En tredjepartsleverandør er en bedrift eller organisasjon som leverer produkter eller tjenester på vegne av andre.
Gjør man et Google-søk for «tredjepartsleverandør» er den første siden som dukker opp Norsk Helsenett. Det er ikke vanskelig å forstå hvorfor databeskyttelse er et svært viktig tema for Norsk Helsenett, en organisasjon som gjør det mulig for helsepersonell å dele helse- og personopplysninger på en sikker måte.
Helsenett er et bra eksempel på en organisasjon som må ha kontroll over egen datasikkerhet, samt også datasikkerheten hos alle som har tilgang til Helsenett sitt IT-miljø. Tredjepartsleverandører hos Helsenett må gjennom en omfattende undersøkelsesprosess før de kan bli godkjent som tredjepartsleverandører. Søknaden (en form for "due diligence") krever blant annet overholdelse av ISO-27001 og kravene i Normen, teknisk dokumentasjon, og en risikovurdering.
I et blogg-innlegg fra Easy Practice beskriver de hvor mye de har lært ved å gjennomgå søknadsprosessen for å bli tredjepartsleverandør hos Helsenett. Statistikk viser at krav som stilles i slike søknadsprosesser resulterer i vesentlig forbedret sikkerhetsfokus hos underleverandører.
Men, hva skjer når søknadsprosessen er ferdig?
I følge en rapport fra Gartner (en ledende amerikansk forskningsinstitutt), har 83% av virksomheter som utførte "due diligence" opplevd senere et databrudd hos tredjeparter. Studiet viser at det brukes mye tid og ressurser for å evaluere risikoen hos en tredjepart i begynnelsen, men vesentlig mindre etter sertifisering. Gartner mener at man burde se datasikkerhet "due diligence" som en kontinuerlig prosess istedenfor en "engangssjekk". Endringer i selskapsstruktur, applikasjoner, programkode, og personell kan oppstå i løpet av samarbeidet, noe som senere kan øke risikoen uten at det blir oppdaget.
Hvordan kan både hovedorganisasjonen og tredjeparter kontinuerlig overvåke datasikkerhets-bildet?
Hackere bruker rekon-verktøy for å slå opp firmaer og se om de er et lett eller vanskelig mål. Men det finnes tilsvarende kommersielle tjenester for sikkerhetsvurdering som kan bli brukt av alle. ViroSafe samarbeider med SecurityScorecard for å levere datasikkerhets-rapporter som viser sårbarheter i ditt firma, eller et hvilket som helst annet firma (f.eks. dine tredjepartsleverandører). Dersom programvaren finner sårbarheter, viser rapporten hvor disse forekommer, og gir en score fra A til F, avhengig av hvor alvorlig sårbarhetene er. Organisasjonen får deretter en samlet vurdering fra A til F.
Den objektive rapporten gir en sanntids-analyse av IT-miljøet sett utenfra. Den inkluderer eventuelle tredjepartsleverandører og deres sårbarheter også. Cyber Security Score er basert på 10 forskjellige sikkerhetskategorier.