I takt med den økende mengden sensitive data som transporteres, øker også risikoen for forskjellige former for digitale trusler – såkalt phishing og ransomware (løsepengevirus) blir f.eks. mer og mer utbredt. Klarer ikke hackerne å få tak i offeret direkte, kan organisasjonens underleverandører være en vei inn.
– Leverandørkjeden er det svakeste leddet. En mindre bedrift med litt dårligere sikkerhet som har en forretningsmessig relasjon til en større aktør, brukes ofte som springbrett for å fange større fisker, forklarer Stephen Wolthusen.
– Det er svært viktig å forstå hvordan bedriftens leverandørkjede ser ut og på den måten kunne oppdage når noe ikke er som det skal være. Det vil komme angrep som det er vanskelig å forsvare seg mot, selv om man har alle de siste sikkerhetsoppdateringene.
Stephen Wolthusen, professor i informasjonssikkerhet ved NTNU.Phishing og ransomware
Såkalt phishing er en type trussel som kan medføre store kostnader for bedrifter og organisasjoner. Det skjer også mye utpressing med såkalt ransomware, som innebærer å stjele data og kreve både bedrifter og kundene deres for løsepenger.
– Det som skiller bedrifter som klarer seg, fra de som ikke gjør det, er evnen til å kunne stå imot et angrep ved hjelp av grunnleggende sikkerhetsmekanismer, og hvorvidt man har en kriseplan for systemgjenoppretting, sier Stephen Wolthusen.
Det blir med andre ord mer og mer viktig å sikre sine egne og kundenes data, f.eks. gjennom ISO-sertifisering.
Skjerpede regler stiller høyere krav
Skjerpede lover og regler, bl.a. EUs generelle personvernforordning (GDPR) og regelverket innen ePrivacy, innebærer at alle virksomheter må utvikle seg teknisk og organisatorisk for å kunne oppfylle kravene til god datasikkerhet fra lovgiverne og forventningene fra kunder, leverandører og samarbeidspartnere.
– Det er et stort og viktig spørsmål som vi har arbeidet med i lang tid, og vi er gode på det vi gjør. Kundenes behov for og forventninger til sikkerhet gjør at vi hele tiden blir bedre og bedre på å oppfylle dette. For oss er datasikkerhet, også når det gjelder det vi gjør, som er å håndtere sensitive kundedata, en integrert del av vår tenkemåte, sier Martin Nyberg, Chief Compliance Officer i PostNord Strålfors.
Sikkerhetsrelatert kommunikasjon
For å møte den nye typen digitale trusler må leverandørene kunne vise hvordan de arbeider for å sikre kundenes data. Det skjer en hel del sikkerhetsrelatert kommunikasjon mellom de som eier data, og de som behandler dem, i form av revisjoner og sertifiseringer for å vise omverdenen at de har kontroll. En type uavhengig sertifisering er ISO 27000, som bl.a. dekker styringssystem, informasjonssikkerhet, cybersikkerhet og beskyttelse av data.
– PostNord Strålfors har i mange år hatt en rekke sertifiseringer og godkjente revisjoner, og den sterke erfaringen vi har med oss, kommer kundene til gode. Samtidig som både risikoene og kundenes forventninger øker, styrkes også vår egen integritet og våre ambisjoner. Sikkerheten er alltid i høysetet hos oss, avslutter Martin Nyberg.