Ett cyberintrång hos en extern SaaS-leverantör kan få konsekvenser för tusentals organisationer samtidigt. Efter den uppmärksammade incidenten mot Canvas lyfter itm8 behovet av en tydligare beredskap för hur organisationer bör agera under de första 24–72 timmarna efter en leverantörsincident.

SaaS-tjänster är i dag en självklar del av många organisationers IT-miljöer. När verksamhetskritiska system, användardata och kommunikation hanteras i externa plattformar blir leverantörens säkerhetsarbete också en del av den egna riskbilden.

Den uppmärksammade incidenten mot Instructure, leverantören bakom lärplattformen Canvas, är ett tydligt exempel på hur hotaktörer i allt större utsträckning använder SaaS-leverantörer som en attackyta för att nå många organisationer samtidigt. Vid incidenten riskerade, enligt uppgifter, nära 9 000 skolor och omkring 30 miljoner användare att drabbas. Den data som blev åtkomlig ska bland annat ha omfattat namn, e-postadresser och interna meddelanden.

För Thomas Öberg, Principal Architect Cybersecurity på itm8, visar händelsen varför Zero Trust-principen även behöver omfatta externa molntjänster. När viktiga system och känslig information hanteras av SaaS-leverantörer handlar det om att kontinuerligt verifiera åtkomst, begränsa behörigheter och följa upp leverantörens säkerhetsarbete över tid.

– Det handlar inte om att sluta använda SaaS-tjänster, utan om att vara förberedd på att även betrodda leverantörer kan drabbas, säger Thomas Öberg.

De första dygnen är avgörande

För att hjälpa organisationer att agera när en leverantörsincident inträffar har itm8 sammanställt en handlingsplan för de första 24–72 timmarna. Fokus ligger på det kritiska inledande skedet, då informationen ofta är begränsad men beslut ändå måste fattas snabbt.

Handlingsplanen omfattar fem centrala områden:

Vidta nödvändiga åtgärder enligt GDPR
Bedöm om personuppgifter kan ha exponerats och om incidenten behöver rapporteras till Integritetsskyddsmyndigheten (IMY).

Begränsa användningen av tjänsten
Lås ned eller begränsa interaktionen med den berörda molntjänsten för att minska risken för ytterligare påverkan.

Upprätta en kommunikationskanal med leverantören
Säkerställ löpande information om status, påverkan och omfattning, och efterfråga konkreta besked som går att agera på.

Informera berörda individer
Kommunicera vad som är känt, vilka åtgärder som vidtas och vad användarna själva bör vara uppmärksamma på. Det inkluderar risken för falska säkerhetsmeddelanden, desinformation och riktade nätfiskeattacker.

Utvärdera SaaS-leverantören
Följ upp hur leverantören agerade före, under och efter incidenten – från säkerhetsarbete och kommunikation till de åtgärder som vidtagits efter händelsen.

Syftet med handlingsplanen är att ge organisationer en tydlig struktur och bättre förutsättningar att fatta välgrundade beslut när osäkerheten är som störst. Samtidigt behöver beredskapen kompletteras med förebyggande åtgärder, inte minst genom att ställa krav på transparens i leverantörens säkerhetsarbete.

– Det är det enda sättet att förstå om och hur leverantören arbetar systematiskt med säkerhet. Leverantörer behöver inte visa ritningen till hela sitt skydd, men de måste kunna vara öppna med vilka åtgärder som genomförs, hur säkerhetsarbetet utvecklas och hur det följs upp över tid, säger Thomas Öberg.