<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Tredjepartsrisiko i en ny digital hverdag - hvordan bør vi adressere det?

‹ Tilbake til artikler

I snart et år har verden vært snudd på hodet og den digitale transformasjonen har økt voldsomt i takt med hjemmekontor og etterspørsel etter digitale løsninger. Levering av tjenester fra tredjeparter er for mange virksomheter sentralt for å imøtegå økte behov og forventninger fra kunder og brukere av tjenestene. I dette blogginnlegget ønsker vi å adressere risiko relatert til tredjeparter og foreslå tips til hvordan dette kan håndteres.

For at virksomheter skal kunne fortsette å levere smidig og effektivt fra kjøkkenbordet har kjøp av digitale produkter og tjenester økt. En pandemi-indusert digital transformasjon er en realitet. Digitaliseringen bidrar til nødvendig utvikling og effektivisering av prosesser for mange organisasjoner og bedrifter.

Med dette i tankene er det ikke en overraskelse at kriminelle aktører ser sitt snitt til å utnytte sårbarhetene som oppstår i den situasjonen mange bedrifter befinner seg i - tidlig transformasjon, nye arbeidsrutiner og i mange tilfeller kaotiske tilstander. Til tross for de positive fordelene mange bedrifter får ved å benytte seg av tredjepartsleverandører, som kostbesparelse, effektivisering og dekning av kunnskapsgap, så medfører dette også en betydelig større eksponert sikkerhetsoverflate, flere “points of failure” og med dette økt sikkerhetsrisiko for en organisasjon. Dette temaet belyses ytterligere i PwCs whitepaper How to embrace and evolve third party risk management (TPRM) after COVID - 19.

Sikkerhetshendelser- SolarWinds

Mot slutten av 2020 ble virksomheter over hele verden herunder Pentagon, Microsoft, Intel mfl. rammet av sikkerhetshendelsen som gikk under navnet «Sunburst». Angrepet ble gjort gjennom installering av en bakdør i en løsning som brukes til å administrere og monitorere IT-nettverk kalt Orion, levert av et selskap som heter SolarWinds.

Hackerne hadde hatt tilgang til SolarWinds sine Orion-kunder over en lengre periode. Denne type angrep kalles et “Supply Chain Attack” og er et sofistikert angrep som rammer kundene av leverandøren som angripes og er svært effektivt når angriperne lykkes! I en rapport fra Microsoft fra 2020 er det angitt at 44 prosent av nylig registrerte sikkerhetshendelser rammer IT selskaper inkludert virksomheter som leverer software, IT tjenester og hardware.

Sett i sammenheng med at bruk av tredjepartstjenester historisk står sentralt i organisasjoner er det ikke rart at Chief Procurement Officers (CPOs) estimerer at de kommer til å bruke 72% mer tid på risikoledelse de neste 12 månedene enn det de har de siste 12.

Risikoidentifisering og leverandørstyring

Organisasjoner og bedrifter må nå være langt mer proaktive i måten de styrer forsyningskjeden og opprettholder operasjonell kontinuitet, både som mottaker av tredjepartstjenester eller som leverandør til andre organisasjoner.

Hva er de nye utfordringene knyttet til tredjepartsrisiko? Her er noen av de nye utfordringene mange bedrifter står overfor:

  • Utilgjengelighet av hardware slik som laptoper hos tredjepartsleverandør
  • Begrenset tilgang til riktig kompetanse og ressurser for å levere service og tjenester via fjernarbeid
  • Fortsatt levedyktighet til viktige forretningspartnere i lys av et tøft økonomisk klima
  • Transport av varer og tjenester gjennom regioner under “lockdown”

Risikostyring er ikke kun håndtering av tredjeparter, men også identifisering og definering av parametrene som kreves for kontinuerlig drift av organisasjonens operasjon.

I tillegg til å belyse behovet for å håndtere tredjeparter og tilhørende risikoer har Covid-19 også belyst behovet for å håndtere en større bredde av risikoer. Et eksempel på en slik situasjon er ved vedvarende bortfall av tredjepart hvor organisasjonen må finne en alternativ leverandør for å kunne levere tjenesten/produktet.

Mange virksomheter har i dag svært mange leverandører som leverer IT løsninger og tjenester. Dette er en direkte konsekvens av økt outsourcing av tjenester og etablering av skyløsninger. Dagens økosystem av leverandører og påfølgende sikkerhetsrisiko gjør det krevende å håndtere kritiske forretningsprosesser, samt forebygge fremtidige sikkerhetshendelser.

