Supplier agreements must include requirements directed at direct suppliers and service providers to ensure organizational preparedness, physical security and cybersecurity. The aim is to ensure suppliers take appropriate measures to manage risks and handle incidents affecting the security of supply and the company’s network and information systems.

The organization should include in the supplier agreement, as appropriate:

• procedures for secure remote access to supply-critical networks and systems
• requirements for managing and reporting significant security incidents
• participation in the company’s preparedness exercises when relevant
• approval and control of subcontractors for significant services
• retention of company ownership of necessary and confidential data
• supplier’s obligation to demonstrate compliance with these requirements.

Organisaation on otettava käyttöön vahvat tunnistautumismenetelmät etäistuntoja ja -käyttöä varten. Useita eri tunnistautumismekanismeja suositellaan:

• Monivaiheinen tunnistautuminen (Multi-factor authentication, MFA): Kun käyttäjä käyttää järjestelmää, hänen on todennettava itsensä kahdella tai useammalla menetelmällä. Yleisiä menetelmiä ovat salasana, matkapuhelin, USB-avain tai muu vastaava tapa.
• Salasanalla suojattu VPN-yhteys: salasanalla suojattu yhteys kotitietokoneen ja organisaation verkon välillä varmistaa, että yhteys muodostetaan vain luotetuille käyttäjille.
• Suojattu (salattu) etätyöpöytäyhteys: vain valtuutetut käyttäjät voivat käyttää tätä yhteyttä oikealla salasanalla.
• Single sign-on (SSO): mahdollistaa saumattoman pääsyn useisiin sovelluksiin yhdellä salasanalla.

Organisaatiolla tulisi olla käytäntö, joka kattaa seuraavat etäkäyttöä ja -yhteyksiä koskevat aiheet:

• Sallitut etäyhteydet ja -yhteydet
• kirjautumismenetelmät
• salasanavaatimukset
• epäonnistuneiden kirjautumisyritysten enimmäismäärä
• Miten epäonnistuneita kirjautumisyrityksiä käsitellään
• Etäkäytön ja -yhteyksien aikakatkaisu
• Mitä tehdään, kun istunto on inaktiivinen

MFA:ta käytetään julkisista verkoista tai etähallintaratkaisujen kautta tapahtuvaan hallinnolliseen käyttöön, ja sillä varmistetaan vahva todennus, jossa käytetään vähintään kahta tekijää.

MFA:ta tarvitaan tärkeisiin tietojärjestelmiin pääsyssä, ja siinä käytetään esimerkiksi salasanan ja tekstiviestillä lähetetyn kertaluonteisen todennuskoodin yhdistämistä. Näillä toimenpiteillä varmistetaan, että etäverkon käyttö on suojattu varmistamalla käyttäjän henkilöllisyys useilla tekijöillä, mikä parantaa arkaluonteisten järjestelmien ja tietojen turvallisuutta.

Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.

Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.