Henrik Engel artikler: Leverandørstyring

Her finder du en intro til artikelserien:
NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke – Udbudsmedia 

ARTKELSERIE AF Henrik Engel, DPO | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører? Henrik har sin daglige gang i – Forsvarsministeriets Materiel- og Indkøbsstyrelse, men artiklerne tegner alene Henriks syn på temaet.

Her finder du de første 2 artikler i serien
Udvælgelse og risikovurdering af leverandører: En sikkerheds- og databeskyttelsesmæssig nødvendighed? – Udbudsmedia

Her finder du artikel 3, 4 og 5
Leverandørkontrakter og databehandleraftaler: SIKKERHEDSKONTROL – Udbudsmedia

Her finder du artikel 6 + 7 – Leverandøropfølgning
Det handler om LEVERANDØROPFØLGNING og LEVERANDØR EXIT – Udbudsmedia

Her finder du artikel 8 + 9 – Leverandørrisici
Henrik Engel artikler: Leverandørrisici – Udbudsmedia

Her følger artikel 10 – 12 af 15
Det handler overordnet om Leverandørstyring

Tredjepartsleverandører

Artikel 10 af 15 – Tredjepartsleverandører: Hvordan sikrer vi os mod kædereaktioner?

Introduktion

Når vi vælger en leverandør, fokuserer vi typisk på deres sikkerhed og compliance. Men hvad med deres leverandører?

Spørgsmålet er:

✔ Hvem arbejder vores leverandører sammen med?

✔ Hvilke underleverandører har de?

✔ Hvordan sikrer vi os mod kædereaktioner, hvis én aktør i forsyningskæden bliver kompromitteret?

Mange organisationer overser risikoen ved tredjepartsleverandører, men det kan være en tikkende bombe i sikkerhedslandskabet.

Hvis din leverandør får et sikkerhedsbrud gennem en underleverandør, kan dine data stadig være i fare.  I denne artikel ses der på, hvordan man håndterer risici i leverandørkæder og forebygger kædereaktioner.

Hvad er problemet med underleverandører?

De fleste leverandører benytter underleverandører til hosting, software, kundesupport osv. Det betyder, at din data kan passere gennem flere hænder, end du er klar over.

Eksempel:

Et firma outsourcer sin HR-platform til en leverandør, som benytter en cloud-hosting underleverandør i et tredjeland. En teknisk analyse viser, at data ikke er krypteret ved overførsel, hvilket skaber en potentiel GDPR-overtrædelse.

Problemer med underleverandører inkluderer:

❌ Mangel på gennemsigtighed – Hvem har adgang til data?

❌ Manglende sikkerhedskrav – Underleverandører er ikke altid underlagt de samme sikkerhedsstandarder.

❌ Sikkerhedshændelser hos en underleverandør påvirker din forretning – En brud på ét led i kæden kan eksponere dine data.

Hvis du ikke kender din leverandørs underleverandører, ved du ikke, hvor dine risici ligger.

 Trin 1: Kræv gennemsigtighed fra dine leverandører

For at håndtere risikoen fra underleverandører, skal du først kræve gennemsigtighed.

Hvordan?

✔ Inkludér krav om oplysning af underleverandører i kontrakter

✔ Kræv en liste over alle tredjeparter, der håndterer dine data

✔ Gennemgå leverandørens due diligence-proces for deres egne leverandører

Eksempel:

En virksomhed opdager, at deres IT-serviceleverandør benytter en offshore supportpartner, som ikke har samme sikkerhedsprocedurer. Ved at kræve gennemsigtighed, kan virksomheden stille krav til hvordan data må håndteres.  

Trin 2: Stille sikkerhedskrav til underleverandører

Det er ikke nok at sikre din primære leverandør – deres underleverandører skal også opfylde sikkerhedskravene.

Hvordan?

✔ Krav om ISO 27001-certificering eller lignende for underleverandører

✔ Krav om adgangskontrol, kryptering og sikkerhedsmonitorering

✔ Ret til audit og kontrol af underleverandører

Eksempel:

En cloud-leverandør benytter en ekstern backup-service, men en gennemgang afslører, at backup-data opbevares ukrypteret. Ved at stille skærpede krav sikres det, at data forbliver beskyttet.

Trin 3: Kortlæg kæderisici med en supply chain risk assessment

For at identificere de største risici i leverandørkæden, bør der udføres en supply chain risk assessment.

Hvad vurderes?

✔ Hvem håndterer dine data – direkte og indirekte?

✔ Hvilke services er afhængige af hinanden?

✔ Hvilke tredjelande indgår i kæden, og hvilke juridiske risici medfølger?

