Ett effektivt sätt att hantera sårbarheter hos tredjepartsleverantörer är att genomföra utbildning i säkerhetsmedvetenhet hos tredjepartsleverantörer.
Leverantörernas ekosystem är en integrerad del av många organisationer och ger stöd för en framgångsrik verksamhet. Detta intima, ofta komplexa, förhållande mellan leverantörer har lett till att det finns brister som hackare utnyttjar. Utbildning i säkerhetsmedvetenhet med tredjepartsleverantörer är oerhört viktigt.
Omfattningen av dessa sårbarheter hos tredje part har tagits upp i en undersökning från 2020 av Opinion Matters: undersökningen undersökte säkerhetsfrågor för tredje parts ekosystem med CIO:er, CISO:er och inköpschefer. Ett av de mest oroande resultaten av rapporten var att cirka 82 % av de brittiska organisationerna hade drabbats av en säkerhetsöverträdelse som hade sitt ursprung i det bredare ekosystemet för leverantörer. Undersökningen visade också att Storbritannien har den sämsta insynen i säkerhetsbrister i leveranskedjan.
Hantera säkerhetsaspekterna av att använda tredje part
Utbildning i säkerhetsmedvetenhet med tredjepartsleverantörer är en holistisk process som omfattar många rörliga delar. På grund av komplexiteten hos dessa system leder både oavsiktlig dataexponering och cybersäkerhet som riktas mot leverantörskedjan till allvarliga säkerhetshot och ökade företagsrisker.
Företag som använder leverantörer och andra tredje parter är vanligtvis ansvariga för resultatet av en cyberattack, även om felet ligger hos en tredje part. Regler som ISO27001 och PCI DSS (Payment Card Industry Data Security Standard) innehåller krav som innebär att alla datarisker i samband med tredjepartsleverantörer hanteras.
En nyligen genomförd studie från ENISA visade att 58 % av attackerna fokuserar på att få tillgång till data och 62 % av attackerna är beroende av att manipulera kundernas förtroende i leveranskedjan. I Enisa-rapporten står följande:
"Ettstarkt säkerhetsskydd räcker inte längre för organisationer när angriparna redan har flyttat sin uppmärksamhet till leverantörerna."
I rapporten framhölls också att rapporteringen av incidenter var dålig, vilket påverkar synligheten av sårbarheter i kedjan.
Med tanke på att leveranskedjor är ansvariga för så många cyberattacker är det viktigt att fokusera på den mänskliga sidan av cybersäkerheten genom att se till att alla tredje parter är fullt medvetna om säkerhetsutmaningarna. Att ta itu med den mänskliga faktorn i hotet mot cybersäkerheten kan ske i form av utbildning i säkerhetsmedvetenhet. Men hur hanterar en organisation utbildning i säkerhetsmedvetenhet med tredjepartsleverantörer?
Viktiga frågor vid hantering av utbildning i säkerhetsmedvetenhet med tredjepartsleverantörer
Hanteringen av säkerhetssårbarheterna i leveranskedjan handlar om att utbilda de anställda i hela kedjan. Hanteringen av utbildningen i säkerhetsmedvetenhet hos tredjepartsleverantörer och anställda kommer med flera nyckelfrågor:
Har den tredje parten utbildning i säkerhetsmedvetenhet?
Ta reda på om din leverantör redan har ett utbildningspaket för säkerhetsmedvetenhet? Tänk dock på att alla paket för säkerhetsmedvetenhet inte är likvärdiga. Utbildningsnivån måste vara av en standard som motsvarar ditt eget företags förväntningar. Kontrollera att utbildningen genomförs med jämna mellanrum. Ett dåligt utbildningspaket som inte använder interaktivt och engagerande utbildningsmaterial kommer kanske inte att förändra de anställdas dåliga säkerhetsbeteende.
Använder leverantören simuleringar av nätfiske och annan utbildning om nätfiske?
I en undersökning som Thales genomförde 2021 var nätfiske nummer tre bland de tio största problemen när det gäller datahot. Skadlig programvara och utpressningstrojaner, som ofta initieras av nätfiske, låg på plats 1 respektive 2.
Simuleringar av nätfiske tar en anställd genom noggrant konfigurerade automatiserade simuleringar av nätfiske. Med tiden ökar personalens självförtroende när det gäller att upptäcka tecken på nätfiske och hur man sedan rapporterar hotet. Kontrollera med din leverantör om de använder sig av phishing-simuleringar, och om inte, hjälp dem att utveckla ett program som simulerar typiska phishing-bedrägerier som påverkar din sektor.
Utvärdera befintliga utbildningskampanjer för säkerhetsmedvetenhet med tredjepartsleverantörer.
När du har konstaterat att leverantören har ett program för utbildning i säkerhetsmedvetenhet kan du utvärdera dess effektivitet genom att kolla in:
- Dokumentation om utbildning, t.ex. anställdas närvaro vid utbildningstillfällen, typ av frågor som ställs av deltagarna osv.
- Mätning av utbildningens effektivitet, t.ex. hur många anställda kunde känna igen ett phishingmeddelande och rapportera det?
Mätvärden hjälper till att göra riktade ändringar i ett program som leder till ännu bättre träningsresultat.
Vad händer om din tredjepartsleverantör inte använder sig av utbildning i säkerhetsmedvetenhet?
Det blir allt viktigare att ta itu med den mänskliga faktorn i cyberrisker. I en annan rapport från ENISA konstaterades att 95 procent av nätfiskemejlen kräver mänsklig inblandning för att initiera en infektion med skadlig kod. Dessutom måste man också ta hänsyn till hotet från oavsiktliga insiders; i Verizons rapport om utredningar av dataintrång 2021 konstaterades att 22 % av säkerhetsincidenterna involverade insiders.
Leverantörens personal måste utbildas i säkerhetsmedvetenhet på samma höga nivå som ditt eget företags personal. För att hantera detta måste avtalet om servicenivåer (SLA) mellan ditt företag och din leverantör återspegla den utbildningsnivå som du förväntar dig. Detta juridiska avtal bör kräva att detaljerna i säkerhetsutbildningsprogrammet godkänns enligt era egna standarder. Att ha ett SLA på plats som innehåller en klausul om tillhandahållande av säkerhetsmedvetenhet visar att leverantören är engagerad i både sin egen och er säkerhet.
Bra tredjepartsleverantörer ger en konkurrensfördel, men säkerhetsbrister kan göra en bra leverantör till en belastning.
Cyberbrottslingar letar efter den svagaste länken i kedjan, leverantören och dess personal. För att se till att dessa sprickor i kedjans pansar mildras, se till att den utbildning i säkerhetsmedvetenhet som genomförs med tredjepartsleverantörer hanteras noggrant så att den uppfyller de förväntningar och standarder som du förväntar dig.
