Hvordan identifisere og styre risiko knyttet til cybersikkerhet i leverandørkjeden

26 feb 2019
Artikkel av Achilles

Som virksomhet kommer man ikke utenom cybersikkerhet. En undersøkelsesrapport utgitt av det britiske digital-, kultur-, medie- og sportsdepartementet i 2018, viste at 43 % av selskapene som hadde deltatt i undersøkelsen, hadde vært utsatt for et cyberangrep de 12 siste månedene. Ifølge Oz Alashe, grunnlegger av og administrerende direktør i CybSafe og cybersikkerhetsambassadør for Achilles, er risikoens karakter i ferd med å endre seg, og cyberangrepene er et betydelig problem i leverandørkjeden.

«Når folk flest tenker på cyberkriminalitet, ser de for seg sofistikerte angrep rettet mot FTSE 250-selskaper, men det er ikke hele bildet», forklarer Oz. «Når alt kommer til alt, har de færreste kriminelle kapitalsterke, godt beskyttede selskaper som mål. De angriper dem som ikke er forberedt. Dette betyr at det svake punktet, særlig når det gjelder globale selskaper, sjelden er å finne i sikkerhetsstrategien i selskapenes egne robuste nettverk, men hos de mindre leverandørene de gjør forretninger med – eller til og med hos leverandøren til en leverandør.»

Dette kom tydelig frem i forsyningssektoren i 2017, da russiske hackere fikk tilgang til det amerikanske strømnettet via noen av kraftselskapenes viktigste leverandører. Det faktum at mange av kontroll- og analysesystemene innenfor kraftproduksjon og -distribusjon, luftfart, vannselskaper og produksjonsindustri ikke ble designet med trusselen om cyberangrep i tankene, gjør forsynings- og infrastruktursektoren særlig sårbar. Selskaper står nå overfor tre hovedtrusler, ifølge Oz, og de henger alle sammen.

Viktige cybersikkerhetsrisikoer

1 – Sosial manipulering

Dette skjer når en person manipuleres til å gi informasjon eller til å innføre en trussel i selskapets systemer. Nettfisking (phishing) og 419-svindel er grunnleggende eksempler som de fleste er bevisste på, mens mer sofistikerte metoder kan omfatte gaver, gratis prøveversjoner og overtalelse via sosiale medier. «Det varierer fra sektor til sektor, men sikkerhetsbrudd knyttet til mennesker er allment utbredt», forklarer Oz. «Fire av de fem vanligste årsakene til datainnbrudd skyldes menneskelige feil eller prosessfeil.»

2 – Skadelig programvare / løsepengevirus

«Hvorfor? Delvis fordi det er så enkelt. Det er relativt lett å distribuere og kjøre. Ferdiglagde verktøysett betyr at selv en amatør kan sette sammen og distribuere løsepengevirus. Risikoene eller kostnadene som følger av å utføre et angrep, er minimale», sier Oz.

3 – Sårbarheter i Tingenes Internett-enheter

«Veksten av Tingenes Internett har brakt dramatiske endringer til cybersikkerhetslandskapet de senere årene. I takt med at utbredelsen av tilkoblede enheter øker dag for dag, øker angrepsoverflaten. Det er nesten umulig å unngå sårbarheter i disse enhetene. Så snart en kritisk masse med maskiner kompromitteres, kan kriminelle lansere distribuerte tjenestenektangrep», forklarer Oz.

Slik demper vi risiko knyttet til cybersikkerhet

For å beskytte seg bedre må selskaper vurdere både tekniske spørsmål og hvilke roller mennesker spiller når det gjelder cybersikkerheten. På den tekniske siden er det viktig å ha den rette løsningen på organisasjonsnivå. Den bør dekke filkryptering, sikkerhetskopier, regnskap, kundedata, elektroniske betalingssystemer, nettsikkerhet, industrielle kontrollsystemer og endepunktsikkerhet, inkludert Tingenes Internett-enheter. Dette bør kobles til IT-praksis som omfatter nettverkstilgang, systemadministrasjon, effektiv oppdatering og applikasjonskontroller.

«På menneskesiden betyr det å innføre opplæringsprogrammer som gir kunnskap, forbedrer atferden og gir medarbeiderne insentiver til å praktisere god cybersikkerhetshygiene. Innfør fornuftige sikkerhetsretningslinjer: Ikke gjør livet vanskelig for medarbeiderne. Disse må være menneskeorientert, være mer enn avkryssing av sjekklister og støttes av vitenskapelige bevis», forklarer Oz.

Gjør cybersikkerhet til en del av retningslinjene for samfunnsansvar

Med hackere som utpeker leverandører som mål for å infiltrere større organisasjoner, er det viktig for små og store selskaper å behandle cybersikkerhet som et leverandørkjedespørsmål. Det finnes til og med de som mener at det bør bli et eget område innenfor retningslinjene for samfunnsansvar. I 2018 trådte den nye personvernforordningen (GDPR) i kraft i hele EU. Den bidrar til å beskytte forbrukernes personopplysninger, som blant annet kan trues av cyberangrep. Men som den ovennevnte britiske undersøkelsen Cyber Security Breaches Survey viste, er det bare 27 % av virksomhetene som har innført retningslinjer for cybersikkerhet.

«Ser vi bort fra forskriftene, er det også forretningsmessig fordelaktig å styre cybersikkerhetsrisikoen i leverandørkjeden», sier Oz. «Som leserne sikkerhet vet, spiser avbrudd i leverandørkjeden av marginene. Nedetid på bare et par timer kan være katastrofalt. En produksjonslinje som går offline, kan gi massive tap. Cybersikkerhet er i prinsippet kommersielt fornuftig.»

Reduser risikoen i leverandørkjeden

Siden cyberangrep utgjør en stadig større trussel mot leverandørkjedene, er det viktig for både kjøpere og leverandører å sørge for at virksomheten er forberedt. Den britiske studien viste at 74 % av selskapene mente at cybersikkerhet hadde høy prioritet, men 73 % av dem hadde ikke innført noen retningslinjer. Med fordelsprogrammet vårt har britiske leverandører rett på eksklusive 20 % i rabatt på opplæring i cybersikkerhet og overholdelse med CybSafe og CyberSmart. Unngå å være blant de 43 % som kan bli utsatt for et sikkerhetsbrudd i 2019.



Få flotte innsiktsartikler i innboksen din hver måned

Abonner