Eksempel:

En finansiel virksomhed opdager, at deres SaaS-platform benytter en underleverandør fra et tredjeland, hvor lokale love kan kræve dataadgang. Dette skaber en juridisk risiko, selvom primærleverandøren er GDPR-compliant.

Trin 4: Overvågning af leverandørkæden

Når risici er kortlagt, er det afgørende at overvåge forsyningskæden løbende.

Hvordan?

✔ Regelmæssige audits og compliance-reviews af leverandører og underleverandører

✔ Kontinuerlige sikkerhedsvurderinger – er nye risici opstået?

✔ Monitorering af sikkerhedshændelser hos tredjepartsleverandører

Eksempel:

En virksomhed har en regelmæssig gennemgang af deres leverandørers sikkerhedsniveau. De opdager, at en vigtig underleverandør har haft et brud, som ikke blev kommunikeret. Ved proaktiv overvågning kan virksomheden håndtere risikoen, før den eskalerer.

 Trin 5: Exit-strategi for højriskoleverandører

Hvis en leverandør eller underleverandør udgør en uacceptabel risiko, skal der være en plan for at afvikle samarbejdet sikkert.

Hvordan sikrer vi en kontrolleret exit?

✔ Krav om migrering af data til en ny, sikker leverandør

✔ Sletning eller anonymisering af data hos den tidligere leverandør

✔ Afsluttende audit for at sikre, at alle data er fjernet korrekt

Eksempel:

En virksomhed skifter hostingudbyder, men opdager, at den gamle udbyder ikke har slettet backup-data korrekt. Uden en grundig exit-strategi kunne dette have medført databrud og GDPR-overtrædelse. 

Afslutning

Underleverandører kan udgøre en kritisk sikkerhedsrisiko, hvis de ikke kontrolleres ordentligt. Derfor er det afgørende at:

✅ Kræve gennemsigtighed over leverandørens tredjepartsaktører

✅ Sikre, at underleverandører lever op til de samme sikkerhedskrav

✅ Kortlægge risici i hele forsyningskæden

✅ Overvåge leverandørkæden løbende for nye trusler

✅ Have en exit-strategi klar for problematiske leverandører

Hvordan arbejder jeres organisation med leverandørkæder? Har I oplevet uventede sikkerhedsrisici fra underleverandører?

Artikel 11: Leverandør styring – med fokus på Informationssikkerhed og Persondatabeskyttelse artikel 11 af 15 – Hvordan evaluerer vi leverandørers sikkerhedsniveau

Introduktion: Når vi outsourcer IT-systemer, cloud-tjenester eller andre kritiske funktioner, overlader vi en stor del af vores informationssikkerhed til leverandører.

Men hvordan ved vi, at deres sikkerhedsniveau er tilstrækkeligt?

Nogle nøglespørgsmål:

✔ Hvilke sikkerhedsstandarder overholder leverandøren?

✔ Hvordan sikrer vi, at de reelt følger deres egne politikker?

✔ Hvordan kan vi systematisk evaluere og kontrollere sikkerhedsniveauet?

En leverandør kan have flotte politikker, men hvis de ikke efterleves i praksis, kan det føre til alvorlige sikkerhedsbrud. Derfor er det afgørende at have en systematisk metode til at evaluere og validere leverandørens sikkerhedsniveau.

I denne artikel kigges der på de vigtigste skridt til at vurdere og verificere sikkerheden hos leverandører.

Trin 1: Fastlæg sikkerhedskravene før kontraktindgåelse

Inden man indgår en aftale med en leverandør, er det vigtigt at definere præcise sikkerhedskrav.

Hvad bør man kræve?

✔ ISO 27001-certificering eller anden anerkendt standard

✔ Dokumenteret risikovurdering af deres systemer

✔ Stærke adgangskontrolmekanismer og kryptering

✔ Incident response-planer og rapportering af brud

Eksempel:

En organisation skal vælge en ny cloud-leverandør. I stedet for blot at stole på leverandørens sikkerhedsreklamer, kræver de at få indsigt i leverandørens seneste audit-rapporter. De opdager, at leverandøren har haft tidligere hændelser, som ikke blev kommunikeret – hvilket fører til, at en anden leverandør vælges.

Trin 2: Gennemfør en sikkerhedsvurdering af leverandøren

Når en leverandør er udvalgt, bør de gennemgå en detaljeret sikkerhedsevaluering.

Hvordan?

✔ Udfyldelse af et sikkerhedsspørgeskema (Security Assessment Questionnaire – SAQ)

✔ Granskning af deres sikkerhedspolitikker og procedurer

✔ Analyse af deres tekniske sikkerhedsforanstaltninger

Hvad bør evalueres?

✅ Sikkerhedsarkitektur – hvordan er deres systemer designet?