Avhengigheten til tredjeparter i dagens samfunn forteller oss viktigheten av å ha oversikt og kontroll over egne leverandører. Dette innebærer eksempelvis å gjennomføre risikovurderinger i forkant av anskaffelsen, sørge for avtaler med dekkende krav til sentrale områder som oppetid, drift, sikkerhet og personvern, samt sikre regelmessig oppfølging av leverandør gjennom hele livsløpet. I tillegg er etablerte og oppdaterte rutiner for tilgangskontroll særlig viktig for å sikre at tredjeparter kun har tilgang til nødvendig informasjon for å utføre sine oppdrag eksempelvis knyttet til drift og vedlikehold.

Kunnskapsgapet

Ikke tilstrekkelig kompetanse hos ansatte kan i mange tilfeller bidra til at kriminelle aktører lykkes med kriminell aktivitet. Kriseledelse og beredskapsplaner har derfor blitt minst like viktig som tekniske sikkerhetstiltak for å kunne forebygge og redusere digital risiko. Dette forutsetter at både ledelsen og ansatte innehar tilstrekkelig kompetanse både knyttet til løsningene som leveres og trender i det digitale trusselbildet. Opplæring og bevissthet kan derfor være avgjørende for å redusere og håndtere tredjepartsrisiko.

Den digitale transformasjonen krever at virksomheter tilnærmer seg begrepet sikkerhetskultur på en helt ny måte. Det er ikke lengre tilstrekkelig at ansatte har kunnskap om hvordan verktøy og systemer skal brukes, de må også kjenne til og forstå potensielle sårbarheter og trusler. Dette krever gjerne et team sammensatt av ressurser med ulik kompetanse for å sikre at både de interne prosessene blir ivaretatt så vel som teknisk funksjonalitet i løsningen som leveres.

Hvordan håndterer du tredjeparter? Her er våre fem tips:

  • Sikre god oversikt over dine kronjuveler og tilhørende trusselbilde og potensielle risikoer
  • Sikre at avtaler inneholder krav til oppetid, kvalitet på leveransen samt krav til sikkerhet og personvern
  • Sørge for regelmessig oppfølging av leverandør
  • Få på plass rutiner for tilgangskontroll
  • Gjennomføre opplæring og øke bevisstheten blant egne ansatte

 

Se også relaterte artikler:

 

Katrine Krogedal

Katrine Krogedal

Jeg heter Katrine Krogedal og jobber som Senior Associate i PwCs avdeling for Cyber & Privacy. Gjennom flere år som konsulent har jeg jobbet med gjennomføring av verdi- og risikovurderinger relatert til informasjonssikkerhet. Min erfaring knytter seg også til å etablere og implementere styringssystem for informasjonssikkerhet. Jeg syns det er spennende å jobbe med informasjonssikkerhet i den digitale hverdagen hvor trusselbildet endrer seg raskt.

Nuthaya Iren Monseth Engan

Nuthaya Iren Monseth Engan

Jeg heter Nuthaya Iren Monseth Engan og jobber som Senior Associate i Cyber & Privacy. Bakgrunnen min er tverfaglig og krysser territoriene datasikkerhet, risikoledelse, og juss. I flere år har jeg jobbet som konsulent i London, hovedsakelig med større transformasjonsprosjekt i finanssektoren som har omhandlet Cyber Security Resilience, og utvikling av risikostyrings-program. Utfordringene vi står overfor i datasikkerhet er dynamiske og komplekse, noe som gjør det særdeles spennende å være med på å utvikle gode og bærekraftige løsninger for kundene våre.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Tåler virksomheten en sikkerhetshendelse nå?

Covid-19-pandemien er den mest alvorlige krisen som har rammet verdenssamfunnet siden andre verdenskrig, og den er først og fremst en krise ...

Les artikkelen
Les artikkelen

Cybersikkerhet i ERP-systemet - hva er konsekvensene av å ikke ha kontroll?

En stadig økende forekomst av cyberangrep og en eksplosjon av avisoppslag om ransomware har i kombinasjon med økende bruk av hjemmekontor ...

Les artikkelen
Les artikkelen

Innsidetrussel ved nedbemanning i forbindelse med Covid-19

Mange virksomheter må permittere for å overleve Covid-19. De trenger likviditet for å unngå konkurs, og permittering er siste utvei. Det er ...

Les artikkelen