Det är ingen överraskning att med det växande antalet digitala intrång och cyberattacker blir säkerheten inom försörjningskedjor en allt större utmaning för företag. Det gäller stora som mindre företag, när hackare kontinuerligt hittar nya vägar för att kringgå cybersäkerhet och utnyttjar svagheter i försörjningskedjor.
Enligt IT Governance rapporterades det i januari 2024 att 29,530,829,012 29 (det vill säga över 29 triljoner) dataregister hade blivit komprometterade, med över 4600 offentligt kända incidenter.
Nu i januari 2024 blev It-konsultjätten Tietoevrys datacenter i Sverige drabbade av en storskalig hackerattack. Även om Tietoevry lyckades begränsa skadorna till en specifik plattform som de kunde isolera från andra system, påverkades ändå kunder, kommuner och företag. Attacken innebar bland annat att Tietoevry tvingades stänga ner Sveriges största HR-system, Primula som används av 120 svenska myndigheter (SVT nyheter). Ett annat drabbat företag av attacken var Rusta, som uppgav till Breakit att de bedömer sig ha tappat 70 miljoner kronor i försäljning bara under januari.
Cybersäkerhet är än en gång högt uppe på företags agenda med en växande oro för många företag att bli drabbade.
Den snabba omvandling till det digitala landskapet innebär att globala försörjningskedjor är mer sammanlänkade än någonsin tidigare, vilket ökar risker för angrepp i varje led av försörjningskedjan.
Vi har sammanställt ett antal steg och metoder som ni kan följa för att skydda er data och minimera risken för digitala intrång.
För att driva en proaktiv strategi för cybersäkerhet så börjar arbetet inom er organisation.
Som en del i leverantörskedjor så hanterar även er organisation känslig information, både egen data såväl som kund- och leverantörsdata, personuppgifter samt immateriell egendom. Det finns tre huvudområden ni bör tänka på när ni upprättar och underhåller ert arbete kring cybersäkerhet:
Börja med att förstå er nuvarande process för riskhantering. Vet ni vilka processer ert företag har för att hantera IT-säkerhet på alla nivåer i verksamheten?
Det är ert ansvar att veta vem som har tillgång till era uppgifter och de regler som uppgifterna är föremål för.
Vilka certifieringar eller branschstandarder kring säkerhet, dataskydd och efterlevnad finns? Hur efterföljs och upprätthålls de säkerhetsåtgärder och praxis som ni har satt upp?
En av de högsta certifieringarna för efterlevnad och den enda internationellt erkända certifieringen för informationssäkerhet är ISO-27001 certifiering. ISO-27001 baseras på att skydda information och eftersom den idag ofta är digitaliserad så omfattar den givetvis även cybersäkerhet. Att jobba systematiskt med en ledningsprocess i kombination med att applicera säkerhetsåtgärder är utgångspunkterna för att uppnå ISO 27001-certifiering.
När ni utvärderar organisationer eller tjänster att arbeta med, så fungerar ISO-certifieringen som en indikation och säkerställning av deras metoder och hantering av säkerhetsinformation.
Ökad digitalisering ökar naturligtvis risken, så det är viktigt att vara proaktiv och skydda er så mycket som möjligt. Här är några steg ni kan vidta för att minska risker för dataintrång.
Cybersäkerhet är en kontinuerlig process. Att implementera bästa praxis för säkerhet är bara det första steget; kontinuerlig övervakning och utvärdering av er organisations digitala närvaro är nödvändig för att hålla er skyddad.
Finns en tydlig översikt över all data, mjukvaror och externa nätverk som ni hanterar eller som har åtkomst till era system? En noggrann riskbedömning bör genomföras för att identifiera och hantera alla potentiella hot.
Säkerställ att ni har en uppdaterad lista över alla leverantörer och begär att få ta del av säkerhetspolicyer och procedurer om de har virtuell åtkomst till ert företags informationssystem eller data. Utvärdera vilken typ av data de kan nå, vem som har åtkomst till den och hur den används.
Genom att granska och rangordna leverantörer utifrån deras säkerhetsrisk kan ni identifiera de mest kritiska leverantörerna som kan påverka er verksamhet om de drabbas av en attack. Om en leverantör enkelt kan ersättas är risken lägre. Om en kritisk leverantör eller en som inte enkelt kan ersättas är i fara kan det få allvarliga konsekvenser för verksamheten, och bör markeras som högrisk.
När det gäller leverantörer och tredjepartsintressenter är det avgörande att se till att de förstår era säkerhetsbehov och minimikrav för säkerhet. Dessa krav bör tydligt föras fram i avtal och leverantörsutvärderingsprocesser.
Säkerhet i försörjningskedjan och riskhantering kräver engagemang från alla i organisationen och är inte enbart ett ansvar för en säkerhetschef. Med ökningen av distansarbete och användning av olika enheter och nätverk är varje anställd en viktig del av företagets säkerhet.
Se till att säkerhetspraxis och krav kommuniceras tydligt och effektivt till alla relevanta parter. Det inkluderar att tillhandahålla nödvändig utbildning och att införa processer för regelbundna påminnelser och uppdateringar. Säkerheten i er organisation är endast så stark som den svagaste länken.
Regelbunden översyn av policyer och rutiner är avgörande, och eventuella förändringar bör kommuniceras till relevanta parter omedelbart för att säkerställa efterlevnad och effektivitet.
I händelse av en cyberattack mot ert företag är det avgörande att identifiera vilken information som är mest värdefull eller känslig. Fokusera de främsta säkerhetsinsatser på att skydda dessa tillgångar. På samma sätt är det viktigt att vara medveten om andra organisationer inom ditt nätverk som kan drabbas av intrång. Säkerhetsklassificera information för att definiera och prioritera säkerhetsrutiner.
För att förbättra säkerheten i försörjningskedjan, överväg följande strategier:
En Zero Trust policy innebär att man antar att all data inte är säker förrän motsatsen har bevisats. Kontinuerlig autentisering, verifiering och övervakning är avgörande för säkerhetsprocessen, särskilt med ökad digitalisering och användning av olika enheter och nätverk.
Det finns ingen garanti för att uppnå full cyberssäkerhet. Alla företag bör därför implementera en handlingsplan i händelse av säkerhetsöverträdelse. Säkerställ att både ni och era leverantörer har en uppdaterad incidenthanteringsplan om ett cyberbrott skulle bli verklighet.
Att upprätthålla en bra informationssäkerhet är ett dagligt arbete och alla anställdas ansvar. Det är därför viktigt att varje organisation ser till att man effektivt och tydligt kommunicerar säkerhetsrutiner till alla berörda parter, och att den finns lättillgängligt för alla berörda parter.
Att arbeta strukturerat och metodiskt med informationssäkerhet är en förutsättning för att kunna bedriva en säker verksamhet, och för att kunder och leverantörer ska känna sig trygga.
Informationssäkerhet är av största vikt för oss på EazyStock då vi är en viktig del i våra kunders hantering av leverantörsdata och affärskritisk information. Vår ISO 27001-certifiering är en bekräftelse och kvalitetsstämpel på at vi kontinuerligt arbetar med vår informationssäkerhet för att uppfylla krav inom certifieringen.