Tankeledere
Kontinuerlig overvåking: Fyller sikkerhetshullene i leverandørrisikostyring
Leverandørkjeder er limet som holder den globale økonomien sammen. De er også en betydelig kilde til cyber-relatert forretningsrisiko. Angrep på leverandører økte med 431% mellom 2021 og 2024, og de forventes å fortsette å øke. Dette er dårlig nyheter for bedriftene de gjør forretning med. IBM anslår at tredjepartsleverandør-kompromiss er knyttet til blant de høyeste datatyverikostnadene av noen hendelsestype: 4,9 millioner dollar per brudd.
Utfordringen for risiko- og cybersikkerhetsledere er at eksisterende risikostyringsmekanismer er uperfekte. De kan være treg, ressurskrevende og fulle av blinde flekker. Sanntre leverandørrisikostyring kommer fra kontinuerlig tilsyn og kontroll.
Den ustopperlige veksten av leverandørkjeder
Komplekse, fragmenterte leverandørkjeder er prisen vi betaler for global handel. Over det siste tiåret eller mer har de vokst for å støtte forbrukerkrav om mer valg og lavere kostnader, drevet av en eksplosjon i nettbutikking. Samtidig har digitale leverandørkjeder også gjennomgått en enorm vekst, takket være spredningen av programvare som en tjeneste (SaaS), managed service-providere (MSP) og forretningskrav om mer innovative, effektive måter å arbeide på.
Resultatet? Uklarhet der det burde være innsikt, og økende forretningsrisiko som kunne true fortjenesten og hardt tjent kundeloyalitet. Ifølge en estimat har selv den gjennomsnittlige SMB 800 leverandører. Når leverandører av leverandører telles med, tallene når raskt opp i tusenvis av bedrifter.
En risikofylt forretning
Dette er dårlig nyheter for CISO-er og deres team, som må finne en måte å håndtere de uunngåelige cybersikkerhetsrisikoene som kommer fra omfattende leverandørkjeder. Leverandør- og leverandørkompromiss sto for 15% av datatyverier i fjor, ifølge IBM. Verizon hevder at tallet faktisk har doblet seg over det siste året og nådd 30%. Uansett det faktiske tallet, er det klart fra virkelige hendelser hvilken skade de kan forårsake.
Tredjeparter som outsourcing-selskaper og profesjonelle tjenesteyttere kan lagre høyt sensitive tilgangskredensialer og andre data tilhørende deres kundeorganisasjoner. Det kan være høyt regulert personlig identifiserbar informasjon (PII) om kunder og ansatte. Eller IP, hemmeligheter eller ikke-offentlig finansiell informasjon. All dette er en stor tiltrøkning for digitale utpressere, som kan stjele og/eller kryptere det for å tvinge betaling. Tredjepartsbrudd sto for over to femtedeler (41)% av ransomware-angrep i 2024, ifølge en studie.
Som leverandører øker, så øker også risikoen for bedrapsforbrytelser, som via bedraps-e-post (BEC). Trusler kan sende en phising-e-post til en medlem av finans-teamet, eller selv en senior eksekutiv, og be om betaling for en ikke-eksisterende faktura. De gjør sine angrep mer sikre på å lykkes ved å hakke klient/leverandør-e-postkontoer, så de kan overvåke kommunikasjon og forstå hva fakturaene ligner på. BEC-tap rapportert til FBI nådde nesten 2,8 milliarder dollar i fjor, og er det nest høyeste inntjeningen av noen cyberkriminalitetstype.
Så er det leverandører av leverandører. En 2023-rapport hevder at halvparten av de organisasjonene som ble studert hadde indirekte forhold til minst 200 fjerdeparter som hadde lidd brudd i de to siste årene. Jo mindre leverandør, desto færre ressurser de kan ha til å bruke på beste praksis-sikkerhet.
AI er en gave til hackere
AI-teknologi blir stadig mer brukt av cyberkriminelle til å forbedre suksessraten deres. Faktisk advarte britiske regjerings-eksperter i år at teknologien “nesten sikkert vil fortsette å gjøre elementer av cyber-inntrengning mer effektive og effisiente.”
Vi kan se dette i måten generativ AI muliggjør opprettelse av phising-kampanjer på naturlig, feilfrie lokale språk. På måten det kan hjelpe trusler med å teste systemsvakheter og velge mål. Og på måten det kanskje kan assistere i opprettelse av malware og utnytting. Dette er hvorfor AI vil føre til “en økning i hyppighet og intensitet av cybertruer” over de neste to årene, advarer rapporten.
