Inför höstens nya avtal: Se upp för cyberriskerna vid outsourcing

Hösten närmar sig och då även perioden när många organisationer ligger i startgroparna för att förbereda nya avtal.

Tyvärr glöms säkerhetsaspekterna allt för ofta bort vid tecknandet av leverantörssamarbeten och outsourcing av verksamhet. Nu visar även statistik från revisions- och rådgivningsföretaget PwC att allt fler svenska bolag menar att dessa risker har ökat markant bara under det senaste året.
– När företag digitaliserar verksamheten så innebär det i praktiken en ökning av outsourcing och leverantörssamarbeten. Tyvärr missar många påverkan av risker från så kallad tredje part, till exempel underleverantörer. Vi märker att det ofta saknas en samlad bild av den ibland långa riskkedja som följer vid samarbeten.

– När det nu drar ihop sig till många nya avtal, så finns det därför stor anledning att se över sina rutiner när det gäller samarbetspartners, menar Jakob Bundgaard, ansvarig Cyber Security, PwC Sverige.

När PwC i våras ställde frågan till 100 av Sveriges största bolags IT-organisationer, så svarade 48 procent att de här riskerna hade ökat bara under det senaste året.

Fråga. Hur ser du på utvecklingen av tredjepartsrisker under 2018? (andel i procent)

Riskerna ökade 48
Riskerna var oförändrade 37
Riskerna minskade 13
Vet inte 2

Källa: PwC Cyber Security. Frågan har ställts till it-chefer (CIO:s) och it-säkerhetschefer (CISO:s) i 100 större bolag baserade i Sverige. Genomförande under våren 2019.

–  När en organisation använder sig av underleverantörer och outsourcing, så innebär det inte att ansvaret för riskhanteringen hamnar hos dem. Tvärtom så måste man noggrant kartlägga vilken information som finns hos tredje part och fokusera på tydlig kravställning, samt skapa en plan för agerande om leverantörerna brister i säkerhetsarbetet. Tredjepartsriskerna behöver även byggas in som en del av organisationernas totala riskarbete, vilket alltför sällan sker idag, säger Sam Wallentin, specialist på cybersäkerhet inom finansbranschen, PwC och avslutar;
– Den ökning av molntjänster som vi ser idag medför ofta även nya tredjepartsrisker vid sidan av möjligheterna. När PwC nyligen genomförde en större internationell undersökning, så svarade 65 procent av de medverkande bolagen att oförmågan att hantera tredjepartsrisker ses som den största bristen för säkerhetsarbetet.

Så stärker du företagets cybersäkerhet vid nya avtal och samarbeten

Här är Jakob Bundgaards och Sam Wallentins tips till företagen som vill stärka cybersäkerheten genom att arbeta systematiskt med tredjepartsrisker.

  • Utvärdera vilka delar av verksamheten som är kritiska och ta fram en riskanalys baserad på samarbeten och avtal.
  • Tänk på säkerhetsriskerna innan inköp görs. Säkerställ att säkerhet har en naturlig plats inom organisationens inköpsfunktion och att verksamhetschefer och anställda har relevant förståelse för deras ansvar vid inköp.
  • Ställ tydliga säkerhetskrav på det företag som verksamheten outsourcas till och säkerställ att de ansvarar för dokumentation och kontroll av tredjepartsleverantörer i avtalen. Omvänt är det även viktigt att känna till vilka krav som ställs på din egna organisation.
  • Sök igenom hela kedjan och ta reda på om en tredjepart i sin tur kanske använder sig av ytterligare underleverantörer.
  • Beroende på risk, se till att genomföra olika uppföljningsåtgärder som revisioner, tester, övningar och enkäter.
  • Säkerställ att tredjepartsrisker är en del av det övergripande riskarbetet med koncernrisker och operativa risker.
  • Planera för en situation då ni kan behöva avsluta ett samarbete och skifta leverantör eller kanske till och med ta över drift på egen hand. Planen bör till exempel beskriva hur störningar och intrång hanteras, samt hur ett samarbete avslutas.