✅ Adgangskontrol – hvem har adgang til hvad?

✅ Logging & overvågning – kan sikkerhedshændelser opdages i tide?

✅ Beredskabsplaner – er de forberedt på hændelser?

Eksempel:

En virksomhed overvejer en IT-supportleverandør og beder om deres sikkerhedsdokumentation. De opdager, at leverandøren ikke har en formaliseret incident response-plan, hvilket betyder, at en sikkerhedshændelse sandsynligvis vil tage længere tid at opdage og håndtere.

Trin 3: Foretag en teknisk sikkerhedstest

En teoretisk sikkerhedsevaluering er ikke nok – vi skal også teste sikkerheden i praksis.

Metoder:

✔ Penetrationstests – Kan leverandørens systemer modstå et angreb?

✔ Sårbarhedsscanninger – Er der kendte svagheder i deres systemer?

✔ Kodegennemgang (hvis relevant) – Er der sikkerhedsfejl i deres software?

Eksempel:

En virksomhed hyrer en SaaS-leverandør til databehandling. Inden de underskriver kontrakten, får de lavet en penetrationstest af leverandørens platform. Testen afslører flere kritiske sårbarheder, hvilket fører til en revision af kontraktens sikkerhedskrav.

Trin 4: Kræv løbende sikkerhedsrapportering

Sikkerhed er ikke en engangsproces, men noget der kræver kontinuerlig overvågning.

Hvordan kan vi overvåge leverandøren?

✔ Regelmæssige audit-rapporter og compliance-gennemgange

✔ Rapportering af sikkerhedshændelser og brud

✔ Opdaterede sårbarhedsscanninger og certificeringer

Eksempel:

En virksomhed opdager, at en af deres leverandører har mistet deres ISO 27001-certificering pga. manglende overholdelse af sikkerhedsstandarder. Da de havde et krav om løbende rapportering, bliver de informeret og kan træffe beslutning om enten at kræve forbedringer eller opsige kontrakten.

Trin 5: Have en exit-strategi, hvis sikkerheden svigter

Hvis en leverandør ikke længere opfylder sikkerhedskravene, skal der være en plan for at skifte til en sikrere løsning.

Vigtige elementer i en exit-strategi:

✔ Krav om sikker migrering af data

✔ Sletning af følsomme oplysninger fra den tidligere leverandør

✔ Kontrolleret afviklingsproces, så der ikke opstår sikkerhedshuller

Eksempel:

En virksomhed beslutter at opsige samarbejdet med en HR-platform, da leverandøren ikke længere kan garantere kryptering af data. De kræver en detaljeret plan for, hvordan alle data migreres til en ny leverandør uden tab af integritet.

Afslutning

Evaluering af en leverandørs sikkerhedsniveau er en kontinuerlig proces og ikke kun noget, der sker én gang ved kontraktindgåelse.

✅ Definér sikkerhedskravene før kontraktindgåelse

✅ Gennemfør en grundig sikkerhedsvurdering af leverandøren

✅ Test leverandørens systemer med tekniske sikkerhedstjek

✅ Overvåg leverandørens sikkerhedsniveau løbende

✅ Hav en exit-strategi klar, hvis sikkerheden ikke er tilstrækkelig

Hvordan evaluerer jeres organisation leverandørers sikkerhedsniveau? Har I oplevet udfordringer med manglende sikkerhed hos en leverandør?

Artikel 12. Leverandør styring – med fokus på Informationssikkerhed og Persondatabeskyttelse artikel 12 af 15 – Håndtering af sikkerhedshændelser hos leverandører

Introduktion

Selv med de bedste sikkerhedsforanstaltninger kan sikkerhedshændelser ske – også hos leverandører. Når en leverandør håndterer vores systemer eller persondata, betyder deres sikkerhedsbrud, at vores organisation også bliver påvirket.

Nøglespørgsmål:

✔ Hvordan sikrer vi, at leverandører kan håndtere sikkerhedshændelser effektivt?

✔ Hvordan opdager vi sikkerhedsbrud hos en leverandør i tide?

✔ Hvordan bør en organisation reagere, når en leverandør bliver kompromitteret?

I denne artikel kigges der på de vigtigste skridt til at forebygge, opdage og reagere på sikkerhedshændelser hos leverandører.

Trin 1: Kræv en klar hændelseshåndteringsproces

Når vi indgår aftaler med leverandører, bør vi sikre, at de har en veldefineret plan for håndtering af sikkerhedshændelser

Nøgleelementer i en hændelseshåndteringsplan:

✔ Hurtig opdagelse og rapportering af hændelser

✔ Eskalationsprocedurer og ansvarsfordeling

✔ Samarbejde med os som kunde

✔ Gennemsigtighed omkring konsekvenser og afhjælpning

Eksempel:

En organisation outsourcer sin cloud-løsning til en ekstern leverandør. De stiller krav om, at leverandøren skal rapportere alle sikkerhedshændelser inden for 24 timer og dokumentere hændelserne. Da leverandøren udsættes for et ransomware-angreb, kan organisationen hurtigt iværksætte deres nødprocedurer.

