Nå i starten av 2022 har vi nok en gang erfart at sårbarheter i IT-systemene kan få katastrofale følger for virksomheter. I denne bloggposten deler vi våre erfaringer og tips til å tette sikkerhetshullene.
Har jeg kontroll med informasjonssikkerheten hos mine leverandører?
Variasjonen av sårbarheter som kan utnyttes av aktører med ondsinnede hensikter øker for hvert år, og det avdekkes hele tiden nye mulige teknologiske sikkerhetshull; i utviklingsspråk, webapplikasjoner og plattformer, eller i IT-arkitekturen for øvrig. Samtidig er vi i en tid hvor virksomhetene knytter til seg stadig flere samarbeidspartnere, eksterne integrasjoner og skreddersydde løsninger fra ulike leverandører. Kompleksiteten i den totale systemporteføljen er derfor raskt økende.
Så hvordan kan virksomheter skaffe oversikt over det totale systemlandskapet og øke tryggheten for at de ikke har sårbarheter som kan utnyttes av eksterne aktører?
Det er selvfølgelig ikke et entydig svar på dette, og det er mange grep en virksomhet bør ta for å styrke informasjonssikkerheten i egen virksomhet. Vi i BDO har imidlertid sett at ett av de viktigste grepene man i tillegg bør ta, er å stille krav til sine IT-leverandører. Og ett tiltak som bidrar til å øke kvaliteten i informasjonssikkerheten hos IT-leverandørene, er å be disse om en tredjepartsuttalelse for de tjenestene de leverer.
BDO bistår flere virksomheter med å utstede såkalte tredjepartsuttalelser knyttet til internkontrollen hos disse leverandørene, som omfatter blant annet IT-drift, utvikling, drift og forvaltning av applikasjoner og SaaS -løsninger (Software-as-a-Service), eller andre IT-tjenester. I Norge utstedes disse tredjepartsuttalelsene under revisjonsstandardene, ISAE 3000 og ISAE 3402, eller som såkalte SOC2-uttalelser under den amerikanske revisjonsstandarden, SSAE 18.
Hvilket grunnlag har jeg for å hevde at tredjepartsuttalelser bidrar til økt kvalitet?
I løpet av de siste årene har jeg bistått en rekke IT-leverandører med å jobbe frem et grunnlag for en tredjepartsuttalelse, og spesielt med mindre virksomheter som utvikler og leverer SaaS-løsninger eller apper til bestemte markeder. Leverandørene opplever i større grad å få krav på seg om å utstede en tredjepartsuttalelse fra både eksisterende og potensielle kunder, og spesielt fra kunder i utlandet.
Selve grunnlaget for en tredjepartsuttalelse består av en beskrivelse av organisasjonen, de tjenestene eller systemene som leveres til kunden, og den internkontrollen som er etablert i og rundt leveransene av tjenestene og systemene. Gjennom dette arbeidet har jeg observert at virksomheter som ikke har jobbet strukturert med å beskrive interne prosesser og kontrollaktiviteter tidligere går gjennom en vesentlig (og nødvendig) modningsprosess i utarbeidelsen av dette grunnlaget. Bevisstheten øker hos prosesseierne etter hvert som de deltar i arbeidet med å definere ansvarsområder, beskrive hvordan de jobber med prosesser for utvikling, drift og forvaltning av tjenestene, eller med å gjennomføre risikovurderinger og implementere og evaluere sikkerhetstiltak. Og sist, men ikke minst, øker bevisstheten gjennom å sette ord på hvilke risikoer som er knyttet til prosessene, hvilke kontrollmål man ønsker å oppnå, og hvilke kontrollaktiviteter som er etablert for å bidra til å redusere nettopp disse risikoene, eller til å oppfylle de konkrete kontrollmålene.
Ofte har jeg reflektert over at leverandørene før man starter arbeidet med en tredjepartsuttalelse har etablert en rekke løpende kontrollaktiviteter i sine operative prosesser, men de har ikke definert hvilke risikoer disse kontrollene skal bidra til å redusere. De har heller ikke definert hvor ofte kontrollene bør utføres for å fungere etter forutsetningene, eller hva som er beviset for at kontrollen faktisk er blitt utført. Så selv om en leverandør gjerne har etablert et visst nivå på internkontrollen i sin virksomhet, så har man gjennom arbeidet med å utarbeide et grunnlag for en tredjepartsuttalelse, bidratt til større bevissthet og modenhet i egen organisasjon. Samtidig har arbeidet bidratt til en mer strukturert internkontroll, kontrollaktiviteter av høyere kvalitet og til en prosess for videreutvikling og kontinuerlig forbedring av internkontrollen.
Hva med leverandører som allerede har et visst modenhetsnivå, er ISO 27001 sertifisert eller er underlagt bestemte lover og forskrifter?
