3 minutters læsetid 30 apr. 2019
Udgør dine leverandører din største it-sikkerhedsrisiko?

Udgør dine leverandører din største it-sikkerhedsrisiko?

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

3 minutters læsetid 30 apr. 2019
Relaterede emner Energi og forsyning

Et område, der fylder i både GDPR, NIS (EU direktiv om sikkerhed i netværk og informationssystemer) og implementerende nationale love, er et skærpet fokus på styring og krav til leverandørforhold.

I vores artikel Fra it-problem til forretningsproblem. Cyber- og informationssikkerhed er kommet for at blive, peges der på, at den digitale tranformation er i fuld gang i de fleste organisationer, og at alle organisationer derfor bør rette fokus mod øget EU- og national lovgivning samt de forskellige nationale strategier for cybersikkerhed.

Selvom organisationen som udgangspunkt måske ikke er omfattet af al cybersikkerheds-relevant regulering, giver det erfaringsmæssigt et godt praj om, hvilken ”good practice” man bør honorere.

Et område, der fylder i både GDPR, NIS (EU direktiv om sikkerhed i netværk og informationssystemer) og implementerende nationale love, er et skærpet fokus på styring og krav til leverandørforhold.

Typer af risiko

Energi- og forsyningsvirksomheder bruger ofte eksterne leverandører til eksempelvis installation, service og vedligeholdelse af fysisk udstyr i produktionen, herunder også opdatering af software som fx industrielle kontrolsystemer, der udgør en vital del af infrastrukturen.

Men der bruges også ofte leverandører til opgaver af mere administrativ karakter, der fx inkluderer adgang til eller behandling af virksomhedens kundedata eller betalingsoplysninger.

I begge tilfælde kan utilstrækkelig sikkerhed udgøre en stor risiko for virksomheden.

Risici opstår ikke kun i relation til tabt produktion, og flere eksempler viser, at den omdømmemæssige skade også kan være betydelig og yderst skadelig. Og offentligheden og folk i almindelighed skelner ikke mellem virksomhedens ansvar og leverandøransvaret.

Blandt typiske scenarier ses:

  • Leverandøren kommer til at lække virksomhedens data ved et uheld
  • Leverandøren hackes, hvorved virksomhedens data også bliver kompromitteret
  • Ondsindede aktører får adgang til virksomheden via leverandørens fjernadgange

Virksomheden bør derfor skabe sig et overblik over, hvordan problemstillingen håndteres i virksomheden og bl.a. gøre sig følgende overvejelser:

Trusselsniveau: Hvad er graden af afhængigheden af leverandøren? Og kan denne minimeres? Bliver data opbevaret af leverandøren i systemer eller lokaler, der har tilstrækkeligt sikkerhedsniveau?

Transparens: Hvilke aftaler foreligger om udstrækningen af leverandørens adgang til data og systemer? Ejer virksomheden til enhver tid sine egne data, og er det klart om, og hvor der foreligger backup?

Ansvar: Hvem sikrer og vurderer, om aftaler foreligger, og hele tiden er opdaterede? Foreligger der opdaterede politikker og procedurer? Hvem foretager den løbende vurdering af kritikalitet af de involverede data og systemer?

Er virksomhedens egen administration af leverandørers brugerrettigheder tilstrækkelig? Er udstrækningen af fjernadgange, herunder om der fx består permanent fjernadgang, eller om den etableres på ad hoc-basis, acceptabel? Hvem logger leverandørens ageren og reagerer, hvis der forekommer uregelmæssigheder?

Audit: Hvem laver audit på leverandøren, og om denne overholder de aftalte opdateringer, sikkerheds­kontroller og fx rapportering? Om leverandørens brugerrettighedsadministration og adgangen til systemer og data fx logges med mulighed for henføring til specifikke medarbejdere hos leverandører?

Kontakt os

Hvis du har kommentarer eller lyst til i en uforpligtende samtale at drøfte, hvordan man kan komme i gang med ovenstående, er du velkommen til at kontakte os.

Henriette Brandstrup, tlf. 2529 3543

  • Fakta

    Statssponserede russiske hackere fik skaffet sig adgang til amerikanske elektricitetsværker ved først at skaffe sig adgang til leverandører, hvor de fik fat i passwords og brugernavne via phishing mails. Dernæst kunne hackerne opnå adgang til elektricitetsværkerne via leverandørernes fjernadgange, som leverandørerne brugte til at opdatere software, scanne netværk m.m.

    En afskediget amerikansk ingeniør fik et års fængsel for at hævne sig på sin arbejdsgiver ved lukke for adgangen til nogle digitale komponenter, der er essentielle for fjernaflæsning af målere i folks hjem, hvorved nogle af de vandværker, virksomheden betjente, ikke kunne indhente forbrugstal. Manden skiftede også en række passwords, der var svære at ændre igen.

    En database ejet af Kommunernes Landsforening, KL, men drevet af en underleverandør, fik stjålet 40.000 personers oplysninger og passwords.

Sammendrag

Energi- og forsyningsvirksomheder bruger ofte eksterne leverandører til eksempelvis installation, service og vedligeholdelse af fysisk udstyr i produktionen, herunder også opdatering af software som fx industrielle kontrolsystemer, der udgør en vital del af infrastrukturen. Leverandører bruges også ofte til opgaver af mere administrativ karakter, der fx inkluderer adgang til eller behandling af virksomhedens kundedata eller betalingsoplysninger, hvilket kan udgøre en stor risiko for virksomheden. Virksomheden bør derfor bl.a. gøre sig overvejelser om trusselsniveau, transperans, ansvar og audit.

Om denne artikel

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Relaterede emner Energi og forsyning