الزامات امنیتی پیمانکاران و تأمینکنندگان (اشخاص سوم و چهارم)
سازمانها معمولاً زمانی که بودجه یا نیروی کافی برای انجام کارهایشان ندارند، به رویکرد برونسپاری رو آورده و خدمات و محصولات مدنظرشان را از طریق پیمانکاران و تأمینکنندگان دریافت میکنند. در برونسپاری ابتدا یک قرارداد یا تفاهمنامه همکاری بین سازمان شما و شرکتی دیگر برای مدت زمان مشخصی بسته شده و در طول آن شما خدمات مدنظرتان را از آن شرکت دریافت میکنید.
اگرچه واگذار کردن کارها مزایای بسیار زیادی مثل صرفهجویی در هزینهها و دسترسی به تخصصهای خارج از سازمان را برای شما فراهم می کند ولی باید به این موضوع توجه داشت که مخاطرات خاص خود را نیز به دنبال دارد. برای مثال شما هنگامی که قصد گرفتن کمک از نیروهای خارج از سازمانتان را دارید بایستی اطلاعات و دادههای مهمتان را در اختیار آنها قرار دهید. از این رو ممکن است این افراد از اطلاعات شما سوءاستفاده نموده یا به خوبی از آنها محافظت نکرده و موجب اجرای حملاتی بر ضد سازمان شما شوند. در این مطلب از فراست، تهدیدات و مخاطراتی که ممکن است روشهای برونسپاری برای شما ایجاد کنند را به همراه بیان راهکار حفاظتی آن مورد بررسی قرار میدهیم.
فروشندگان شخص سوم چه افرادی هستند و چه مخاطراتی را ایجاد میکنند؟
تأمینکنندگان، تولیدکنندگان، شرکتهای ارایهدهنده خدمات، شرکای تجاری، کارگزاریها، توزیعکنندگان، نمایندگان فروش، همکاران و تمام عواملی که خدمات مورد نیاز سایر شرکتها را ارایه کرده و با آنها خرید و فروش می کنند، از جمله فروشندگان شخص سوم محسوب میشوند. به تأمینکنندگان و تولیدکنندگان، در اصطلاح فروشندگان بالادستی و به توزیعکنندگان و نمایندگان فروش، فروشندگان پاییندستی گفته می شود. در این ساختار، سایر عوامل نیز به عنوان موجودیتهای غیرقراردادی در نظر گرفته میشوند.
فروشندگان، همکاران، پیمانکاران و مشاوران اشخاص سوم، تخصص و خدمات مورد نیاز شما را فراهم کرده و کمک قابل توجهی به شما در کاهش هزینههایتان میکنند. از طرف دیگر این افراد به دادههای حساس و سیستمهای داخلی شما دسترسی داشته و امکان سرقت دادههای سازمانی، تغییر پیکربندی سیستمها و تجهیزات یا خرابکاری در زیرساختهای حیاتی توسط آنها وجود دارد. بنابراین در چنین شرایطی نه تنها تمرکز بر روی امنیت داخلی کافی نیست بلکه سازمانها باید مخاطرات امنیت سایبری احتمالی از سوی این اشخاص را نیز در نظر بگیرند. حتی اگر فروشندگان شخص سوم اهداف مخربی هم نداشته باشند باز هم ممکن است سیستمهای آنها که به شبکه شما متصل می شوند یا اطلاعات شما در آنها نگهداری می شود، دارای ضعف امنیتی بوده و به راحتی مورد سوءاستفاده مجرمان سایبری قرار گیرند.
از این رو بسیاری از دولتها در سراسر جهان قوانینی را برای دریافتکنندگان و ارایهدهندگان خدمات برونسپاری وضع کردهاند. بر اساس این قوانین تمام سازمانهایی که کارهایشان را برونسپاری میکنند ملزم به مدیریت مخاطرات فروشندگان شخص سوم بوده و باید اطمینان یابند که دادههای حساس و اطلاعات هویتی آنها به روشی امن منتقل، ذخیره و پردازش میشود. سازمانهای مهم مثل مؤسسات مالی و بانکی و شرکتهای ارایهدهنده خدمات سلامت، تحت نظارتهای قانونی خاص قرار دارند.
آیا فروشندگانی که ارتباطی با فعالیتهای کاری حیاتی ما ندارند نیز نگرانکننده هستند؟
این احتمال وجود دارد که فروشندگان شخص سومی که فعالیتهای کاری حیاتی سازمان ما را انجام نمیدهند (مثل شخصی که مسئولیت نظافت شرکت ارایهدهنده خدمات برای ما را بر عهده دارد) نیز مخاطراتی را ایجاد کنند. برای مثال ممکن است شخص نظافتچی به رایانه مدیرعامل آن شرکت که حاوی اطلاعات مهمی نیز است، دسترسی داشته باشد. از این رو فروشنده شخص سوم در هر جایگاهی که باشد و فارغ از ماهیت روابط سازمانی و میزان حساس بودن فعالیتهایی که آن شرکت انجام میدهد میتواند به دادهها یا داراییهای حیاتی شما دسترسی داشته و مخاطراتی را برای سازمانتان ایجاد کند. حتی یک نظافتچی در مقایسه با سایر افرادی که وظیفه برونسپاری فرایندهای عملیاتی شما را بر عهده دارند ممکن است مخاطرات بیشتری را ایجاد کند.
