Cyberrisker ökar markant och förövare ser ofta svagheter i extern cybersäkerhet som en öppen inbjudan till riktade cyberattacker. När anställda arbetar på distans ökar antalet svaga punkter som cyberattacker kan riktas mot. I samarbete med Orpheus erbjuder vi cyberriskpoäng för leverantörer för att tillhandahålla avancerad cyberinformation till inköpsorganisationer som använder Achilles.
Vad är cyberriskpoäng?
En cyberriskbedömning bedömer ett företags risknvå. Ju högre poäng, desto högre risk att ett företag blir offer för en attack.
Varför är det viktigt att hantera cyberrisker i leverantörskedjan?
Många attacker inleds på ett företag i leverantörskedjan i stället för direkt på det avsedda slutmålet. Stora organisationer har ofta infört bättre cybersäkerhetsåtgärder, men de ger behöriga leverantörer åtkomst till sina system. När leverantörerna har denna åtkomst blir de en del av nätverket och är därmed öppna för attacker som riktas mot organisationen. Dessutom är det troligt att om en viktig leverantör utsätts för en cyberattack blir även ni utsatta för en störning – oavsett om leverantören har tillgång till era system eller inte. Flera leverantörer kan även ha tillgång till uppgifter om er och era kunder. Om er kunddata läcker på grund av dataintrång hos en leverantör ställs ni troligen till svars, särskilt om ni inte har följt bästa praxis när det gäller att hantera cyberrisker i leverantörskedjan. Om ni inte utvärderar era leverantörers säkerhetsåtgärder när det gäller cyberrisker vet ni inte om de utgör en stor eller liten risk. Angripare känner ofta till detta och försöker hitta vägar via leverantörer med svagare säkerhetsåtgärder.
Dessutom har internationella lagstiftare börjat att införa riktlinjer för säkerhet i leverantörskedjor. Lagstiftare och tillsynsmyndigheter minskar inte på böterna för att angriparna har tagit sig in via tredje part utan de ser detta som en risk ni ansvarar för.
Vilka uppgifter används för att räkna ut cyberriskpoäng?
Vid beräkning av cyberriskpoängen används flera olika datapunkter i kombination med maskinlärning. Uppgifterna omfattar:
- Underrättelser om hot mot sektorer och länder där ni är verksamma.
- Kända sårbarheter.
- Bevis på svag e-postsäkerhet.
- Bristande cyberhygien.
Vilka faktorer påverkar cyberpoängen?
Riskbedömningen är en kombination av hotpoäng och sårbarhetspoäng. Rapporten visar de individuella poängen för dessa båda faktorer tillsammans med uppgifterna som används i beräkningen. För alla problem som identifieras ger rapporten förslag på åtgärder.
Hur vet man att den stämmer?
De verktyg och de metoder vi använder följer processen som används av . Tack vare omfattande erfarenhet av underrättelser om hot vet vi vad cyberangriparna söker och vad de försöker utnyttja. Vår maskininlärning har granskats av sakkunniga och förutser korrekt minst 94 procent framtida hot.
Genom vårt samarbete med Orpheus har vi en noggrann process för att identifiera falska positiv som kan skapa en artificiellt hög poäng för ett företag. Vi har även en process där företag kan ta bort resultat som vi kan validera som felaktiga, men detta är mycket ovanligt. Vissa riskbedömningsföretag låter företag uppdatera sin poäng om de minskar riskerna, men vi tillåter bara detta med validering för att säkerställa att resultaten stämmer.
Finns det något man bör tänka på om cyberpoängen är låg?
Låg risk är inte samma sak som ingen risk. Insiderhot och nätfiskekampanjer är exempel på två stora risker som nästan alla företag utsätts för. Orpheus Cyber Risk Rating är en stark indikator, som föreslår åtgärder som företag kan vidta för att minska sin risk. Vi använder hackares perspektiv men ni bör titta på fler risker. Vissa risker kan bara de som finns inom organisationen se.
Vad händer om vi anser att poängen är fel?
Alla företag som anser att deras cyberpoäng är felaktig är välkomna att kontakta oss för att diskutera lämpliga åtgärder. Vi jobbar hårt för att ta bort falska positiv från poängen och det är ovanligt att det blir fel. Den totala cyberriskpoängen skapas av flera olika datapunkter, så det är inte troligt att enstaka falska positiv inom något område påverkar den totala poängen. Om det mot förmodan skulle inträffa så har vi en process där vi validerar felet som har identifierats.
Var kan vi se vår cyberpoäng?
Som inköpare kan man se leverantörers cyberpoäng via Achilles Insights. Dessutom finns alternativet att få en skräddarsydd rapport om cyberrisker inom en särskild leverantörskedja. Den ger en djupare insikt i vilka specifika risker och hot som ni kan vara utsatta för.
Som leverantör kan ni se er cyberpoäng i panelen MyAchilles. Genom att prenumerera på Orpheus månadsrapporter med riskbedömningar får ni även en detaljerad uppdelning av era cyberrisker och en handlingsplan som är lätt att följa så att ni kan åtgärda problemområden och därmed förbättra er poäng. Med Achilles-prenumerationen får ni ett förmånligt pris.
För inköpare
Vid vilken nivå ska man ta bort en leverantör från processen?
Ni bestämmer själva vilken nivå ni anser är acceptabel utifrån er risktolerans. Vi föreslår att ni arbetar med leverantörer för att minska deras poäng, hellre än att sluta anlita en viss leverantör helt och hållet. Rapporten som vi skapar visar vad de kan göra. Vi föreslår att man funderar på att sluta anlita leverantörer som är ovilliga eller inte klarar av att minska allvarliga säkerhetsrisker.
Hur ofta behöver man kontrollera en leverantörs cyberpoäng?
Eftersom cyberpoängen uppdateras kontinuerlig och nya sårbarheter upptäcks dagligen så kan poängen ändras. Ni bestämmer själva hur ofta ni vill granska den, men vi föreslår minst en gång i månaden för att se om eventuella ändringar skapar risker för ert företag.
Kan vi kontrollera vårt eget företags cyberpoäng?
Ja, ni kan också kontrollera er egen cyberpoäng. Vi rekommenderar att ni granskar er cyberpoäng för att minska eventuella säkerhetsproblem inom ert företag och antalet sätt en angripare kan attackera er.