الزامات امنیتی پیمانکاران و تأمین‌کنندگان (اشخاص سوم و چهارم)

سازمان‌ها معمولاً زمانی که بودجه یا نیروی کافی برای انجام کارهایشان ندارند، به رویکرد برون‌سپاری رو آورده و خدمات و محصولات مدنظرشان را از طریق پیمانکاران و تأمین‌کنندگان دریافت می‌کنند. در برون‌سپاری ابتدا یک قرارداد یا تفاهم‌‌نامه همکاری بین سازمان شما و شرکتی دیگر برای مدت زمان مشخصی بسته شده و در طول آن شما خدمات مدنظرتان را از آن شرکت دریافت می‌کنید.

اگرچه واگذار کردن کارها مزایای بسیار زیادی مثل صرفه‌جویی در هزینه‌ها و دسترسی به تخصص‌های خارج از سازمان را برای شما فراهم می کند ولی باید به این موضوع توجه داشت که مخاطرات خاص خود را نیز به دنبال دارد. برای مثال شما هنگامی که قصد گرفتن کمک از نیروهای خارج از سازمان‌تان را دارید بایستی اطلاعات و داده‌های مهم‌تان را در اختیار آنها قرار دهید. از این رو ممکن است این افراد از اطلاعات شما سوءاستفاده نموده یا به خوبی از آنها محافظت نکرده و موجب اجرای حملاتی بر ضد سازمان شما شوند. در این مطلب از فراست، تهدیدات و مخاطراتی که ممکن است روش‌های برون‌سپاری برای شما ایجاد کنند را به همراه بیان راهکار حفاظتی آن مورد بررسی قرار می‌دهیم.

فروشندگان شخص سوم چه افرادی هستند و چه مخاطراتی را ایجاد می‌کنند؟

تأمین‌کنندگان، تولیدکنندگان، شرکت‌های ارایه‌دهنده خدمات، شرکای تجاری، کارگزاری‌ها، توزیع‌کنندگان، نمایندگان فروش، همکاران و تمام عواملی که خدمات مورد نیاز سایر شرکت‌ها را ارایه کرده و با آنها خرید و فروش می کنند، از جمله فروشندگان شخص سوم محسوب می‌شوند. به تأمین‌کنندگان و تولیدکنندگان، در اصطلاح فروشندگان بالادستی و به توزیع‌کنندگان و نمایندگان فروش، فروشندگان پایین‌دستی گفته می شود. در این ساختار، سایر عوامل نیز به عنوان موجودیت‌های غیرقراردادی در نظر گرفته می‌شوند.

فروشندگان، همکاران، پیمانکاران و مشاوران اشخاص سوم، تخصص و خدمات مورد نیاز شما را فراهم کرده و کمک قابل توجهی به شما در کاهش هزینه‌هایتان می‌کنند. از طرف دیگر این افراد به داده‌های حساس و سیستم‌های داخلی شما دسترسی داشته و امکان سرقت داده‌های سازمانی، تغییر پیکربندی سیستم‌ها و تجهیزات یا خرابکاری در زیرساخت‌های حیاتی توسط آنها وجود دارد. بنابراین در چنین شرایطی نه تنها تمرکز بر روی امنیت داخلی کافی نیست بلکه سازمان‌ها باید مخاطرات امنیت سایبری احتمالی از سوی این اشخاص را نیز در نظر بگیرند. حتی اگر فروشندگان شخص سوم اهداف مخربی هم نداشته باشند باز هم ممکن است سیستم‌های آنها که به شبکه شما متصل می شوند یا اطلاعات شما در آنها نگهداری می شود، دارای ضعف امنیتی بوده و به راحتی مورد سوءاستفاده مجرمان سایبری قرار گیرند.

