Leverandørstyring er en central del af organisationers cyberforsvar
CFCS udgiver i dag en vurdering af truslen fra cyberangreb mod leverandører samt en vejledning om informationssikkerhed i leverandørforhold.
24. oktober, 2019 - Kl. 09.00
[Oprindeligt publiceret af Center for Cybersikkerhed]
”Cyberangreb mod leverandører er en angrebsmetode, hvor hackere angriber leverandøren for at benytte denne som springbræt til at kompromittere organisationens kunder. Det er derfor en vigtig del af virksomheder og myndigheders imødegåelse af cyberangreb, at man forholder sig til de sikkerhedsmæssige konsekvenser af outsourcing. Det er bl.a. derfor, vi i dag har udgivet en vejledning om leverandørstyring”, udtaler chefen for Center for Cybersikkerhed Thomas Lund-Sørensen.
Leverandører er attraktive mål for hackere. Kompromittering af en leverandør kan på én gang give adgang til mange mål, til indhentning af leverandørens kundedata eller adgang til væsentlige dele af en sektors infrastruktur.
Der er hackergrupper med kapacitet til og intention om at angribe leverandører, som udbyder centrale services og infrastruktur til virksomheder og myndigheder i Danmark. Flere store internationale leverandører er gennem de seneste år blevet kompromitteret eller forsøgt kompromitteret. CFCS vurderer, at angrebsmetoden både benyttes af fremmede stater og cyberkriminelle.
Hent Trusselsvurdering: Cybertruslen mod leverandører
Vejledningen om informationssikkerhed i leverandørforhold giver en række anbefalinger til organisationer, der bruger leverandører. Vejledningen udgives i samarbejde med Digitaliseringsstyrelsen.
I vejledningen anbefales blandt andet, at organisationen:
Hent Vejledning: Informationssikkerhed i leverandørforhold
Informationen i produkterne er rettet til ledelsen og it-sikkerhedsansvarlige ved myndigheder og virksomheder.
”Cyberangreb mod leverandører er en angrebsmetode, hvor hackere angriber leverandøren for at benytte denne som springbræt til at kompromittere organisationens kunder. Det er derfor en vigtig del af virksomheder og myndigheders imødegåelse af cyberangreb, at man forholder sig til de sikkerhedsmæssige konsekvenser af outsourcing. Det er bl.a. derfor, vi i dag har udgivet en vejledning om leverandørstyring”, udtaler chefen for Center for Cybersikkerhed Thomas Lund-Sørensen.
Leverandører er attraktive mål for hackere. Kompromittering af en leverandør kan på én gang give adgang til mange mål, til indhentning af leverandørens kundedata eller adgang til væsentlige dele af en sektors infrastruktur.
Der er hackergrupper med kapacitet til og intention om at angribe leverandører, som udbyder centrale services og infrastruktur til virksomheder og myndigheder i Danmark. Flere store internationale leverandører er gennem de seneste år blevet kompromitteret eller forsøgt kompromitteret. CFCS vurderer, at angrebsmetoden både benyttes af fremmede stater og cyberkriminelle.
Hent Trusselsvurdering: Cybertruslen mod leverandører
Vejledningen om informationssikkerhed i leverandørforhold giver en række anbefalinger til organisationer, der bruger leverandører. Vejledningen udgives i samarbejde med Digitaliseringsstyrelsen.
I vejledningen anbefales blandt andet, at organisationen:
- Opretholder nødvendige kompetencer til at styre informationssikkerheden i kunde/leverandørforholdet
- Foretager løbende risikovurderinger af det forhold, at en leverandør varetager it-driften og dermed kan påvirke beskyttelsen af tilgængelighed, fortrolighed og integritet af informationer.
- Stiller krav om informationssikkerhed til leverandøren med fokus på effekt - kort fortalt: Hav fokus på ”hvad” fremfor ”hvordan”.
- Løbende følger op på, om leverandøren efterlever de stillede krav.
Hent Vejledning: Informationssikkerhed i leverandørforhold
Informationen i produkterne er rettet til ledelsen og it-sikkerhedsansvarlige ved myndigheder og virksomheder.