Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Undgå databrud hos tredjeparter

Hvilke risici er forbundet med at bruge tredjepartsleverandører? Vi ser nærmere på, hvordan du kan mindske disse risici og forhindre dem i at ske.

02-04-2024 - 5 minutters læsning. Under kategorien: tips.

Undgå databrud hos tredjeparter

Mange virksomheder bruger en tredjepartsleverandør til at hjælpe dem med forskellige opgaver. Virksomheder kan bruge en tredjepartsleverandør til at hjælpe dem inden for deres specialiserede områder for at lette arbejdsbyrden, så de kan fokusere på deres kerneopgaver.

Men ved at bruge tredjepartsudbydere og andre leverandører introduceres en risiko for sikkerhedsbrud. Vi vil se nærmere på disse risici - men endnu vigtigere, hvordan du kan mindske risikoen og forhindre dem i at ske.

Hvorfor organisationer bruger tredjepartsleverandører

Mange organisationer kan have stor gavn af at hyre en tredjepartsleverandør til at udføre bestemte opgaver i organisationen. Man skulle måske tro, at mindre virksomheder bruger tredjepartsleverandører mere end større virksomheder; men uanset størrelse er mange organisationer glade for at bruge den service, som tredjepartsleverandører leverer.

Du kan spare tid og penge ved at få eksperter til at udføre opgaverne for dig. Det er netop hovedårsagen til, at tredjepartsleverandører er så tiltalende for mange organisationer.

Nogle eksempler på tredjepartsleverandører er:

  • SaaS-udbydere
  • Advokater
  • Entreprenører
  • Etiske hackere
  • Revisorer

En af de vigtige ting at huske er dog at lave et ordentligt baggrundstjek af tredjeparten, da du gerne vil have en ægte virksomhed til at samarbejde med dig - og ikke en svindler, der kun vil have adgang til dine data.

Risici ved tredjepartsudbydere

Outsourcing kan være virkelig nyttigt for enhver virksomhed; du kan få eksperter til at arbejde på opgaver for dig, og du kan i mange tilfælde sætte din fulde lid til dem. Det er en mere effektiv måde at arbejde på og organisere opgaver som SaaS eller entreprenørarbejde, men der vil altid være risici forbundet med outsourcing.

En af de største sikkerhedsrisici i forbindelse med tredjepartsudbydere er cybersikkerhedsrisici. For at du kan kommunikere og dele filer og data med din tredjepartsudbyder, er du nødt til at have et fælles cloud-drev eller andre former for fælles arkiver. Det er uundgåeligt, da du gerne vil kunne dele data - men endnu vigtigere er det, at du gerne vil kunne se præcis, hvilke filer tredjepartsleverandøren har adgang til.

Men med denne type adgang til virksomhedsdata i skyen risikerer du enten udnyttelse fra tredjepartsleverandøren eller hacking af cloud-data. Alt, hvad der skal til, er en uopmærksom medarbejder, som enten klikker på en phishing-mail eller ved et uheld deler en fil.

Som virksomhed ligger man inde med en masse persondata og fortrolige oplysninger. I de fleste tilfælde skal tredjepartsleverandøren til en vis grad have adgang til disse, for at de kan udføre deres arbejde korrekt. Men hvis persondata behandles forkert, overtræder man GDPR; manglende overholdelse af dette fører til store GDPR-bøder.

En anden risiko forbundet med tredjepartsleverandører er den finansielle risiko. Dette problem opstår, når tredjepartsleverandøren ikke kan opfylde dine krav og deadlines til tiden, hvilket fører til overarbejde og dermed overtidsbetaling.

Du kan også stå over for en operationel risiko, hvis tredjepartsleverandøren ikke kan levere den lovede service. Det udgør en risiko og en forsinkelse i jeres organisatoriske arbejde, som dermed skaber en prop i jeres daglige opgaver.