از این رو بسیاری از دولت‌ها در سراسر جهان قوانینی را برای دریافت‌کنندگان و ارایه‌دهندگان خدمات برون‌سپاری وضع کرده‌اند. بر اساس این قوانین تمام سازمان‌هایی که کارهایشان را برون‌سپاری می‌کنند ملزم به مدیریت مخاطرات فروشندگان شخص سوم بوده و باید اطمینان یابند که داده‌های حساس و اطلاعات هویتی آنها به روشی امن منتقل، ذخیره و پردازش می‌شود. سازمان‌های مهم مثل مؤسسات مالی و بانکی و شرکت‌های ارایه‌دهنده خدمات سلامت، تحت نظارت‌های قانونی خاص قرار دارند.

آیا فروشندگانی که ارتباطی با فعالیت‌های کاری حیاتی ما ندارند نیز نگران‌کننده هستند؟

این احتمال وجود دارد که فروشندگان شخص سومی که فعالیت‌های کاری حیاتی سازمان ما را انجام نمی‌دهند (مثل شخصی که مسئولیت نظافت شرکت ارایه‌دهنده خدمات برای ما را بر عهده دارد) نیز مخاطراتی را ایجاد کنند. برای مثال ممکن است شخص نظافت‌چی به رایانه مدیرعامل آن شرکت که حاوی اطلاعات مهمی نیز است، دسترسی داشته باشد. از این رو فروشنده شخص سوم در هر جایگاهی که باشد و فارغ از ماهیت روابط سازمانی و میزان حساس بودن فعالیت‌هایی که آن شرکت انجام می‌دهد می‌تواند به داده‌ها یا دارایی‌های حیاتی شما دسترسی داشته و مخاطراتی را برای سازمان‌تان ایجاد کند. حتی یک نظافت‌چی در مقایسه با سایر افرادی که وظیفه برون‌سپاری فرایندهای عملیاتی شما را بر عهده دارند ممکن است مخاطرات بیشتری را ایجاد کند.

بنابراین الزامات و سیاست‌های امنیتی‌تان برای برون‌سپاری کارها را باید به گونه‌ای تعریف کرده و در نظر بگیرید که حتی در برابر اصول امنیتی به کار رفته توسط ضعیف‌ترین فروشندگان شخص سوم هم از قدرت دفاعی لازم برخوردار باشند. در این صورت می‌توانید با خیال راحت و با اطمینان کامل کارهایتان را برون‎‌سپاری کرده و خدمات مورد نیازتان را از فروشندگان شخص سوم دریافت کنید. همواره باید به این نکته توجه داشته باشید که هر فروشنده شخص سوم و هر ارایه‌دهنده خدمات برون‌سپاری می تواند یک راه نفوذ و عامل تهدید بوده و مجرمان سایبری به راحتی می‌توانند از آنها سوءاستفاده کنند.

مروری بر چند نمونه از فروشندگان شخص سوم

تعدادی از فروشندگان شخص سوم عبارتند از:

• تولیدکنندگان و تأمین‌کنندگان تجهیزات
• ارایه‌دهندگان خدمات (از جمله نظافت‌چی‌ها و مشاوران)
• پیمانکاران
• تمام افرادی که کارمند رسمی شما نبوده و در شرکت شما مشغول به کار هستند.

همچنین طول مدت زمانی که شما با یک شرکت ارایه‌دهنده خدمات همکاری می‌کنید از اهمیت بالایی برخوردار بوده و ممکن است مخاطراتی را ایجاد کند. اداره درآمدهای داخلی آمریکا قوانین خاصی را درباره روابط با شرکت‌های شخص سوم و فروشندگانی وضع کرده که همکاری با آنها از یک بازه زمانی خاص فراتر می‌رود. بر اساس قوانین این اداره، فروشنده‌ای که بیشتر از یک بازه زمانی خاص، درون سازمان و با آدرس ایمیل سازمان کار می‌کند باید به عنوان کارمند سازمان در نظر گرفته شده و مزایایی را نیز دریافت کند. بر اساس این قانون، پیمانکاران بلندمدت می توانند مخاطرات زیادی را برای سازمان شما ایجاد کنند. به همین خاطر باید اطلاعاتی که در دسترس آنها قرار می گیرند را به خوبی مدیریت کرده و همواره بر سطوح دسترسی آنها نظارت کافی داشته باشید.