بنابراین الزامات و سیاستهای امنیتیتان برای برونسپاری کارها را باید به گونهای تعریف کرده و در نظر بگیرید که حتی در برابر اصول امنیتی به کار رفته توسط ضعیفترین فروشندگان شخص سوم هم از قدرت دفاعی لازم برخوردار باشند. در این صورت میتوانید با خیال راحت و با اطمینان کامل کارهایتان را برونسپاری کرده و خدمات مورد نیازتان را از فروشندگان شخص سوم دریافت کنید. همواره باید به این نکته توجه داشته باشید که هر فروشنده شخص سوم و هر ارایهدهنده خدمات برونسپاری می تواند یک راه نفوذ و عامل تهدید بوده و مجرمان سایبری به راحتی میتوانند از آنها سوءاستفاده کنند.
مروری بر چند نمونه از فروشندگان شخص سوم
تعدادی از فروشندگان شخص سوم عبارتند از:
- تولیدکنندگان و تأمینکنندگان تجهیزات
- ارایهدهندگان خدمات (از جمله نظافتچیها و مشاوران)
- پیمانکاران
- تمام افرادی که کارمند رسمی شما نبوده و در شرکت شما مشغول به کار هستند.
همچنین طول مدت زمانی که شما با یک شرکت ارایهدهنده خدمات همکاری میکنید از اهمیت بالایی برخوردار بوده و ممکن است مخاطراتی را ایجاد کند. اداره درآمدهای داخلی آمریکا قوانین خاصی را درباره روابط با شرکتهای شخص سوم و فروشندگانی وضع کرده که همکاری با آنها از یک بازه زمانی خاص فراتر میرود. بر اساس قوانین این اداره، فروشندهای که بیشتر از یک بازه زمانی خاص، درون سازمان و با آدرس ایمیل سازمان کار میکند باید به عنوان کارمند سازمان در نظر گرفته شده و مزایایی را نیز دریافت کند. بر اساس این قانون، پیمانکاران بلندمدت می توانند مخاطرات زیادی را برای سازمان شما ایجاد کنند. به همین خاطر باید اطلاعاتی که در دسترس آنها قرار می گیرند را به خوبی مدیریت کرده و همواره بر سطوح دسترسی آنها نظارت کافی داشته باشید.
مدیریت مخاطرات فروشنده چیست؟
مدیریت مخاطرات فروشنده (VRM[1]) یا شخص سوم به مدیریت و نظارت بر روی مخاطرات ایجاد شده از سوی تأمینکنندگان و فروشندگان میپردازد. سازمانها با استفاده از طرحهای VRM می توانند اطمینان یابند که محصولات شخص سوم، سرویسهای ارایه شده توسط ارایهدهندگان خدمات و فروشندگان راهکارهای فناوری اطلاعات منجر به ایجاد اختلال در عملکرد کسبوکاری آنها نشده و دادهها و اطلاعات حساس مثل اطلاعات هویتی مشتریانشان هرگز در معرض خطر افشا قرار نخواهد گرفت.
پس از اجرایی شدن مقررات حفاظت از دادههای اتحادیه اروپا (GDPR[2]) و با توجه به اینکه امروزه کسبوکارها عملیاتهای کاری بیشتری را به فروشندگان شخص سوم واگذار میکنند، نیاز و تقاضا برای مدیریت مخاطرات اشخاص سوم در سالهای اخیر افزایش زیادی یافته است. بنابراین امنیت فروشندگان و تأمینکنندگان باید بخش مهمی از راهکار امنیت سایبری کلی سازمان شما تشکیل دهد. از این رو در طرح مدیریت مخاطرات اشخاص سوم، تمرکز بر تفاهمنامههای سطح خدمات (SLA[3]) و تدوین طرح بازیابی از فاجعه (DRP) کافی نبوده و نظارت مستمر و پیوسته هم باید جزئی از این طرح باشد.
با انجام اقدامات زیر میتوانید مخاطرات ناشی از برونسپاری را کاهش دهید:
- راهکارها و الزامات امنیتی سازمان را به نحوی تنظیم کنید که سیاست امنیت اطلاعاتتان متمرکز بر امنیت اشخاص سوم و همچنین شخص اول باشد.
- یک چارچوب کلی برای مدیریت مخاطرات اشخاص سوم و عملیاتی کردن آن را تعیین کنید.
- روشهای خودکارسازی مدیریت اشخاص سوم را در سازمانتان اجرا و پیاده کنید.
