Sjekkliste for vurdering av skytjenester

Denne lista er ment som hjelp til miljøer som vurderer å ta i bruk en skytjeneste. Punktene kan f. eks. brukes som utgangspunkt for en ROS-analyse, eller som støtte til nettskjema for skytjenester.

Vi minner om at ROS-analyse og databehandleravtale er to viktige deler av en slik prosess. Det samme er vurdering av behandlingsgrunnlaget.

Av Chris Watterston (www.chriswatterston.com)

Hvorfor trenger du en skytjeneste?

  • Hvilke behov skal løsningen dekke?
  • Finnes det allerede egnede løsninger på UiO eller i UH-sektoren?
  • Har du snakket med Lokal IT eller USIT om dine behov?
  • TIlbyr UNINETT allerede en liknende løsning?
  • Kan løsninger som allerede finnes dekke behovene dine hvis det gjøres tilpasninger?

Hvem skal bruke løsningen?

  • UiO-brukere?
  • Brukere i UH-sektoren i Norge?
  • Akademikere i andre land?
  • Studenter? Ansatte?
  • Hvilke grupper av ansatte eller studenter?
  • Allmenheten? Publikum?
  • Deltagere i forskningsprosjekter?
  • Er bruken frivillig for brukerne, eller er brukerne pålagt å bruke systemet?
  • Er bruken f. eks. en del av et obligatorisk undervisningsopplegg?

Hvilke opplysninger skal overføres?

Ulike typer data har ulike krav til lagring og sletting. Du må selv sørge for å sette deg inn i de regler som til enhver tid gjelder for dataene som er aktuelle i ditt tilfelle.

Leverandøren

  • Er tilbyderen en ledende aktør i IT-bransjen, en mindre aktør, en nisjeaktør eller en nykommer?
  • Historie - hvor lenge har leverandøren vært i bransjen?
  • Eierstrukturer hos leverandør - hvor er firmaet etablert?
  • Finnes det momenter som gir grunn til uro - f.eks. negativ omtale i mediene eller kjente tilfeller av datalekkasje?
  • Har leverandøren andre kunder i UH-sektoren?

Underleverandører og tredjeparter

  • Bruker leverandøren underleverandører eller tredjeparter for å tilby de aktuelle tjenestene? Hvis så, tenk over hvilke tjenester og parter dette gjelder, og forholdet mellom leverandør og parter.
  • Brukes disse i flere ledd og over landegrenser?
  • Hvilke rutiner gjelder for bytte av underleverandører eller tredjeparter? Blir kunden varslet? Påvirker dette avtalen?
  • Foretar leverandøren aktiv overvåkning av kvaliteten på tjenestene som leveres «upstream» av tredjeparter for å sikre god kvalitet på tjenesten til UiO?+++

Kundeforholdet

  • Har man laget rutiner for å jevnlig gjennomgå og vurdere kvaliteten på tjenesten slik den leveres av tilbyderen – og hvordan kvaliteten henger sammen med kvaliteten som loves i SLA-dokumentene?
  • Har man laget rutiner for å - minst årlig - gjennomgå kontrakten formelt med tilbyderen?

Lokal forvaltning

Hvem er tjenesteansvarlig på UiO? Elementer som må vurderes:

  • Kommunikasjon med tilbyderen.
  • Kommunikasjon med USIT om tjenesten.
  • Oppsett og konfigurasjon av UiOs miljø i løsningen
  • Pågående vedlikehold og administrasjon
  • Oppsett og adminstrasjon av brukere
  • Oppsett og adminstrasjon av grupper og roller
  • Overvåkning og oversikt – herunder jevnlig revisjon av bruken av tjenesten og
    tilgangsstyringen

Lokal kontinuitetsplan

Vil enheten på UiO som bruker tjenesten lage en plan for hvordan man skal klare seg uten tjenesten dersom den skulle falle bort for kortere eller lengre tid?

Hvordan flyter data?

