Az Opus and Ponemon Institute egyik tanulmánya már három évvel ezelőtt azt állapította meg, hogy a vállalatok 59 százaléka tapasztalt olyan adatszivárgást, amelyikre nem közvetlenül a saját hiányosságai miatt, hanem valamelyik szállító vagy harmadik fél hibájából kerülhetett sor. A Google biztonsági blogján a társaság illetékes alelnöke ezt a felmérést is idézi, amikor megállapítja, hogy az informatikai műveletek kiszervezése népszerű üzleti stratégiává vált ugyan, mert megtakarításokkal és a működési hatékonyság növekedésével járhat, de ugyanilyen jelentős biztonsági kockázatokat jelent.

Miután az ilyen szállítók szükségszerűen hozzáférnek a kritikus rendszerekhez és az ügyféladatokhoz, az ő biztonsági státuszuk is ugyanolyan fontos tényező, mint a megrendelő állapota. A különböző méretű szervezetnek ezért meg kell tervezniük és implementálniuk kell azokat az alapvető biztonsági követelményeket a szolgáltatók oldalán is, amelyek megfelelnek kockázati helyzetüknek, ez azonban mindkét fél számára lehetetlen feladatot jelent, ha több ezer különböző kritériumnak próbálnak eleget tenni.

A probléma megoldását a Google egy olyan iparági összefogásban látja, amelynek keretei között szállítósemleges biztonsági alapkövetelményeket határoznak meg. A most bejelentett Minimum Viable Secure Product (MVSP) minősítés célja éppen az lenne, hogy csökkentsék általa mind a többletköltségeket, mind pedig a beszerzési, ajánlatkérési és szállítói biztonsági értékelési folyamatok bonyolultságát vagy átláthatatlanságát. Az MVSP így mindkét oldalt támogatja, és hetekkel vagy akár hónapokkal is lerövidítheti a bevezetési és értékesítési ciklusokat.

Alakul az ellenőrzőlista

A követelményrendszert különböző iparági szereplők közösen fejlesztik és támogatják, ebben a Google mellett már részt vesz a Salesforce, az Okta, a Slack és más társaságok. Célunk, hogy az egész iparágban növeljük a biztonsági minimumot, miközben egyszerűsítjük az átvilágítási folyamatot. Az MVSP-t tulajdonképpen egy olyan együttműködési alapnak szánják, amelyik minimális biztonsági követelményekkel szolgál a B2B szoftver- és üzletifolyamat-kiszervezéssel foglalkozó beszállítóknak, garanciát nyújtva legalább az észszerű biztonsági kontroll kialakítására.

Az MVSP a bejelentés szerint egy alapszintű ellenőrzőlista formájában jelenik meg, amelyet az egyes megoldások biztonsági helyzetének felülvizsgálatára lehet használni. Az ezzel foglalkozó csapatok a legelső körben az MVSP-hez mérhetik hozzá a szállítói ajánlatokat és saját szervezetük biztonságát, a beszerzési vonalon információkat gyűjtenek a szállítók szolgáltatásairól, a jogi részlegek erre hivatkozva tárgyalhatnak a szerződésekben foglalt ellenőrzési lehetőségekről, és a megfelelőségi törekvésekben is alapot jelenthet a széles körben elfogadott és alkalmazott követelményrendszer.

A Google és a Salesforce közleményei szerint az MSVP listája egyszerű kérdéseket tartalmaz arra vonatkozóan, hogy a szállító végez-e éves rendszerességgel átfogó penetrációs tesztelést a rendszerein, megfelel-e a helyi törvényeknek és előírásoknak, például az európai GDPR-nak, megvalósította-e az egyszeri bejelentkezést (SSO) modern és szabványos protokollok használatával, vagy milyen gyakran alkalmaz biztonsági javításokat. A válaszokból az is kiderül, hogy a szállító vezet-e listát azokról az érzékeny adattípusokról, amelyeket az alkalmazásainak fel kell dolgoznia, és rendelkezik-e naprakész adatfolyam-diagrammal (DFD) az érzékeny adatok útjáról. Az MVSP emellett kitér a létesítmények fizikai biztonságára is oylan szempontok mentén, mint hogy a szállító rendelkezik-e több szinten ellenőrzött biztonsági övezetekkel, vagy naplózza-e a belépéseket és a kilépéseket az objektumokban.

Az MVSP-kezdeményezésben résztvevő iparági szereplők a közösségi visszajelzéseket és az olyan szervezetek megkeresését is várják, amelyek avlamilyen módon hozzá akarnak járulni a követelményrendszer kialakításához. A részletekkel kapcsolatban a cégek erre a GitHub-os könyvtárra irányítják az érdeklődőket.