Leverandørens oprindelse og sikkerhedsrisici hænger sammen
Når virksomheder vælger softwareprodukter, er det ofte funktionaliteten, der får mest opmærksomhed.
Men trusler fra statsfinansierede hackinggrupper og sofistikerede cyberangreb er stigende, og det er afgørende at overveje, hvilken indvirkning leverandørens oprindelse og sikkerhedsstandarder kan have på datasikkerheden.
Valget af softwareleverandør kan direkte påvirke din virksomheds sikkerhedsniveau.
SolarWinds-angrebet er et kendt eksempel, hvor statsstøttede aktører udnyttede sårbarheder i software leveret af en amerikansk it-leverandør til at kompromittere flere amerikanske regeringsagenturer og private virksomheder(CISA)(HackerOne).
For eksempel kan software udviklet af leverandører i lande med mindre strenge cybersikkerhedslovgivninger eller en historie med statsstøttede cyberangreb potentielt introducere risici, der ellers ville være fraværende i produkter fra mere strengt regulerede områder.
Statsfinansierede hackergrupper har tidligere brugt software fra mindre regulerede markeder som adgangsveje til at infiltrere kritiske systemer og stjæle følsomme data.
Læs mere:
(CISA)(HackerOne).
Supply chain attacks er en stigende trussel
Supply chain-angreb er en af de mest effektive metoder for cyberkriminelle. Disse angreb fokuserer på at kompromittere software eller serviceleverandører, hvilket giver angriberne en indgang til deres kunders netværk.
For at beskytte sig mod denne type trusler bør organisationer implementere en robust strategi for leverandørstyring, der omfatter:
- Vendor Risk Management: Vurder leverandørernes sikkerhedspraksis regelmæssigt, og sikre, at de følger branchens bedste praksis, såsom sikker softwareudvikling og løbende overvågning af trusler(HackerOne).
- Patch Management og Opdateringer: Hold al software opdateret og anvend de nyeste sikkerhedsrettelser, især fra leverandører, der tidligere har været mål for cyberangreb(HackerOne).
- Sandbox Testing: Test ny software i et isoleret miljø, før det implementeres på virksomhedens netværk, for at opdage eventuelle skjulte trusler(HackerOne).
Vigtige overvejelser ved softwarevalg
For at minimere risiciene bør virksomheder vurdere, om deres leverandører overholder internationale sikkerhedsstandarder som ISO 27001 eller SOC 2.
Overvej også brugen af “Software Bill of Materials” (SBOM) for at identificere alle komponenter, herunder open source-kode, der bruges i softwareløsningerne.
Dette kan hjælpe med at afsløre potentielle sårbarheder eller risici forbundet med specifikke komponenter(NIST).
Afsluttende søndags tanker
At vælge software handler ikke kun om funktionalitet – det handler om sikkerhed og risikostyring.
Ved at være opmærksom på leverandørens oprindelse, overholde strenge sikkerhedsstandarder, og vedtage en proaktiv tilgang til leverandørstyring, kan virksomheder betydeligt reducere deres risiko for at blive ramt af supply chain-angreb.
Dette er især relevant i en tid, hvor den globale cybertrusselslandskab bliver mere komplekst og farligt for hver dag der går.
Hvis du ønsker mere information om, hvordan du beskytter din virksomhed mod sådanne trusler, kan du læse yderligere her: CISA.