Hvilke data overføres hvordan? Og når?
Hvilke sikkerhetsmekanismer er i bruk for å sikre overføringen av data frem og tilbake mellom brukeren og tjenesten, eller mellom UiO og tjenesten?
Overføres data manuelt eller automatisk?
Hvilke sikkerhetsmekanismer er i bruk dersom tilbyderen overfører data fra en lokasjon (datasenter) til en annen?
Hvilke mekanismer og løsninger brukes av tilbyderen for å hindre datalekkasje?
Er overføringen kryptert? Kvalitet på kryptering? Hvilken score har serveren på SSLabs?
Flyter data tilbake til UiOs egne systemer?

  • Kan dette påvirke integriteten til våre egne lokale data?
  • Kan dette indirekte påvirke sikkerheten på lokale løsninger?

Overføres informasjon om brukerne? Hvilken informasjon overføres?

  • Brukernavn, fullt navn, e-post, telefonnummer?
  • Hvordan lagres denne informasjonen? Hvordan og når slettes den?
  • Provisjonering – ved bruk, eller i bulk.

Integrasjon av data

  • Lag gjerne diagrammer som beskriver prosess-flyten og dataflyten i tjenesten.
  • Trenger tjenesten å integreres med andre UiO-løsninger eller andre UiO-data, enten i skyen eller lokalt på UiO? Hvis så, tenk over hva og hvordan.
  • Støtter tjenesten automatisk overføring av filer eller kall på web-API-er? Tilbyr tjenesten et sikkert sted å hente datafiler?
  • Hvilke formater støttes for filoverføring? Eksempler er SFTP, SSH, HTTPS, ReST.
  • Er tredjeparter involvert i disse integrasjonene?

Hva benyttes data til?

De vanlige kommersielle skyløsningene har ofte standard vilkår. Disse selskapene forbeholder seg ofte retten til å bruke dataene til mer enn UiO ønsker eller aksepterer. Ikke trykk på «akseptér» uten å vite hva du sier ja til.

Benyttes dataene kun til ditt formål, og innenfor det avtalene tillater?

  • Er dette spesifisert godt nok?
  • Kan det skje endringer over tid?
  • Har alle parter den samme oppfatningen av avtalen?

Kan leverandøren benytte data til eget formål? Du må vurdere om dette er lov.

  • Forbedring av tjenestene?
  • Til reklame / markedsføring?
  • Kan data selges til tredjepart?
  • Til profilering av brukerne? Brukes systemer som f. eks. Google Analytics?
  • Forbeholder leverandøren seg noen rettigheter til å bruke, videresende eller offentliggjøre informasjon om UiOs brukere av tjenesten eller UiO sine data i tjenesten? Det er viktig å være oppmerksom på dette.

Datalagring og backup

  • Hvor og hvordan vil UiO sine data lagres fysisk?
  • Er dette lagret på UiO sine datasentre?
  • Brukes det en ekstern aktør som f. eks. Amazon Web Services eller Microsoft Azure?
  • Vil plassering av datasentre i ulike land påvirke de juridiske aspektene av avtalen og UiOs bruk av tjenesten?
  • Hvor ofte tas det sikkerhetskopi av UiO sine data?
  • Lagres sikkerhetskopiene lokalt hos tilbyderen eller et annet sted? Er underleverandører involvert?
  • Beskriv rutinene som regulerer tilgang til sikkerhetskopiene.
  • Er sikkerhetskopiene kryptert eller beskyttet på annen måte?
  • Er det mulig for UiO å ta sikkerhetskopi av dataene og lagre dem lokalt slik som annen lokal UiO-backup?
  • Gjør deg kjent med rutinen for å legge tilbake data fra tilbyderens backup.

Sletting av data

  • Hvilke data tas vare på etter sletting, og hvor lenge?
  • Hvor ofte sletter tilbyderen data?
  • Kan tilbyderen garantere at data som slettes etter retensjonstiden faktisk slettes?
  • Hva skjer med UiO-data hvis tilbyderen forsvinner fra markedet, blir kjøpt opp eller går konkurs?

Brukerhåndtering og tilganger

Autentisering av brukerne

  • Er brukerne lokale for løsningen?
  • Synkroniserer løsningen passord fra UiO? Hvordan lagres disse?
  • Bruker løsningen en form for autentiseringsløsning - SAML2, FEIDE, Dataporten, LDAP, Active Directory?

