En effektiv måde at håndtere tredjepartsleverandørers sårbarheder på er at gennemføre træning i sikkerhedsbevidsthed hos tredjepartsleverandører.
Leverandørernes økosystem er en integreret del af mange organisationer og understøtter en succesfuld forretning. Dette intime, ofte komplekse forhold mellem leverandører har resulteret i fejllinjer, som hackere udnytter. Træning i sikkerhedsbevidsthed med tredjepartsleverandører er ekstremt vigtigt.
Omfanget af disse sårbarheder hos tredjeparter blev registreret i en 2020-undersøgelse fra Opinion Matters: undersøgelsen undersøgte sikkerhedsspørgsmål vedrørende tredjeparters økosystem med CIO'er, CISO'er og Chief Procurement Officers. Et af de mest foruroligende resultater af rapporten var, at ca. 82 % af de britiske organisationer havde været udsat for et sikkerhedsbrud, der havde sit udspring i det bredere leverandørøkosystem. Undersøgelsen påpegede også, at Storbritannien har den dårligste synlighed af sikkerhedssårbarheder i forsyningskæden.
Håndtering af sikkerhedsimplikationerne ved brug af tredjeparter
Træning i sikkerhedsbevidsthed med tredjepartsleverandører er en holistisk proces, der involverer mange bevægelige dele. På grund af disse systemers kompleksitet fører både utilsigtet dataeksponering og cybersikkerhedsmålretning af forsyningskæden til alvorlige sikkerhedstrusler og øget virksomhedsrisiko.
Virksomheder, der anvender leverandører og andre tredjeparter, er typisk ansvarlige for resultaterne af et cyberangreb, selv om det er en tredjepart, der er skyld i det. Forordninger som ISO27001 og PCI DSS (Payment Card Industry Data Security Standard) indeholder krav, der forventer, at eventuelle datarisici i forbindelse med tredjepartsleverandører håndteres.
En nylig undersøgelse fra ENISA viste, at 58 % af angrebene fokuserer på at få adgang til data, og at 62 % af angrebene afhænger af at manipulere kundernes tillid i forsyningskæden. Det fremgår af ENISA-rapporten, at:
"Enstærk sikkerhedsbeskyttelse er ikke længere nok for organisationer, når angriberne allerede har flyttet deres opmærksomhed til leverandørerne."
Det blev også fremhævet i rapporten, at indberetningen af hændelser er dårlig, hvilket påvirker synligheden af sårbarheder opad i kæden.
Da forsyningskæderne er ansvarlige for så mange cyberangreb, er det afgørende at fokusere på den menneskelige side af cybersikkerhed ved at sikre, at alle tredjeparter er fuldt ud opmærksomme på sikkerhedsudfordringerne. At tage fat på det menneskelige element i cybersikkerhedstruslerne kan ske i form af træning i sikkerhedsbevidsthed. Men hvordan håndterer en organisation uddannelse i sikkerhedsbevidsthed med tredjepartsleverandører?
Vigtige spørgsmål i forbindelse med forvaltning af uddannelse i sikkerhedsbevidsthed med tredjepartsleverandører
Håndtering af sikkerhedssårbarhederne i forsyningskæden afhænger af uddannelse af medarbejderne i hele kæden. Styring af sikkerhedsbevidsthedsuddannelsen med tredjepartsleverandører og medarbejdere er forbundet med flere vigtige spørgsmål:
Har den tredjepart en uddannelse i sikkerhedsbevidsthed på plads?
Find ud af, om din leverandør allerede har en uddannelsespakke om sikkerhedsbevidsthed på plads? Husk dog på, at ikke alle pakker med sikkerhedsbevidsthed er lige gode. Uddannelsesniveauet skal være af en standard, der opfylder din egen virksomheds forventninger. Kontroller, at der gennemføres uddannelse med regelmæssige mellemrum. En dårlig uddannelsespakke, der ikke anvender interaktivt og engagerende uddannelsesmateriale, ændrer måske ikke medarbejdernes dårlige sikkerhedsadfærd.
Bruger leverandøren phishing-simuleringer og anden uddannelse i phishing-opmærksomhed?
I en undersøgelse foretaget af Thales i 2021 lå phishing på tredjepladsen over de ti største datatrusler. Malware og ransomware, der ofte er initieret af phishing, lå på henholdsvis første og andenpladsen.
Phishing-simuleringer tager en medarbejder gennem omhyggeligt konfigurerede automatiserede phishing-simuleringsøvelser. Med tiden opbygger dette medarbejdernes tillid til, hvordan de kan opdage afslørende tegn på phishing, og hvordan de derefter skal rapportere truslen. Tjek med din leverandør, om de bruger phishing-simulationer, og hvis ikke, så hjælp dem med at udvikle et program, der simulerer typiske phishing-svindelnumre, som påvirker din sektor.
Evaluér enhver eksisterende uddannelseskampagne for sikkerhedsbevidsthed med tredjepartsleverandører
Når du har fastslået, at leverandøren har et program for sikkerhedsbevidsthedsuddannelse, kan du vurdere dets effektivitet ved at tjekke:
- Dokumentation for uddannelse, f.eks. medarbejdernes deltagelse i uddannelsesmøder, typer af spørgsmål stillet af kursisterne osv.
- Målinger af uddannelsens effektivitet, f.eks. hvor mange medarbejdere var i stand til at genkende en phishing-meddelelse og derefter rapportere den?
Målinger hjælper med at foretage målrettede ændringer i et program, der resulterer i endnu bedre træningsresultater.
Hvad hvis din tredjepartsleverandør ikke bruger træning i sikkerhedsbevidsthed?
Det bliver stadig vigtigere at tage fat på det menneskelige element i cyberrisikoen. En anden ENISA-rapport viste, at 95 % af phishing-e-mails kræver menneskelig indgriben for at udløse en malware-infektion. Desuden skal truslen fra utilsigtede insidere også tages i betragtning; ifølge Verizon Data Breach Investigations Report 2021 var 22 % af sikkerhedshændelserne forbundet med insidere.
Leverandørens personale skal uddannes på samme høje niveau i sikkerhedsbevidsthed som din egen virksomheds personale. For at håndtere dette skal serviceniveauaftalen (SLA) mellem din virksomhed og din leverandør afspejle det uddannelsesniveau, som du forventer, at der skal gennemføres. Denne juridiske aftale bør kræve, at detaljerne i sikkerhedsuddannelsesprogrammet godkendes i overensstemmelse med dine egne standarder. En SLA, der indeholder en klausul om levering af sikkerhedsoplysning, viser, at leverandøren er forpligtet til både deres og din sikkerhed.
Gode tredjepartsleverandører sikrer en konkurrencefordel, men sikkerhedsbrister kan gøre en god leverandør til en belastning.
Cyberkriminelle leder efter det svageste led i kæden, nemlig leverandøren og dennes personale. For at sikre, at disse huller i kædens rustning afbødes, skal du sørge for, at den sikkerhedsbevidsthedsuddannelse, der gennemføres med tredjepartsleverandører, forvaltes omhyggeligt, så den lever op til de forventninger og standarder, du forventer.