مدیریت مخاطرات فروشنده چیست؟

مدیریت مخاطرات فروشنده (VRM[1]) یا شخص سوم به مدیریت و نظارت بر روی مخاطرات ایجاد شده از سوی تأمین‌کنندگان و فروشندگان می‌پردازد. سازمان‌ها با استفاده از طرح‌های VRM می توانند اطمینان یابند که محصولات شخص سوم، سرویس‌های ارایه شده توسط ارایه‌دهندگان خدمات و فروشندگان راهکارهای فناوری اطلاعات منجر به ایجاد اختلال در عملکرد کسب‌وکاری آنها نشده و داده‌ها و اطلاعات حساس مثل اطلاعات هویتی مشتریان‌شان هرگز در معرض خطر افشا قرار نخواهد گرفت.

پس از اجرایی شدن مقررات حفاظت از داده‌های اتحادیه اروپا (GDPR[2]) و با توجه به اینکه امروزه کسب‌وکارها عملیات‌های کاری بیشتری را به فروشندگان شخص سوم واگذار می‌کنند، نیاز و تقاضا برای مدیریت مخاطرات اشخاص سوم در سال‌های اخیر افزایش زیادی یافته است. بنابراین امنیت فروشندگان و تأمین‌کنندگان باید بخش مهمی از راهکار امنیت سایبری کلی سازمان شما تشکیل دهد. از این رو در طرح مدیریت مخاطرات اشخاص سوم، تمرکز بر تفاهم‌نامه‌های سطح خدمات (SLA[3]) و تدوین طرح بازیابی از فاجعه (DRP) کافی نبوده و نظارت مستمر و پیوسته هم باید جزئی از این طرح باشد.

با انجام اقدامات زیر می‌توانید مخاطرات ناشی از برون‌سپاری را کاهش دهید:

• راهکارها و الزامات امنیتی سازمان را به نحوی تنظیم کنید که سیاست امنیت اطلاعات‌تان متمرکز بر امنیت اشخاص سوم و همچنین شخص اول باشد.
• یک چارچوب کلی برای مدیریت مخاطرات اشخاص سوم و عملیاتی کردن آن را تعیین کنید.
• روش‌های خودکارسازی مدیریت اشخاص سوم را در سازمان‌تان اجرا و پیاده کنید.

آیا کسب‌وکار شما در معرض نفوذهای شخص سوم قرار دارد؟

پاسخ به این پرسش تا حدود زیادی به صنعت و حوزه کسب‌وکاری بستگی دارد که در آن فعالیت می‌کنید. دفتر کنترل ارز آمریکا (OCC[4]) در بخش راهنمای مدیریت مخاطرات اشخاص سوم توضیح داده که استفاده از اشخاص سوم توسط یک بانک نباید باعث حذف مسئولیت هیأت مدیره و مدیران ارشد آن بانک شده و این افراد باید همچنان بر انجام فعالیت‌ها با استفاده از روش‌های امن و با پیروی از قوانین مربوطه نظارت داشته باشند؛ زیرا برای مشتریان چندان اهمیتی ندارد که چه شخصی مسئول اصلی نفوذ اطلاعاتی و افشای اطلاعات آنها بوده است. آنها انتظار دارند که در هر شرایطی از اطلاعات‌شان محافظت شود.

در آمریکا سیستم ذخایر فدرال (FRS[5]) و شرکت بیمه سپرده فدرال (FDIC[6]) صلاحیت نظارت بر ارایه‌دهندگان خدمات شخص سوم در قراردادهای پیمانی با مؤسسات مالی را بر عهده دارند. در بخشنامه نظارت بر ارایه‌دهندگان خدمات فناوری شخص سوم اشاره شده که استفاده از خدمات شخص سوم، «باعث حذف مسئولیت هیأت مدیره و مدیران برای اطمینان از انجام کارها به روشی امن و درست و سازگار با قوانین قابل اعمال نشده و آنها نیز باید به فعالیت‌هایشان ادامه دهند؛ درست مثل فعالیت‌هایی که توسط کارمندان خود سازمان انجام می‌شوند».