Autorisasjon og tilgangsstyring

  • Hvordan håndteres grupper?
  • Opprettes disse manuelt, eller brukes UiO sine kildesystemer?
  • Hvordan oppdateres disse?
  • Har man et rollebegrep?

Innrullering, avslutning og sperring

  • Hvordan gis tilgang? Av hvem?
  • Hvordan fjernes tilganger?
  • Kan en sperre en bruker ved tap av passord, eller mistanke om misbruk?

Hvem har gjort hva når?

  • Hvordan lagres historikken?
  • Sporing av endringer
  • Sporing av bruk
  • Kan man avdekke uautorisert bruk?
  • Tilgang for leverandørens driftspersonell
  • Tilgang fra underleverandørers driftspersonell?
  • Tilgang for vårt eget driftspersonell
  • Har utenlandske myndigheter tilgang?

Avtalevilkår

  • Husk at «gratis ikke alltid er gratis». Forsikre deg om at det ikke påløper kostnader når tjenesten er i produksjon.
  • Må avtalen ut på anbud?
  • Bruksvilkår - «fair use»
  • Er eierskap til dataene regulert i avtale?
  • Avvikshåndtering - setter avtalene begrensninger?
  • Oppsummér hvilke begrensninger som finnes i UiO sin bruk av tjenesten, slik dette er beskrevet i avtaledokumenter, brukervilkår, lisensvilkår eller tilsvarende betingelser.
  • Hvor lang tid i forveien må tilbyderen varsle om eventuelle endringer i disse betingelsene?
  • Er det beskrevet i betingelsene hvilke økonomiske eller andre sanksjoner som gjelder overfor tilbyderen dersom det forekommer en komprimittering av UiO sine data i tjenesten?
  • Hvilke sanksjonsmuligheter har man?
  • Er det et tak på de økonomiske sanksjonene?
  • Har tilbyderen egen forsikring for brudd på IT-sikkerheten – AKA «cyber-forsikring»?

Service Level Agreement (SLA)

  • Har tilbyderen en gjeldende SLA som beskriver i detalj forventet kvalitet på tjenesten, herunder f. eks. oppetid og ytelse?
  • Hvordan håndteres variasjoner i bruksmønster, f. eks. ved semesterstart? («altinn.no»-effekten)
  • Gjør deg kjent med de viktige delene av denne avtalen.
  • Kan tilbyderen gi oss jevnlige rapporter over kvaliteten på tjenesten? Hvis så, hvor ofte?
  • Tenk over hvilke sanksjoner som kommer inn i bildet ved brudd på SLA-en.
  • Når kan du få tak i leverandøren? Er du en liten kunde som lett kan ignoreres av en stor leverandør?

Avslutning av avtalen

  • Hva skjer når man vil si opp avtalen og slutte å bruke tjenesten?
  • Tenk over prosedyrene for å si opp avtalen.
  • Har man en «Exit-strategi»?
  • Hva skjer med UiO sine data i tjenesten når avtalen avsluttes?
  • Kan UiO sine data og den aktuelle tjenesten flyttes til en annen tilbyder når UiO ønsker det?
  • Vil UiO sine data forsvinne i sin helhet fra løsningen, inkludert eventuelle sikkerhetskopier, når dataene slettes fra tjenesten eller bruken av tjenesten sies opp?
  • Finnes det verktøy for å eksportere dataene? Er disse enkle å bruke?
  • Beholder leverandøren rettigheter til UiO sine data selv om dataene er fjernet fra leverandøren og tjenesten?
  • Beskriv eventuelle ekstra utgifter som kan påløpe ved avslutning av kundeforholdet.
  • Kan UiO avslutte avtalen dersom tilbyderen endrer de økonomiske vilkårene i avtalen?
  • Kan UiO avslutte avtalen dersom det forekommer brudd på personvern eller dataenes konfidensialitet eller integritet?

Juridiske forhold

  • Har man inngått de nødvendige databehandleravtaler? Er man allerede dekket av en eksisterende slik avtale?
  • Blir eventuelle avtaler signert av personer med gyldig signeringsmyndighet? Kan personen signere avtaler på vegne av UiO?
  • Er det plassert et ansvar for å følge opp slike avtaler etter at de er inngått?

