ViroSafe blogg

Topp 10 spørsmål til programvare-leverandører

Skrevet av C Vold | 09.02.26 15:36

Beskytt din virksomhet mot databrudd fra tredjeparter!

I dagens sammenkoblede digitale økosystem utgjør cybersikkerhetsrisiko i leverandørkjeden en økende trussel som sprer seg som en digital skogbrann.

Historien minner oss om de vidtrekkende konsekvensene som kan oppstå fra en enkelt ulykke. Den store brannen i London begynte i en beskjeden bakers butikk, men spredte seg raskt og ødela hjemmene til anslagsvis 70 000 av byens 80 000 innbyggere. Brannen, som ble drevet frem av trekonstruksjoner og kraftig vind, herjet det middelalderske London og etterlot seg omfattende ødeleggelser.

På samme måte er dagens forretningslandskap, drevet av skyen, sterkt avhengig av noen få store leverandører som Microsoft, Google og AWS. SaaS-løsninger som Workday, som håndterer omfattende HR-data for ansatte, er vanlige. Under overflaten finnes et nettverk av sammenkoblede relasjoner til fjerdepartsverktøy som JetBrains, Chef, Atlassian, GitHub og SolarWinds.

Microsoft brukte SolarWinds Orion under SolarWinds Sunburst-angrepet – et av historiens største angrep på leverandørkjeden. Angriperne hadde tilgang til Microsofts systemer i lang tid. Som CISO-er liker vi alltid å finne «læringsmomentet» fra et brudd. Tilbakeblikk viser at SolarWinds hadde en sikkerhetsscore på C+ på det tidspunktet.

Hva om bransjen hadde presset på for bedre sikkerhetsscorer og -praksis fra SolarWinds? Kunne noen av de katastrofale konsekvensene blitt avverget?

Topp 10 spørsmål til programvare-leverandører:

  1. Hvordan beskytter dere dataene dere innsamler, behandler og lagrer, både i hvile og under overføring?
  2. Hvilke tilgangskontrolltiltak har dere på plass for å sikre at kun autoriserte personer har tilgang til sensitiv informasjon?
  3. Kan dere beskrive deres plan for hendelseshåndtering?
  4. Hvordan vurderer og håndterer dere sikkerheten til tredjepartsleverandører dere eventuelt bruker?
  5. Tilbyr dere jevnlig sikkerhetstrening for ansatte, samt bakgrunnssjekker for nye medarbeidere?
  6. Hvordan sikrer dere at systemene deres er oppdatert med de nyeste sikkerhetspatchene?
  7. Hvilke fysiske sikkerhetstiltak er på plass på kontorene og/eller datasentrene deres?
  8. Har dere opplevd noen databrudd eller sikkerhetshendelser de siste 12 månedene?
  9. Utfører dere regelmessig sikkerhetstesting, som penetrasjonstesting og sårbarhetsvurderinger, for å identifisere og rette opp potensielle sikkerhetssvakheter?
  10. Er dere i samsvar med relevante forskrifter og standarder (f.eks. GDPR, HIPAA, SOC 2)?

 

Vil du vite mer?

Last ned SecurityScorecard CISO-Playbook -

Håndtering av en tredjeparts-cyberhendelse!



 
Vis hele posten