Trin 2: Definér krav til hændelsesrapportering

For at kunne reagere i tide skal vi sikre, at leverandøren rapporterer sikkerhedshændelser hurtigt og præcist.

Hvad bør en leverandør rapportere?

✔ Tidspunkt for opdagelsen

✔ Type af hændelse (brud på data, nedbrud, angreb etc.)

✔ Påvirkning af vores systemer og data

✔ Tiltag til begrænsning af skaden

Eksempel:

En leverandør af HR-software opdager en sårbarhed, der kunne give uautoriseret adgang til persondata. Fordi kontrakten kræver, at leverandøren rapportere hændelser inden for 12 timer, kan organisationen hurtigt analysere risici og iværksætte nødvendige foranstaltninger.

Trin 3: Sikring af hændelsesopdagelse hos leverandøren

En hændelse kan kun håndteres, hvis den opdages i tide. Derfor bør vi sikre, at leverandøren har effektive overvågnings- og logningssystemer.

Vigtige sikkerhedsforanstaltninger:

✔ Logning af adgang og transaktioner

✔ Anomalidetektion – opdager usædvanlig aktivitet

✔ SIEM-løsninger (Security Information and Event Management)

Eksempel:

En leverandør af en CRM-platform opdager via deres SIEM-system, at en ukendt IP-adresse forsøger at tilgå systemet flere gange i timen. De har en automatiseret hændelsesprocedure, der blokerer IP’en og sender en alarm til deres sikkerhedsteam.

Trin 4: Udfør regelmæssige sikkerhedsøvelser med leverandøren

Teori er ikke nok – vi skal teste leverandørens evne til at håndtere hændelser gennem øvelser og simuleringer.

Effektive testmetoder:

✔ Tabletop-øvelser – gennemgang af et tænkt hændelsesforløb

✔ Red teaming – simulerede angreb for at teste beredskabet

✔ Beredskabsprøver – uanmeldte tests af incident response

Eksempel:

En organisation kræver, at deres cloud-leverandør årligt deltager i en tabletop-øvelse, hvor de simulerer et databrud. Øvelsen afslører, at leverandøren mangler en klar kommunikationsstrategi, hvilket fører til forbedringer i hændelsesplanen.

Trin 5: Reaktion på en reel sikkerhedshændelse hos leverandøren

Når en hændelse opstår hos en leverandør, skal vi handle hurtigt og beslutsomt.

Nøglehandlinger:

✔ Indhent detaljer om hændelsen og påvirkningen

✔ Aktivér jeres egen incident response-plan

✔ Kommunikér med relevante interessenter

✔ Evaluer kontraktuelle konsekvenser og eventuelle brud på SLA’er

Eksempel:

En SaaS-leverandør oplever et databrud, hvor følsomme kundeoplysninger kompromitteres. Fordi organisationen har en klar krisehåndteringsplan, aktiverer de øjeblikkeligt deres notifikationsprocedure og samarbejder tæt med leverandøren om afhjælpning.

Trin 6: Læring og forbedring efter en hændelse

Når en hændelse er håndteret, bør der altid foretages en efterevaluering for at lære af hændelsen.

Hvad bør en efterevaluering indeholde?

✔ Hændelsens årsager – tekniske og organisatoriske

✔ Hvad fungerede godt?

✔ Hvad kunne forbedres?

✔ Opdatering af hændelseshåndteringsplaner

Eksempel:

Efter en større hændelse gennemfører en organisation en root cause-analyse sammen med leverandøren. Analysen viser, at hændelsen kunne have været forhindret, hvis leverandøren havde implementeret stærkere adgangskontrol. Dette fører til opdaterede krav i kontrakten.

 Afslutning

Sikkerhedshændelser hos leverandører kan have store konsekvenser, men med en klar strategi og proaktiv tilgang kan vi reducere risikoen og reagere hurtigt.

✅ Kræv en tydelig hændelseshåndteringsplan fra leverandører

✅ Definér præcise krav til hændelsesrapportering

✅ Sørg for at leverandøren har effektive overvågningssystemer

✅ Test hændelseshåndtering via øvelser og simuleringer

✅ Reagér struktureret på hændelser og evaluer efterfølgende

Hvordan håndterer jeres organisation sikkerhedshændelser hos leverandører? Har I oplevet brud, hvor beredskabet ikke var tilstrækkeligt?