فروشنده شخص چهارم کیست؟

فروشنده شخص چهارم، فروشنده شخص سوم برای فروشنده شخص سوم شما است. به عبارت دیگر شخص یا نهادی است که شما با آن قرارداد همکاری مستقیم ندارید اما ممکن است بر شرکت شما تأثیرگذار بوده و مخاطراتی را برای کسب‌وکار شما ایجاد کند.

موارد زیر نکاتی هستند که در رابطه با فروشندگان شخص چهارم باید به آنها توجه لازم را داشته باشید:

1. چه افراد یا نهادهایی هستند؟
2. چه محصولات و خدماتی را به فروشنده همکار شما ارائه می‌دهند؟
3. فروشنده‌ای که با آن همکاری مستقیم دارید، چه نظارتی بر روی فروشندگان خود دارد؟
4. رتبه امنیت سایبری این شرکت چند است؟

به این ترتیب سازمان شما می‌تواند از مخاطرات ناشی از اشخاص چهارم و نحوه به اشتراک‌گذاری یا ذخیره داده‌های حساس شما در سیستم‌های آنها اطلاع یابد. باید به این نکته توجه داشت که نفوذهای اطلاعاتی شرکت‌های شخص چهارم ممکن است به اندازه نفوذهای اطلاعاتی شخص اول یا سوم مخاطره‌آمیز باشند (به ویژه اگر اطلاعات هویتی مشتریان را ذخیره و پردازش می‌کنند).

چگونه درباره اشخاص چهارم اطلاعات لازم را کسب کنیم؟

از فروشندگان شخص سوم درخواست کنید تا اطلاعات زیر را در اختیارتان قرار دهند:

• سیاست خودشان درباره اشخاص سوم و نحوه همکاری با آنها
• یک فهرست کامل از فروشندگانی که داده‌های حساس شما را ذخیره و پردازش می‌کنند.
• آخرین ارزیابی‌های امنیتی انجام شده از هر کدام از شرکت‌های شخص چهارم

شرکت‌هایی که به صورت مداوم بر روی عملکرد فروشندگان شخص سوم و چهارم نظارت داشته و در چرخه روابط‌شان با سایر شرکت‌ها چک‌لیست امنیتی مربوطه را تکمیل می‌کنند می توانند به نحو بهتری مخاطرات ناشی از فروشندگان شخص سوم و چهارم را به حداقل برسانند. البته هرگز فراموش نکنید احتمال ایجاد مخاطرات از سوی فروشندگان شخص سومی که در گذشته با آنها همکاری می‌کردید نیز برای سازمان شما وجود دارد. برای مثال، فروشنده شخص سوم سابق شرکت TigerSwan اطلاعات حساسی را درباره این شرکت، در یک پاکت کاغذی به صورت محافظت نشده رها کرده بود. در سال 2017 میلادی هزاران رزومه در یکی از دامنه‌های وب سایت آمازون به نام “tigerswanresumes” باقی مانده بود. بنابراین با توجه به میزان بالا بودن خسارت‌های ناشی از نفوذهای امنیتی که به صورت سهوی یا عمدی توسط اشخاص سوم انجام می شوند، پیشگیری از بروز چنین حوادثی از اهمیت ویژه‌ای برخوردار است.

همچنین پیشنهاد می شود: نحوه ارزیابی امنیتی عملکرد شرکت‌های شخص سوم

[1] Vendor Risk Management

[2] General Data Protection Regulation

[3] Service-Level Agreement

[4] Office of the Comptroller of the Currency

[5] Federal Reserve System

[6] Federal Deposit Insurance Corporation