آیا کسبوکار شما در معرض نفوذهای شخص سوم قرار دارد؟
پاسخ به این پرسش تا حدود زیادی به صنعت و حوزه کسبوکاری بستگی دارد که در آن فعالیت میکنید. دفتر کنترل ارز آمریکا (OCC[4]) در بخش راهنمای مدیریت مخاطرات اشخاص سوم توضیح داده که استفاده از اشخاص سوم توسط یک بانک نباید باعث حذف مسئولیت هیأت مدیره و مدیران ارشد آن بانک شده و این افراد باید همچنان بر انجام فعالیتها با استفاده از روشهای امن و با پیروی از قوانین مربوطه نظارت داشته باشند؛ زیرا برای مشتریان چندان اهمیتی ندارد که چه شخصی مسئول اصلی نفوذ اطلاعاتی و افشای اطلاعات آنها بوده است. آنها انتظار دارند که در هر شرایطی از اطلاعاتشان محافظت شود.
در آمریکا سیستم ذخایر فدرال (FRS[5]) و شرکت بیمه سپرده فدرال (FDIC[6]) صلاحیت نظارت بر ارایهدهندگان خدمات شخص سوم در قراردادهای پیمانی با مؤسسات مالی را بر عهده دارند. در بخشنامه نظارت بر ارایهدهندگان خدمات فناوری شخص سوم اشاره شده که استفاده از خدمات شخص سوم، «باعث حذف مسئولیت هیأت مدیره و مدیران برای اطمینان از انجام کارها به روشی امن و درست و سازگار با قوانین قابل اعمال نشده و آنها نیز باید به فعالیتهایشان ادامه دهند؛ درست مثل فعالیتهایی که توسط کارمندان خود سازمان انجام میشوند».
فروشنده شخص چهارم کیست؟
فروشنده شخص چهارم، فروشنده شخص سوم برای فروشنده شخص سوم شما است. به عبارت دیگر شخص یا نهادی است که شما با آن قرارداد همکاری مستقیم ندارید اما ممکن است بر شرکت شما تأثیرگذار بوده و مخاطراتی را برای کسبوکار شما ایجاد کند.
موارد زیر نکاتی هستند که در رابطه با فروشندگان شخص چهارم باید به آنها توجه لازم را داشته باشید:
- چه افراد یا نهادهایی هستند؟
- چه محصولات و خدماتی را به فروشنده همکار شما ارائه میدهند؟
- فروشندهای که با آن همکاری مستقیم دارید، چه نظارتی بر روی فروشندگان خود دارد؟
- رتبه امنیت سایبری این شرکت چند است؟
به این ترتیب سازمان شما میتواند از مخاطرات ناشی از اشخاص چهارم و نحوه به اشتراکگذاری یا ذخیره دادههای حساس شما در سیستمهای آنها اطلاع یابد. باید به این نکته توجه داشت که نفوذهای اطلاعاتی شرکتهای شخص چهارم ممکن است به اندازه نفوذهای اطلاعاتی شخص اول یا سوم مخاطرهآمیز باشند (به ویژه اگر اطلاعات هویتی مشتریان را ذخیره و پردازش میکنند).
چگونه درباره اشخاص چهارم اطلاعات لازم را کسب کنیم؟
از فروشندگان شخص سوم درخواست کنید تا اطلاعات زیر را در اختیارتان قرار دهند:
- سیاست خودشان درباره اشخاص سوم و نحوه همکاری با آنها
- یک فهرست کامل از فروشندگانی که دادههای حساس شما را ذخیره و پردازش میکنند.
- آخرین ارزیابیهای امنیتی انجام شده از هر کدام از شرکتهای شخص چهارم
شرکتهایی که به صورت مداوم بر روی عملکرد فروشندگان شخص سوم و چهارم نظارت داشته و در چرخه روابطشان با سایر شرکتها چکلیست امنیتی مربوطه را تکمیل میکنند می توانند به نحو بهتری مخاطرات ناشی از فروشندگان شخص سوم و چهارم را به حداقل برسانند. البته هرگز فراموش نکنید احتمال ایجاد مخاطرات از سوی فروشندگان شخص سومی که در گذشته با آنها همکاری میکردید نیز برای سازمان شما وجود دارد. برای مثال، فروشنده شخص سوم سابق شرکت TigerSwan اطلاعات حساسی را درباره این شرکت، در یک پاکت کاغذی به صورت محافظت نشده رها کرده بود. در سال 2017 میلادی هزاران رزومه در یکی از دامنههای وب سایت آمازون به نام “tigerswanresumes” باقی مانده بود. بنابراین با توجه به میزان بالا بودن خسارتهای ناشی از نفوذهای امنیتی که به صورت سهوی یا عمدی توسط اشخاص سوم انجام می شوند، پیشگیری از بروز چنین حوادثی از اهمیت ویژهای برخوردار است.
همچنین پیشنهاد می شود: نحوه ارزیابی امنیتی عملکرد شرکتهای شخص سوم
[1] Vendor Risk Management
[2] General Data Protection Regulation
[3] Service-Level Agreement
[4] Office of the Comptroller of the Currency
[5] Federal Reserve System
[6] Federal Deposit Insurance Corporation