Vijf standaard-clausules over data security in leverancierscontracten
Contracten met leveranciers kunnen niet meer zonder bepalingen en afspraken, die zeker stellen dat ook die leveranciers zich tot het uiterste inspannen om adequate security controls te hebben en te houden.
Toezichthouders stellen hoge eisen, en klanten hebben hoge verwachtingen rond de vertrouwelijkheid en beveiliging van gegevens – gegevens die vaak niet alleen in een organisatie als zodanig, maar in de hele keten het risico lopen gehackt, gewijzigd of gestolen te worden.
Steeds vaker gebruiken cybercriminelen de keten(relaties) als ingang om vervolgens de gegevensinfrastructuur en de daarin opgeslagen en verwerkte gegevens van afzonderlijke ( of alle) ketenpartners te compromitteren.
Daarom rust op die ketenpartners niet alleen de verantwoordelijkheid om te zorgen voor de eigen adequate beveiliging, maar moeten zij ook oog hebben voor de risico’s die zij lopen via de overige ketenpartners. John P. Piront, ‘president’ van IP Architects, stelt op isaca.org voor, om vijf typen security-clausules op te nemen in alle leverancierscontracten:
Het recht om audits en controles uit te oefenen – “vertrouwen is goed, controle is beter”. Om te zorgen dat ketenpartners adequate maatregelen treffen en onderhouden en niet uw eigen compliance in gevaar brengen is het nuttig om een ‘right to audit’ clausule in contracten op te nemen. Inclusief de eis dat de partner zo snel mogelijk maatregelen neemt indien het mis gaat.
Software-onderhoud en accountability— wanneer een organisatie een leverancier opdracht geeft om nieuwe software te ontwikkelen of bestaande in onderhoud te nemen is het van groot belang te eisen, dat security-risico’s en geconstateerde zwakke plekken onmiddellijk op kosten van de opdrachtnemer verholpen worden.
Compliance-verificatie— indien ook de leverancier compliant moet zijn aan bepaalde wet- en regelgeving of standaarden ( bijv. ISO 27001 of Payment Card Industry Data Security Standard [PCI DSS]) is het nuttig om contractueel vast te leggen dat de leverancier minstens een maal per jaar bewijst dat deze aan alle compliancy-eisen voldoet.
Disclosure van open-source softwarecomponenten— veel software en hardware wordt tegenwoordig samengesteld met behulp van open source componenten. Recentelijk werden daarin kwetsbaarheden onthuld zoals Heartbleed en Shellshock, die de vroeger zo populaire romantische mythe van de hoge security-graad van open source componenten naar de vuilnisbelt verwezen hebben. Het is dus van groot belang inzicht te hebben in welke (soort) open source componenten in de systemen en netwerken van uw leverancier een zwakke plek (kunnen) vormen; zodat u eisen kunt stellen voor wat betreft maatregelen en mitigering van eventuele gevolgen daarvan.
Flow down attest— het is van groot belang dat ook uw leveranciers op hun beurt beseffen dat u van hen verwacht dat ook zij eisen stellen aan hun partners verderop in de keten. De beveiliging is zo goed of slecht als de zwakste schakel in de totale keten. In leverancierscontracten dient ook aan deze aspecten expliciet aandacht geschonken te worden.