Underleverandører ofte bedriftenes svakeste sikkerhetsledd

Datamengdene som transporteres i og mellom bedrifter og organisasjoner, øker konstant. Det øker risikoen for digitale trusler – ikke sjelden via små underleverandører med lavere IT-sikkerhet, sier Stephen Wolthusen, professor i informasjonssikkerhet ved NTNU.

Markedstrender Digital transformasjon

I takt med den økende mengden sensitive data som transporteres, øker også risikoen for forskjellige former for digitale trusler – såkalt phishing og ransomware (løsepengevirus) blir f.eks. mer og mer utbredt.  Klarer ikke hackerne å få tak i offeret direkte, kan organisasjonens underleverandører være en vei inn.

– Leverandørkjeden er det svakeste leddet. En mindre bedrift med litt dårligere sikkerhet som har en forretningsmessig relasjon til en større aktør, brukes ofte som springbrett for å fange større fisker, forklarer Stephen Wolthusen.

– Det er svært viktig å forstå hvordan bedriftens leverandørkjede ser ut og på den måten kunne oppdage når noe ikke er som det skal være. Det vil komme angrep som det er vanskelig å forsvare seg mot, selv om man har alle de siste sikkerhetsoppdateringene.

Stephen Wolthusen
Stephen Wolthusen, professor i informasjonssikkerhet ved NTNU.
Phishing og ransomware

Såkalt phishing er en type trussel som kan medføre store kostnader for bedrifter og organisasjoner. Det skjer også mye utpressing med såkalt ransomware, som innebærer å stjele data og kreve både bedrifter og kundene deres for løsepenger.

– Det som skiller bedrifter som klarer seg, fra de som ikke gjør det, er evnen til å kunne stå imot et angrep ved hjelp av grunnleggende sikkerhetsmekanismer, og hvorvidt man har en kriseplan for systemgjenoppretting, sier Stephen Wolthusen.

Det blir med andre ord mer og mer viktig å sikre sine egne og kundenes data, f.eks. gjennom ISO-sertifisering.

Skjerpede regler stiller høyere krav

Skjerpede lover og regler, bl.a. EUs generelle personvernforordning (GDPR) og regelverket innen ePrivacy, innebærer at alle virksomheter må utvikle seg teknisk og organisatorisk for å kunne oppfylle kravene til god datasikkerhet fra lovgiverne og forventningene fra kunder, leverandører og samarbeidspartnere.

– Det er et stort og viktig spørsmål som vi har arbeidet med i lang tid, og vi er gode på det vi gjør. Kundenes behov for og forventninger til sikkerhet gjør at vi hele tiden blir bedre og bedre på å oppfylle dette. For oss er datasikkerhet, også når det gjelder det vi gjør, som er å håndtere sensitive kundedata, en integrert del av vår tenkemåte, sier Martin Nyberg, Chief Compliance Officer i PostNord Strålfors.

Sikkerhetsrelatert kommunikasjon

For å møte den nye typen digitale trusler må leverandørene kunne vise hvordan de arbeider for å sikre kundenes data. Det skjer en hel del sikkerhetsrelatert kommunikasjon mellom de som eier data, og de som behandler dem, i form av revisjoner og sertifiseringer for å vise omverdenen at de har kontroll. En type uavhengig sertifisering er ISO 27000, som bl.a. dekker styringssystem, informasjonssikkerhet, cybersikkerhet og beskyttelse av data.

– PostNord Strålfors har i mange år hatt en rekke sertifiseringer og godkjente revisjoner, og den sterke erfaringen vi har med oss, kommer kundene til gode. Samtidig som både risikoene og kundenes forventninger øker, styrkes også vår egen integritet og våre ambisjoner. Sikkerheten er alltid i høysetet hos oss, avslutter Martin Nyberg.

Inspirasjon og fordypning

compliance

«I bunn og grunn handler det om tillit»

PostNord Strålfors håndterer enorme mengder personopplysninger hver dag. I bunn og grunn handler det om tillit, at kundene og medarbeiderne skal kunne føle seg helt trygge på at vi kan levere det vi har lovet, både digitalt og fysisk. Og at vi håndterer kundenes data på en riktig og sikker måte, sier Martin Nyberg, Chief Compliance Officer i PostNord Strålfors.

Åke Andersson, Information Security Officer i PostNord Strålfors

«ISO er som en liten bibel for oss»

Hver dag passerer det enorme mengder data gjennom PostNord Strålfors’ systemer. Det er Åke Andersson som har det overordnede ansvaret for informasjonssikkerheten. - Det er mange som snakker om cybersikkerhet i dag, men det har lenge vært et sentralt spørsmål for PostNord Strålfors.

Security_16-9.jpg

Nye ISO 27001-sertifiseringer garanterer pålitelige sikkerhetsprosedyrer

PostNord Strålfors håndterer enorme mengder personopplysninger hver dag. I bunn og grunn handler det om tillit, at kundene og medarbeiderne skal kunne føle seg helt trygge på at vi kan levere det vi har lovet, både digitalt og fysisk. Og at vi håndterer kundenes data på en riktig og sikker måte, sier Martin Nyberg, Chief Compliance Officer i PostNord Strålfors.