Leverantörsberoende - en allt större cybersäkerhetsrisk

Till följd av utmaningarna och kostnaderna involverade i att själv driva plattformar, servrar och applikationer, blir det allt vanligare med molnplattformer för att hantera olika delar av verksamheten. Schemaläggning, fakturahantering, rekrytering, och säljverksamhet är bara ett fåtal exempel på aktiviteter och områden som enkelt hanteras i sådana tjänster. Det kan tyckas som en smidig lösning, och kanske till och med en trygghet, i synnerhet om ens kärnverksamhet innebär ett begränsat behov av IT-stöd. Med ansvar för så många kunders data måste väl ändå kunna antas att de har full koll på sin Cybersäkerhet?

Säkerhet i leverantörskedjan

Det finns många områden av informationssäkerhet och IT-säkerhet som ett modernt företag måste vara bekant med för att kunna skydda sig mot olika typer av angrepp och incidenter. Lösenordspolicyer ska skrivas, antivirusprogram installeras, och kontinuitetsplaner revideras och övas.

Men en alltmer kritiskt lucka följer på resonemanget att de leverantörer måste göra detsamma, och den tillit som krävs till molntjänster, operativsystem och plattformar. Säkerhet i leverantörskedjan är ett väl etablerat begrepp och koncept, men det är inte alltid man har full förståelse för hur exponerad man är via sina leverantörer, eller full insikt i hotbilden mot dem.

Cyberattacker mot tjänsteplattformar allt vanligare

Det har nyligen inträffat ett flertal cyberattacker mot plattformar och mjukvarukomponenter som till följd av skalan på sin kundkrets blivit en mycket intressant måltavla för cyberkriminella, och därmed drabbat en mycket stor mängd slutanvändare, både privatpersoner och företag. En plattform som använts för administration av över tusen föreningar, med över en miljön slutanvändare, drabbades nyligen av ett omfattande angrepp, och i ett angrepp mot en datamäklare stals information rörande många miljoner användare av tusentals mobilapplikationer, till synes insamlat via de ständigt pågående persondataauktionerna som ligger till grund för hur reklamplatser säljs i appar.

Det första exemplet påvisar hur aggregerandet av data från flertalet källor kraftigt ökar hotbilden. Att genomföra motsvarande angrepp mot varje ingående förening hade sannolikt inneburit en mycket större risk och total investering för angreppsmännen, även om varje förenings egna lösningar hade kunnat antas i sig vara mindre säkert byggda.

Det andra exemplet tydliggör hur leverantörskedjan inte stannar vid den leverantör man faktiskt tecknar avtal med, utan även deras leverantörer, och ibland deras andra kunder. I just detta fall tydliggjordes hur persondata in i enorma mängder samlats, ofta helt utan nytta för slutanvändaren, och dels sålts vidare i sig, dels agerat underlag för reklamplatsauktioner. Att denna data aggregeras och läcks från en aktör som nästan helt säkert är fullkomligt okänd för de individer och organisationer datan berör, är ännu en aspekt av riskerna med att dela sin data med tredje part.

Vikten av leverantörsbedömningar

Det är kanske inte rimligt att varje företag och organisation ska utveckla och förvalta sina egna lösningar, och det är faktiskt sannolikt att större aktörer på marknaden har väl etablerade cybersäkerhetsåtgärder, men det är av yttersta vikt att man som kund säkerställer att detta är fallet. Om alla ägg ska lägga i samma korg, bör man se till att korgen också är av god kvalitet, och det kräver att en gedigen leverantörsbedömning görs.

Se till att ställa krav på cybersäkerhet vid nyttjande av outsourcade tjänster! Använd expertstöd för att granska och följa upp att era krav efterlevs och se till att ni har kontinuitetsplan internt för de fall när leverantörer inte lever upp till kraven.

Kontakta oss om du är intresserad av Leverantörsbedömningar, Tredjepartsgranskningar, eller någon annan av våra tjänster!