Vi har alle måttet bli bedre på cybersikkerhet i løpet av det siste tiåret. Truslene både bedrifter og enkeltpersoner står overfor, blir større, mer sofistikerte og skjer oftere. Utfordringen ved å oppdage og agere på sikkerhetssvakheter i leverandørkjeden gjør at innkjøpere bruker mer ressurser enn noen gang på cybersikkerhet. Å sørge for at disse investeringene gir avkastning i form av bedre sikkerhetspraksis er en strategisk prioritering for risikostyrere. Det er imidlertid ofte enklere sagt enn gjort.
Rapporten «Security Third Annual State of Cyber Resilience» fra Accenture fokuserer på hva det er som skiller ledere innen cybersikkerhet fra alle andre. Selskapet spurte over 4600 ledere for å finne ut hvordan de håndterer den stadig mer sofistikerte risikoen for cyberkriminalitet. De fleste selskaper er gode på det grunnleggende innen sikkerhet i leverandørkjeden, men det er likevel tydelige forskjeller på de som gjør det bra, og de som ikke gjør mer enn nødvendig.
Forskningen fra Accenture viser at 40 % av sikkerhetsbrudd nå er indirekte og retter seg mot svake ledd i leverandørkjeders og bedrifters økosystemer. Muligheten for databrudd hos en leverandør utgjør en risiko, men det gjør også kostnader og investeringer som ikke er bærekraftige og som ikke skaper verdi.
Hva gjør de selskapene som går i spissen for sikkerhet i leverandørkjeden, og hvilken lærdom kan vi ta av dem? Her er tre ting de har til felles.
- De investerer i hastighet
Hvor fort selskapet kan oppdage, agere på og komme seg etter et cyberangrep på leverandørkjeden, er ett av hovedpunktene som skiller lederne fra alle andre. De fleste leverandørkjeders sikkerhetsretningslinjer har fokus på styrke, men det er de som fokuserer på hastighet og det å ha god nok dataoversikt, som er virkelig effektive. Ifølge Accenture kan ledere innen cybersikkerhet oppdage og fikse sikkerhetsbrudd på 15 dager eller mindre i gjennomsnitt.
46 % av leverandørene i tjenestenettverket vårt har utnevnt en person som er ansvarlig for informasjonssikkerhet, og 87 % av leverandørene i UVDB-nettverket vårt har et dokumentert sikkerhetsstyringssystem. Dette er viktige skritt mot en bedre sikkerhetspraksis. Bedre synlighet og tilpasningsdyktighet gjør det mulig å oppdage trusler raskere. I tillegg kan både innkjøpere og leverandører måle evnene sine mer nøyaktig.
For øyeblikket har imidlertid bare 30 % av leverandørene i nettverket en prosedyre for håndtering av sikkerhetsrelaterte hendelser. Det betyr at responsen til mange av dem vil være ad-hoc og muligens treg og lite effektiv.
- De fokuserer på verdi
For mange bedrifter har kostnaden av investeringer innen cybersikkerhet steget raskt, uten at de har fått den verdiøkningen de håpet på. Tall fra Hiscox viser at selskaper fra hele verden har hatt en gjennomsnittlig økning på 39 % i kostnader knyttet til cybersikkerhet fra 2019 til 2020. Med så stor økning på så kort tid blir det helt nødvendig for selskapene å få hver krone til å telle. 69 % av de som svarte i Accenture-rapporten, anser denne kostnadsøkningen som ikke bærekraftig på lang sikt.
De selskapene som gjør det riktig, retter investeringene sine mot løsninger med målrettede resultater. De lager verktøy som hjelper dem med å oppdage potensielle svakheter på en effektiv måte i hele leverandørkjeden, slik at de kan fokusere på å beskytte de viktigste verdiene.
- De opprettholder momentumet
Det er alltid fristende å ta i bruk enda flere verktøy og funksjoner, men de ledende selskapene bruker ofte mer av budsjettet på å skape momentum med de verktøyene de allerede har. Dette betyr å sørge for at det grunnleggende alltid gjøres riktig. Til tross for at databrudd hos leverandører blir stadig mer sofistikerte, oppstår de fleste sikkerhetssvakheter hos leverandørkjeder på grunn av feil med det mest grunnleggende, som for eksempel sikring av kundejournaler.
Dataene våre viser fremgang, men det er fortsatt mye som kan gjøres. 54 % av leverandørene i teknologi- og produksjonsnettverket vårt har dokumenterte retningslinjer for informasjonssikkerhet og datavern, men bare 7 % kan bevise at de er blitt evaluert av en tredjepart eller er sertifisert i henhold til ISO 27001:2005 eller tilsvarende.
Konsekvensen av å ikke håndtere sikkerhetssvakheter i leverandørkjeder kan bli svært kostbare databrudd. Nylige eksempler omfatter Ubers databrudd i 2016 som kostet dem 150 millioner dollar, boten på 120 000 pund som Heathrow flyplass ble ilagt på grunn av en tapt minnepinne, og forliket på 575 millioner dollar Equifax inngikk med amerikanske reguleringsmyndigheter i 2019.
Vi kan hjelpe dere med å bli bedre på cybersikkerhet
Vi kan jobbe med risikostyringsteamene deres for å gjøre leverandørkjeden mer synlig, finne mulige svakheter og redusere risikoen for databrudd hos leverandører. Vi kan også redusere arbeidsmengden for teamene deres og hjelpe dere med å utvikle risikoreduserende retningslinjer og protokoller for leverandørkjeden.
Finn ut mer her.