Sådan mindsker du risikoen

Nu undrer du dig måske over, hvordan du kan afbøde og forhåbentlig forhindre større skader på din organisation, hvis du bruger tredjepartstjenesteudbydere? Så læs med her.

For det første, enhver virksomhed bør gøre, før den indleder et samarbejde med en tredjepartsleverandør, er at lave en forretningsplan og strategi med tredjeparten. Sørg for at forventningsafstem, og få tredjeparten til at lave et sikkerhedsspørgeskema. Du bør ikke gå på kompromis med dette, da det skaber grundlaget for jeres samarbejde.

Du kan også lave en risikovurdering af tredjeparten, så du kender til eventuelle potentielle sikkerhedsrisici forbundet med samarbejdet. Når du er opmærksom på potentielle risici og trusler, har du en bedre chance for at afbøde disse og desuden arbejde på at lappe sikkerhedshullerne i din sikkerhed.

For at forbedre sikkerheden omkring din virksomhed og tredjepartsleverandøren kan du fortsætte med at overvåge aktiviteten mellem din organisation og tredjeparten. Det, du ønsker at overvåge, er eventuelle sikkerhedshuller i den software, du bruger, f.eks. cloud-sharing eller e-mailkonti. I forbindelse med dette kan din organisation lave en såkaldt incident response plan, hvor du strømliner og planlægger, hvad du gør i tilfælde af et databrud.

Følg "principle of least privilege"

Det sidste og nok bedste råd, vi kan give dig, når det kommer til at samarbejde med og bruge en tredjepartsudbyder, er at følge principle of least privilege.

Dette koncept går ud på at indsnævre og begrænse adgangen til data for en bestemt medarbejdergruppe, et system eller i dette tilfælde en tredjepartsleverandør. Kernen i mange databrud i forbindelse med tredjepartsleverandører er, at de har adgang til for meget data - og meget mere, end de rent faktisk behøver at have adgang til.

Det sker som regel, hvis organisationen ikke laver en ordentlig kontrakt med tredjeparten, eller hvis organisationen simpelthen ikke er ordentligt forberedt til at begynde med. Du bør altid vide, hvor vigtige dine data er, og hvem der skal have adgang til dem. Med principle of least privilege sorterer og kategoriserer du dine data, hvilket giver dig en bedre forståelse af, hvad tredjeparten skal bruge.

Hvis du følger principle of least privilege:

  • Begrænser du angrebsfladen
  • Afbøder du insidertrusler
  • Styrker du din databeskyttelse
  • Minimerer du sårbarheder i software

Alt i alt er det en god måde at kontrollere din dataadgang på. Mens du kategoriserer dataene for tredjepartsleverandøren, bør du måske overveje at gøre det for hele organisationen. På den måde forbedrer du din cybersikkerhed og overholder GDPR, som alle europæiske lande er forpligtet til at følge.

Tredjepartsleverandører kan være med til at styrke din organisation. Men du bør altid overveje de risici, der er forbundet med outsourcing, og tage nogle forholdsregler, når det kommer til at starte et samarbejde med en tredjepartsleverandør.

Forfatter Caroline Preisler

Caroline Preisler

Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.

Se alle indlæg af Caroline Preisler

Lignende indlæg

Fang den falske faktura
phishing

Fang den falske faktura

Her gennemgår vi hvad invoice-phishing er, og hvilke forholdsregler du kan følge, når du modtager en, for ikke at sende penge til de forkerte.

15-02-2023 · 6 min.
Hvad er personfølsomme oplysninger?
gdpr

Hvad er personfølsomme oplysninger?

Du får her et overblik over, hvilke slags personoplysninger, der findes, og i hvilke tilfælde du må behandle personoplysninger.

04-03-2022 · 6 min.
Risikoen ved offentlige netværk
tips

Risikoen ved offentlige netværk

Vi tænker måske ikke over det, men offentlige netværk er en af de helt store cybertrusler vi står over for. Læs mere om det her.

03-10-2023 · 6 min.