Organisationer behöver stärka beredskapen för incidenter hos SaaS-leverantörer

Ett cyberintrång hos en extern SaaS-leverantör kan få konsekvenser för många organisationer samtidigt. Efter den uppmärksammade incidenten mot Canvas lyfter itm8 behovet av tydligare beredskap för hur organisationer ska agera under de första 24–72 timmarna efter en leverantörsincident.

SaaS-tjänster är i dag en självklar del av många organisationers IT-miljöer. Men när verksamhetskritiska system, användardata och kommunikation hanteras i externa plattformar blir även leverantörens säkerhetsarbete en del av den egna riskbilden.

Den uppmärksammade incidenten mot Instructure, leverantören bakom lärplattformen Canvas, är ett tydligt exempel på hur hotaktörer i allt större utsträckning använder SaaS-leverantörer som attackyta för att nå många organisationer samtidigt. Vid Canvas-incidenten riskerade, enligt uppgifter, nära 9 000 skolor och omkring 30 miljoner användare att drabbas. Den åtkomliga datan ska bland annat ha omfattat namn, e-postadresser och interna meddelanden.

För Thomas Öberg, Principal Architect Cybersecurity på itm8, visar händelsen varför Zero Trust-principen behöver omfatta även externa molntjänster. När viktiga system och information hanteras av SaaS-leverantörer handlar det om att verifiera åtkomst löpande, begränsa behörigheter och följa upp leverantörens säkerhetsarbete över tid.

– Det handlar inte om att sluta använda SaaS-tjänster, utan om att vara förberedd på att även betrodda leverantörer kan drabbas, förtydligar Thomas.

För att hjälpa organisationer att agera när en leverantörsincident inträffar har itm8 sammanställt en handlingsplan för de första 24–72 timmarna. Den tar sikte på det tidiga skede då informationen ofta är begränsad, men där beslut ändå behöver fattas snabbt. Handlingsplanen fokuserar på fem områden:  

1. Vidta nödvändiga åtgärder enligt GDPR
   Bedöm om personuppgifter kan ha läckt och om incidenten behöver rapporteras till IMY.

1. Begränsa användningen av tjänsten
   Lås ner eller begränsa interaktionen med den aktuella molntjänsten för att minska risken för ytterligare påverkan.

1. Upprätta en kommunikationskanal med leverantören
   Säkerställ löpande information om status, påverkan och omfattning – och be om besked som går att agera på.

1. Informera berörda individer
   Kommunicera vad som är känt, vilka åtgärder som vidtas och vad användarna själva bör vara uppmärksamma på, inklusive risken för falska säkerhetsmeddelanden, desinformation och riktat nätfiske.

1. Utvärdera SaaS-leverantören
   Följ upp hur leverantören agerade före, under och efter incidenten – från säkerhetsarbete och kommunikation till åtgärderna efteråt.

Syftet är att ge organisationer en tydligare struktur och verktygen för att fatta snabba beslut när osäkerheten är som störst. Men beredskapen bör också omfatta förebyggande åtgärder. Bland annat handlar det om att ställa krav på transparens i leverantörens säkerhetsarbete.

– Det är det enda sättet att veta om och hur leverantören arbetar systematiskt med säkerheten. Leverantörer behöver inte visa ritningen till hela sitt skydd, men de behöver kunna vara öppna med vad de gör för att förbättra säkerheten och hur arbetet följs upp över tid, säger Thomas.

Läs mer och ladda ner handlingsplanen här

För mer information, kontakta:

Thomas Öberg

Principal Architect
itm8 Sverige AB

Email:thobe@itm8.com
Mobile: +46 736255325