挪威的国家安全局警告IT行业关于安全义务
挪威国家安全局(NSM / Nasjonal Sikkerhetsmyndighet)的一份报告已经警告其安全义务的供应商,这些供应商在通过BroadNet将IT服务外包的争议周围的争议之后。
NSM发布并分发了20页的报告,提醒IT行业在外包给外国分包商时提醒其国家安全义务。该报告旨在鼓励ICT行业更有效地实施监督控制,支票和余额,特别是与外国承包商及其员工允许的IT网络访问水平相关。
负责保护挪威国家和私人IT基础设施的诚信对传统和严重的网络空间威胁负责的NSM已停止推进新立法的需要,以收紧规则,并限制其授予的其分包工作的范围企业在挪威到外国IT服务公司。
事实上,NSM报告认识到越来越重要的现实,即更多组织正在寻求外包或部分其投资组合以防止成本。
NSM报告的主要重点是其分包协议,可能对挪威的国家安全有直接影响。“近年来,我们已经看到了与挪威公司的外包决策有关的风险管理的情况已经下降,”NSM总干事Kjetil Nilsen说。
NSM报告有三个总体原则,建议IT公司管理其与外国企业分包合同。第一个原则是指IT公司的需要完全概述IT项目的使用寿命周期。
此外,建议公司采用并申请高标准的风险管理,以支持授予分包联的决策。第三个涉及高级管理层在所有决策中参与,导致授予外国公司的ICT分包。
NSM报告中提到的三个特定的总统原则直接与所谓的BroStNetFiafia1中的“经验教训”。BroadNet是挪威的领先提供商,包括业务,运营商和公共部门的基于光纤的数据通信提供商。该公司是该国紧急通讯局为诺德内特基础设施的主要供应商。BroadNet的全国范围的光纤网络连接了挪威的90个城镇,覆盖了15,000英里(24,000公里)。
Broadnet于2015年9月,Broadnet与成本储蓄计划影响了与IT服务提供商Tech Mahindra的分包协议。将任务转移到印度导致挪威单位的大约120名员工的裁定,以前在Broadnet上处理了这项工作。
随着时间的推移,外包合同导致了许多安全漏洞。这些涉及的偏差,Tech Mahindra员工未经授权访问BroadNet的核心网络和扩建国家紧急网络。
BroadNet通过加强监督和网络监测程序来促进违规,以更好地管理访问。在一个关联的行动中,作为外包分包的一部分,已经外包给Tech Mahindra的工作人员被收回“安全理由”。
Nødnett国家紧急网络的运营责任是摩托罗拉的任务,具有Broadnet作为关键分包商。Nødnett网络在运输和通信部(MTC)的监督下运作。这是摩托罗拉首先注意到它在2016年12月在IT网络安全中违反了它的侵害。
该公司报告了由Tech Mahindra的定义操作程序中可能的偏差。这些偏差主要与调试活动相关联。在MTC,NKOM和国家安全机构向Brodnet和Tech Mahindra举行了差异。
挪威国家拥有诺德内特国家紧急网络的60%兴趣。Nødnett运营网络中所有线条的10%来自Broadnet租赁。
Broadnet自己的内部安全单位观察到Tech Mahindra员工未经安全许可的未经授权的IT网络泄露,于2017年2月。在法定义务报告程序下向NKOM,挪威电信管理局和国家安全机构报告了违规行为。
NKOM获悉,TechMahindra更广泛地访问挪威紧急网络,而不是在与BroDnet的合同下提供的。串行安全漏洞导致ByryNet的管理委员会的决定,由NKOM提示,将紧急网络和基础设施维护活动的整个运营转回挪威。2017年9月中旬,所有业务已恢复到Broadnet。
Tech Mahindra外包合同中的安全缺点引发了NKOM委托的调查,并由挪威警察安全服务(PST / POWITIETS SIKKERHETSTJENESTE)于2017年11月进行。监管机构最初订购了NKOM,以立即采取补救措施来升级其安全协议。NKOM通过在Broadnet上施加NOK14M罚款,在Broadnet上施加NOK14M罚款,无法操作有效的风险管理和IT网络安全措施和控制。
PST的调查报告得出结论认为,在IT服务外包协议的14个月期间,TechMahindra的员工均接近全国应急网络的部分,但没有必要的许可或安全许可允许官方访问。
“最重要的是,我们已经关闭了安全偏差和解决的违规行为,”Broadnet的运营总监TorbjørnKrøvel说。“这是必不可少的结论是,任何与紧急网络合作的人都必须具有安全许可。”
Broadnet坚持认为没有任何违规行为对其IT网络安全或Nodnett管理的国家紧急网络的安全性构成了严重风险。
从挪威ICT部门的角度来看,NSM报告将及时提示向公司审核网络安全协议以及在协商服务合同外包时处理系统访问的所有方面。
IT公司的中央信息是需要映射哪些法律,要求和法规在全国和国际上适用于其IT服务外包合同。特别是此类合同必须遵守“安全法”和“个人信息法”规定的法律。
对于ICT部门来说,国家安全影响和与Broadnet与Tech Mahindra的关系相关的教训是许多而且明显的。通过Broadnet允许,未经授权和无意中允许印度分包商,访问Nodnett运营的国家紧急通信系统。
这是挪威最重要的国家应急网络,包括255名紧急呼叫中心,用于警察,消防部门和医疗响应服务。大约60%的Nødnett的遗址由微波连接,租用纤维占毛线占40%。