En vis man sa en gång: ”ju fler människor du bjuder hem, desto mer välstädat blir det”. Samma öppenhetsprincip kan lika enkelt tillämpas i affärsvärlden. Ju mer transparent en organisation är gällande processer och kultur, desto mer disciplinerad är den sannolikt i sin drift. Transparens är grunden för att bygga förtroende mellan leverantörer, kunder och partners, och det är än mer sant när det gäller cybersäkerhet. Här utforskar vi de grundläggande faktorer som skapar den transparensen och därmed förtroendet.
Obligatoriskt för en transparent strategi inom cybersäkerhet
Riskerna och de potentiella konsekvenserna av cyberattacker och dataintrång ligger med rätta högt upp på varje organisations agenda. Företag och offentliga institutioner inom alla sektorer är inte längre villiga att bara godta påståenden om säkerheten från leverantörer angående deras produkter och lösningar. I många länder och regioner kräver lagstiftningen att de måste ha större insikt i säkerheten gällande de produkter och tjänster som används inom deras organisation.
Tanken att dölja detaljer och funktioner i ett system som det bästa sättet att öka säkerheten har i stort hamnat på skam. Företeelsen kallas ofta ”security through obscurity”, eller på svenska ibland ”säkerhet genom otydlighet”. US National Institute of Standards and Technology (NIST) säger själv att ”systemsäkerheten inte ska vara beroende av sekretessen i implementeringen eller dess komponenter”.
Insikter i en teknikleverantörs säkerhetspraxis är en central aspekt vid genomförande av riskbedömningar hos leverantören. Dessa undersöker den potentiella påverkan som en leverantörs produkter kan ha på kundens nätverk och anslutna system och avgör om leverantören har lämpliga åtgärder på plats för att minska riskerna.
Kunderna kräver därför full insyn i alla aspekter av en leverantörs strategi för att stödja optimal produktsäkerhet och upprätthålla den under hela produktens livscykel. Detta krav på transparens bör accepteras, eftersom det är grundläggande för att avgöra om en leverantörs produkter kan stödja en kunds egen säkerhet och för att bygga förtroende mellan leverantörer, partners och kunder.
De många fördelarna med transparens
När en tekniktillverkare är transparent om sina säkerhetsrutiner visar det i grunden ett engagemang för att garantera produktsäkerhet. Detta inkluderar att tillhandahålla säkerhetsfunktioner och inställningar som gör det möjligt för kunderna att använda produkterna på ett så säkert sätt som möjligt för att skydda sina egna system och data.
Transparens möjliggör också effektivare samarbete och informationsdelning med kunder och partners, vilket gör det möjligt för dem att snabbt åtgärda alla nyupptäckta sårbarheter i programvaran.
Dessutom hjälper transparens både tillverkare och kunder att lära sig av tidigare säkerhetsincidenter och förbättra sin övergripande inställning till säkerhet. Informerade beslut kan bidra till att förhindra framtida incidenter och säkerställa fortsatt skydd av kunddata och information.
Överträffa kraven på cybersäkerhetscertifieringar
I detta sammanhang kan branschstandarder och certifieringar utgöra en praktisk försäkran om hur ett företag arbetar med grundläggande cybersäkerhet. Det är uppenbart att när dessa certifieringar krävs enligt lag måste leverantörerna visa att de följer dem. De är också värdefulla när man upprättar en nedre gräns som kan vara avtalsmässigt bindande när företag gör affärer med varandra för att tillhandahålla tjänster till sina kunder. Kunder kan också använda bevis på certifieringar under upphandlingsprocessen för att säkerställa att tillverkarna uppfyller minimikraven.
Man bör dock undvika att använda certifieringar som en magisk lösning för att demonstrera ett heltäckande tillvägagångssätt för cybersäkerhet. Certifieringar intygar en nedre gräns för säkerhet vid en viss tidpunkt som ett företag följer, oavsett om det handlar om informationssäkerhet för företag (ISO 27001, olika exportbestämmelser för cybersäkerhet osv.) eller produktfokuserade säkerhetscertifieringar (FIPS 140, ETSI EN 303 645 och olika andra landsspecifika standarder)
Dessutom kan standarder och certifieringar ofta vara breda och täcka specifika branscher och deras användningsfall, och är därför inte alltid relevanta för specialiserade tillämpningar. Till exempel fokuserar IEC 62443 specifikt på industriell automatisering och styrsystem, vilket är mindre relevant för fysisk säkerhet.
Ur ett kommersiellt perspektiv kan certifieringar och efterlevnad av standarder riskera att användas som en kryssruta och en strategi för att få konkurrensfördelar under upphandlingsprocesserna – avsikten är att samla in så många certifieringar som möjligt för att ge ett intryck av att ha en ”bra” cybersäkerhetsposition. Detta är särskilt fallet om de standardmässiga och tekniska kraven är ”låsta” bakom köp och inte är offentligt tillgängliga utan kostnad.