Risikoanalyser

  • Er systemet innenfor akseptabel risiko?
  • Er det foretatt en ROS-analyse? Er denne lagret i ePhorte?
  • Hvem eier denne risikoen? UiO som kunde, eller sluttbruker?

Har man lovlig grunnlag for å overføre data til utlandet?

  •  EU/EØS? USA? Andre land?

Formåls- og hjemmelsvurderinger

  • Har man rettslig grunnlag for behandlingen av dataene?
  • Hva skal systemet brukes til?
  • Er det nødvendig med samtykke fra brukerne?
  • Hvem utformer brukernes samtykke-erklæring? Kunden eller leverandøren?
  • Har brukerne fått nødvendig informasjon? Er bruken frivillig?
  • Finnes det lovhjemmel for å samle inn data, for eksempel personopplysninger eller bedriftshemmeligheter til dette?

Personvern

  • Hvordan oppfyller leverandøren kravene til «Innebygd personvern»?
  • Har systemet trygge standard-innstillinger?

Oppdateringer

Hvordan oppdateres tjenesten?

  • Kontinuerlig? Varsles dette? Kan du som kunde styre det?
  • Kan endringer utløse endringer i avtaler eller risikoanalyser?
  • Kan det avtales rammer som det kan endres innenfor?

Sikkerhetshendelser

  • Gjør deg kjent med tilbyderens rutiner for hendelseshåndtering

  • Kan tilbyderen, dersom det er nødvendig av hensyn til etterforskning av en hendelse, fryse dataene til én kunde eller tenant uavhengig av andre kunder eller tenants?

  • Tenk over rutinene som UiO skal bruke for å rapportere en hendelse til tilbyderen.

  • Tenk over rutinene som tilbyderen skal bruke for å rapportere en hendelse til UiO.

  • Hvilken informasjon finnes i tilbyderens generelle rapporter om IT-sikkerhetshendelser eller andre hendelser.

  • Har du muligheter til å avdekke det selv?
  • Har du tilgang til logger?

Sikkerhet i applikasjonen

  • Hvilke rutiner følger tilbyderen for utvikling av applikasjon og tjeneste? Inkluderer disse rutinene formelle test- og akseptanse-rutiner?
  • Hvilke sikringstiltak er i bruk i produksjonsmiljøet? Eksempler kan være firewall-er på applikasjonsnivå, databaselogging, auditing og liknende.
  • Hvordan sikrer man dataenes integritet? Hvilke kontrollmekanismer finnes for intern håndtering av dataene?
  • Er tidsavbrudd på web-sesjoner tilgjengelige og justerbare?

Katastrofe- og kontinuitetsplan hos leverandør

Har tilbyderen en plan for å gjenopprette tjenesten etter en katastrofe eller større hendelse?
Legg den ved dersom den finnes, og spesifisér når den sist var testet.

Håndterer denne planen minimum

  • Strømstans eller kritisk systemsvikt
  • Fysiske hendelser som brann, vannskade eller oversvømmelse
  • Bemanningsmessige forhold som påvirker tjenesten
  • Brudd på IT-sikkerheten som påvirker tilbyderens kjernesystemer, f. eks. DDOS-angrep.

Har tilbyderen en failover-site? I så tilfelle, holder den like høy standard som hoved-siten? Utred dette.
Er de samme sikkerhetsmekanismene implementert på reserve-siten som på hoved-siten?
Hvor er failover-siten lokalisert? Innebærer plasseringen endringer i de juridiske forutsetningene som må tas hensyn til?
Hvilken tjenestekvalitet kan tilbyderen tilby i en unntakstilstand der man skal gjenopprette tjenesten etter en katastrofe eller større hendelse?

Delte produksjonsmiljøer

  • Er  UiO sitt miljø satt opp på delt hardware, eller er hardware delt mellom flere kunder? Dette kalles gjerne «multi-tenancy».
  • Hvis miljøet er delt, hvordan kontrollerer og begrenser tilbyderen tilgangen til UiO sin del av installasjonen?
  • Hvilke mekanismer brukes for å skille UiO sin del av installasjonen fra andre kunders del av installasjonen?

