[DEBAT] Virksomheders forsyningskæder er i høj kurs hos cyberkriminelle for tiden. Det har vi set med store angreb på f.eks. SolarWinds og Kaseya, hvis kunder pludselig var i fare, fordi deres oplysninger var kompromitterede eller låst, uden de reelt set kunne gøre noget.
Angreb som disse kommer formentlig ikke til at blive færre i takt med, at flere virksomheder undergår en digital transformation og udvider deres digitale forsyningskæde med et sammensurium af data fra forskellige leverandører og partnere. It-sikkerhed handler altså ikke længere kun om at kigge indad, men faktisk også om at vende fingeren mod leverandører for at sikre egen cyber resilience.
Ingen forsyningskæde er stærkere end dens svageste led
Måske ser virksomheder deres egne netværk som sikre. Men som ovennævnte eksempler viser, er indgangen til virksomheders data til tider gennem deres it-leverandør – eller MSP. Der skal altså, uagtet om man er virksomhed eller leverandør, tages højde for sikkerheden hos de leverandører, der dagligt behandler ens data. Både dem, der integreres med interne systemer, og dem, som virksomheden stoler på i den daglige drift. De leverandører, som virksomheder er mest afhængige af, er ofte integreret i forsyningskæden i større eller mindre grad. Men hvordan er leverandørernes sikkerhedsprotokoller? Og leverandørernes leverandørers sikkerhedsprotokoller? Beskytter de virksomhedens fortrolighed, integritet og tilgængelighed af data og adgang i samme omfang, som virksomheden selv?
Det vigtigste er i virkeligheden at have et overblik over og forstå de sikkerhedshuller og risici, som leverandørforhold udsætter forsyningskæden for. Hvis man, som virksomhedsejer, ikke er sikker på, hvordan ens leverandører forholder sig til sikring af data, sætter man nemlig potentielt virksomhedens cyber resilience – eller cyberrobusthed – over styr.
Hos Datto ser vi heldigvis flere MSP’er fokusere på både deres egen og slutkundernes cyberrobusthed når de tjekker op på deres leverandører og partnere. Både som MSP og virksomhed er outsourcing ofte en nødvendighed, og digital tillid er derfor også nøglen til et godt partnerskab. Dog kommer tillid ikke ud af det blå, men derimod gennem gentagende bevis på, at der bliver passet på virksomhedernes data hele vejen rundt.
Har du tjekket dine leverandørers sikkerhed for nyligt?
Hvis man vil skabe en cyberrobust forretning, skal leverandører og partnere involveres, og der skal stilles krav til niveauet af deres sikkerhed. Omvendt skal man som leverandør altid starte med at kigge indad og sikre, at der er styr på egne sikkerhedsprocedurer og potentielle sikkerhedshuller, før man hopper ud i et samarbejde.
Et godt sted at starte er at logge, hver gang en ekstern leverandør kommer ind og ud af virksomhedens systemer. På den måde kan it-afdelingen hurtigt opdage, hvem der potentielt set kan bringe ubudne gæster ind – og hvem, der har størst risiko for at åbne op for adgang til virksomhedens data.
Dernæst kan man kigge nøgle-leverandørerne i bedene og stille krav til deres datahåndtering. Det bedste vil selvfølgelig være, at alle leverandører har samme niveau af sikkerhed omkring procedurer, kvalifikationer og teknologier, som virksomheden sætter for sig selv – men for nemheds skyld bør der udvælges en håndfuld, der har størst indflydelse på den daglige drift: Dem, der er en direkte forlængelse af virksomheden.
Det er nemlig uhyre vigtigt at være sikker på, at lige præcis disse leverandører har et højt niveau af sikkerhed. Hvis bekymringerne primært går på databrud, skal leverandørerne sørge for, at de korrekte adgangskontroller er indbygget i deres miljø, kontrollere, at krypteringsstandarder benyttes, sikre, at revisionssporlogfiler gennemgås osv. Sidder man som MSP, har man oftest en MSSP tilknyttet, hvis uheldet skulle være ude både på kunders og på egne vegne. Og selvom det er meningen, at de står for at overvåge sikkerheden, er det lige så vigtigt at gå dem efter i bedende. Er deres systemer testede og klar til at modstå angreb, og kan det hurtigt lokaliseres, hvilken vej, hackere potentielt kan finde vej til gemte data? Er der en plan for, hvordan data hurtigt kan blive gendannet, så der er mindst mulig nedetid? Ved at holde hinanden op på en god standard sikrer man både virksomhed, leverandør og leverandørs leverandørers sikkerhed.
Cyber resilience kræver selvindsigt
Det vigtigste er, at der ikke bliver overset væsentlige huller i sikkerhedsprocesser, der kan skade ens cyber resilience. Ved at identificere huller og potentielle indgange er det nemmere for beslutningstagere at tage højde for egen risikoplan. En del af risikoplanen er ikke mindst, hvordan man kan holder virksomheden oven vande, når man rammes af et cyberangreb. For det handler ikke længere om virksomheder bliver ramt, men hvordan virksomhederne kan holde driften kørende, mens de er ramt. Dog kræver det selvindsigt både på egne og leverandørers vegne at finde hullerne i et cyberforsvar.
Det kan være en svær disciplin, det erkender jeg. Men som MSP er man i lige så stor fare som andre virksomheder – hvis ikke større -, og man skal derfor ikke være bange for at stille partnere og leverandører de svære spørgsmål og sætte krav til deres sikkerhed. Først når sikkerheden er bevist, skabes digital tillid, og fordelene ved dette kan høstes.
Af Scott Gower, Regional Sales Manager Nordic, Datto