Slutligen går framstegen inom teknik, processer och produkter ofta mycket snabbare än standardiseringsprocessen, vilket innebär att tillverkare som enbart förlitar sig på certifiering kommer att ligga efter innovationerna inom teknik. Att till exempel ha IEEE 802.1AE MACsec-nätverkskryptering i produkter härdar nätverkskommunikationen avsevärt, men tekniken eller bästa praxis med att använda MACsec för att säkra nätverk specificeras inte i aktuella standarder.
Kort sagt, även om certifieringar och standarder har ett visst värde bör de ses som en nedre gräns och inte ett mål, och som ett komplement till en leverantörs bredare cybersäkerhetsrelaterade aktiviteter.
Letar efter bevis på transparens
När man funderar över vilken leverantör man ska välja finns det några tydliga bevis som visar hur engagerad leverantören är i transparens inom produkt- och programvaruutveckling och under hela produktens livscykel i förhållande till cybersäkerhet. Det kan handla om:
- Att ge kunderna insyn i de säkerhetsaktiviteter och åtgärder som vidtas under produktens hela livscykel, från utvecklings-, produktions- och distributionsfaserna till implementering, idriftsättning och avveckling. Denna insyn bör också omfatta hur leverantörens hela leveranskedja är säkrad.
- Att publicera säkerhetspolicyer och rutiner för både produktutveckling och leverantörens syn på företagets interna säkerhet. Att ha en tydlig, offentligt tillgänglig uppsättning policyer och rutiner för att skydda användarnas data och information visar företagets engagemang för säkerhet och ansvar.
- Att regelbundet genomföra oberoende säkerhetsbedömningar och granskningar för att identifiera och åtgärda potentiella säkerhetsbrister och ge kunderna försäkran om att företaget tar säkerheten på allvar. Dessa kan avse bedömningar på organisationsnivå, t.ex. ISO/IEC 27001-standardbedömningar, eller på en specifik produktnivå, t.ex. penetrationstester från tredje part.
- Att leverera produkter som gör det tekniskt enkelt för tredje part, organisationer och myndigheter att utvärdera produkternas säkerhet. Detta inkluderar att inte att kryptera enhetens programvara eller andra aktiviteter för att stödja ”security through obscurity”. Det är också viktigt att tillhandahålla en materiallista för programvaran (SBOM), som listar de ”ingredienser” som varje programvara består av. En SBOM innehåller information om alla komponenter med öppen källkod och komponenter från tredje part som finns i en programvara, licenserna som styr dessa komponenter, versionerna på de komponenter som används i programvaran och statusen för eventuella patchar som krävs för att upprätthålla säkerheten.
- Transparens i rapportering av säkerhetsincidenter när dessa inträffar, både vad gäller leverantörens organisation och dess produkter. Leverantörer bör ha en tydlig policy för sårbarhetshantering på plats. Detta säkerställer kommunikation om incidentens natur, hur den upptäcktes initialt, vilka åtgärder som vidtagits för att hantera sårbarheten (inklusive de åtgärder som krävs av kunderna) och vilka åtgärder som vidtagits för att förhindra framtida incidenter.
- Att ge kunder och samarbetspartners regelbundna uppdateringar om företagets inställning till säkerhet. Information om eventuella ändringar av säkerhetspolicyer eller rutiner hjälper dem inte bara att hålla sig informerade, utan framför allt att snabbt vidta åtgärder för att säkra sina egna produkter, tjänster och processer. Genom att låta kunder och partners prenumerera på en säkerhetsaviseringstjänst får de dessutom möjlighet att reagera på säkerhetsproblem i tid.
- Att aktivt uppmuntra kunder och forskare att rapportera potentiella säkerhetssårbarheter som de upptäcker hjälper företaget att identifiera och åtgärda potentiella problem innan de kan utnyttjas. Att vara en del av CVE-programmet för att avslöja CVE-ID:n och även etablera ett buggbelöningsprogram visar på leverantörens mognad och transparens när det gäller cybersäkerhet och förtroende för dess säkra utvecklingsprocesser.
- Att stödja kunderna i en proaktiv process för hantering av produktens livscykel, så att de kan planera för avveckling och utbyte av produkter. Centralt för detta är att ange slutdatum för support av enhetens programvara så tidigt som möjligt, helst omedelbart efter produktlanseringen.
Alla leverantörer bör vara engagerade i att göra allt de kan för att leverera produkter som stödjer en kunds cybersäkerhetskrav. Certifieringar och standarder räcker bara en bit. Transparens är oerhört viktigt. Publicerade rutiner och policyer, regelbundna oberoende säkerhetsbedömningar och granskningar samt öppen information om säkerhetsincidenter är mer tillförlitliga sätt att bygga förtroende för en leverantörs åtagande att skydda data och tillhandahålla produkter med stark cybersäkerhet.