Standarder

Støtter tjenesten kravene til felles tilgjengelighet gitt i WCAG 2.1? Sitér eller legg ved dokumentasjon.
Hvilke sertifiseringer er involvert? Hvilke har leverandøren?

  • ISO 27001
  • ITIL
  • Hva er faktisk dekket i hele løsningen? Og hva er «reklame» fordi det bare gjelder en liten del av løsningen?

IT-sikkerhet

Tenk over hvilke mekanismer, rutiner og kontrollgrep som brukes aktivt og operativt av tilbyderen for å ivareta informasjonssikkerheten. Er tilbyderen sertifisert for ISO27001 eller liknende?
Har tilbyderen vært involvert i noen større brudd på IT- eller informasjonssikkerheten de siste to årene? Noter dere i så fall disse.
Hvilke aktiviteter eller elementer logges av tilbyderen? Eksempler kan være

  • Nett-trafikk
  • Fil-aksess
  • Server-aksess
  • Databaser og servere
  • Active Directory
  • Webservere og epost-servere
  • VPN-systemer
  • Systemer for virtualisering
  • Støtter tilbyderens rammeverk for logging og overvåkning at hendelser kan isoleres til en spesifikk kunde?

Hvem kan etablere logging av en aktivitet?
Hvem har tilgang til loggene?
Hvor lenge tar tilbyderen vare på loggene?
Hvilke alarmer kan etableres i tjenesten?
Hvem mottar alarmene?
Dersom tilbyderen bruker virtualiseringsteknologi – har man mekanismer for å oppdage uønskede endringer i images eller konfigurasjonen av de virtuelle maskinene?
Dersom tilbyderen bruker virtualiseringsteknologi –støtter løsningen at man etablerer de virtuelle maskinene på annen hardware etter en større systemsvikt?
Bruker tilbyderen kryptering for å sikre VM-images når de transporteres mellom nett og mellom hypervisors?

Vedlikehold og support

I hvilke tidsrom tilbyr tilbyderen support og brukerstøtte? Er dette hensiktsmessige tider for UiOs brukere av tjenesten?
Er tilbyderens nedetidsvinduer hensiksmessige for UiOs brukere av tjenesten?
I hvilken grad forplikter tilbyderen seg til å svare på henvendelser og løse problemer som oppstår? Er dette tilstrekkelig for UiOs brukere av tjenesten?
Skal tilbyderen gi beskjed dersom kvaliteten på tjenesten senkes på grunn av noe forutsett eller uforutsett?
Når kan du få tak i leverandøren? Er du en liten kunde som lett kan ignoreres av en stor leverandør?

Revisjon og tilsyn

Hvor ofte gjøres det tilsyn, kontroll eller revisjon? Følger dette bransjestandarder som SOC2 eller ISO27001? Gjøres dette av en uavhengig tredjepart?
Får UiO tilgang til, og/eller varsel om, disse rapportene? Er dette spesifisert i avtaleteksten? Gjelder dette også dersom dette gjøres av en tredjepart?
Har UiO rett til å føre tilsyn med eller revidere tilbyderen? Er dette spesifisert i avtaleteksten?
Foretar tilbyderen jevnlige sårbarhetsvurderinger eller penetrasjonstester? Beskriv i så tilfelle når dette skjedde sist, og hvilke funn som ble avdekket.
Kan UiO eller UiOs leverandører utføre slike tester selv? Er dette regulert i avtalen?
Har de sist avdekkede sårbarhetene blitt utbedret?
Hvordan sikrer du at leverandøren overholder alle krav?

Du må melde fra om bruken

Systemer som brukes til registrering av personopplysninger skal registreres i UiOs oversikt over slike systemer, den såkalte «meldeappen». Dette gjelder i praksis de aller fleste skytjenestene.

Av Ståle Askerød Johansen, Asbjørn Tingulstad Hem
Publisert 20. aug. 2019 13:44 - Sist endret 21. aug. 2019 14:23