Gjennom de siste årene har jeg også hatt gleden av å jobbe med utstedelse av tredjepartsuttalelser for virksomheter som allerede har et visst modenhetsnivå i sin organisasjon. Dette kan være virksomheter som har en ISO 27001-sertifisering av sitt ledelsessystem for informasjonssikkerhet (ISMS), har vært underlagt SOX -rapporteringskrav (Sarbanes-Oxley Act) eller andre strenge krav gjennom IKT-forskriften for finansforetak, eller annet.
Erfaringene hos disse kundene er ikke ensartede, men en observasjon jeg har gjort er at hvis man allerede er ISO 27001-sertifisert er veien frem til å utarbeide et grunnlag for en tredjepartsuttalelse kortere. Styrende dokumenter og prosesser er i stor grad allerede beskrevet og dokumentert, men må tilpasses for å kunne formidles til eksterne. Det må også gjøres endringer i beskrivelsene for å tilpasses de bestemte tjenestene eller systemene som uttalelsen skal dekke. I disse tilfellene består det vesentligste av arbeidet i å definere risikoer, kontrollmålsettinger og kontrollaktiviteter. Definisjonen av hva som er en kontrollaktivitet og kravet til å bevise at denne faktisk er utført som beskrevet, er mer detaljert i en tredjepartsuttalelse enn i et ISMS. Veien til et endelig grunnlag for en tredjepartsuttalelse er imidlertid kortere enn om man starter på bar bakke.
Tilsvarende erfaringer har jeg gjort meg hos virksomheter som er underlagt bestemte lover og forskrifter, SOX-rapportering eller IKT-forskriften. Her ligger ofte den største utfordringen i å omformulere beskrivelser av organisasjon, tjenester/systemer og prosesser fra å ha et internt fokus til hvordan dette bør beskrives for de tjenestene som leveres til eksterne. I noen tilfeller har jeg også opplevd at prosessbeskrivelsene har vært lite operasjonalisert, slik at de i større grad bærer preg av å ha ligget i en skuff siden de ble utarbeidet, enn at de stemmer med hvordan virksomheten faktisk jobber i dag. Involvering av riktige prosesseiere og kontrollutførere i virksomheten er derfor en viktig suksessfaktor for å jobbe frem et grunnlag for en uttalelse som også kan være et fremtidig levende dokument.
Innebærer utstedelsen av en tredjepartsuttalelse en garanti for informasjonssikkerheten hos en leverandør?
Det er ingen IT-leverandører som kan garantere for 100% sikkerhet knyttet til leveranse av tjenester, systemer og andre IT-driftsoppgaver. Jeg vil imidlertid hevde at den modenheten og bevisstheten som følger i kjølvannet av en tredjepartsuttalelse er med på å opprettholde et visst nivå på internkontrollen hos leverandøren gjennom løpende kontrollaktiviteter og måling av at kontrollaktivitetene blir utført som beskrevet. I og med at utstedelsen av en tredjepartsuttalelse gjentas hvert år er muligheten for å fange opp risikoer, sårbarheter eller avvik på et tidlig tidspunkt større enn om de ikke hadde etablert denne internkontrollen.
Hva bør virksomheter gjøre?
Siden innføringen av GDPR i Norge og EU i 2018 har vi sett en gradvis økning i bevisstheten knyttet til internkontroll og informasjonssikkerhet hos IT-leverandører også i Norge. Jeg vil likevel hevde at vi ligger et godt stykke bak andre land i Europa og USA når det gjelder hvilken type krav vi stiller til leverandørene. Mange store, internasjonale virksomheter stiller et ultimatum overfor potensielle leverandører om at de kan utstede en uavhengig tredjepartsuttalelse, før de i det hele tatt vurderer å innlede en tilbudsprosess med leverandøren. Dette bør også norske virksomheter ha et mer bevisst forhold til.
Vær oppmerksom på at selv om leverandøren henviser til at de er ISO 27001-sertifisert eller fremlegger styrende dokumenter og prosessbeskrivelser om internkontroll og informasjonssikkerhet, betyr det ikke at dette reflekterer virkeligheten, eller at det omfatter de tjenestene din virksomhet benytter. Fordelen med en tredjepartsuttalelse i form av en ISAE 3000/3402-uttalelse, eller en SOC2-rapport, er at denne utstedes av en uavhengig tredjepart. Denne tredjeparten må være autorisert til å avgi denne typen uttalelser i samsvar med revisjonsstandardene. Kravene i revisjonsstandardene til å gjennomgå prosesser og teste kontrollaktivitetene vil derfor være med på å gi større trygghet for mottakeren.
Som en avslutning vil jeg derfor oppfordre alle virksomheter som enten har, eller er i ferd med å inngå, et samarbeid med en IT-leverandør om å etterspørre en tredjepartsuttalelse for de tjenestene som leveres. Ta kontakt med en av våre rådgivere her.