniec bude prinútená z trhu odísť, pretože nebude schopná konkurencie. Organizácie, ktoré majú záujem outsourcovať niektoré procesy informačnej bezpečnosti si musia byť vedomé potenciálnych dopadov.
Dôvodov pre outsourcing niektorej oblasti informačnej bezpečnosti môže byť viacero. Napríklad organizácii môže chýbať kapacita na riešenie niektorých špecializovaných úloh a náklady na obsadenie takejto pozície by zaťažili rozpočet. Ako príklad môže slúžiť forenzná analýza alebo penetračné testovanie. Zamestnávať odborníkov na tieto činnosti na plný úväzok by mohlo byť finančne veľmi nákladné, najmä preto, že kybernetické útoky proti jednej organizácii sa nestávajú tak často, aby sa to organizácií oplatilo. V tomto prípade je využitie outsourcingu dobrý nápad, pretože dodávateľ služieb pravdepodobne disponuje radom odborníkov, ktorí sú na tieto činnosti odborne pripravení a vďaka väčšiemu počtu zákazníkov majú mnoho skúseností, disponujú špecializovaným hardvérom a softvérom, nástrojmi a znalosťami aktuálnych zraniteľností a hrozieb. Problémom v tomto prípade môže byť schopnosť posúdiť ich znalosti a odbornú spôsobilosť, keďže väčšinou ide o vysoko špecializované činnosti. V prípadoch, keď je to možné odporúčame využívať služby iných organizácií verejnej správy, ktoré sú na takúto činnosť špecializované a svoje služby poskytujú iným štátnym inštitúciám bezodplatne.
Pre aké oblasti informačnej bezpečnosti už ale využitie outsourcingu taký dobrý nápad nie je? Funkcie spojené s riadením informačnej bezpečnosti (governance), riadením rizík a zabezpečením súladu predstavujú kľúčové procesy v informačnej bezpečnosti. Je preto na mieste mať tieto procesy pod kontrolou. Vo všeobecnosti možno povedať, že outsourcovanie zlyháva v tých oblastiach informačnej bezpečnosti, kde nie je možné monitorovať a merať efektivitu outsourcovaných činností, ale aj v prípadoch, kedy sú citlivé dáta spracúvané mimo kontroly organizácie, a hlavne keď jediným cieľom outsourcingu je šetrenie finančných prostriedkov – často na úkor kvality poskytovaných služieb.
K jedným z najzávažnejších rizík outsourcingu bezpečnosti patrí umožnenie prístupu k interným či citlivým informáciám dodávateľovi. V takejto situácii je potrebné s dodávateľom uzavrieť dohodu o mlčanlivosti, tzv. NDA (non-disclosure agreement), ktorá zabráni dodávateľovi používať informácie iným spôsobom ako je dohodnuté. V prípade úniku informácií môže organizácia spraviť už len málo. Je preto potrebné posúdiť hodnotu informácií, ku ktorým má dodávateľ mať prístup, a do NDA zahrnúť aj adekvátne vysoké pokuty za porušenie tejto dohody.
Opatrenia na zmiernenie rizík spojených s outsourcingom
Riziká vyplývajúce z outsourcingu služieb spojených s informačnými a komunikačnými technológiami a ich bezpečnosťou je možné zmierniť implementáciou vhodných bezpečnostných opatrení. Výber týchto opatrení musí byť podporený predchádzajúcim vykonaním analýzy rizík. Prvým krokom je identifikácia, klasifikácia a ohodnotenie informácií, ku ktorým bude mať dodávateľ prístup. Na predchádzanie úniku informácií je potrebné uzavrieť NDA, kde bude špecifikované trvanie mlčanlivosti o zistených informáciách – pri istých typoch informácií to môže byť aj na neurčitú dobu. V NDA je tiež potrebné špecifikovať činnosti požadované pri vypršaní lehoty mlčanlivosti, zodpovednosti dodávateľa a činnosti, ktoré musí vykonávať pre ochranu informácií, vyjasniť si vlastníctvo informácií, obchodného tajomstva a duševného vlastníctva v súvislosti s ochranou týchto informácií a úkony, ktoré sú dodávateľovi povolené so sprístupnenými informáciami vykonávať. Účinným nástrojom je aj vyhradenie si práva na vykonanie auditu bezpečnosti informačných systémov u dodávateľa a právo na monitorovanie aktivít spojených so spracúvaním alebo iným narábaním s citlivými informáciami. Súčasťou takejto dohody by mali byť aj podmienky vrátenia sprístupnených informácií a spôsob ich bezpečného ničenia a tiež proces pre nahlasovanie neautorizovaného vyzradenia informácií a úniku citlivých informácií. V neposlednom rade je potrebné dohodnúť sa aj na krokoch, ktoré budú podniknuté v prípade porušenia tejto dohody. Dohoda o mlčanlivosti musí byť v súlade s platnou legislatívou, zmluvnými a regulačnými podmienkami a požiadavky na mlčanlivosť je potrebné preskúmavať, a to v pravidelných intervaloch a v prípade zmien, ktoré môžu mať na tieto požiadavky vplyv. V prípade vývoja informačných systémov s využitím outsourcingu je potrebné zvážiť licenčné podmienky, vlastníctvo kódu, duševné vlastníctvo a spôsob testovania. Tiež je potrebné špecifikovať zmluvné požiadavky na bezpečný návrh, vývoj a testovanie a požadovať dôkazy o tom, že boli dodržané aspoň minimálne požiadavky na bezpečnosť a že bolo vykonané dostatočné testovanie na ochranu pred škodlivým obsahom a prítomnosťou zraniteľností.
