<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Tredjepartsrisiko i en ny digital hverdag - hvordan bør vi adressere det?

‹ Tilbake til artikler

I snart et år har verden vært snudd på hodet og den digitale transformasjonen har økt voldsomt i takt med hjemmekontor og etterspørsel etter digitale løsninger. Levering av tjenester fra tredjeparter er for mange virksomheter sentralt for å imøtegå økte behov og forventninger fra kunder og brukere av tjenestene. I dette blogginnlegget ønsker vi å adressere risiko relatert til tredjeparter og foreslå tips til hvordan dette kan håndteres.

For at virksomheter skal kunne fortsette å levere smidig og effektivt fra kjøkkenbordet har kjøp av digitale produkter og tjenester økt. En pandemi-indusert digital transformasjon er en realitet. Digitaliseringen bidrar til nødvendig utvikling og effektivisering av prosesser for mange organisasjoner og bedrifter.

Med dette i tankene er det ikke en overraskelse at kriminelle aktører ser sitt snitt til å utnytte sårbarhetene som oppstår i den situasjonen mange bedrifter befinner seg i - tidlig transformasjon, nye arbeidsrutiner og i mange tilfeller kaotiske tilstander. Til tross for de positive fordelene mange bedrifter får ved å benytte seg av tredjepartsleverandører, som kostbesparelse, effektivisering og dekning av kunnskapsgap, så medfører dette også en betydelig større eksponert sikkerhetsoverflate, flere “points of failure” og med dette økt sikkerhetsrisiko for en organisasjon. Dette temaet belyses ytterligere i PwCs whitepaper How to embrace and evolve third party risk management (TPRM) after COVID - 19.

Sikkerhetshendelser- SolarWinds

Mot slutten av 2020 ble virksomheter over hele verden herunder Pentagon, Microsoft, Intel mfl. rammet av sikkerhetshendelsen som gikk under navnet «Sunburst». Angrepet ble gjort gjennom installering av en bakdør i en løsning som brukes til å administrere og monitorere IT-nettverk kalt Orion, levert av et selskap som heter SolarWinds.

Hackerne hadde hatt tilgang til SolarWinds sine Orion-kunder over en lengre periode. Denne type angrep kalles et “Supply Chain Attack” og er et sofistikert angrep som rammer kundene av leverandøren som angripes og er svært effektivt når angriperne lykkes! I en rapport fra Microsoft fra 2020 er det angitt at 44 prosent av nylig registrerte sikkerhetshendelser rammer IT selskaper inkludert virksomheter som leverer software, IT tjenester og hardware.

Sett i sammenheng med at bruk av tredjepartstjenester historisk står sentralt i organisasjoner er det ikke rart at Chief Procurement Officers (CPOs) estimerer at de kommer til å bruke 72% mer tid på risikoledelse de neste 12 månedene enn det de har de siste 12.

Risikoidentifisering og leverandørstyring

Organisasjoner og bedrifter må nå være langt mer proaktive i måten de styrer forsyningskjeden og opprettholder operasjonell kontinuitet, både som mottaker av tredjepartstjenester eller som leverandør til andre organisasjoner.

Hva er de nye utfordringene knyttet til tredjepartsrisiko? Her er noen av de nye utfordringene mange bedrifter står overfor:

  • Utilgjengelighet av hardware slik som laptoper hos tredjepartsleverandør
  • Begrenset tilgang til riktig kompetanse og ressurser for å levere service og tjenester via fjernarbeid
  • Fortsatt levedyktighet til viktige forretningspartnere i lys av et tøft økonomisk klima
  • Transport av varer og tjenester gjennom regioner under “lockdown”

Risikostyring er ikke kun håndtering av tredjeparter, men også identifisering og definering av parametrene som kreves for kontinuerlig drift av organisasjonens operasjon.

I tillegg til å belyse behovet for å håndtere tredjeparter og tilhørende risikoer har Covid-19 også belyst behovet for å håndtere en større bredde av risikoer. Et eksempel på en slik situasjon er ved vedvarende bortfall av tredjepart hvor organisasjonen må finne en alternativ leverandør for å kunne levere tjenesten/produktet.

Mange virksomheter har i dag svært mange leverandører som leverer IT løsninger og tjenester. Dette er en direkte konsekvens av økt outsourcing av tjenester og etablering av skyløsninger. Dagens økosystem av leverandører og påfølgende sikkerhetsrisiko gjør det krevende å håndtere kritiske forretningsprosesser, samt forebygge fremtidige sikkerhetshendelser.

Avhengigheten til tredjeparter i dagens samfunn forteller oss viktigheten av å ha oversikt og kontroll over egne leverandører. Dette innebærer eksempelvis å gjennomføre risikovurderinger i forkant av anskaffelsen, sørge for avtaler med dekkende krav til sentrale områder som oppetid, drift, sikkerhet og personvern, samt sikre regelmessig oppfølging av leverandør gjennom hele livsløpet. I tillegg er etablerte og oppdaterte rutiner for tilgangskontroll særlig viktig for å sikre at tredjeparter kun har tilgang til nødvendig informasjon for å utføre sine oppdrag eksempelvis knyttet til drift og vedlikehold.

Kunnskapsgapet

Ikke tilstrekkelig kompetanse hos ansatte kan i mange tilfeller bidra til at kriminelle aktører lykkes med kriminell aktivitet. Kriseledelse og beredskapsplaner har derfor blitt minst like viktig som tekniske sikkerhetstiltak for å kunne forebygge og redusere digital risiko. Dette forutsetter at både ledelsen og ansatte innehar tilstrekkelig kompetanse både knyttet til løsningene som leveres og trender i det digitale trusselbildet. Opplæring og bevissthet kan derfor være avgjørende for å redusere og håndtere tredjepartsrisiko.

Den digitale transformasjonen krever at virksomheter tilnærmer seg begrepet sikkerhetskultur på en helt ny måte. Det er ikke lengre tilstrekkelig at ansatte har kunnskap om hvordan verktøy og systemer skal brukes, de må også kjenne til og forstå potensielle sårbarheter og trusler. Dette krever gjerne et team sammensatt av ressurser med ulik kompetanse for å sikre at både de interne prosessene blir ivaretatt så vel som teknisk funksjonalitet i løsningen som leveres.

Hvordan håndterer du tredjeparter? Her er våre fem tips:

  • Sikre god oversikt over dine kronjuveler og tilhørende trusselbilde og potensielle risikoer
  • Sikre at avtaler inneholder krav til oppetid, kvalitet på leveransen samt krav til sikkerhet og personvern
  • Sørge for regelmessig oppfølging av leverandør
  • Få på plass rutiner for tilgangskontroll
  • Gjennomføre opplæring og øke bevisstheten blant egne ansatte

 

Se også relaterte artikler:

 

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Unngå feilansettelser med enkle grep

Feilansettelser kan være svært kostbart og ressurskrevende for bedriften. Derfor handler rekrutteringsprosesser ikke bare om å finne den ...

Les artikkelen
Les artikkelen

Slik unngår du bakdører i din bedrift

Hvor mange av de du kjenner har blitt hacket? Kanskje de mistet tilgangen til Instagram-kontoen, spammet venner med linker til tvilsomme ...

Les artikkelen
Les artikkelen

Har du kontroll på dine leverandører?

Leverandøroppfølging vies stadig større oppmerksomhet, både som følge av nye nasjonale lovkrav og økte forventninger i samfunnet generelt. ...

Les artikkelen