Klumme: Cyberrobusthed er intet værd uden sikre leverandører
"Ingen kæde er stærkere end det svageste led," siges det.
Det samme gælder virksomheders forsyningskæder. I takt med, at flere virksomheder undergår en digital transformation og udvider deres digitale forsyningskæde med et sammensurium af data fra forskellige leverandører og partnere, åbner de op for langt flere angrebsflader for hackere.
Det har manifesteret sig i flere og større cyberangreb på forsyningskæder, som vi f.eks. har set det med SolarWinds- og Microsoft Exhange-angrebene.
Virksomheder er kun så sikre som deres svageste led
Det kan godt være, at virksomheder ser deres egne netværk som sikre. Men det er ikke kun gennem virksomhedernes eget netværk, hackerne kan få adgang til data. Der skal også tages højde for netværket hos de leverandører, der behandler virksomhedens data, dem, der integreres med interne systemer, og dem, som virksomheden stoler på i den daglige drift. De leverandører, som virksomheder er mest afhængige af, er ofte integreret i forsyningskæden i større eller mindre grad.
Men hvordan er leverandørernes sikkerhedsprotokoller? Og leverandørernes leverandørers sikkerhedsprotokoller? Beskytter de virksomhedens fortrolighed, integritet og tilgængelighed af data og adgang i samme omfang, som virksomheden selv?
Det vigtigste er i virkeligheden at have et overblik over og forstå de sikkerhedshuller og risici, som leverandørforhold udsætter forsyningskæden for. Hvis man, som virksomhedsejer, ikke er sikker på, hvordan ens leverandører forholder sig til sikring af data, sætter man nemlig potentielt virksomhedens cyberrobusthed over styr.
Hos Datto ser vi heldigvis flere af vores kunder, MSP’erne, fokusere på både deres egen og slutkundernes cyberrobusthed når de tjekker op på deres leverandører og partnere. Både som MSP og virksomhed er outsourcing ofte en nødvendighed, og digital tillid er derfor også nøglen til et godt partnerskab. Dog kommer tillid ikke ud af det blå, men derimod gennem gentagende bevis på, at der bliver passet på virksomhedernes data hele vejen rundt.
Har du tjekket dine leverandørers sikkerhed for nyligt?
Hvis man vil skabe en cyberrobust forretning, skal leverandører og partnere involveres, og der skal stilles krav til niveauet af deres sikkerhed. Men først og fremmest skal virksomheder selvfølgelig kigge indad og sikre, at de selv har styr på egne sikkerhedsprocedurer og potentielle sikkerhedshuller.
Et godt sted at starte er at logge, hver gang en ekstern leverandør kommer ind og ud af virksomhedens systemer. På den måde kan it-afdelingen hurtigt opdage, hvem der potentielt set kan bringe ubudne gæster ind – og hvem, der har størst risiko for at åbne op for adgang til virksomhedens data.
Dernæst kan man kigge nøgle-leverandørerne i bedene og stille krav til deres datahåndtering. Det bedste vil selvfølgelig være, at alle leverandører har samme niveau af sikkerhed omkring procedurer, kvalifikationer og teknologier, som virksomheden sætter for sig selv – men for nemheds skyld bør der udvælges en håndfuld, der har størst indflydelse på den daglige drift: Dem, der er en direkte forlængelse af virksomheden.
Man skal som virksomhedsejer nemlig være sikker på, at lige præcis disse leverandører har et højt niveau af sikkerhed. Hvis bekymringerne primært går på databrud, skal leverandørerne sørge for, at de korrekte adgangskontroller er indbygget i deres miljø, kontrollere, at krypteringsstandarder benyttes, sikre, at revisionssporlogfiler gennemgås osv. Samtidig er det vigtigt, at leverandørerne har en plan for, hvad der sker, når uheldet er ude. Deres systemer skal være testede og klar til at modstå angreb, og det skal hurtigt kunne lokaliseres, hvilken vej, hackere potentielt kan finde vej til gemte data.
Hvis sådanne planer ikke findes, skal der arbejdes sammen om at lave en. Der skal gerne sættes konkrete mål, så de hen ad vejen møder virksomhedens standarder, og at der den vej igennem opbygges digital tillid i takt med, at flere data bliver delt. Det binder virksomhed og leverandør sammen, og det bliver nemmere at holde hinanden oppe på en god standard.
Cyberrobusthed kræver selvindsigt
Det vigtigste er, at der ikke bliver overset væsentlige huller i leverandørernes sikkerhedsprocesser, der kan skade cyberrobustheden. Ved at identificere huller og potentielle indgange er det nemmere for beslutningstagere at tage højde for egen risikoplan. En del af risikoplanen er ikke mindst, hvordan man kan holder virksomheden oven vande, når man rammes af et cyberangreb. For det handler ikke længere om virksomheder bliver ramt, men hvordan virksomhederne kan holde driften kørende, mens de er ramt. Dog kræver det selvindsigt både på egne og leverandørers vegne at finde hullerne i et cyberforsvar. Virksomhedsejere skal derfor ikke være bange for at stille partnere og leverandører de svære spørgsmål og sætte krav til deres sikkerhed.
Det er dog ikke nok blot at dokumentere hullerne i en rapport og sende dem afsted til leverandøren for selv at løse dem. De skal følges op på og holdes til ilden. Det er dét, der kan gøre risikostyring af tredjepartsleverandører omfangsrigt. Men er både virksomhed og leverandør sikre, er det ikke kun muligheden for databrud, der mindskes. Virksomheder kan i lige så høj grad høste fordele som høj digital tillid hos partnere og slutkunder, der i fremtiden vil være et vigtigt konkurrenceparameter i erhvervslivet.