Čo v prípade, že dodávateľ je zasiahnutý výpadkom dodávky elektrickej energie, prírodným nešťastím, geopolitickými nepokojmi alebo inou krízou? Bude schopný nám aj počas tejto krízy poskytovať služby? A ak nie, tak sme schopní pokračovať v kritických procesoch alebo vieme takýto výpadok tolerovať? Pri výbere dodávateľa je potrebné brať do úvahy aj fakt, či má nasadené plány kontinuity činností a plány obnovy. Nie je dobré spoliehať sa len na ústne uistenie, ale je potrebné tieto plány aj preskúmať. Dobrou prípravou na potenciálnu krízu je vykonanie cvičení na preverenie týchto plánov spoločne s dodávateľom. Počas cvičenia je možné simulovať krízovú situáciu, ako napr. zmazanie produkčných dát nespokojným administrátorom, výpadok energie v dátovom centre alebo záplavy. Pri prvotných cvičeniach bude postačovať preskúmanie plánov, prípadne vykonanie cvičenia „od stola“ (table-top exercise) a pri ďalších cvičeniach postupne zvyšovať náročnosť a implementovať tiež neohlásené cvičenia. Výsledkom cvičenia môže byť jedine úspech, pretože aj v prípade nevyriešenia krízovej situácie takéto cvičenie poskytne prehľad o tom, ktoré procesy a aktivity riešenia krízovej situácie potrebujú zlepšenie. Cvičenia sa vykonávajú preto, lebo je lepšie identifikovať možnosti zlyhania počas nich a nie pri výskyte reálneho incidentu.
Je potrebné sa zamyslieť tiež nad tým, či naša organizácie nie je na dodávateľovi príliš závislá. Odberanie viacerých služieb od jedného dodávateľa môže priniesť výhody v podobe nižšej ceny za tieto služby v porovnaní s prípadom distribúcie týchto služieb viacerými dodávateľmi. Pokiaľ ale dodávateľ zaznamená vážne problémy a hrozí výpadok viacerých služieb súčasne, tak sa potom z dodávateľa môže stať tzv. SPOF (single point of failure) – bod, pri zlyhaní ktorého hrozí výpadok celého systému. Rovnako v regulovaných odvetviach môže výpadok systému znamenať nesplnenie zákonných požiadaviek, pri ktorých hrozia nemalé sankcie. Odvolanie sa na zlyhanie dodávateľa v týchto prípadoch určite neobstojí.
Súčasťou zmluvy, resp. dohody s dodávateľom by mala byť aj požiadavka, že dodávateľ bude dodržiavať bezpečnostné smernice organizácie. Je dobré mať implementovanú smernicu pre outsourcing, kde bude predpísaný spôsob výberu dodávateľa, spôsob vyhodnocovania rizík spojených s outsourcingom a obsah zmlúv s dodávateľmi, obsah dohôd o úrovni poskytovaných služieb a dohôd o mlčanlivosti. Rovnako je vhodné mať tam stanovený spôsob prijímania zamestnancov dodávateľa, požiadavky na ich vzdelanie a schopnosti, rozsah prístupu aký je možné dodávateľovi umožniť, spôsob vykonávania auditu u dodávateľa a zodpovednosti za jednotlivé činnosti na zaistenie informačnej bezpečnosti.
Outsourcing informačných technológií, informačnej bezpečnosti a s nimi spojených služieb je možný aj napriek tomu, že so sebou prináša riziká. Akékoľvek zlyhanie v tejto oblasti môže mať závažné dopady na prevádzku a bezpečnosť organizácie. Je preto potrebné k outsourcingu pristupovať zodpovedne, s uvedomením si všetkých rizík a na ich základe implementovať opatrenia na ich predchádzanie. Nikdy nie je možné úplne odstrániť všetky riziká a aj napriek nasadeniu opatrení vždy ostane nejaké zvyškové riziko. Miera jeho akceptácie ale záleží na tzv. „risk apetíte“ – tj. ochote vedenia riskovať a dané riziko podstúpiť.
Ing. Henrich Slezak, CSIRT.SK
Referencie
ISO/IEC 27002:2013
IT-Grundschutz-Catalogues
IT Outsourcing Security – The Government of the Hong Kong Special Administrative Region
Protective security governance guidelines – Security of outsourced services and functions – Australian Government
Top Three Potential Risks With Outsourcing Information Systems – Catherine Wright
The Case for Outsourcing Security – Bruce Schneier
Security Think Tank: IT security outsourcing should be informed and risk-managed – Lee Newcombe
The cost of cost savings: Security and risk when outsourcing IT – Karl Fruecht & Jason Ausburn
[…] Inštitúcie verejnej správy podobne ako firmy a organizácie zo súkromného sektora využívajú outsourcing ako jednu zo stratégií boja s chýbajúcimi profesionálmi a nedostatkom finančných prostriedkov … […]