Avhengig av typen og omfanget av sikkerhets hendelsen, varierer impekten for kunder av en brent leverandør fra finansiell og reputasjonsmessig skade til regulatorisk risiko og operasjonell forstyrrelse. Jo lenger en hendelse går uoppdaget, jo mer tid har trusler inne i nettverket og, til slutt, jo mer vil det koste å rydde opp og gjenopprette. Dessverre tar leverandørkompromiss lengst tid å løse, ifølge IBM.
Et eksempel er den nylige avdekningen av et stort ransomware-brudd hos multimillion-dollars-omsetning BPO-leverandør Conduent. Over 11 millioner amerikanere kan ha hatt sine sosiale sikkerhetsnummer, helseforsikringsdetaljer og medisinske informasjon eksponert, ifølge rapporter. Og selv om de bare ble varslet i november 2025, er selskapets miljø antatt å ha vært kompromittert så langt tilbake som oktober 2024.
Hvorfor kontinuerlig overvåking er viktig
Heldigvis kan AI også hjelpe de gode guttene med å overvinne vanlige utfordringer med leverandør-cyber-risikostyring. For mange organisasjoner sliter med treg, manuell prosess og lange spørreskjemaer som forårsaker forsinkelser og skaper synsflekker. Ulik leverandørdokumentasjon gjør det vanskelig å sammenligne risikopoeng over hele økosystemet og forstå hva som betyr mest for bedriften.
I stedet, med en data- og AI-sentrert tilnærming, kan organisasjoner få automatisering til å gjøre det tunga arbeidet, både ved oppstart og utover. Det siste er viktig fordi risiko ikke stopper en gang en leverandør har blitt godkjent. Den fortsetter å utvikle seg, potensielt time for time eller dag for dag, med hver ny programvare-svakheter, datatyveri eller feilkonfigurert konto. Leverandører kan investere i ny infrastruktur, øke deres cyber-angrepsflate. De kan legge til nye leverandører, endre risikoeksponering. Og de kan bli mål for nye trusler.
Alt dette krever en mer proaktiv tilnærming til tredjepartsrisikostyring, som går ut over å samle inn og prosessere leverandør-undersøkelser og dokumentasjon. Den bør fokusere på å identifisere risiko i sanntid, så organisasjonen kan handle raskt før noen skade skjer.
Hvordan komme i gang med AI
Å oppnå denne typen 360-graders, kontinuerlig innsikt i leverandør-cyber-risiko vil kreve mye data – og intelligente algoritmer for å flagge mistenkelige mønster. Jo mer høykvalitetsdata, desto bedre synsfeltet. Dette kan inkludere truslingsintelligens som scroller gjennom mørke nettforum for tidlige varslinger om et brudd. Eller sårbarhets-overvåking som høydepunkter manglende sikkerhetsoppdateringer i leverandørens eiendom. Det kan også spore bevis på e-post-kompromiss blant leverandørens finansavdelinger, som kan indikere innkommende BEC-angrep. Eller til og med mistenkelige transaksjonsmønster som involverer disse leverandørene.
AI kan utnyttes til å identifisere kritiske risikoer i sanntid, for å handle umiddelbart. Og til å automatisk tildele en kontinuerlig oppdatert risikopoeng for hver leverandør, vektet etter kundeprinsipper, holdning og kritikalitet til bedriften.
Agens AI kan også være en kraftfull alliert, som arbeider autonomt for å innhente og analysere kompleks leverandørdokumentasjon som SOC 2-rapporter og interne sikkerhetspolitikk, og kartlegger kontroller til etablerte rammer som NIST CSF eller ISO 27001. Dette kan gi kompatibilitets-synsfelt på bare minutter, i stedet for timer, og frigjøre tid for sikkerhets- og risikoteam til å arbeide med høyere verdioppgaver. I modne organisasjoner kan AI-agenter også arbeide uavhengig for å løse og rette opp vanlige problemer – eller i det minste å sende dem til riktig teammedlem for rask oppmerksomhet.
Å bringe alt sammen
Nøkkelen er å sikre at et slikt system for leverandør-cyber-risikostyring er forent, så risikodata ikke havner i siloer og blir ubrukbart. Ideelt sett skulle samme plattform også muliggjøre andre typer leverandør-risikostyring, over områder som kompatibilitet, bærekraft, finansiell styring og drift. Dette bør gi den type informasjon som kan brukes til å ta bedre forretningsbeslutninger.
Og over alt, husk at cyberrisiko er i bunnen fundamentalt forretningsrisiko. Det kan aldri elimineres. Men det kan håndteres mer effektivt.
